Windows系统的安全加固
Windows系统的安全加固
一、操作系统安全隐患分析
(一)安装隐患
在一台服务器上安装Windows 2003 Server操作系统时,主要存在以下隐患:
1、将服务器接入网络内安装。Windows2000 Server操作系统在安装时存在一个安全漏洞,当输入Administrator密码后,系统就自动建立了ADMIN$的共享,但是并没有用刚刚输入的密码来保护它,这种情况一直持续到再次启动后,在此期间,任何人都可以通过ADMIN$进入这台机器;同时,只要安装一结束,
各种服务就会自动运行,而这时的服务器是满身漏洞,计算机病毒非常容易侵入。因此,将服务器接入网络内安装是非常错误的。
2、操作系统与应用系统共用一个磁盘分区。在安装操作系统时,将操作系统与应用系统安装在同一个磁盘分区,会导致一旦操作系统文件泄露时,攻击者可以通过操作系统漏洞获取应用系统的访问权限,从而影响应用系统的安全运行。
3、采用FAT32文件格式安装。FAT32文件格式不能限制用户对文件的访问,这样可以导致系统的不安全。
4、采用缺省安装。缺省安装操作系统时,会自动安装一些有安全隐患的组件,如:IIS、DHCP、DNS等,导致系统在安装后存在安全漏洞。
5、系统补丁安装不及时不全面。在系统安装完成后,不及时安装系统补丁程序,导致病毒侵入。
(二)运行隐患
在系统运行过程中,主要存在以下隐患:
1、默认共享。系统在运行后,会自动创建一些隐藏的共享。一是C$ D$ E$ 每个分区的根共享目录。二是ADMIN$ 远程管理用的共享目录。三是IPC$ 空连接。四是NetLogon共享。五是其它系统默认共享,如:FAX$、PRINT$共享等。这些默认共享给系统的安全运行带来了很大的隐患。
2、默认服务。系统在运行后,自动启动了许多有安全隐患的服务,如:Telnet services、DHCP Client、DNS Client、Print spooler、Remote Registry services (选程修改注册表服务)、SNMP Services 、Terminal Services 等。这些服务在实际工作中如不需要,可以禁用。
3、安全策略。系统运行后,默认情况下,系统的安全策略是不启作用的,这降低了系统的运行安全性。
4、管理员帐号。系统在运行后,Administrator用户的帐号是不能被停用的,这意味着攻击者可以一遍又一遍的尝试猜测这个账号的口令。此外,设置简单的用户帐号口令也给系统的运行带来了隐患。
5、页面文件。页面文件是用来存储没有装入内存的程序和数据文件部分的隐藏文件。页面文件中可能含有一些敏感的资料,有可能造成系统信息的泄露。
6、共享文件。默认状态下,每个人对新创建的文件共享都拥有完全控制权限,这是非常危险的,应严格限制用户对共享文件的访问。
7、Dump文件。Dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而,它也能够给攻击者提供一些敏感信息,比如一些应用程序的口令等,造成信息泄露。
8、WEB服务。系统本身自带的IIS服务、FTP服务存在安全隐患,容易导致系统被攻击。
二、操作系统安全隐患对策
(一)安装对策
在进行系统安装时,采取以下对策:
1、在完全安装、配置好操作系统,给系统全部安装系统补丁之前,一定不要把机器接入网络。
2、在安装操作系统时,建议至少分三个磁盘分区。第一个分区用来安装操作系统,第二分区存放IIS、FTP和各种应用程序,第三个分区存放重要的数据和日志文件。
3、采用NTFS文件格式安装操作系统,可以保证文件的安全,控制用户对文件的访问权限。
4、在安装系统组件时,不要采用缺省安装,删除系统缺省选中的IIS、DHCP、DNS等服务。
5、在安装完操作系统后,应先安装在其上面的应用系统,后安装系统补丁。安装系统补丁一定要全面。
6、做系统的ghost以备还原。
(二)运行对策
在系统运行时,采取以下对策:
1、加强对Administrator帐号和Guest帐号的管理监控
将Administrator帐号重新命名,创建一个陷阱账号,名为"Administrator",口令为10位以上的复杂口令,其权限设置成最低,即:将其设为不隶属于任何一个组,并通过安全审核,借此发现攻击者的入侵企图。设置2个管理员用账号,一个具有一般权限,用来处理一些日常事物;另一个具有Administrators 权限,只在需要的时候使用。修改Guest用户口令为复杂口令,并禁用GUEST用户帐号。2、关闭系统默认共享
Windows Server2003安装好后,系统会创建一些隐藏的共享,可以在CMD下键入"net share"查看。通常我们并不需要这样的共享方式,以下方法可以禁止或删除这些共享以确保安全。
2.1批处理自启动法
打开记事本,输入或复制以下内容:
@echo off
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete
net share e$ /delete
……(你有几个硬盘分区就写几行这样的命令,此行切勿复制。)
保存为NotShare.bat(注意后缀!)存放到系统文件夹下
System32/GroupPolicy/Users/Scripts/Logon目录下,运行
----gpedit.msc----用户配置----Windows设置----脚本(登录/注销)----登
录,在"登录属性"窗口单击"添加",会出现"添加脚本"对话框,"脚本名"选择文件"NotShare.bat",并确定。这样每次开机就会运行它,也就是通过net命令关闭共享。如果哪一天你需要开启某个或某些共享,只要重新编辑这个批处理文件即可(把相应的那个命令行删掉)。
2.2注册表改键值法
"开始"→"运行"输入"regedit"确定后,打开注册表编辑器,找到
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\pa rameters"项,双击右侧窗口中的"AutoShareServer"项将键值由1改为0,这样就能关闭硬盘各分区的共享。如果没有AutoShareServer项,可自己新建一个再改键值。然后还是在这一窗口下再找到"AutoShareWks"项,也把键值由1改为0,关闭admin$共享。最后到
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa"项处找到"restrictanonymous",将键值设为1,关闭IPC$共享。
注意:本法必须重启机器,但一经改动就会永远停止共享。
2.3停止服务法
在"计算机管理"窗口中,单击展开左侧的"服务和应用程序"并选中其中的"服务",此时右侧就列出了所有服务项目。共享服务对应的名称是"Server"(在进程中的名称为services),找到后双击它,在弹出的"常规"标签中把"启动类型"由原
来的"自动"更改为"已禁用"。然后单击下面"服务状态"的"停止"按钮,再确认一下就OK了。
2.4卸载"文件和打印机共享"法
右击"网上邻居"选"属性",在弹出的"网络和拨号连接"窗口中右击"本地连接"选"属性",从"此连接使用下列选定的组件"中选中"Microsoft网络的文件和打印机共享"后,单击下面的"卸载"按钮并确认一下。
注意:本方法最大的缺陷是当你在某个文件夹上右击时,弹出的快捷菜单中的"共享"一项消失了,因为对应的功能服务已经被卸载掉了!
