【正文】 。 （ 5）目錄列表記錄 管理員可以把它看成自己設(shè)定的 LOG 記錄，安排每天的一些敏感目錄列表復(fù)位向到你的LOG 分區(qū)是一個比較好的辦法，如果有新的文件突然產(chǎn)生，就可以跟蹤它。它是位于 C:\WINNT\下，其記錄著所有由 SCHEDULER 服務(wù)啟動的所有行為，如服務(wù)的啟動和停止，如果系統(tǒng)被攻擊過，有不少后門是通過這個服務(wù)來啟動的，所以管理員應(yīng)該仔細(xì)查找這文件的里的內(nèi)容，重新定位這個文件的位置，可以通過編輯下面的鍵值來完成： HKLM\SOFTWARE\Microsoft\SchedulingAgent （ 3）監(jiān)視 Performance Logs Performance Logs 是性能監(jiān)視記錄器建立的，它們可以通過編輯注冊表中的 HKLM\System\CurrentControlSet\Services\SysmonLog 的 DefaultLogFileFolder 值來完成。 建議操作： （ 1）更改日志文件目錄 通過修改注冊表來更改日志文件的存放目錄；（應(yīng)用程序 LOG，安全 LOG，系統(tǒng) LOG， DNS服務(wù)器 LOG，目錄服務(wù)，和文件復(fù)制服務(wù)的 LOG 文件都是可以通過 Eventlog 查看器查看的，他們的鍵值保存在 HKLM\System\CurrentControlSet\Services\Eventlog 下。 編號： 3040 名稱： 日志文件的管理 重要等級： 高 基本信息： ? Inter 服務(wù)的 LOG 文件一般在于 :\WINNT\system32\LogFiles 目錄下，其它第三方NT服務(wù)軟件的日志有它們自己的目錄，一般來說，第三方的軟件都把目錄放在他自己的程序目錄下。 檢測內(nèi)容： ? 開啟對注冊表的審核，一定把審核事件降低到最低限度，防止日志文件過大。 檢測內(nèi)容： ? 通過本地安全策略 |本地策略 |審核策略可以察看是否開啟系統(tǒng)和文件審核 建議操作： ? WindowsNT 系統(tǒng)下 1) 確保 NTFS 分區(qū) 2) 在“域用戶管理器”中，“規(guī)則”選項，選擇“審核”開啟相關(guān)事件的審核 3) 針對具體的目錄，右鍵 — 屬性 — 安全 — 審核，可開啟針對用戶和組的審核 德信誠 培訓(xùn)網(wǎng) 更多免費資料下載請進： 好好學(xué)習(xí)社區(qū) ? Window2020 系統(tǒng)下 1) 確保 NTFS 分區(qū) 2) 在“本地安全策略”中開啟相應(yīng)的審核策略 3) 針對具體目錄，右鍵 — 屬性 — 安全 — 高級 — 審核，可開啟針對 用戶和組的審核 操作結(jié)果： 開啟系統(tǒng)和文件審核，不會對系統(tǒng)造成任何不良的影響。 檢測內(nèi)容： 通過檢測撥號與網(wǎng)絡(luò)連接的屬性頁中，連接上安裝的網(wǎng)絡(luò)組鍵和高級 TCP/IP 設(shè)置屬性頁中的 WINS 欄里面有關(guān) bios 的設(shè) 置可以判斷文件和打印共享是否測底關(guān)閉 ” 建議操作： 德信誠 培訓(xùn)網(wǎng) 更多免費資料下載請進： 好好學(xué)習(xí)社區(qū) ? 在撥號和網(wǎng)絡(luò)連接屬性里，取消“ Microsoft 網(wǎng)絡(luò)的文件和打印機共享” ? 在高級 TCP/IP 設(shè)置屬性頁中的 WINS 欄里面，選擇“禁用 TCP/IP 上的 NetBios； 操作結(jié)果： 對于不需要共享文件和打印機的主機，采用上面策略不會對系統(tǒng)造成任何不良影響。 檢測內(nèi)容： 檢測注冊表下面的內(nèi)容： Hive HKEY_LOCAL_MACHINE\SYSTEM Key CurrentControlSet\Control\LSA Name RestrictAnonymous Type REG_DWORD Value 2 看其鍵值是否為 “2” 建議操作： 德信誠 培訓(xùn)網(wǎng) 更多免費資料下載請進： 好好學(xué)習(xí)社區(qū) 將注冊表鍵值更改為推薦值： Hive HKEY_LOCAL_MACHINE\SYSTEM Key CurrentControlSet\Control\LSA Name RestrictAnonymous Type REG_DWORD Value 2 操作結(jié)果： 上述設(shè)置禁止了對系統(tǒng)的匿名訪問，不會對系統(tǒng)造成任何不良的影響。 