【正文】 ........................ 13 系統(tǒng) Banner設(shè)置 ......................................................... 14 登陸超時時間設(shè)置 ........................................................ 15 內(nèi)核調(diào)整設(shè)置 ........................................................... 15 SSH 加密協(xié)議 ........................................................... 16 FTP設(shè)置 ................................................................ 18 附錄 A：端口及服務(wù) .......................................................... 18 II 前 言 為了在工程驗收、運行維護、安全檢查等環(huán)節(jié)，規(guī)范并落實安全配置要求，編制了一系列的安全配置要求及操作指南，明確了操作系統(tǒng)、數(shù)據(jù)庫、應用中間件在內(nèi)的通用安全配置要求及參考操作。 根據(jù)情況選擇開放 ORACLE 1521/TCP 甲骨文公司數(shù)據(jù)庫 關(guān)閉OracleOraHome90TNSListener服務(wù)。 根據(jù)情況選擇開放 epmap 135/TCP RPC服務(wù) 系統(tǒng)基本服務(wù) 無法關(guān)閉 135/UDP 無法關(guān)閉 netbiosns 137/UDP NetBIOS 名稱解析 在網(wǎng)卡的 TCP/IP選項中WINS頁勾選禁用 TCP/IP上的NETBIOS 根據(jù)情況選擇開放 netbiosdgm 138/UDP NetBIOS 數(shù)據(jù)報服務(wù) 根據(jù)情況選擇開放 netbiosssn 139/TCP NetBIOS 會話服務(wù) 系統(tǒng)基本服務(wù) 無法關(guān)閉 snmp 161/UDP SNMP 服務(wù) 關(guān)閉SNMP 服務(wù) 根據(jù)情況選擇開放 443/TCP 安全超文本傳輸協(xié)議 關(guān)閉World Wide Web Publishing Service服務(wù) 根據(jù)情況選擇開放 20 microsoftds 445/UDP SMB 服務(wù)器 運行regedit，打開HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters 添加名為SMBDeviceEnabled的子鍵，類型dword，值為0 重新啟動計算機 根據(jù)情況選擇開放 445/TCP isakmp 500/UDP IPSec ISAKMP 本地安全機構(gòu) 關(guān)閉IPSEC Policy Agent服務(wù) 很少使用的服務(wù)，如不使用ipsec，建議關(guān)閉 RADIUS 1645/UDP 舊式 RADIUS Internet 身份驗證服務(wù) 關(guān)閉Remote Access Connection Manager服務(wù) 建議關(guān)閉 RADIUS 1646/UDP 舊式 RADIUS Internet 身份驗證服務(wù) 建議關(guān)閉 radius 1812/UDP 身份驗證 Internet 身份驗證服務(wù) 建議關(guān)閉 radacct 1813/UDP 計帳 Internet 身份驗證服務(wù) 建議關(guān)閉 MSMQRPC 2105/TCP MSMQRPC 消息隊列 關(guān)閉Message Queuing服務(wù)。 建議關(guān)閉 42/UDP domain 53/UDP 域名服務(wù)器 關(guān)閉DNS Server服務(wù)。推薦值數(shù)據(jù)：400 檢測方法 判定條件 檢測操作 點擊開始運行，然后在打開行里輸入 regedit，然后單擊確定，查看相關(guān)注冊表項進行查看； 使用空連接掃描工具無法遠程枚舉用戶名和用戶組 附錄 A：端口及服務(wù) 服務(wù)名稱 端口 服務(wù)說明 關(guān)閉方法 處置建議 系統(tǒng)服務(wù)部分 echo 7/TCP RFC862_回聲協(xié)議 關(guān)閉Simple TCP/IP Services服務(wù)。推薦值：5。 檢測方法 判定條件 查看每個共享文件夾的共享權(quán)限僅限于業(yè)務(wù)需要，不設(shè)置成為“everyone” 。 檢測方法 判定條件 HKLM\System\CurrentControlSet\ Services\LanmanServer\Parameters\增加了 REG_DWORD 類型的AutoShareServer 鍵，值為 0。 13 關(guān)閉自動播放功能 編號：1 要求內(nèi)容 關(guān)閉 Windows自動播放功能 操作指南 參考配置操作 開始→運行→，打開組策略編輯器，瀏覽到計算機配置→管理模板→系統(tǒng)，在右邊窗格中雙擊“關(guān)閉自動播放”，對話框中選擇所有驅(qū)動器，確定即可。 檢測方法 判定條件 找到“PortNumber”子項，設(shè)定值非 00000D3D，即十進制 3389 檢測操作 運行 Regedt32 ,找到此項并判斷。 檢測方法 判定條件 munity strings已改，不是默認的“public” 檢測操作 打開“控制面板”，打開“管理工具”中的“服務(wù)”，找到“SNMP 12 Service”，單擊右鍵打開“屬性”面板中的“安全”選項卡，在這個配置界面中，查看 munity strings，也就是微軟所說的“團體名稱”。 查看所有服務(wù)，不在此列表的服務(wù)需關(guān)閉。 檢測操作 開始運行 執(zhí)行“ 控制面板管理工具本地安全策略審核策略” 審核登錄事件，雙擊，查看是否設(shè)置為成功和失敗都審核。打開防病毒軟件控制面板，查看病毒碼更新日期。 防病毒軟件 編號：1 要求內(nèi)容 安裝防病毒軟件，并及時更新。 “例外”中允許接入網(wǎng)絡(luò)的程序均為業(yè)務(wù)所需。操作指南 參考配置操作（以啟動自帶防火墻為例） 進入“控制面板－網(wǎng)絡(luò)連接－本地連接” ，在高級選項的設(shè)置中啟用 Windows 防火墻。 