【文章內(nèi)容簡介】 ：2 要求內(nèi)容 禁用可遠(yuǎn)程訪問的注冊表路徑和子路徑 操作指南 參考配置操作 “控制面板管理工具本地安全策略” ，在“本地策略安全選項(xiàng)”:網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑 設(shè)置為全部刪除 “控制面板管理工具本地安全策略” ，在“本地策略安全選項(xiàng)”:網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑和子路徑 設(shè)置為全部刪除 檢測方法 判定條件 全部刪除可遠(yuǎn)程訪問的注冊表路徑和子路徑 檢測操作 查看“控制面板管理工具本地安全策略” ，在“本地策略安全選項(xiàng)”:網(wǎng)絡(luò)訪問中，查看，可遠(yuǎn)程訪問的注冊表路徑、可遠(yuǎn)程訪問的注冊表路徑和子路徑是否設(shè)置為全部刪除 會話超時設(shè)置 編號：1 17 要求內(nèi)容 對于遠(yuǎn)程登錄的賬戶，設(shè)置不活動所連接時間 15 分鐘 操作指南 參考配置操作 進(jìn)入“控制面板—管理工具—本地安全策略” ，在“安全策略—安全選項(xiàng)” ： “Microsoft 網(wǎng)絡(luò)服務(wù)器”設(shè)置為“在掛起會話之前所需的空閑時間”為 15 分鐘 檢測方法 判定條件 “Microsoft 網(wǎng)絡(luò)服務(wù)器”設(shè)置為“在掛起會話之前所需的空閑時間”為 15 分鐘 檢測操作 進(jìn)入“控制面板—管理工具—本地安全策略” ，在“安全策略—安全選項(xiàng)” ：查看“Microsoft 網(wǎng)絡(luò)服務(wù)器”設(shè)置 注冊表設(shè)置 編號：1 要求內(nèi)容 在不影響系統(tǒng)穩(wěn)定運(yùn)行的前提下，對注冊表信息進(jìn)行更新。 操作指南 參考配置操作 y 自動登錄： HKLM\Software\Microsoft\WindowsNT\ CurrentVersion\Winlogon\AutoAdminLogon (REG_DWORD) 0 y 源路由欺騙保護(hù)： HKLM\System\CurrentControlSet\ Services\Tcpip\Parameters\DisableIPSourceRouting (REG_DWORD) 2 y 刪除匿名用戶空鏈接 HKEY_LOCAL_MACHINE SYSTEM\Current\Control\Set\Control\Lsa 將 restrictanonymous 的值設(shè)置為 1，若該值不存在，可以自己創(chuàng)建，類型為 REG_DWORD 修改完成后重新啟動系統(tǒng)生效 y 碎片攻擊保護(hù)： HKLM\System\CurrentControlSet\ 18 Services\Tcpip\Parameters\EnablePMTUDiscovery (REG_DWORD) 1 y Syn flood 攻擊保護(hù)： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之下，可設(shè)置： TcpMaxPortsExhausted。推薦值：5。 TcpMaxHalfOpen。推薦值數(shù)據(jù)：500。 TcpMaxHalfOpenRetried。推薦值數(shù)據(jù)：400 檢測方法 判定條件 檢測操作 點(diǎn)擊開始運(yùn)行，然后在打開行里輸入 regedit，然后單擊確定，查看相關(guān)注冊表項(xiàng)進(jìn)行查看； 使用空連接掃描工具無法遠(yuǎn)程枚舉用戶名和用戶組 附錄 A：端口及服務(wù) 服務(wù)名稱 端口 服務(wù)說明 關(guān)閉方法 處置建議 系統(tǒng)服務(wù)部分 echo 7/TCP RFC862_回聲協(xié)議 關(guān)閉Simple TCP/IP Services服務(wù)。 建議關(guān)閉 echo 7/UDP RFC862_回聲協(xié)議 discard 9/UDP RFC863 廢除協(xié)議 discard 9/TCP RFC863 廢除協(xié)議 daytime 13/UDP RFC867 白天協(xié)議 daytime 13/TCP RFC867 白天協(xié)議 qotd 17/TCP RFC865 白天協(xié)議的引用 qotd 17/UDP RFC865 白天協(xié)議的引用 chargen 19/TCP RFC864 字符產(chǎn)生協(xié)議 19 chargen 19/UDP RFC864 字符產(chǎn)生協(xié)議 ftp 21/TCP 文件傳輸協(xié)議(控制) 關(guān)閉FTP Publishing Service服務(wù)。 根據(jù)情況選擇開放 smtp 25/TCP 簡單郵件發(fā)送協(xié)議 關(guān)閉Simple Mail Transport Protocol服務(wù)。 建議關(guān)閉 nameserver 42/TCP WINS 主機(jī)名服務(wù) 關(guān)閉Windows Internet Name Service服務(wù)。 建議關(guān)閉 42/UDP domain 53/UDP 域名服務(wù)器 關(guān)閉DNS Server服務(wù)。 根據(jù)情況選擇開放 53/TCP 根據(jù)情況選擇開放 dhcps 67/UDP DHCP 服務(wù)器/Internet 連接共享 關(guān)閉Simple TCP/IP Services服務(wù)。 建議關(guān)閉 dhcpc 68/UDP DHCP協(xié)議客戶端 關(guān)閉DHCP Client服務(wù)。 建議關(guān)閉 80/TCP HTTP 萬維網(wǎng)發(fā)布服務(wù) 關(guān)閉World Wide Web Publishing Service服務(wù)。 根據(jù)情況選擇開放 epmap 135/TCP RPC服務(wù) 系統(tǒng)基本服務(wù) 無法關(guān)閉 135/UDP 無法關(guān)閉 netbiosns 137/UDP NetBIOS 名稱解析 在網(wǎng)卡的 TCP/IP選項(xiàng)中WINS頁勾選禁用 TCP/IP上的NETBIOS 根據(jù)情況選擇開放 netbiosdgm 138/UDP NetBIOS 數(shù)據(jù)報(bào)服務(wù) 根據(jù)情況選擇開放 netbiosssn 139/TCP NetBIOS 會話服務(wù) 系統(tǒng)基本服務(wù) 無法關(guān)閉 snmp 161/UDP SNMP 服務(wù) 關(guān)閉SNMP 服務(wù) 根據(jù)情況選擇開放 443/TCP 安全超文本傳輸協(xié)議 關(guān)閉World Wide Web Publishing Service服務(wù) 根據(jù)情況選擇開放 20 microsoftds 445/UDP SMB 服務(wù)器 