編號： 3036 名稱： 限制匿名網(wǎng)絡(luò)訪問 重要等級： 高 基本信息： Windows NT 、 2020 允許未授權(quán)用戶開列域中的用戶。 建議操作： 修改注冊表： Hive HKEY_LOCAL_MACHINE\SYSTEM Key CurrentControlSet\Services\LanmanServer\Parameters Name AutoShareServer （ nt,2020/server ）Autosharewks(nt/workstation,2020 professional) Type REG_DWORD 德信誠 培訓(xùn)網(wǎng) 更多免費資料下載請進： 好好學(xué)習(xí)社區(qū) Value 0 修改注冊表后在重新啟動機器后生效。 Windows 主機上共享服務(wù)的安全增強 德信誠 培訓(xùn)網(wǎng) 更多免費資料下載請進： 好好學(xué)習(xí)社區(qū) 共享 編號： 3035 名稱： 刪除所有默認(rèn)的網(wǎng)絡(luò)共享 重要等級： 高 基本信息： 默認(rèn)的情況下，硬盤中所有邏輯分區(qū)都是被設(shè)置成共享的，但是通過網(wǎng)上鄰居是不能看見這些共享的分區(qū)，這種 “ 隱形 ” 就是通過共享名稱后面加上 “$” 來實現(xiàn)的，要訪問這些隱形的分區(qū)則必須使用 UNC 路徑，即在地址欄中鍵入 “ \\計算機名稱 \共享名 ” 或者使用映射網(wǎng)絡(luò)驅(qū)動器將其映射成本地的硬盤，由于一些掃描網(wǎng)絡(luò)共享工具的出現(xiàn)，給設(shè)置了共享的主機帶來極大的不安全因素。 建議操作： 安裝最新的 SQL 安全補丁 在防火墻處禁止使用 1434 端口，防止來訪入侵。 SLAMMER蠕蟲 編號： 3034 名稱： SLAMMER 蠕蟲 重要等級： 高 基本信息： 在 2020 年 1 月 24 日（周五）晚， Microsoft 發(fā)現(xiàn)一種導(dǎo)致世界范圍內(nèi)網(wǎng)絡(luò)流量激增的 Inter 攻擊，名為 Sapphire 或 Slammer 的蠕蟲病毒。 檢測內(nèi)容： 關(guān)于 IPSec 的 使 用 請 參 看 ： 建議操作： 德信誠 培訓(xùn)網(wǎng) 更多免費資料下載請進： 好好學(xué)習(xí)社區(qū) 對 IP 連接進行限制，只保證自己的 IP 能夠訪問，也拒絕其它 IP 進行的端口連接，把來自網(wǎng)絡(luò)上的安全威脅進行有效的控制。 IP 限制 編號： 3033 名稱： 對網(wǎng)絡(luò)連接進行 IP 限制 重要等級： 中 基本信息： SQL Server 2020 數(shù)據(jù)庫系統(tǒng)本身沒有提供網(wǎng)絡(luò)連接的安全解決辦法，但是 Windows 2020提供了這樣的安全機制。 在處理存儲過程的時候，請確認(rèn)一下，避免造成對數(shù)據(jù)庫或應(yīng)用程序的傷害。39。xp_cmdshell39。如果你需要這個存儲過程，請用這個語句也可以恢復(fù)過來。xp_cmdshell39。 檢測內(nèi)容： 審核數(shù)據(jù)庫登錄事件的“失敗和成功”， 建議操作： 如果你不需要擴展存儲過程 xp_cmdshell 請把它去掉。 編號： 3032 名稱： 管 理擴展存儲過程 重要等級： 中 基本信息： 德信誠 培訓(xùn)網(wǎng) 更多免費資料下載請進： 好好學(xué)習(xí)社區(qū) 對存儲過程進行大手術(shù)，并且對帳號調(diào)用擴展存儲過程的權(quán)限要慎重。 findstr /C:登錄 d:\Microsoft SQL Server\MSSQL\LOG\*.* 在實例屬性中選擇“安全性”，將其中的審核級別選定為全部，這樣在數(shù)據(jù)庫系統(tǒng)和操作系統(tǒng)日志里面，就詳細(xì)記錄了所有帳號的登錄事件。 德信誠 培訓(xùn)網(wǎng) 更多免費資料下載請進： 好好學(xué)習(xí)社區(qū) 編號： 3031 名稱： 加強數(shù)據(jù)庫日志的記錄 重要等級： 中 基本信息： 審核數(shù)據(jù)庫登錄事件的“失敗和成功”，在實例屬性中選擇“安全性”，將其中的審核級別選定為全部，這樣在數(shù)據(jù)庫系統(tǒng)和操作系統(tǒng)日志里面，就詳細(xì)記錄了所有帳號的登錄事件。比如，只要查詢功能的，那么就使用一個簡單的 public 帳號能夠 select 就可以了。