虽然 " 文件和打印共享 " 关闭了,但是还不能确保安全,还要修改注册表,禁止它人更改 " 文件和打印共享 " 。打开注册表编辑器,选
择 "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Polic ies\NetWork" 主键,在该主键下新建 DWORD 类型的键值,键值名
为 "NoFileSharingControl" ,键值设为 "1" 表示禁止这项功能,从而达到禁止更改 " 文件和打印共享 " 的目的;键值为 "0" 表示允许这项功能。这样在 " 网络邻居 " 的 " 属性 " 对话框中 " 文件和打印共享 " 就不复存在了。
2.5软件法
当今许多杀毒软件或防火墙中都设计有"系统漏洞扫描功能",它们在扫描后的恢复功能往往有"关闭默认共享"的功能,如"瑞星"杀毒软件及防火墙,我们在安装好这些杀毒软件后,只要记得运行"漏洞扫描、恢复"即可。
3、设置远程可访问的注册表路径为空
将远程可访问的注册表路径设置为空,这样可以有效防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。
打开组策略编辑器,依次展开"计算机配置→Windows设置→安全设置→安全选项",在右侧窗口中找到"网络访问:可远程访问的注册表路径"及"网络访问:可远程访问的注册表路径和子路径",然后在打开的如图所的窗口中,将可远程访问的注册表路径和子路径内容全部删除。
4、开启防火墙,选择开放端口
查看端口:在windows 2000/xp/server 2003中要查看端口,可以使用netstat 命令:
依次点击"开始→运行",键入"cmd"并回车,打开命令提示符窗口。在命令提示符状态下键入"netstat -a -n",按下回车键后就可以看到以数字形式显示的tcp 和udp连接的端口号及状态。
netstat命令用法
命令格式:netstat -a -e -n -o -s
?-a 表示显示所有活动的tcp连接以及计算机监听的tcp和udp端口。
?-e 表示显示以太网发送和接收的字节数、数据包数等。
?-n 表示只以数字形式显示所有活动的tcp连接的地址和端口号。
?-o 表示显示活动的tcp连接并包括每个连接的进程id(pid)。
?-s 表示按协议显示各种连接的统计信息,包括端口号。
5、建立安全日志,并将安全日志移位。----可以使服务器在受到恶意攻击后保留可靠的证据。
5.1自动备份安全日志
对于启用了安全审核策略的服务器,日常产生的审核日志记录都会写入到安全事件日志中,因此安全日志文件大小上限需要适当调大(因为事件日志使用的是内存缓存空间,因此也不能任意调大,通常250M以下是比较安全的),另外我们可以使用如下方法设定安全日志的自动备份:
?在服务器上使用管理员身份登录后, 运行regedit打开注册表编辑器;
?在以下路径创建DWORD值AutoBackupLogFiles并设置其值为
1;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventL
og\Security
?运行eventvwr打开事件查看器;
?右击安全事件日志,选中"Do not overwrite events (clear log manually)"选项;
?在安全事件日志属性页,选择"Clear all events", 在随后的"Do you want to save the"security "before clearing it?"对话框中, 选择
"YES"备份现有安全日志记录;
至此, 该自动备份安全事件日志的设置将生效; 当下一次该日志满时, 该日志文件将会被自动备份到安全事件日志文件SecEvent.evt所在的默认路
径%SystemRoot%\System32\Config下, 文件名为
Archive-Security-YYYY-MM-DD-HH-MM-SSS-mmm.evt, 并且在安全日志中新增一条524日志记录, 描述为"The Security log file was saved as
Security-2002-02-05-22-48-40-042.evt because the current log file is full. ".
注意:
?只有当系统重启或是事件日志被清空后, AutoBackupLogFiles键值的改变才会生效;
?该事件日志属性中必须配置为Do not overwrite events (clear log manually).
?需要使用脚本或手工定期将%SystemRoot%\System32\Config下的名为Archive-Security-YYYY-MM-DD-HH-MM-SSS-mmm.evt的日志备份文件迁
移到非系统分区上, 以避免长期积累导致系统分区剩余空间不足;或者
也可以更改
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog
\Security路径下File字串所指定的路径,使得日志文件以及其备份被
存放在空间较大的数据分区上,该路径的更改需要重启服务器(因
EventLog服务是不能单独重启的).
?该方法在Windows 2003/Windows 2000/Windows XP上均可用。
5.2对安全日志进行移位
对事件日志移位能做到对系统系统很好的保护,移位虽是一种保护方法,但只要在命令行输入dir c:\*.evt/s,(Windows7后缀名为*.evts)一下就可查找到事件日志位置,再删除可容易了,那怎么办呢?其实日志移位要通过修改注册表来完成,找到注册表HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\ Services\Eventlog下面的Application、Security、System几个子键,分别对应"应用程序日志"、"安全日志"、"系统日志"。如何修改呢?下面我们具体来看看Application子键:File项就是"应用程序日志"文件存放的位置,把此键值改为要存放日志文件的文件夹,我们再
把%systemroot%\system32\config\appevent.evt文件拷贝到此文件夹,再重启机器就可以了。
在此介绍移位的目的是为了充分利用Windows 2000在NTFS格式下的"安全"属性,如果不移位也无法对文件进行安全设置操作,右击移位后的"文件夹选择属性",进入"安全"选项卡,不选择"允许将来自父系的可继承权限传播给该对象",添加"System"组,分别给Everyone组"读取"权限,System组选择除"完全控制"和"修改"的权限。然后再将系统默认的日志文件512KB大小改为你所想要的大小,如20MB。进行了上面的设置后,直接通过Del C:\*.Evt/s/q来删除是删不掉的,相对要安全很多了。
6、关闭ICMP
6.1用高级设置法预防Ping
默认情况下,所有Internet控制消息协议(ICMP)选项均被禁用。如果启用ICMP 选项,您的网络将在 Internet 中是可视的,因而易于受到攻击。
如果要启用ICMP,必须以管理员或Administrators 组成员身份登录计算机,右击"网上邻居",在弹出的快捷菜单中选择"属性"即打开了"网络连接",选定已启用Internet连接防火墙的连接,打开其属性窗口,并切换到"高级"选项页,点击下方的"设置",这样就出现了"高级设置"对话窗口,在"ICMP"选项卡上,勾选希望您的计算机响应的请求信息类型,旁边的复选框即表启用此类型请求,如要禁用请清除相应请求信息类型即可。
6.2启用IP安全策略防Ping
IP安全机制(IP Security)即IPSec 策略,用来配置 IPSec 安全服务。这些策略可为多数现有网络中的多数通信类型提供各种级别的保护。您可配置 IPSec 策略以满足计算机、应用程序、组织单位、域、站点或全局企业的安全需要。可使用 Windows XP 中提供的"IP 安全策略"管理单元来为 Active Directory 中的计算机(对于域成员)或本地计算机(对于不属于域的计算机)定义 IPSec 策略。
在此以WINDOWS XP为例,通过"控制面板"—"管理工具"来打开"本地安全策略",选择IP安全策略,在这里,我们可以定义自己的IP安全策略。一个IP安全过滤器由两个部分组成:过滤策略和过滤操作。要新建IP安全过滤器,必须
新建自己的过滤策略和过滤操作,右击窗口左侧的"IP安全策略,在本地机器",在弹出的快捷菜单中选择"创建IP安全策略",单击"下一步",然后输入策略名称和策略描述。单击"下一步",选中"激活默认响应规则"复选项,单击"下一步"。开始设置响应规则身份验证方式,选中"此字符串用来保护密钥交换(预共享密钥)"选项,然后随便输入一些字符(后面还会用到这些字符的),单击"下一步",就会提示已完成IP安全策略,确认选中了"编辑属性"复选框,单击"完成"按钮,会打开其属性对话框。
接下来就要进行此新建安全策略的配置。在"Goodbye Ping 属性"对话窗口的"规则"选项页中单击"添加"按钮,并在打开安全规则向导中单击"下一步"进行隧道终结设置,在这里选择"此规则不指定隧道"。单击"下一步",并选择"所有网络连接"以保证所有的计算机都Ping不通。单击"下一步",设置身份验证方式,与上面一样选择第三个选项"此字符串用来保护密钥交换(预共享密钥)"并填入与刚才上面相同的内容。单击"下一步"即打开"IP筛选器列表"窗口,在"IP筛选
器列表"中选择"新IP筛选器列表",单击右侧的"编辑",在出现的窗口中点击"添加",单击"下一步",设置"源地址"为"我的IP地址",单击"下一步",设置"目标地址"为"任何IP地址",单击"下一步",选择协议类型为ICMP,单击"完成"后再点"确定"返回如图9的窗口,单击"下一步",选择筛选器操作为"要求安全"选项,然后依次点击"下一步"、"完成"、"确定"、"关闭"按钮保存相关的设置返回管理控制台。
