AIX操作系统安全系统配置要求规范
AIX安全配置程序
1 账号认证
编号:安全要求-设备-通用-配置-1
编号:安全要求-设备-通用-配置-2
2密码策略
编号:安全要求-设备-通用-配置-3
编号:安全要求-设备-通用-配置-4
编号:安全要求-设备-通用-配置-5
编号:安全要求-设备-通用-配置-6
3审核授权策略
编号:安全要求-设备-通用-配置-7
(1)设置全局审核事件
配置/etc/security/audit/config文件,审核特权和应用管理员登录、注销,用户增删,密码修改,执行任务更改,组更改,文件属主、模式更改,TCP连接等事件。
classes:
custom = USER_Login,USER_Logout,USER_SU,PASSWORD_Change,USER_Create,
USER_Change,USER_Remove,USER_Chpass,GROUP_Create,GROUP_Change,GROUP_Remove,CRON_JobAdd,CR ON_JobRemove,TCPIP_config,TCPIP_host_id,TCPIP_connect,TCPIP_access,TCPIP_route,USER_Reboo t,USER_SetGroups,INSTALLP_Inst,INSTALLP_Exec,FS_Rmdir,FS_Chroot,PORT_Locked,PORT_Change,P ROC_kill,PROC_Reboot,FS_Mount,FS_Umount,PROC_Settimer,PROC_Adjtime
(2)审核系统安全文件修改
配置/etc/security/audit/objects文件,审核如下系统安全相关文件的修改。
/etc/security/environ:
w = "S_ENVIRON_WRITE"
/etc/security/group:
w = "S_GROUP_WRITE"
/etc/security/limits:
w = "S_LIMITS_WRITE"
/etc/security/login.cfg:
w = "S_LOGIN_WRITE"
/etc/security/passwd:
r = "S_PASSWD_READ"
w = "S_PASSWD_WRITE"
/etc/security/user:
w = "S_USER_WRITE"
/etc/security/audit/config:
w = "AUD_CONFIG_WR"
编号:安全要求-设备-通用-配置-8
编号:安全要求-设备-AIX-配置-9
4日志配置策略
本部分对AIX操作系统设备的日志功能提出要求,主要考察设备所具备的日志功能,确保发生安全事件后,设备日志能提供充足的信息进行安全事件定位。根据这些要求,设备日志应能支持记录与设备相关的重要事件,包括违反安全策略的事件、设备部件发生故障或其存在环境异常等,以便通过审计分
析工具,发现安全隐患。如出现大量违反ACL规则的事件时,通过对日志的审计分析,能发现隐患,提高设备维护人员的警惕性,防止恶化。
编号:安全要求-设备-通用-配置-10
编号:安全要求-设备-通用-配置-11
编号:安全要求-设备-AIX-配置-12
5.5 IP协议安全策略
编号:安全要求-设备-通用-配置-13
6路由协议安全策略
编号:安全要求-设备-AIX-配置-14
编号:安全要求-设备-AIX-配置-15
操作系统的安全策略基本配置原则(新版)
When the lives of employees or national property are endangered, production activities are stopped to rectify and eliminate dangerous factors. (安全管理) 单位:___________________ 姓名:___________________ 日期:___________________ 操作系统的安全策略基本配置原 则(新版)
操作系统的安全策略基本配置原则(新版)导语:生产有了安全保障,才能持续、稳定发展。生产活动中事故层出不穷,生产势必陷于混乱、甚至瘫痪状态。当生产与安全发生矛盾、危及职工生命或国家财产时,生产活动停下来整治、消除危险因素以后,生产形势会变得更好。"安全第一" 的提法,决非把安全摆到生产之上;忽视安全自然是一种错误。 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十 条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口,(4)开启审核策略(5)开启密码策略,(6)开启帐户策略,(7)备份敏 感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1操作系统安全策略 利用Windows2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全 策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2关闭不必要的服务 Windows2000的TerminalServices(终端服务)和IIS(Internet信
XXXX农商银行信息系统安全基线技术规范
