网络通信安全管理员培训WEB安全加固操作指南邮电职业技术学院培训中心二零一二年五月1、Windows server 2003系统加固 (4)1.1采集系统信息 (4)1.2账号 (5)1.2.1优化账号 (5)1.2.2检测隐藏 (6)1.2.3更改默认管理员用户名 (7)1.3口令策略 (7)1.4授权 (9)1.5补丁管理 (10)1.6安全配置 (11)1.6.1IP协议安全配置 (11)1.6.2屏幕保护 (13)1.6.3安装防病毒软件 (14)1.6.4病毒查杀 (15)1.6.5木马查杀 (16)1.7日志审核 (18)1.7.1增强日志 (18)1.7.2增强审核 (20)1.8关闭不必要的端口、服务 (20)1.8.1修改远程桌面端口 (20)1.8.2关闭高危的数据库端口 (21)1.8.3优化服务 (22)1.8.4修改SNMP服务 (23)1.9启动项 (24)1.10关闭自动播放功能 (25)1.11关闭共享 (26)1.12使用NTFS (26)1.13网络访问 (27)1.14会话超时设置 (28)1.15注册表设置 (28)1.16其他 (29)1.16.1网络限制 (29)1.16.2安全性增强 (30)1.16.3检查Everyone权限 (30)1.16.4限制命令操作权限 (31)1.16.5防病毒软件建立计划任务，每天深夜执行全盘扫描 (32)1.16.6进行IP-MAC双向绑定 (32)1.16.7第三方软件升级 (33)1.16.8开启360safe arp防火墙 (33)1.17Apache系统加固 (34)1.17.1 (34)1.17.2授权 (35)1.17.3日志 (36)1.17.4禁止访问外部文件 (37)1.17.5目录列出 (38)1.17.6错误页面重定向 (38)1.17.7拒绝服务防 (39)1.17.8隐藏Apache 的版本号 (39)1.17.9关闭trace (40)1.17.10禁用CGI (41)1.17.11监听地址绑定 (41)1.17.12补丁 (42)1.17.13更改默认端口 (42)1.17.14删除缺省安装的无用文件 (42)1.17.15HTTP 加密协议 (43)1.17.16连接数设置 (43)1.17.17禁用非法HTTP (44)1.18其他 (45)1.18.1禁止SSI (45)1..18.2上传目录设置 (45)1.18.3保护敏感目录 (46)1.18.4限制IP访问rrr (47)1、Windows server 2003系统加固1.1采集系统信息操作名称采集系统的相关信息检查方法查看系统版本 ver查看SP版本 wmic os get ServicePackMajorVersion查看Hotfix wmic qfe get hotfixid,InstalledOn查看主机名 hostname查看网络配置 ipconfig /all查看路由表 route print查看开放端口 netstat -ano检查结果通过上述查看方法，采集到的系统信息如下：加固方法无需加固1.2账号1.2.1优化账号操作目的了解系统的相关信息 加固结果 无需加固操作名称优化账号检查要求 应按照不同的用户分配不同的账号，避免不同用户间共享账号。

避免用户账号和设备间通信使用的账号共享；查看是否有不用的账号，系统账号所属组是否正确以及guest 账号是否锁定；按照用户分配账号。

对于管理员，要求更改缺省名称；禁用guest （来宾）。

检查方法开始->运行->compmgmt.msc （计算机管理）->本地用户和组，检查结果 使用net user 查看到的账号：在计算机管理中看到的账号：加删除或锁定与设备运行、维护等无关的账号。

1.2.2检测隐藏固方法使用“net user 用户名 /del ”命令删除账号 使用“net user 用户名 /active:no ”命令锁定账号。

操作目的减少系统无用账号，降低风险 加固结果 下图中蓝色标记的账号为本次禁用的无关账号。

操作名称 检测隐藏检查要求 通过查看计算机管理-本地用户和组-用户，注册表中的SAM ，查找是否有类似admin$之类的隐藏。

检查方法 开始->运行->compmgmt.msc （计算机管理）->本地用户和组；开始->运行-> regedit -> HKEY_LOCAL_MACHINE\SAM\SAM ，右键点击SAM ，点击权限，允许Administrators 组完全控制和读取SAM ，刷新后查看SAM\Domains\Accout\Users\Names 。

检查结果 开始->运行->compmgmt.msc （计算机管理）->本地用户和组：HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names ：加固方法 删除HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names 中非法的隐藏账号。

操作目的删除系统中非法的隐藏账号，降低风险加固结果1.2.3更改默认管理员用户名操作名称新建隐藏、禁用默认管理员账号administrator；检查结果默认管理员账号为administrator加固方法更改默认管理员用户名，建立一个复杂的隐藏管理员账号，并禁用默认管理员账号。

操作目的默认管理员账号可能被攻击者用来进行密码暴力猜测，可能由于太多的错误密码尝试导致该账号被锁定。

加固结果禁用了管理员账号，并新建了一个隐藏管理员账号xadminy55$1.3口令策略操作名称账号口令策略修改要求容密码长度要求：最少8 位密码复杂度要求：至少包含以下四种类别的字符中的三种：英语大写字母A, B, C, … Z英语小写字母a, b, c, … z阿拉伯数字0, 1, 2, (9)非字母数字字符，如标点符号，, #, $, %, &, *等检查方法开始->运行->secpol.msc （本地安全策略）->安全设置检查结果从下图蓝圈标记处可以看出，密码的复杂性没有作要求，长度、最长和最短使用期限未设置，强制密码历史未设置。