最后在"本地安全设置"中右击配置好的"Goodbye Ping"策略,在弹出的快捷菜单中选择"指派"命令使配置生效。
经过上面的设置,当其他计算机再Ping该计算机时,就不再Ping通了。但如果自己Ping本地计算机,仍可Ping通。在Windows 2000中操作基本相同。
7、磁盘权限设置
7.1打开 Windows 资源管理器。
找到系统中重要的文件或目录(比如:Windows目录、数据目录)右键单击其相应的文件或文件夹,单击"属性",然后单击"安全"选项卡。给予与管理员(Administrators)完全控制权限,给予数据拥有者(CREATOR OWNER)完全控制或配置特别的权限,对于需要使用文件或文件夹的用户和组,一般只赋予"读取和运行"、"列出文件夹目录"及"读取"权限。
对于EVERYONE用户,应清除不需要的"允许"复选框,避免赋予"完全控制"权限。如:C:\Program Files\Common Files----开放Everyone 默认的读取及运行列出文件目录读取三个权限;C:\WINDOWS\ ----开放Everyone 默认的读取及运行列出文件目录读取三个权限;C:\WINDOWS\Temp----开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限。
7.2打开c:\windows搜索:
?net.exe:工作组连接安装程序;
?cmd.exe: Windows 命令提示符;
?netstat.exe:显示活动的 TCP 连接、计算机侦听的端口、以太网统计信息、IP 路由表、IPv4 统计信息以及 IPv6 统计信息的程序。使用时如
果不带参数,netstat 显示活动的TCP 连接;
?regedit.exe:Windows注册表编辑器程序,用于察看和更改系统注册表设置;
?at.exe:该文件又是系统/程序正常运行的前提条件,计划运行任务;?cacls.exe:显示和编辑ACL;访问控制列表(Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL 适用于所有的被路由协议,如IP、IPX、AppleTalk等。
?regsvr32.exe:用于注册Windows操作系统的动态链接库和ActiveX控件;?xcopy.exe:该命令在"COPY"的基础上进行了加强,能够对多个子目录进行拷贝。
?wscript.exe:脚本相关支持程序,全称"Windows Scripting Host",它所对应的程序"wscript.exe"是一个脚本语言解释器;
?cscript.exe:Win32控制台程序在运行脚本时需要启用cscript.exe来寻找和连接脚本的运行库,最常见的有VBScript和JavaScript;
?ftp.exe:File Transfer Protocol(文件传输协议),用于Internet 上的控制文件的双向传输。同时,它也是一个应用程序(Application);?tftp.exe:Trivial File Transfer Protocol,简单文件传输协议,与 FTP 协议很类似,其实两者都是用来传输文件,但不同的是,TFTP较FTP 在传输文件体积方面要小得多,比较适合在需要传送的小体积文件。在CMD下输入以下命令:ntsd -c q -pn tftp.exe即可关闭tftp.exe;?telnet.exe:TCP/IP协议族中的一员,是Internet远程登陆服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序,用它连接到服务器;?arp.exe:一个管理网卡底层物理地址的程序;显示和更改计算机的IP 与硬件物理地址的对应列表;
?ping.exe:一个测试程序,用来查找问题所在或检验网络运行情况,如果运行正确,则基本的连通性和配置参数没有问题;如果出现运行故障,可以指明到何处去查找问题;
?route.exe:控制网络路由表。该命令只有在安装了 TCP/IP 协议后才可以使用;
?finger.exe:显示与指定主机上所有用户有关的信息;;
?runonce.exe:它允许安装程序添加到启动项中,用于再次启动后,进行进一步配置;
?syskey.exe:作用是保护操作系统的SAM数据库,用户的用户名,密码等信息都储存在Windows\System32\config文件夹下的SAM数据库内;
?format.exe:可以完成对软盘和硬盘的格式化操作,例如:"FORMAT A: /S"。
它有两个常见的参数:/Q:进行快速格式化;/S:完成格式化,并将系
统引导文件拷贝到该磁盘;
?attrib.exe:显示和更改文件和文件夹属性的DOS命令;
修改权限,删除所有的用户只保存Administrators 和SYSTEM为所有权限。
8、删除网络协议中的NWLink NetBIOS协议,NWLink IPX/SPX/NetBIOS 协议,NeBEUI PROtocol协议和服务等,只保留TCP/IP网络通讯协议。
9、关闭不必要的有安全隐患的服务,及时更新补丁。
用户可以根据实际情况,停止并禁用如:Telnet services、DHCP Client、DNS Client、Print spooler、Remote Registry services、SNMP Services 、Terminal Services 、Workstation 、Messenger、ClipBook等有安全隐患的系统服务。
10、启用安全策略(Gpedit.msc 打开系统策略编辑器)
10.1帐号锁定策略。设置帐号锁定阀值,3次无效登录后,即锁定帐号。
10.2密码策略。
?密码必须符合复杂性要求,即密码中必须包括字母、数字以及特殊字符;
?服务器密码长度最少设置为8位字符以上;
?密码最长保留期。一般设置为1至3个月,即30-90天;
?密码最短存留期:3天。四是强制密码历史:0个记住的密码;
?"为域中所有用户使用可还原的加密来储存密码",停用;
10.3审核策略。
默认安装时是关闭的。激活此功能有利于管理员很好的掌握机器的状态,可以从日志中了解到机器是否在被人蛮力攻击、非法的文件访问等等。单击"开始"和"控制面板",双击"管理工具",再双击"本地安全策略",打开"本地安全设置"控制台;或在'运行"中输入"gpedit.msc",进入控制台树中的"安全设置"\"本地策略"\"审核策略";在右边窗格中右键"审核登录事件"策略,然后单击"属性";将该策略设置为审核"成功"、"失败",单击"确定;对于审核帐户登录事件、审核帐户管理、审核策略管理、审核系统事件等,按上面3、4步操作;确定退出。
10.4"用户权利指派"。
在"用户权利指派"中,将"从远端系统强制关机"权限设置为禁止任何人有此权限,防止黑客从远程关闭系统。
10.5"安全选项"。
在"安全选项"中,将"对匿名连接的额外限制"权限改为"不允许枚举SAM帐号和共享"。也可以通过修改注册表中的值来禁止建立空连接,将Local_Machine
\System\CurrentControlSet\Control \LSA\RestrictAnonymous 的值改为"1"。如在LSA目录下如无该键值,可以新建一个双字节值,名为"restrictanonymous",值为"1",十六进制。此举可以有效地防止利用IPC$空连接枚举SAM帐号和共享资源,造成系统信息的泄露。
11、关闭文件和打印共享
文件和打印共享应该是一个非常有用的功能,但在不需要它的时候,也是黑客入侵的很好的安全漏洞。所以在没有必要 " 文件和打印共享 " 的情况下,我们可以将它关闭。用鼠标右击 " 网络邻居 " ,选择 " 属性 " ,然后单击 " 文件和打印共享 " 按钮,将弹出的 " 文件和打印共享 " 对话框中的两个复选框中的钩去掉即可。
12、清除页面文件
修改注册表HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\ Session Manager\Memory Management中"ClearPageFileAtShutdown"的值为"1",可以禁止系统产生页面文件,防止信息泄露。
13、清除Dump文件
打开控制面板→系统属性→高级→启动和故障恢复,将"写入调试信息"改成"无",可以清除Dump文件,防止信息泄露。
14、WEB服务安全设置
确需提供WEB服务和FTP服务的,建议采取以下措施:
14.1 IIS-WEB网站服务。
在安装时不要选择IIS服务,安装完毕后,手动添加该服务,将其安装目录设为如D:\INTE等任意字符,以加大安全性。删除INTERNET服务管理器,删除样本
页面和脚本,卸载INTERNET打印服务,删除除ASP外的应用程序映射。针对不同类型文件建立不同文件夹并设置不同权限。对脚本程序设为纯脚本执行许可权限,二进制执行文件设为脚本和可执行程序权限,静态文件设为读权限。对安全扫描出的CGI漏洞文件要及时删除。
14.2 FTP文件传输服务。
不要使用系统自带的FTP服务,该服务与系统账户集成认证,一旦密码泄漏后果十分严重。建议利用第三方软件SERV-U提供FTP服务,该软件用户管理独立进行,并采用单向hash函数(MD5)加密用户口令,加密后的口令保存在ServUDaemon.ini或是注册表中。用户采用多权限和模拟域进行权限管理。虚拟路径和物理路径可以随时变换。利用IP规则,用户权限,用户域,用户口令多重保护防止非法入侵。利用攻击规则可以自动封闭拒绝攻击,密码猜解发起计算机的IP并计入黑名单。
日常管理工作中,系统管理员还必须及时安装微软发布的最新系统安全漏洞补丁程序,安装防病毒软件并及时升级病毒定义库,来防止计算机病毒的入侵,保障操作系统的安全运行。
Windows系统安全加固技术指导书
甘肃海丰信息科技有限公司Windows系统安全加固技术指导书 ◆版本◆密级【绝密】 ◆发布甘肃海丰科技◆编号GSHF-0005-OPM- ?2006-2020 HIGHFLYER INFORMATION TECHNOLOGY ,INC.