XXXX农商银行 信息系统安全配置基线规范 1范围 本规范适用于XXXX农商银行所有信息系统相关主流支撑平台设备。 2规范性引用文件 下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本规范。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本规范。 ——中华人民共和国计算机信息系统安全保护条例 ——中华人民共和国国家安全法 ——中华人民共和国保守国家秘密法 ——计算机信息系统国际联网保密管理规定 ——中华人民共和国计算机信息网络国际联网管理暂行规定 ——ISO27001标准/ISO27002指南 ——公通字[2007]43号信息安全等级保护管理办法 ——GB/T 21028-2007 信息安全技术服务器安全技术要求 ——GB/T 20269-2006 信息安全技术信息系统安全管理要求 ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南 3术语和定义 安全基线:指针对IT设备的安全特性,选择合适的安全控制措施,定义不同IT设备的最低安全配置要求,则该最低安全配置要求就称为安全基线。 管理信息大区:发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同安全要求划分安全区。根据应用系统实际情况,在满足总体安全要求的前提下,可以简化安全区的设置,但是应当避免通过广域网形成不同安全区的纵向交叉连接。 4总则 4.1指导思想 围绕公司打造经营型、服务型、一体化、现代化的国内领先、国际著名企业的战略总体目标,为切实践行南网方略,保障信息化建设,提高信息安全防护能力,通过规范IT主流设备安全基线,建立公司管理信息大区IT主流设备安全防护的最低标准,实现公司IT主流设备整体防护的技术措施标准化、规范化、指标化。 4.2目标
安装AIX操作系统
1.1.1安装操作系统 通过光盘启动系统来进行操作系统的安装,其具体步骤如下: 给主机上电,等主机面板的荧光条显示“OK”。 将AIX 6.1安装盘的第一张光盘放入光驱,打开机器上的电源开关按钮,启动机器。 当图形终端显示如下信息时按…F1?键。进入“System Management Services”图形功能菜单。 缺省输入“admin” 选择5进入如下界面 选择1,然后进入如下界面
选择4,进入如下界面 选择2,然后进入如下界面
选择1,然后进入软件安装启动界面,系统在通过光盘引导下开始操作系统系统的安装。设定安装参数 按“1”键,设置安装操作系统时的语言环境为英语 在如下的BOS系统的安装界面选择“2”,即选择“Change/Show Installation Settings and Install”安装方式
说明: 选项1:按照缺省方式安装操作系统。 选项2:如果要改变安装方式和系统设置。 选项3:进入系统维护模式。 在如下的安装界面中选择“1”,重新设置系统的安装方式 在如上的安装界面中选择“1”,重新设置系统的安装方式后有两个功能选项可以供安装者对系统的安装方式进行重新设置。 A、“Method of Installation”(安装方式),其中有三种安装方式可供选择: - New and Complete Overwrite Installation.(完全覆盖) - Migration Installation.(升级安装)
来安装操作系统,即选择“1”,然后进入如下界面 先输入2将已经选择的hdisk1去掉,然后直接回车或输入0 选择hdisk0作为安装的目标盘。 在完成系统安装方式后将正式开始从光盘安装操作系统
AI操作系统安全配置规范
AIX安全配置程序
1 账号认证 编号:安全要求-设备-通用-配置-1 编号:安全要求-设备-通用-配置-2
2密码策略 编号:安全要求-设备-通用-配置-3
编号:安全要求-设备-通用-配置-4 编号:安全要求-设备-通用-配置-5
编号:安全要求-设备-通用-配置-6 3审核授权策略 编号:安全要求-设备-通用-配置-7 (1)设置全局审核事件
配置/etc/security/audit/config文件,审核特权帐号和应用管理员帐号登录、注销,用户帐号增删,密码修改,执行任务更改,组更改,文件属主、模式更改,TCP连接等事件。 classes: custom = USER_Login,USER_Logout,USER_SU,PASSWORD_Change,USER_Create, USER_Change,USER_Remove,USER_Chpass,GROUP_Create,GROUP_Change,GROUP_Remove,CRON_J obAdd,CRON_JobRemove,TCPIP_config,TCPIP_host_id,TCPIP_connect,TCPIP_access,TCPIP_route,USER _Reboot,USER_SetGroups,INSTALLP_Inst,INSTALLP_Exec,FS_Rmdir,FS_Chroot,PORT_Locked,PORT_ Change,PROC_kill,PROC_Reboot,FS_Mount,FS_Umount,PROC_Settimer,PROC_Adjtime (2)审核系统安全文件修改 配置/etc/security/audit/objects文件,审核如下系统安全相关文件的修改。 /etc/security/environ: w = "S_ENVIRON_WRITE" /etc/security/group: w = "S_GROUP_WRITE" /etc/security/limits: w = "S_LIMITS_WRITE" /etc/security/login.cfg: w = "S_LOGIN_WRITE" /etc/security/passwd: r = "S_PASSWD_READ" w = "S_PASSWD_WRITE" /etc/security/user: w = "S_USER_WRITE" /etc/security/audit/config: w = "AUD_CONFIG_WR" 编号:安全要求-设备-通用-配置-8
系统安全配置技术规范-Cisco防火墙
系统安全配置技术规范—Cisco防火墙
文档说明(一)变更信息 (二)文档审核人
目录 1适用范围 (4) 2账号管理与授权 (4) 2.1【基本】设置非特权模式密码 (4) 2.2【基本】ENABLE PASSWORD的使用 (4) 2.3【基本】设置与认证系统联动 (5) 2.4【基本】设置登录失败处理功能 (5) 2.5认证授权最小化 (6) 3日志配置要求 (7) 3.1【基本】设置日志服务器 (7) 4IP协议安全要求 (7) 4.1【基本】设置SSH方式访问系统 (7) 4.2【基本】远程访问源地址限制 (8) 4.3【基本】设置F AILOVER KEY (8) 4.4【基本】关闭不使用的SNMP服务或更正不当权限设置 (9) 4.5【基本】SNMP服务的共同体字符串设置 (9) 4.6【基本】SNMP服务的访问控制设置 (9) 4.7【基本】防火墙策略修订 (10) 4.8常见攻击防护 (10) 4.9VPN安全加固 (10) 5服务配置要求 (11) 5.1【基本】启用NTP服务 (11) 5.2禁用HTTP配置方式 (11) 5.3禁用DHCP服务 (12) 5.4启用SERVICE RESETOUTSIDE (12) 5.5启用F LOODGUARD (12) 5.6启用F RAGMENT CHAIN保护 (13) 5.7启用RPF保护 (13) 6其他配置要求 (13) 6.1【基本】系统漏洞检测 (13) 6.2【基本】设置登录超时时间 (14) 6.3【基本】检查地址转换超时时间 (14) 6.4信息内容过滤 (14)