从下图蓝圈处可以看出，账号锁定策略设置的比较安全。

下图蓝圈处标记出本地策略->安全选项中不显示上次的用户名未启用。

加固方法1，账户设置->密码策略密码必须符合复杂性要求：启用密码长度最小值：8个字符密码最长存留期：90天密码最短存留期：30天强制密码历史：5个记住密码2，账户设置->账户锁定策略复位锁定计数器：1分钟锁定时间：30分钟锁定阀值：6次无效登录3，本地策略->安全选项交互式登录：不显示上次的用户名：启用最后，使用gpupdate /force立即生效操作目的增强口令的复杂度及锁定策略等，降低被暴力破解的可能性，保障账号及口令的安全加固结果下图为加固后“账户设置->密码策略”中各项的参数(标红处为本次做过修改)。

1.4授权另外，还将“本地策略->安全选项”中的“交互式登录：不显示上次的用户名”项设为了启用。

操作名称口令授权要求容在本地安全设置中从远端系统强制关机只指派给Administrators组；在本地安全设置中关闭系统仅指派给Administrators组；在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators；在本地安全设置中配置指定授权用户允许本地登陆此计算机；在组策略中只允许授权从网络访问(包括网络共享等，但不包括终端服务此计算机。

检查方法开始->运行->eventvwr.msc ->查看“本地策略”-“用户权限分配”检查结果从下图可以看出，只有Administrators组从本地和远端系统强制关机，但是还有其他两个用户组具有关机功能，修要修改加固。

加固方法在本地安全设置中从远端系统强制关机只指派给Administrators组；在本地安全设置中关闭系统仅指派给Administrators组；在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators；在本地安全设置中配置指定授权用户允许本地登陆此计算机；在组策略中只允许授权从网络访问(包括网络共享等，但不包括终端服务)此计算机。

操作目的设置用户组的关机权限加固结果将关闭系统功能仅指派给Administrators组1.5补丁管理操作名称安装系统补丁，修补漏洞检查方法先使用FTP工具将提前准备好的软件传至演练主机上，然后安装360安全卫士，使用360安全卫士对电脑进行安全体验。

检查结果使用360安全卫士对电脑进行体验后发现，服务器存在的问题很多，主要问题如下：电脑体验得分为0分；电脑存在87个高危漏洞；系统关键位置发现木马或高危文件；层中发现运行的木马或高风险文件；未安装杀毒软件。

加固方法使用360安全卫士进行漏洞修补。

操作目的安装系统补丁，修补漏洞。

加固结果最终，使用360安全卫士完修补了扫描到的87个漏洞。

1.6安全配置1.6.1IP协议安全配置操作名称IP协议安全配置检查方法开始-设置-控制面板-防火墙检查结果下图为服务器防火墙的初始设置，未开启防火墙。

加固方法审核策略更改：对没有自带防火墙的Windows系统，启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和IP协议；启用Windows 2003 自带防火墙。

根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址围；操作目的根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP 地址围加固结果启用防火墙，并允许远程桌面例外，设置访问围。

1.6.2屏幕保护操作名称屏幕保护检查方法桌面-属性-屏幕保护程序检查结果加固方法设置带密码的屏幕保护，并将时间设定为5分钟。

对于远程登陆的，设置不活动断连时间10分钟。

操作目的防止其他人使用你的电脑加固结果1.6.3安装防病毒软件操作名称安装防病毒软件检查方法通过360安全卫士对电脑进行体验检查结果提示未安装杀毒软件加固方法下载并安装360杀毒软件操作目的删除系统中高危病毒文件和程序加固结果下载并安装360杀毒软件。

1.6.4病毒查杀操作名称病毒查杀检查方法使用360杀毒软件对系统进行病毒扫描检查结果因已进行过360安全卫士的扫描和查杀，使用360杀毒软件对系统进行病毒扫描时扫描出下图病毒。

加固方法使用360杀毒软件进行查杀加固结果1.6.5木马查杀操作名称木马查杀检查方法使用多种木马专杀软件对系统进行木马查杀检查结果使用360安全卫士扫描，扫描到了7个木马，如下图所示：使用windows清理助手扫描，扫描到了两个木马，如下图所示：再次使用windows清理助手扫描，又扫描到了1个木马，如下图所示：使用windows清理助手上推荐的恶意软件查杀工具扫描，描到了1个木马，如下图所示：加固方法使用多种木马专杀软件对系统进行木马查杀操作目的删除系统中的高危木马加固结果1.7日志审核1.7.1增强日志操作名称调整事件日志的大小、覆盖策略检查方法开始->运行->eventvwr.msc ->查看“应用程序”“安全性”“系统”的属性检查结果经查看，“应用程序”“安全性”“系统”的属性的日志大小都为16384KB，但为设置达到日志上限时，需修改，下面以“安全性”的属性为例。