目录 文档信息 (2) 前言 (3) 一、编制说明 (3) 二、参照标准文件 (3) 三、加固原则 (3) 1.业务主导原则 (3) 2.业务影响最小化原则 (4) 3.实施风险控制 (4) (一)主机系统 (4) (二)数据库或其他应用 (4) 4.保护重点 (5) 5.灵活实施 (5) 6.周期性的安全评估 (5) 四、安全加固流程 (5) 1.主机分析安全加固 (6) 2.业务系统安全加固 (7) 五、W INDOWS 2003操作系统加固指南 (8) 1.系统信息 (8) 2.补丁管理 (8) (一)补丁安装 (8) 3.账号口令 (8) (一)优化账号 (8) (二)口令策略 (8) 4.网络服务 (9) (三)优化服务 (9) (四)关闭共享 (9) (五)网络限制 (10) 5.文件系统 (10) (一)使用NTFS (10) (二)检查Everyone权限 (10) (三)限制命令权限 (10) 6.日志审核 (11) (一)增强日志 (11) (二)增强审核 (11)
文档信息 ■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属甘肃海丰所有,受到有关产权及版权法保护。任何个人、机构未经甘肃海丰的书面授权许可,不得以任何方式复制或引用本文的任何片断。 ■变更记录 时间版本说明修改人 2008-07-09新建本文档郑方 2009-05-27修正了4处错误、删除了IIS5加固部分郑方 2010-10-11新增加固IIS6、SQL2000加固操作指南郑方
网络信息安全系统加固方案设计
XXXX业务网网络信息安全加固项目案例介绍 一、概述 随着信息化技术的深入和互联网的迅速发展,整个世界正在迅速地融为一体,IT系统已经成为XXX整合、共享内部资源的核心平台,同时,随着XXX经营理念的不断深化,利用各种各样的业务平台来为XXX提供更多的增值业务服务的情况越来越多,因此IT系统及各种各样的业务平台在XXX系统内的地位越来越重要,更为XXX提供的新业务利润增长做出了不可磨灭的贡献。 伴随着网络的发展,也产生了各种各样的安全风险和威胁,网络中蠕虫、病毒及垃圾邮件肆意泛滥,木马无孔不入,DDOS攻击越来越常见、WEB应用安全事件层出不穷、,黑客攻击行为几乎每时每刻都在发生,而伴随着上级主管部门对于信息安全的重视及审查工作愈加深化,所有这些风险防范及安全审查工作极大的困扰着XXX运维人员,能否及时发现网络黑客的入侵,有效地检测出网络中的异常流量,并同时在“事前”、“事中”及“事后”都能主动协助XXX完成自身信息安全体系的建设以及满足上级部门审查规范,已成为XXX运维人员所面临的一个重要问题。 本方案针对XXXX公司业务平台的安全现状进行分析,并依据我公司安全体系建设的总体思路来指导业务平台信息安全体系建设解决方案的制作,从安全技术体系建设的角度给出详细的产品及服务解决方案。
二、网络现状及风险分析 2.1 网络现状 业务平台拓扑图 XXXX公司业务平台网络共有包括XXX、XXX、XXX平台等四十余个业务系统,(因涉及客户信息,整体网络架构详述略)业务平台内部根据业务种类的不同,分别部署有数据库、报表、日志等相应业务系统服务器。 2.2 风险及威胁分析 根据上述网络架构进行分析,我们认为该业务平台存在如下安全隐患: 1.随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯XX的已经 无法满足信息安全防护的需要,部署了×XX的安全保障体系仍需要进一步完善, 防火墙系统的不足主要有以下几个方面(略) 2.当前网络不具备针对X攻击专项的检测及防护能力。(略) 3.对正常网络访问行为导致的信息泄密事件、网络资源滥用行为等方面难以实现针 对内容、行为的监控管理及安全事件的追查取证。 4.当前XX业务平台仍缺乏针对网络内容及已经授权的正常内部网络访问行为的有 效监控技术手段,因此对正常网络访问行为导致的信息泄密事件、网络资源滥用
Windows服务器安全加固方案
P43页 Windows 2008服务器安全加固方案 来源:中国红盟时间:2010-1-27 9:09:00 点击:201 今日评论:0 条Windows 2008服务器安全加固方案(一)因为IIS(即Internet Information Server)的方便性和易用性,使它成为最受欢迎的Web 服务器软件之一。但是,IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web 服务器,是很多人关心的话题。要创服务器安全检测建一个安全可靠的Web服务器,必须要实现Windows 2003和IIS的双重安全,因为IIS的用户同时也是Windows 2003的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全,所以要对服务器进行安全加固,以免遭到黑客的攻击,造成严重的后果。 我们通过以下几个方面对您的系统进行安全加固: 1. 系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固您的系统,整体提高服务器的安全性。 2. IIS手工加固:手工加固iis可以有效的提高iweb站点的安全性服务器安全加固,合理分配用户权限,配置相应的安全策略,有效的防止iis用户溢出提权。 3. 系统应用程序加固,提供应用程序的安全性,例如sql的安全配置以及服务器应用软件的安全加固。 系统的安全加固: 1.目录权限的配置: 1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限,如果想使网站更加坚固,可以分配只读权限并对特殊的目录作可写权限。 1.2 系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators 和SYSTEM有完全控制权。 1.3 因为服务器只有管理员有本地登录权限,所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权,其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下,使用webshell或FSO可以轻松的调取这个配置文件。 1.4 配置Program files目录,为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。
网络安全加固 解决方案
网络系统安全加固方案北京*****有限公司 2018年3月
目录 1.1项目背景 ..................................... 1.2项目目标 ..................................... 1.3参考标准 ..................................... 1.4方案设计原则 ................................. 1.5网络系统现状 ................................. 2网络系统升级改造方案............................... 2.1网络系统建设要求 ............................. 2.2网络系统升级改造方案 ......................... 2.3网络设备部署及用途 ........................... 2.4核心交换及安全设备UPS电源保证 ............... 2.5网络系统升级改造方案总结 ..................... 3网络系统安全加固技术方案........................... 3.1网络系统安全加固建设要求 ..................... 3.2网络系统安全加固技术方案 ..................... 3.3安全设备部署及用途 ........................... 3.4安全加固方案总结 ............................. 4产品清单...........................................