Windows操作系统安全配置方案
Windows操作系统安全配置方案 一、物理安全 服务器应当放置在安装了监视器的隔离房间内,并且监视器应当保留15天以内的录像记录。另外,机箱、键盘、抽屉等要上锁,以保证旁人即使在无人值守时也无法使用此计算机,钥匙要放在安全的地方。 二、停止Guest帐号 在[计算机管理]中将Guest帐号停止掉,任何时候不允许Guest帐号登录系统。为了保险起见,最好给Guest帐号加上一个复杂的密码,并且修改Guest帐号属性,设置拒绝远程访问。 三、限制用户数量 去掉所有的测试帐户、共享帐号和普通部门帐号,等等。用户组策略设置相应权限、并且经常检查系统的帐号,删除已经不适用的帐号。 很多帐号不利于管理员管理,而黑客在帐号多的系统中可利用的帐号也就更多,所以合理规划系统中的帐号分配。 四、多个管理员帐号 管理员不应该经常使用管理者帐号登录系统,这样有可能被一些能够察看Winlogon进程中密码的软件所窥探到,应该为自己建立普通帐号来进行日常工作。 同时,为了防止管理员帐号一旦被入侵者得到,管理员拥有备份的管理员帐号还可以有机会得到系统管理员权限,不过因此也带来了多个帐号的潜在安全问题。 五、管理员帐号改名 在Windows 2000系统中管理员Administrator帐号是不能被停用的,这意味着攻击者可以一再尝试猜测此帐户的密码。把管理员帐户改名可以有效防止这一点。 不要将名称改为类似Admin之类,而是尽量将其伪装为普通用户。 六、陷阱帐号 和第五点类似、在更改了管理员的名称后,可以建立一个Administrator的普通用户,将其权限设置为最低,并且加上一个10位以上的复杂密码,借此花费入侵者的大量时间,并且发现其入侵企图。
AIX操作系统详细配置步骤
AIX操作系统详细配置步骤 1)设置系统时区(非夏令时制、北京时区)和时间。 设置系统时区:“smitty chtz”。(如果在“安装助手阶段”配置过时区,这一步可以忽略) 设置系统时间:“smitty date”。 注意:在设置系统时间前必须确保时区设置正确,时区正确与否可用命令“echo $TZ”查看(在时区不正确的情况下,设置时间是徒劳的)。设置完时区后必须重启系统才能生效。重启后可用命令“echo $TZ”查看时区,正确的时区显示是BEIST-8。然后再对系统时间作调整。系统时间可用命令“date”查看。 2) 修改操作系统参数 需要修改的操作系统参数包括支持的用户最大进程数、High water mark、Low water mark。 设置支持的用户最大进程数:“chdev –l sys0 –a maxuproc=2048” 设置High water mark:“chdev –l sys0 –a maxpout=8193” (对于Power5以前的旧机器,建议设置为513,对于连接7133 SSA的阵列,一定要设置为33) 设置Low water mark:“chdev –l sys0 –a minpout=4096” (对于Power5以前的旧机器,建议设置为256,对于连接7133 SSA的阵列,一定要设置为24) 验证方法: 验证支持的用户最大进程数:“lsattr –El sys0 |grep maxuproc” 显示结果应该为: maxuproc 2048 Maximum number of PROCESSES allowed per user True 验证High water mark值:“lsattr –El sys0 |grep maxpout” 显示结果应该为: maxpout 8193 HIGH water mark for pending write I/Os per file True 验证Low water mark值:“lsattr –El sys0 |grep minpout”
操作系统的安全策略基本配置原则(正式)
编订:__________________ 单位:__________________ 时间:__________________ 操作系统的安全策略基本配置原则(正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑
文件编号:KG-AO-8263-70 操作系统的安全策略基本配置原则 (正式) 使用备注:本文档可用在日常工作场景,通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常工作或活动达到预期的水平。下载后就可自由编辑。 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务 (3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略 利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认
的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明Computer Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体,驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSEC Policy Agent管
系统安全配置技术规范-Windows
系统安全配置技术规范—Windows
212211文档说明(一)变更信息 (二)文档审核人