例如截止到 2010 年最新版本： Windows XP 的 Service Pack 為 SP3。 操作指南 參考配置操作 進入“控制面板管理工具本地安全策略” ，在“本地策略用戶權(quán)利指派” ： “取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators 組” 檢測方法 判定條件 “取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators 組” 檢測操作 進入“控制面板管理工具本地安全策略” ，在“本地策略用 7 戶權(quán)利指派” ： 查看是否“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators 組” 編號：3 要求內(nèi)容 在本地安全設(shè)置中只允許授權(quán)帳號本地、遠程訪問登陸此計算機。 操作指南 參考配置操作 5 進入“控制面板管理工具本地安全策略” ，在“帳戶策略密碼策略” ： “強制密碼歷史”設(shè)置為“記住 5個密碼” 檢測方法 判定條件 “強制密碼歷史”設(shè)置為“記住 5個密碼” 檢測操作 進入“控制面板管理工具本地安全策略” ，在“帳戶策略密碼策略” ： 查看是否“強制密碼歷史”設(shè)置為“記住 5 個密碼” 編號：4 要求內(nèi)容 對于采用靜態(tài)口令認證技術(shù)的設(shè)備，應配置當用戶連續(xù)認證失敗次數(shù)超過 6 次（不含 6 次） ，鎖定該用戶使用的賬號。 Guest 帳號已停用。 檢測方法 判定條件 結(jié)合要求和實際業(yè)務(wù)情況判斷符合要求，根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組 檢測操作 進入“控制面板管理工具計算機管理” ，在“系統(tǒng)工具本地用戶和組” ： 查看根據(jù)系統(tǒng)的要求，設(shè)定不同的賬戶和賬戶組 編號：2 要求內(nèi)容 應刪除與運行、維護等工作無關(guān)的賬號。 由于版本不同，配置操作有所不同，本規(guī)范以 Windows 2003 為例，給出參考配置操作。. . . .. .各類操作系統(tǒng)安全配置要求及操作指南 檢查模塊 支持系統(tǒng)版本號 Windows Windows 2000 以上 Solaris Solaris 8 以上 AIX AIX HPUNIX HPUNIX 11i以上 Linux 內(nèi)核版本 Oracle Oracle 8i以上 SQL Server Microsoft SQL Server 2000 以上 MySQL MySQL IIS IIS Apache Apache 以上 Tomcat Tomcat WebLogic WebLogic Windows操作系統(tǒng) 安全配置要求及操作指南 I 目 錄 目 錄 ..................................................................... I 前 言 .................................................................... II 1 范圍 ....................................................................... 1 2 規(guī)范性引用文件 ............................................................. 1 3 縮略語 ..................................................................... 1 4 安全配置要求 ............................................................... 2 賬號 ..................................................................... 2 口令 ..................................................................... 3 授權(quán) ..................................................................... 5 補丁 ..................................................................... 7 防護軟件 ................................................................. 8 防病毒軟件 ............................................................... 8 日志安全要求 ............................................................. 9 不必要的服務(wù) ............................................................ 11 啟動項 .................................................................. 12 關(guān)閉自動播放功能 ....................................................... 13 共享文件夾 ............................................................. 13 使用 NTFS 文件系統(tǒng) ..................................................... 14 網(wǎng)絡(luò)訪問 ............................................................... 15 會話超時設(shè)置 ........................................................... 16 注冊表設(shè)置 ............................................................. 17 附錄 A：端