linux系统安全加固方案
1.1适用范围..................................................................................错误!未指定书签。2用户账户安全加固......................................................................错误!未指定书签。 2.1修改用户密码策略...................................................................错误!未指定书签。 2.2锁定或删除系统中与服务运行,运维无关的的用户 ..........错误!未指定书签。 2.3锁定或删除系统中不使用的组 ..............................................错误!未指定书签。 2.4限制密码的最小长度........................................................错误!未指定书签。3用户登录安全设置......................................................................错误!未指定书签。 3.1禁止root用户远程登录..........................................................错误!未指定书签。 3.2设置远程ssh登录超时时间 ...................................................错误!未指定书签。 3.3设置当用户连续登录失败三次,锁定用户30分钟 ............错误!未指定书签。 3.4设置用户不能使用最近五次使用过的密码 ..........................错误!未指定书签。 3.5设置登陆系统账户超时自动退出登陆 ..................................错误!未指定书签。4系统安全加固..............................................................................错误!未指定书签。 4.1关闭系统中与系统正常运行、业务无关的服务 ..................错误!未指定书签。 4.2禁用“CTRL+ALT+DEL”重启系统...........................................错误!未指定书签。 4.3加密grub菜单 .........................................................................错误!未指定书签。
win10系统加固方案
win10系统加固方案 1、磁盘加密位元锁(Enable BitLocker) Windows 10中的磁盘加密位元锁可以用来加密任何硬盘上的信息,包括启动、系统甚至移动媒体,鼠标右键就可以在选项中加密Windows资源管理器中的数据。用户可以在设置菜单中选择希望加锁的文件,被加密的文件可以被设置为只读,且不能被重新加密。 在保存好Bitlocker信息后关闭电脑,BitLocker的恢复信息存储在计算机的属性文件中,大多数情况下自动备份用户的密码恢复到Active Directory。所以要确保可以访问这些属性,防止丢失密码后无法恢复文件。 2、提升安全级别 Windows 10的用户帐户控制得到较大的改进,在区别合法和非法程序时表现得十分精确、迅速。根据用户的登录方式(管理员或普通用户)默认UAC安全级别设置,可以选择不同敏感度的防御级别。 Windows 10中设计了一个简单的用户帐户控制滚动条,方便管理员或标准用户设置它们的UAC安全级别。
建议将UAC安全级别设置为“始终通知”,请放心Windows 10中遇到的安全通知 要比Vista少很多。 虽然UAC功能提供了一个必要的防御机制,但是为了系统的稳定性,请谨慎使用 管理员帐户。 3、及时升级 在Windows 10的默认设置中,Windows升级服务将自动下载并安装重要的Windows系统和应用程序的升级包。 有一项研究表明,微软的软件是世界上补丁最多的产品。但是系统并没有提醒你,及时更新其他的非系统软件,比如浏览器、媒体播放器等。黑客们现在都喜欢从这些 方面对电脑进行攻击。 4、备份数据 道高一尺,魔高一丈。有的时候真的是防不胜防,即使做了很多努力,当病毒来 临时防御措施仍可能变的不堪一击。及时备份重要数据才是王道,这样就算遇到了极 具杀伤性的病毒,也可以通过恢复数据轻松解决。 5.关闭默认共享封锁系统后门 同XP、Vista一样,在默认情况下也开启了网络共享。虽然这可以让局域网共享 更加方便,但同时也为病毒传播创造了条件。因此关闭默认共享,可以大大降低系统 被病毒感染的概率。Windows在默认情况下会开启以下隐藏管理共享:
钢结构加固施工方案(1)
目录 1.工程加固概况 2.钢结构工程加固方案编制依据 3.施工组织及部署 4.施工准备 5.钢结构加固方法及工艺 6.现场安全防护及措施 1#机组烟气脱销钢结构加固改造施工方案
1.工程概况 a)工程名称:1.本加固改造为陕西北元化工集团有限公司2×125MW机组烟气脱硝工程锅炉钢结构加 固改造,本项目SCR放置于锅炉尾部构架(即预热器上部)。SCR荷载直接由原锅炉尾部构架承担,锅炉尾部钢架柱顶新立SCR钢柱。由于尾部结构荷载增加,因此需对原锅炉构架进行加固改造。加固改造对原结构体系无破坏,考虑尾部荷载及高度变化,因此地震及风产生的水平力加大,因此需对锅炉尾部原杆件进行加固改造处理;加固改造大致分为三类;1).对原锅炉柱、梁进行加固。2).增加梁、垂直支撑及水平支撑。3).拆除EL27000层原锅炉烟道吊梁。 2.钢结构工程加固方案编制依据 ●相关钢结构设计及加固方案 ●《钢结构工程施工及验收规范50205-2001》 ●《钢结构工程质量检验评定标准》 ●《钢结构加固技术规范》CECS77:96 3.施工组织及部署 3.1、 施工 管理 体 3.2、 主要 管理 人员 责任 制: 3.2.1 项目 经理: 对工程全面负责。是项目部生产进度、安全、质量和成本的第一责任人。按国际工程施工管理的要求,组织好施
工,协调好业主、总承包商、监理在工程上和技术上的关系,管理好施工队伍。 3.2.2 技术经理 全面对工程的技术、质量、安全负责,负责施工技术资料、文件的全过程管理。协调、组织、参与工程项目的质量检查、整改、验收工作。 3.2.3 施工经理: 组织工程的施工。按项目经理的要求,对工程的进度、安全、质量进行管理,对施工方案的实施进行监督。合理组织调配现场的施工人员、施工设备、材料和施工机械,使施工全过程处于受控状态。 3.2.4 安全经理: 负责施工现场的安全管理。负责编写“安全生产管理计划书”,做好安全宣传教育工作,做好安全监督检查工作,落实各项安全措施,杜绝各类事故苗子,有权制止任何不安全操作,确保安全生产。 3.2.5 质量经理: 负责工程的质量管理。协助技术经理落实项目部质量计划,加强对工程质量进行监督检查,监督施工班组做好自检、互检及分部分项工程质量评定,熟悉施工规范和质量标准,检查工程中存在的问题及时整改。 3.2.6 施工工程师: 负责本工种(本专业)的施工管理。熟悉施工图纸,参加图纸会审,负责向施工班组进行包括进度、安全、质量、技术、文明施工等内容的交底,调配好本工种的施工机具和劳动力使用,做好材料计划,控制限额领料 3.2.7 设备(材料)工程师: 负责项目部施工工器具和材料的发放管理工作,做好相应的管理台帐。对施工设备及工装器具进行标识。负责工地物资计划的编制。物资的定额、物资的限额、物资的采购、运输、验收和保管工作。具体工作如下: 1、配合项目经理对分承包方的资质、信誉及质量方面保证和供货能力的评审记录,确保材料质量、价格受控。 2、汇总、审核各施工工程师提交的材料计划。按公司物资采购程序执行采购,负责验收中所产生的不合格问题。 3、做好甲供或自行采购的主材的采购台帐及供货的原始记录。收集各类技术资料或质保书提交专职资料员保管。 4、加强库存管理,杜绝错购及库存物资超额。现场物资管理布置堆放。 3.2.8 资料员 负责项目合同、文件、图纸的日常管理,做好各类文件资料的登记、归档、分发工作。负责对施工过程中产生的各类检查、验收表格或报告进行收集、整理,协助竣工资料的汇编。 3.2临时设施
网络安全加固最新解决方案模板
网络安全加固最新 解决方案
网络系统安全加固方案 北京*****有限公司 3月