目录 1.适用范围.................................................. 错误!未定义书签。 2.帐号管理与授权............................................ 错误!未定义书签。 1 ........................................................... 错误!未定义书签。 2 ........................................................... 错误!未定义书签。 【基本】删除或锁定可能无用的帐户 ..................... 错误!未定义书签。 【基本】按照用户角色分配不同权限的帐号................ 错误!未定义书签。 【基本】口令策略设置不符合复杂度要求 ................. 错误!未定义书签。 【基本】设定不能重复使用口令 ......................... 错误!未定义书签。 不使用系统默认用户名 ................................. 错误!未定义书签。 口令生存期不得长于90天 .............................. 错误!未定义书签。 设定连续认证失败次数 ................................. 错误!未定义书签。 远端系统强制关机的权限设置 ........................... 错误!未定义书签。 关闭系统的权限设置 ................................... 错误!未定义书签。 取得文件或其它对象的所有权设置 ....................... 错误!未定义书签。 将从本地登录设置为指定授权用户 ....................... 错误!未定义书签。 将从网络访问设置为指定授权用户 ....................... 错误!未定义书签。 3.日志配置要求.............................................. 错误!未定义书签。 3 ........................................................... 错误!未定义书签。 【基本】审核策略设置中成功失败都要审核................ 错误!未定义书签。 【基本】设置日志查看器大小 ........................... 错误!未定义书签。 4.IP协议安全要求 ........................................... 错误!未定义书签。 4 ........................................................... 错误!未定义书签。 开启TCP/IP筛选 ...................................... 错误!未定义书签。 启用防火墙 ........................................... 错误!未定义书签。 启用SYN攻击保护 ..................................... 错误!未定义书签。
AIX操作系统安装
1. AIX操作系统安装 1.1. 安装介质与方式 AIX操作系统的安装方式(Installation Method)有以下四种: 完全覆盖安装:操作系统被安装在rootvg的第一块硬盘上,这将覆盖原系统中所有的系统保留目录。 保留安装:这种安装方式可以保留操作系统的版本不变,同时保留 rootvg上的用户数据,但将覆盖/usr 、/tmp、/var 和/ 目录。用户还可以利用/etc/preserve.list 指定系统安装时需要保留的文件系统。默认的需保留的文件系统为/etc/filesystem 中所列。 升级安装:这种安装方式用于操作系统的升级,这将覆盖/tmp目录。这是系统默认的安装方式。 备份带安装:恢复用mksysb命令生成的安装带中/image.data中指定的文件系统,这种安装方式用于系统(rootvg)的复制。 1.2. BOS(Base Operating System)安装 打开主机电源; 连接好系统终端,把第一张安装介质(磁带、光碟)插入驱动器; 在开机后按<1>(图形终端)进入系统安装画面; 当终端显示如下信息时; ☆☆☆☆☆☆Please define the system console☆☆☆☆☆☆ Type a 1 and press enter to use this terminal as the system console. Type een 1 en druk op enter om deze terminal als de systeemconsole to gebruiken. Skrive tallet 1 og trykk paa enter for aa bruke denne terminalen som systemkonsoll. Pour definir ce terminal comme console systeme, appuyez sur 1puis sur entree. Taste 1 and ansch1iessend die eingabetaste druecken,um diese datenstation als systemkonsole zu verwenden. Prenier I1 tasto 1 ed invio per usare questo terminal como consolo. Escriba 1 y pulse intro para utilizer esta terminal como consola del sistema. a)Tryck paa 1 och sedan paa enter om dy vill att haer terminalen ska vara systemkonsol
IBM AIX6.1操作系统安装指导
AIX操作系统安装实施工艺指导 (V1.1)
修改记录