不過這樣做的結(jié)果是一旦sa 帳號忘記密碼的話，就沒有辦法來恢復(fù)了。安全的帳號策略還包括不要讓管理員權(quán)限的帳號泛濫。由于 SQL Server 不能更改 sa 用戶名稱，也不能刪 除這個超級用戶，所以，我們必須對這個帳號進行最強的保護。 操作結(jié)果： 在 IIS 服務(wù)器上更新根目錄的 CA 證書不會對系統(tǒng)造成任何不良的影響。 9. 展開證書節(jié)點。 7. 單擊 “ 完成 ” 。 5. 單擊 “ 下一步 ” 。 3. 選擇 “ 證書 ” 并單擊 “ 添加 ” 。 德信誠 培訓(xùn)網(wǎng) 更多免費資料下載請進： 好好學(xué)習(xí)社區(qū) 建議操作： 1. 打開 Microsoft Management Console (MMC)。 檢測內(nèi)容： 不知道發(fā)布根目錄證書的公司名稱，那么就不應(yīng)當(dāng)信任他們，刪除其證書！注意，不要刪除 Microsoft 或 VeriSign 根目錄。 操作結(jié)果： 刪除未使用的腳本映射 不會對系統(tǒng)造成任何不良的影響。 3. 單擊“主屬性”。 檢測內(nèi)容： 刪除下面這些引用： 如果沒有使用 請刪除此項 基于 Web 的密碼重設(shè) .htr 索引服務(wù)器 .ida Inter 數(shù)據(jù)庫連接器 （新的網(wǎng)站不使用此連接器；它們使用活動 Active Server Pages 的 ADO） .idc 德信誠 培訓(xùn)網(wǎng) 更多免費資料下載請進： 好好學(xué)習(xí)社區(qū) 服務(wù)器端包含程序 .shtm、 .stm、 .shtml 建議操作： 1. 打開 Inter 服務(wù)管理器。 編號： 3028 名稱： 刪除未使用的腳本映射 重要等級： 中 基本信息： IIS 被預(yù)先配置成支持常見的文件擴展名，如 .asp 和 .shtm。 德信誠 培訓(xùn)網(wǎng) 更多免費資料下載請進： 好好學(xué)習(xí)社區(qū) 6. 單擊 “ 屬性 ” 并配置日志記錄項。 4. 選中 “ 啟用日志 ” 復(fù)選框。 2. 右鍵單擊懷疑有問題的站點，然后從上下文菜單中選擇 “ 屬性 ” 。 編號： 3027 名稱： 啟用日志記錄 重要等級： 高 基本信息： 查看服務(wù)器是否正在受到攻擊，日志將非常重要 。 18. 單擊“確定”，然后單擊“關(guān)閉”。 德信誠 培訓(xùn)網(wǎng) 更多免費資料下載請進： 好好學(xué)習(xí)社區(qū) 16. 單擊“ Microsoft TechNet Security 屬性”對話框的“下載”選項卡。 14. 在“整理收藏夾”對話框中選擇“ Microsoft TechNet Security”快捷方式。 12. 單擊“確定”。 10. 接受默認(rèn)設(shè)置，再單擊“下一步”。 8. 單擊“下一步”。 6. 在“脫機收藏夾向?qū)А敝袉螕簟跋乱徊健薄? 4. 選中“允許脫機使用”復(fù)選框。 檢測內(nèi)容： 檢測是否按安裝了最新的 IIS 版本和最新的補丁 建議操作：升級的操作 1. 打開 Inter Explorer。 IIS版本和安裝最新的補丁 編號： 3026 名稱： 及時升級最新的 IIS 版本和安裝最新的補丁 重要等級： 高 基本信息： IIS 的漏洞已經(jīng)成為危害 Windows 系統(tǒng)的主要安全隱患，解決 IIS 安全漏洞的最直接的 德信誠 培訓(xùn)網(wǎng) 更多免費資料下載請進： 好好學(xué)習(xí)社區(qū) 辦法就是及時的升級 IIS 版本和安裝最新的安全補丁。 操作結(jié)果： 限制區(qū)域文件傳輸，不會對系統(tǒng)造成任何不良的影響。如果網(wǎng)絡(luò)中只有一個 DNS 服務(wù)器，應(yīng)該禁止該功能；如果存在輔 DNS 服務(wù)器，應(yīng)該限制區(qū)域文件傳輸?shù)?DNS 服務(wù)器范圍。 主機上 DNS 服務(wù)的安全增強（ NT、 2020 Server 自帶的 DNS 服務(wù)） 描述：在 DNS 客戶 /服務(wù)器模型中，通過設(shè)置轉(zhuǎn)發(fā)，限制區(qū)域文件傳輸?shù)确绞皆鰪姲踩阅堋? 建議操作： 若要禁用路由，打開 “ 控制面板 ” － “ 網(wǎng)絡(luò) ” － “ 協(xié)議 ” － “TCP/IP 協(xié)議 ” － “ 屬性 ”－ “ 路由 ” 然后清除 “ 啟用 IP 轉(zhuǎn)發(fā) ” 復(fù)選框。 該