目录 1 项目介绍 .............................................................. 错误!未定义书签。 1.1 项目背景................................................... 错误!未定义书签。 1.2 项目目标................................................... 错误!未定义书签。 1.3 参考标准................................................... 错误!未定义书签。 1.4 方案设计原则 ........................................... 错误!未定义书签。 1.5 网络系统现状 ........................................... 错误!未定义书签。 2 网络系统升级改造方案....................................... 错误!未定义书签。 2.1 网络系统建设要求 ................................... 错误!未定义书签。 2.2 网络系统升级改造方案 ........................... 错误!未定义书签。 2.3 网络设备部署及用途 ............................... 错误!未定义书签。 2.4 核心交换及安全设备UPS电源保证 ....... 错误!未定义书签。 2.5 网络系统升级改造方案总结.................... 错误!未定义书签。 3 网络系统安全加固技术方案............................... 错误!未定义书签。 3.1 网络系统安全加固建设要求.................... 错误!未定义书签。 3.2 网络系统安全加固技术方案.................... 错误!未定义书签。 3.3 安全设备部署及用途 ............................... 错误!未定义书签。 3.4 安全加固方案总结 ................................... 错误!未定义书签。 4 产品清单 .............................................................. 错误!未定义书签。
Windows系统安全加固
第二章 Windows系统安全加固 Windows Server 2003操作系统,具有高性能、高可靠性和高安全性等特点。Windows Server 2003在默认安装的时候,基于安全的考虑已经实施了很多安全策略,但由于服务器操作系统的特殊性,在默认安装完成后还需要张先生对其进行安全加固,进一步提升服务器操作系统的安全性,保证应用系统以及数据库系统的安全。 在安装Windows Server 2003操作系统时,为了提高系统的安全性,张先生按系统建议,采用最小化方式安装,只安装网络服务所必需的组件。如果以后有新的服务需求,再安装相应的服务组件,并及时进行安全设置。 在完成操作系统安装全过程后,要对Windows系统安全性方面进行加固,系统加固工作主要包括账户安全配置、密码安全配置、系统安全配置、服务安全配置以及禁用注册表编辑器等内容,从而使得操作系统变得更加安全可靠,为以后的工作提供一个良好的环境平台。 操作系统的安全是整个计算机系统安全的基础,其安全问题日益引起人们的高度重视。作为用户使用计算机和网络资源的操作界面,操作系统发挥着十分重要的作用。因此,操作系统本身的安全就成了安全防护的头等大事。 一、操作系统安全的概念 操作系统的安全防护研究通常包括以下几个方面的内容: (1)操作系统本身提供的安全功能和安全服务。目前的操作系统本身往往要提供一定的访问控制、认证与授权等方面的安全服务,如何对操作系统本身的安全性能进行研究和开发使之符合选定的环境和需求; (2)针对各种常用的操作系统,进行相关配置,使之能正确对付和防御各种入侵; (3)保证操作系统本身所提供的网络服务能得到安全配置。 一般来说,如果说一个计算机系统是安全的,那么是指该系统能够控制外部对系统信息的访问。也就是说,只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息。操作系统内的活动都可以认为是主体对计算机系统内部所有客体的一系列操作。主体是指发出访问操作、存取请求的主动方,它包括用户、用户组、主机、终端或应用进程等。主体可以访问客体。客体是指被调用的程序或要存取的数据访问,它包括文件、程序、内存、目录、队列、进程间报文、I/O设备和物理介质等。 主体对客体的安全访问策略是一套规则,可用于确定一个主体是否对客体拥有访问能力。 一般所说的操作系统的安全通常包含两方面的含义:①操作系统在设计时通过权限访问控制、信息加密性保护、完整性鉴定等机制实现的安全;②操作系统在使用中,通过一系列的配置,保证操作系统避免由于实现时的缺陷或是应用环境因素产生的不安全因素。只有在这两方面同时努力,才能够最
网络安全加固最新解决方案
网络系统安全加固方案 北京*****有限公司 2018年3月
目录 1项目介绍 (3) 1.1项目背景 (3) 1.2项目目标 (3) 1.3参考标准 (3) 1.4方案设计原则 (4) 1.5网络系统现状 (5) 2网络系统升级改造方案 (6) 2.1网络系统建设要求 (6) 2.2网络系统升级改造方案 (7) 2.3网络设备部署及用途 (9) 2.4核心交换及安全设备UPS电源保证 (10) 2.5网络系统升级改造方案总结 (10) 3网络系统安全加固技术方案 (10) 3.1网络系统安全加固建设要求 (10) 3.2网络系统安全加固技术方案 (11) 3.3安全设备部署及用途 (22) 3.4安全加固方案总结 (22) 4产品清单 ..................................................................... 错误!未定义书签。
1 项目介绍 1.1 项目背景 随着对外网信息化的发展,业务系统对外网络系统、信息系统的依赖程度也越来越高,信息安全的问题也越来越突出。为了有效防范和化解风险,保证对外网信息系统平稳运行和业务持续开展,须对对外网现有的网络升级,并建立信息安全保障体系,以增强对外网的信息安全风险防范能力。 同时随着全球化和网络化,全球信息化建设的加快对我国的影响越来越大。由于利益的驱使,针对信息系统的安全威胁越来越多,必需加强自身的信息安全保护工作,建立完善的安全机制来抵御外来和内在的信息安全威胁。为提升对外网整体信息安全管理水平和抗风险能力,我们需要根据国内外先进信息安全管理机制结合对外网自身特点和需求来开展一项科学和系统的信息安全体系建设和规划设计工作。 通过系统的信息安全体系规划和建设,将为对外网加强内部控制和内部管理,降低运营风险,建立高效、统一、运转协调的管理体制的重要因素。 1.2 项目目标 满足对外网对网络系统等基础设施的需求,降低基础设施对对外网信息化发展的制约,顺利完成业务系统、网络系统与信息安全系统的整合,促进对外网信息化可持续发展。本次改造工作的主要内容:通过网络系统改造及安全加固,满足对外网日常办公需要,保障重要网络及业务系统的安全运行。 1.3 参考标准 本方案重点参考的政策和标准包括: ●《中华人民共和国政府信息公开条例》(中华人民共和国国务院令第 492号) ●《中华人民共和国计算机信息网络国际联网管理暂行规定》
Win2003安全加固方案