目录 1前言 (4) 1.1编写目的 (4) 1.2预期读者 (4) 2硬件资源划分 (5) 3AIX操作系统安装 (7) 3.1通过光盘的全新安装 (7) 3.1.1BOS基本的操作系统安装 (7) 3.1.2安装扩展软件包 ........................................................................... 错误!未定义书签。 3.1.3打Fix packs补丁 (15) 3.1.4验证软件安装 (16) 3.1.5完成操作系统安装 (16) 3.2通过MKSYSB磁带定制安装 (17) 3.2.1设置启动顺序 (17) 3.2.2选择install from a System Backup的安装方式 (20) 3.2.3开始安装 (21) 3.2.4安装完成后操作系统自动重启动 (22) 4操作系统配置 (23) 4.1设置主机名 (23) 4.2配置IP地址 (24) 4.3配置网络路由 (27) 4.4设置系统时区及时间 (29) 4.5参数设置 (31) 4.6关闭不使用的系统服务 (32) 4.7LVM管理 (33)
1前言 1.1编写目的1.2预期读者
2硬件资源划分 对于型号为p570、p590、p595的设备,需要划分分区或全分区使用时,需要考虑板卡冗余配置,因为如果rootvg的两块镜像磁盘连接在同一个SCSI背板上,背板或SCSI总线出故障时,rootvg镜像将失效,会影响整个系统运行。为了避免硬件的单点故障,建议遵循以下原则进行板卡划分: 1、rootvg的两块镜像硬盘,分布到不同背板的I/O插槽内 2、光纤卡的两块HBA卡,分布到不同背板的I/O插槽内 3、网卡的主、备卡,分布到不同背板的I/O插槽内 p570,如下图,镜像的盘或卡应该分别纵向不同的Node上 p59X,如下图,rootvg镜像的两块磁盘分别分布在P1、P2上,如红色填充的146G硬盘
AIX系统内核参数配置
AIX 系统参数配置 AIX内核属于动态内核,核心参数基本上可以自动调整,因此当系统安装完毕后,应考虑修改的参数一般如下: 一、单机环境 1、系统用户的最大登录数maxlogin maxlogin的具体大小可根据用户数设定,可以通过smitty chlicense命令修改,该参数记录于 /etc/security/login.cfg文件,修改在系统重新启动后生效。 2、系统用户的limits参数 这些参数位于/etc/security/limits文件中,可以把这些参数设为-1,即无限制,可以用vi 修改 /etc/security/limits文件,所有修改在用户重新登录后生效。 default: fsize = 2097151 ----》改为-1 core = 2097151 cpu = -1 data = 262144 ----》改为-1 rss = 65536 stack = 65536 nofiles = 2000 3、Paging Space 检查paging space的大小,在物理内存2G,可作适当调整。同时在创建paging space时, 应尽量分配在不同的硬盘上,提高其性能。利用smitty chps修改原有paging space的大小或smitty mkps增加一块paging space。 4、系统核心参数配置 利用lsattr -Elsys0 检查maxuproc, minpout, maxpout等参数的大小。maxuproc为每个用户的最大进程数,通常如果系统运行DB2或ORACLE是应将maxuproc调整,Default:128、调整到500,maxuproc增加可以马上起作用,降低需要AIX重起。当应用涉及大量的顺序读写而影响前台程序响应时间时,可考虑将maxpout设为33, minpout设为16,利用smitty chgsys来设置。 5、文件系统空间的设定 一般来说,系统的文件系统/、/usr、/var、/tmp的使用率不要超过80%,/tmp建议至少为300M,文件系统满可导致系统不能正常工作,尤其是AIX的基本文件系统,如/ (根文件系统)满则会导致用户不能登录。用df 查看。 # df -k (查看AIX的基本文件系统) Filesystem 1024-blocks Free %Used Iused %Iused Mounted on /dev/hd4 24576 1452 95% 2599 22% / /dev/hd2 614400 28068 96% 22967 15% /usr /dev/hd9var 8192 4540 45% 649 32% /var /dev/hd3 167936 157968 6% 89 1% /tmp /dev/hd1 16384 5332 68% 1402 35% /home 利用smitty chfs扩展文件系统的空间。 6、激活SSA Fast-Write Cache 利用smitty ssafastw来激活每一个逻辑盘hdiskn的Fast-Write Cache:选择硬盘后,把Enable Fast-Write一项改为Yes后回车即可。 7、激活AIO
Windows 安全配置规范
Windows 安全配置规范 2010年11月
第1章概述 1.1适用范围 本规范明确了Windows操作系统在安全配置方面的基本要求,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 适用于中国电信所有运行的Windows操作系统,包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。 第2章安全配置要求 2.1账号 编号:1 要求内容应按照不同的用户分配不同的账号,避免不同用户间共享账号,避 免用户账号和设备间通信使用的账号共享。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”: 根据系统的要求,设定不同的账户和账户组。 检测方法1、判定条件 结合要求和实际业务情况判断符合要求,根据系统的要求,设定不 同的账户和账户组 2、检测操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”:
查看根据系统的要求,设定不同的账户和账户组编号:2 要求内容应删除与运行、维护等工作无关的账号。 操作指南1.参考配置操作 A)可使用用户管理工具: 开始-运行-compmgmt.msc-本地用户和组-用户B)也可以通过net命令: 删除账号:net user account/de1 停用账号:net user account/active:no 检测方法1.判定条件 结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号。 注:主要指测试帐户、共享帐号、已经不用账号等 2.检测操作 开始-运行-compmgmt.msc-本地用户和组-用户 编号:3 要求内容重命名Administrator;禁用guest(来宾)帐号。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”: Administrator->属性-> 更改名称 Guest帐号->属性-> 已停用 检测方法1、判定条件 缺省账户Administrator名称已更改。 Guest帐号已停用。 2、检测操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”: 缺省帐户->属性-> 更改名称
系统安全配置技术规范-Windows
系统安全配置技术规范- W i n d o w s -标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
系统安全配置技术规范—Windows
212211文档说明(一)变更信息 (二)文档审核人
目录 1. 适用范围 ..................................................................................................... 错误!未定义书签。 2. 帐号管理与授权 ......................................................................................... 错误!未定义书签。 【基本】删除或锁定可能无用的帐户 ................................................. 错误!未定义书签。 【基本】按照用户角色分配不同权限的帐号 ..................................... 错误!未定义书签。 【基本】口令策略设置不符合复杂度要求 ......................................... 错误!未定义书签。 【基本】设定不能重复使用口令......................................................... 错误!未定义书签。 不使用系统默认用户名 .................................................................... 错误!未定义书签。 口令生存期不得长于90天 .............................................................. 错误!未定义书签。 设定连续认证失败次数 .................................................................... 错误!未定义书签。 远端系统强制关机的权限设置 ........................................................ 错误!未定义书签。 关闭系统的权限设置 ........................................................................ 错误!未定义书签。 取得文件或其它对象的所有权设置 ................................................ 错误!未定义书签。 将从本地登录设置为指定授权用户 ................................................ 错误!未定义书签。 将从网络访问设置为指定授权用户 ................................................ 错误!未定义书签。 3. 日志配置要求 ............................................................................................. 错误!未定义书签。 【基本】审核策略设置中成功失败都要审核 ..................................... 错误!未定义书签。 【基本】设置日志查看器大小............................................................. 错误!未定义书签。 4. IP协议安全要求 ......................................................................................... 错误!未定义书签。 开启TCP/IP筛选................................................................................ 错误!未定义书签。 启用防火墙 ........................................................................................ 错误!未定义书签。 启用SYN攻击保护............................................................................ 错误!未定义书签。 5. 服务配置要求 ............................................................................................. 错误!未定义书签。 【基本】启用NTP服务 ........................................................................ 