運(yùn)行regedit，打開HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters 添加名為SMBDeviceEnabled的子鍵，類型dword，值為0 重新啟動計(jì)算機(jī) 根據(jù)情況選擇開放 445/TCP isakmp 500/UDP IPSec ISAKMP 本地安全機(jī)構(gòu) 關(guān)閉IPSEC Policy Agent服務(wù) 很少使用的服務(wù)，如不使用ipsec，建議關(guān)閉 RADIUS 1645/UDP 舊式 RADIUS Internet 身份驗(yàn)證服務(wù) 關(guān)閉Remote Access Connection Manager服務(wù) 建議關(guān)閉 RADIUS 1646/UDP 舊式 RADIUS Internet 身份驗(yàn)證服務(wù) 建議關(guān)閉 radius 1812/UDP 身份驗(yàn)證 Internet 身份驗(yàn)證服務(wù) 建議關(guān)閉 radacct 1813/UDP 計(jì)帳 Internet 身份驗(yàn)證服務(wù) 建議關(guān)閉 MSMQRPC 2105/TCP MSMQRPC 消息隊(duì)列 關(guān)閉Message Queuing服務(wù)。 建議關(guān)閉 Termsrv 3389/TCP 終端服務(wù) 關(guān)閉Terminal Services服務(wù)。 根據(jù)情況選擇開放 其他常用服務(wù) Apache 80/TCP 8000/TCP Apache HTTP 服務(wù)器 關(guān)閉Apache2服務(wù)。 根據(jù)情況選擇開放 mssqls 1433/TCP 1434/UDP 微軟公司數(shù)據(jù)庫 關(guān)閉MSSQLServer服務(wù)。 根據(jù)情況選擇開放 ORACLE 1521/TCP 甲骨文公司數(shù)據(jù)庫 關(guān)閉OracleOraHome90TNSListener服務(wù)。 根據(jù)情況選擇開放 21 remote administrator 4899/TCP Famatech公司遠(yuǎn)程控制軟件 關(guān)閉Remote Administrator Service 服務(wù)。 根據(jù)情況選擇開放 sybase 5000/TCP Sybase公司數(shù)據(jù)庫 關(guān)閉Sybase SQLServer字樣開始的服務(wù)。 根據(jù)情況選擇開放 pcAnywhere 5631/TCP 5632/UDP Symantec公司遠(yuǎn)程控制軟件 關(guān)閉pcAnywhere Host Service字樣開始的服務(wù)。 根據(jù)情況選擇開放 AIX操作系統(tǒng) 安全配置要求及操作指南 xxxx 發(fā)布 I 目 錄 目 錄 ..................................................................... I 前 言 .................................................................... II 1 范圍 ....................................................................... 1 2 規(guī)范性引用文件 ............................................................. 1 3 縮略語 ..................................................................... 1 4 安全配置要求 ............................................................... 1 帳號 ..................................................................... 2 口令 ..................................................................... 5 授權(quán) ..................................................................... 7 補(bǔ)丁 .................................................................... 10 日志 .................................................................... 10 不必要的服務(wù)、端口 ...................................................... 12 文件與目錄權(quán)限 .......................................................... 13 系統(tǒng) Banner設(shè)置 ......................................................... 14 登陸超時時間設(shè)置 ........................................................ 15 內(nèi)核調(diào)整設(shè)置 ........................................................... 15 SSH 加密協(xié)議 ........................................................... 16 FTP設(shè)置 ................................................................ 18 附錄 A：端口及服務(wù) .......................................................... 18 II 前 言 為了在工程驗(yàn)收、運(yùn)行維護(hù)、安全檢查等環(huán)節(jié)，規(guī)范并落實(shí)安全配置要求，編制了一系列的安全配置要求及操作指南，明確了操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用中間件在內(nèi)的通用安全配置要求及參考操作。 該系列安全配置要求及操作指南的結(jié)構(gòu)及名稱預(yù)計(jì)如下： （1） 《 Windows 操作系統(tǒng)安全配置要求及操作指南》 （2） 《 AIX操作系統(tǒng)安全配置要求及操作指南》 （本規(guī)范） （3） 《 HPUX 操作系統(tǒng)安全配置要求及操作指南》 （4） 《 Linux操作系統(tǒng)安全配置要求及操作指南》 （5） 《 Solaris操作系統(tǒng)安全配置要求及操作指南》 （6） 《 MS SQL server數(shù)據(jù)庫安全配置要