目录 一、 安全加固配置说明..........................................................................................................- 2 - 1.1安全加固配置目的............................................................................................................- 2 - 1.2适用系统...........................................................................................................................- 2 - 1.3相关说明...........................................................................................................................- 2 - 二、 主机加固方案..................................................................................................................- 2 - 2.1 操作系统加固方案...........................................................................................................- 2 - 2.1.1 安全补丁检测及安装............................................................................................- 2 - 2.1.2 系统用户口令及策略加固....................................................................................- 3 - 2.1.3日志及审核策略配置.............................................................................................- 4 - 2.1.4 安全选项策略配置................................................................................................- 6 - 2.1.5 用户权限策略配置..............................................................................................- 12 - 2.1.6 注册表安全设置..................................................................................................- 14 - 2.1.7 网络与服务加固..................................................................................................- 16 - 2.1.8 其他安全性加固..................................................................................................- 18 -
管道加固处理方案1
***雨水管道注浆施工方案 编制: 审核: **********************(公司名称)****年**月**日
1.序言 1.1工程概况 工程名称:******************** 工程地点:******************** 施工单位:******************** 1.2场地工程地质条件 拟建场地位于西安市***,为***雨水管道工程。 场地地貌单元属于浐河一级阶地。根据岩土工程勘察的钻探揭露,场地内地层自上而下依次为:耕植土层、黄土状土、中粗砂卵石等组成。各层土的野外特征及赋存条件详见地质勘察报告。从现场观察,顶管层位地层为砂卵石层。 1.3管道现状 因管道多处穿越现状村庄,该处村庄均无排水设施,地表存在大量村民自挖的排水渗井,常年有生活污水及地表水向地下排放,造成地表以下存在大量因黄土流失形成的空洞。 根据管道顶管记录记载,YA5-YA7空洞现象最为严重,该段管道顶进过程中发现空洞的位置主要集中在向东193m-293m范围内,空洞大小由0.4m至2.8m不等,其余各段管道如YA1-YA3、YA3-YA5、YA7-YA8等段均有空洞现象。 1.4施工技术参数 根据处理加固商定意见,处理采用注浆加固。目的是提高地基土体强度,以保证该区段路基和排污管道的稳定性。
施工参数:考察现场后认为,加压注浆充填法是较为适宜有效的方法。主要施工思路和施工参数是:在管道中轴线上部有问题的范围内布设钻孔一排,孔间距按5.0m考虑,共布置钻孔13个,每个孔钻至管道顶部,孔深25~27m,然后采用PC32.5R级水泥砂浆(M7.5)进行加压注浆,在浆液中加入粉煤灰,注满一孔后进行下一个孔的注浆,直至将全部注浆孔注满,将管顶空洞部分全部加固充填。注浆孔的布置应避开地下埋设物,浆液宜采用速凝浆液,注浆压力综合考虑上覆土压力、浆液种类、地质条件等因素,在湿陷性黄土地区采用低压慢注,注浆压力为50---300KPa,并采用分段上行式注浆。注浆结束标准是:1、注浆压力达到设计要求300Kpa;2、注浆孔吸浆量小于一定数值。注浆孔位偏差不得大于10cm,注浆前应做好孔口的止浆工作。在注浆过程中,当发现注浆压力突然下降,流量突然增大时,应检查冒浆、跑浆,并采取封堵、减小压力、加浓浆液、加入速凝剂、间歇式注浆等措施。全线注浆量将达到2400m3。 2.施工方案 本工程采用单管注浆法施工工艺。 1)浆液配置 本工程施工用浆液严格按配合比现场配置,以满足顺利送浆和注浆的要求,使用砂浆搅拌机制浆时,每次搅拌时间不少于30S,采用粉煤灰、中砂和PC32.5R复合硅酸盐水泥。 制备好的浆液不得停滞时间较长,浆液在搅拌机中要不断搅拌,直至送浆和喷浆前。
win系统加固方案
w i n系统加固方案 The Standardization Office was revised on the afternoon of December 13, 2020
win10系统加固方案 1、磁盘加密位元锁(Enable BitLocker) Windows 10中的磁盘加密位元锁可以用来加密任何硬盘上的信息,包括启动、系统甚至移动媒体,鼠标右键就可以在选项中加密Windows资源管理器中的数据。用户可以在设置菜单中选择希望加锁的文件,被加密的文件可以被设置为只读,且不能被重新加密。 在保存好Bitlocker信息后关闭电脑,BitLocker的恢复信息存储在计算机的属性文件中,大多数情况下自动备份用户的密码恢复到Active Directory。所以要确保可以访问这些属性,防止丢失密码后无法恢复文件。 2、提升安全级别 Windows 10的用户帐户控制得到较大的改进,在区别合法和非法程序时表现得十分精确、迅速。根据用户的登录方式(管理员或普通用户)默认UAC安全级别设置,可以选择不同敏感度的防御级别。 Windows 10中设计了一个简单的用户帐户控制滚动条,方便管理员或标准用户设置它们的UAC安全级别。
建议将UAC安全级别设置为“始终通知”,请放心Windows 10中遇到的安全通知要比Vista少很多。 虽然UAC功能提供了一个必要的防御机制,但是为了系统的稳定性,请谨慎使用管理员帐户。 3、及时升级 在Windows 10的默认设置中,Windows升级服务将自动下载并安装重要的Windows系统和应用程序的升级包。 有一项研究表明,微软的软件是世界上补丁最多的产品。但是系统并没有提醒你,及时更新其他的非系统软件,比如浏览器、媒体播放器等。黑客们现在都喜欢从这些方面对电脑进行攻击。 4、备份数据 道高一尺,魔高一丈。有的时候真的是防不胜防,即使做了很多努力,当病毒来临时防御措施仍可能变的不堪一击。及时备份重要数据才是王道,这样就算遇到了极具杀伤性的病毒,也可以通过恢复数据轻松解决。 5.关闭默认共享封锁系统后门
Windows主机安全加固
封面
作者:Pan Hongliang 仅供个人学习 目录 1账户管理 (3) 1.1 1.2 1.3用户管理 (3) 弱口令修改 (4) 密码策略 (4)
1.4帐户锁定策略 (4) 2本地策略 (5) 2.1审核策略: (5) 3服务 (6) 3.1关闭不必须的服务 (6) 4网络协议 (8) 4.1 4.2 4.3删除TCP/IP外的其他网络协议: (8) 解除NetBios与TCP/IP协议的绑定: (8) 使用TCP/IP筛选限制端口: (8) 5注册表设置 (9) 5.1 5.2 5.3 5.4 5.5 5.6 5.7 5.8 5.9 5.10 5.11关闭默认共享 (9) 减少DDOS攻击的影响 (9) 处理HTTP/FTP半连接请求 (9) 禁用CD-ROM的自动运行 (9) 删除OS2、POSIX子系统 (10) 防止ICMP重定向报文的攻击 (10) 禁止响应ICMP路由通告报文 (10) 保护内核对象标志 (10) 禁止建立空连接 (10) 禁用路由功能 (10) 检查RUN (10) 6文件系统与权限 (11) 6.1 6.2 6.3 6.4 6.5 6.6使用NTFS文件系统 (11) 保护重要的EXE程序 (11) 删除无用的系统文件和目录 (11) 保护重要系统文件和目录 (12) 加密重要、敏感文件 (12) 系统、文件的备份: (12) 7常规安全 (13) 7.1 7.2 7.3 7.4 7.5更新Windows安全补丁: (13) 使用防病毒软件: (13) 使用木马扫描软件: (13) 使用个人防火墙: (13) 其他常规安全设置: (13) 1账户管理 1.1用户管理 序号用户管理检查确认1停用gues t帐号: 以防止未授权的用户访问。默认停用,检查确认。
(完整版)安全加固解决方案.doc
1.1 安全加固解决方案 1.1.1 安全加固范围及方法确定 加固的范围是陕西电视台全台网中的主机系统和网络设备,以及相关的数据库系统。主要有: 服务器加固。主要包括对Windows服务器和 Unix 服务器的评估加固, 其中还包括对服务器操作系统层面的评估和数据库层面的评估加固。 网络设备加固。主要包括对防火墙,交换机的评估加固。 安全加固服务主要以人工的方式实现。 1.1.2 安全加固流程
图错误 ! 文档中没有指定样式的文字。-1安全加固流程图
检查当前设备 确定系统漏洞 重新启动主机 确定实施方法 更改系统配置版本升级 按方案下载最新 实施加固步骤补丁软件 重新启动系统 观察系统运行 图错误 ! 文档中没有指定样式的文字。-2系统加固实施流程图 2 1.1.3 安全加固步骤 1.准备工作 一人操作,一人记录,尽量防止可能出现的误操作。 2.收集系统信息 加固之前收集所有的系统信息和用户服务需求,收集所有应用和服务软件信息,做好加固前预备工作。 3.做好备份工作 系统加固之前,先对系统做完全备份。加固过程可能存在任何不可遇见的风险,当加固失败时,可以恢复到加固前状态。
4.加固系统 按照系统加固核对表,逐项按顺序执行操作。 5.复查配置 对加固后的系统,全部复查一次所作加固内容,确保正确无误。 6.应急恢复 当出现不可预料的后果时,首先使用备份恢复系统提供服务,同时与安全专家小组取得联系,寻求帮助,解决问题
1.1.4 安全加固内容 表错误 ! 文档中没有指定样式的文字。 -1 安全加固内容说明表 加固对象 操作系统 加固项目 说明 UNIX 系 统 Solaris , 从厂家网站或者可信任站点下载系统的补丁包,不同 及 类 UNIX HP-UX ,AIX , 的操作系统版本以及运行不同的服务,都可能造成需 系统 linux 补丁 要安装的补丁包不同,所以必须选择适合本机的补丁 , FreeBSD , 包安装。 [ 视机器配置而定 ] OpenBSD ,SCO UNIX 文件系统的权限配置项目繁多,要求也很严格, 文件系统 不适当的配置可能造成用户非法取得操作系统超级用 户的控制权,从而完全控制操作系统。 [ 有 30 项左右 配置 ] UNIX 配置文件功能有点类似微软的注册表, UNIX 对操 作系统配置基本上都是通过各种配置文件来完成,不 合理的配置文件可能造成用户非法取得操作系统超级 配置文件 用户的控制权,从而完全控制操作系统。例如: /etc/inittab 文件是系统加载时首先自动执行的文 件, /etc/hosts 。 equiv 是限制主机信任关系的文件 等。 [ 有 20 项左右配置 ] 帐号口令是从网络访问 UNIX 系统的基本认证方式, 很 多系统被入侵都是因为帐号管理不善,设置超级用户 帐号管理 密码强度, 密码的缺省配置策略 ( 例如:密码长度, 更 换时间, 帐号所在组, 帐号锁定等多方面 ) 。有些系统 可以配置使用更强的加密算法。 [ 有 10 项左右配置 ] UNIX 有很多缺省打开的服务, 这些服务都可能泄露本 机信息,或存在未被发现的安全漏洞,关闭不必要的 服务,能尽量降低被入侵的可能性。例如 r 系列服务 网络及服 和 rpc 的 rstatd 都出过不止一次远程安全漏洞。 UNIX 务 缺省的网络配置参数也不尽合理,例如 TCP 序列号随 机强度,对 D 。 o 。 S 攻击的抵抗能力等,合理配置网 络参数,能优化操作系统性能,提高安全性。 [ 视机 器配置而定 >30 项 ] 网络文件系统协议最早是 SUN 公司开发出来的,以实 现文件系统共享。 NFS 使用 RPC 服务,其验证方式存 NFS 系统 在缺陷, NFS 服务的缺省配置也很不安全,如果必须 使用 NFS 系统,一定进行安全的配置。 [ 视操作系统 而定 ]
加固装修工程安全施工管理措施(word版)
加固装修工程安全施工管理措 施 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制:___________________ 日期:___________________
加固装修工程安全施工管理措施 温馨提示:该文件为本公司员工进行生产和各项管理工作共同的技术依据,通过对具体的工作环节进行规范、约束,以确保生产、管理活动的正常、有序、优质进行。 本文档可根据实际情况进行修改和使用。 一、安全施工目标: 不发生重伤事故, 轻伤事故频率控制在1‰以内, 创“北京市优质安全文明工地”。 二、管理体系 由单位安全部门负责对各工地安全工作的统一领导, 各项目成立以项目经理为组长的“安全文明施工领导小组”, 副组长由项目副经理和专职安全员担任, 组员包括各专业施工队长和队安全员等, 安全部每周组织一次巡查, 并在当周工程例会上公布检查结果。 三、施工安全管理措施 1.现场安全准备工作 进场的首要工作, 要熟悉现场外围的环境, 其中包括高低压线路和其他危险地、物, 现场内的安全治理和防护工作, 此项工作就绪后, 由项目经理, 技术主管, 和安全主管认真学习现场安全管理知识, 参加劳动局考试, 领取安全生产许可证。进场由技术部门联系劳务, 人员落实后, 进行安全培训, 分为“三级”(项目、队、班组)之后由项目印试题统一考试, 建立安全教育记录, 未受教育者, 安全人员有权拒绝其上岗。
业务系统应用安全加固解决方案
XX业务系统应用安全加固解决方案
目录 XX业务系统应用安全加固解决方案 (1) 目录 (2) 1应用背景 (4) 2需求分析 (5) 2.1一期建设拓扑图 (5) 2.2业务系统安全现状 (5) 2.3业务系统脆弱性分析 (6) 2.4风险可能导致的问题 (7) 2.5业务安全加固建设目标 (9) 3方案设计 (9) 3.1网络安全加固方案 (9) 3.1.1DOS/DDOS防护子系统 (10) 3.1.2防病毒子系统 (10) 3.2系统安全加固方案 (11) 3.2.1入侵防御子系统 (11) 3.3应用安全加固方案 (13) 3.3.1Web安全子系统 (13) 3.4数据安全加固方案 (14) 3.4.1信息泄漏防护子系统 (14) 3.4.2防篡改子系统 (15) 4产品部署示方案 (15) 4.1方案一:一站式应用安全加固部署方案 (16) 4.1.1拓扑图 (16) 4.1.2产品部署方案 (16) 4.1.3产品选型 (18) 4.2方案二:节点纵深防御应用安全加固部署方案 (18) 4.2.1拓扑图 (18)
4.2.2产品部署方案 (19) 4.2.3产品选型 (19) 5关于......................................................................................... 错误!未定义书签。
1应用背景 网络的飞速发展促进了各行业的信息化建设,近几年来XX单位走过了不断发展、完善的信息化历程,现已拥有技术先进、种类繁多的网络设备和应用系统,构成了一个配置多样的综合性网络平台。随着网络基础设施建设的不断完善,有针对性作用的业务系统也不断增加,XX单位已于20XX年底完成建设XX业务系统,提供开放的综合业务平台为用户提供便捷的服务。为了保证用户能够更安全,更便捷的使用业务系统,在XX业务系统建设时便设计并建设完成了第一期网络安全建设规划。在第一期的网络安全建设规划方案中,防火墙被用作主要的网络安全设备保证业务系统的正常稳定运行。使用防火墙将服务器区域分割成为应用服务区、数据库服务器区、边界接入区、运维管理区域等多个网络层相互逻辑隔离的区域,防止内、外部安全风险危害各个业务区域。 然而随着互联网的飞速发展,外部网络安全日趋严重,面对业务系统的信息安全攻击逐渐从网络层向应用层和系统层迁移。各类新型的黑客技术手段、计算机病毒、系统漏洞、应用程序漏洞以及网络中的不规范操作对XX单位业务系统均有可能造成严重的威胁。在给内、外网用户提供优质服务的同时,也面临着各类的应用安全风险,为了加强业务系统的防护能力,提高业务系统安全性,并且满足等保三级的要求,XX单位将启动二期XX业务系统应用安全加固的安全建设。