错误!未定义书签。 【基本】关闭不必要的服务................................................................. 错误!未定义书签。 【基本】关闭不必要的启动项............................................................. 错误!未定义书签。 【基本】关闭自动播放功能................................................................. 错误!未定义书签。 【基本】审核HOST文件的可疑条目 .................................................. 错误!未定义书签。 【基本】存在未知或无用的应用程序 ................................................. 错误!未定义书签。 【基本】关闭默认共享......................................................................... 错误!未定义书签。 【基本】非EVERYONE的授权共享 ......................................................... 错误!未定义书签。 【基本】SNMP C OMMUNITY S TRING设置................................................. 错误!未定义书签。 【基本】删除可匿名访问共享 ........................................................ 错误!未定义书签。 关闭远程注册表 ................................................................................ 错误!未定义书签。 对于远程登陆的帐号,设置不活动断开时间为1小时................. 错误!未定义书签。 IIS服务补丁更新 ............................................................................... 错误!未定义书签。 6. 其它配置要求 ............................................................................................. 错误!未定义书签。 【基本】安装防病毒软件..................................................................... 错误!未定义书签。 【基本】配置WSUS补丁更新服务器 ................................................. 错误!未定义书签。 【基本】S ERVICE P ACK补丁更新 ............................................................. 错误!未定义书签。 【基本】H OTFIX补丁更新...................................................................... 错误!未定义书签。 设置带密码的屏幕保护 .................................................................... 错误!未定义书签。
操作系统安全配置管理办法
行业资料:________ 操作系统安全配置管理办法 单位:______________________ 部门:______________________ 日期:______年_____月_____日 第1 页共8 页
操作系统安全配置管理办法 1范围 1.1为了指导、规范海南电网公司信息通信分公司信息系统的操作系统安全配置方法和日常系统操作管理,提高重要信息系统的安全运行维护水平,规范化操作,确保信息系统安全稳定可靠运行,特制定本管理办法。 1.2本办法适用公司信息大区所有信息系统操作系统安全配置管理。主要操作系统包括:AIx系统、Windows系统、Linux系统及HPUNIx 系统等。 2规范性引用文件 下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本规范。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本规范。 --中华人民共和国计算机信息系统安全保护条例 --中华人民共和国国家安全法 --中华人民共和国保守国家秘密法 --ISO27001标准/ISO27002指南 --公通字[xx]43号信息安全等级保护管理办法 --GB/T21028-xx信息安全技术服务器安全技术要求 --GB/T20272-xx信息安全技术操作系统安全技术要求 --GB/T20269-xx信息安全技术信息系统安全管理要求 --GB/T22239-xx信息安全技术信息系统安全等级保护基本要求 --GB/T22240-xx信息安全技术信息系统安全等级保护定级指南 第 2 页共 8 页
3支持文件 《IT主流设备安全基线技术规范》(Q/CSG11804-xx) 4操作系统配置管理责任 4.1操作系统安全配置管理的主要责任人员是系统管理员,负责对所管辖的服务器操作系统进行安全配置。 4.2对于终端计算机操作系统的安全配置,应由终端管理员负责进行配置,或者在终端管理员指导下进行配置。 4.3系统管理员和终端管理员应定期对所管辖的服务器操作系统的配置、终端计算机操作系统的配置进行安全检查或抽查。 4.4系统管理员和终端管理员负责定期对所管辖的服务器和终端计算机操作系统安全配置的变更管理,变更应填写配置变更申请表。 4.5系统管理员和终端管理员负责定期对所管辖的服务器和终端计算机操作系统安全配置方法的修订和完善,由信息安全管理员对操作系统安全配置修订进行规范化和文档化,并经审核批准后统一发布。 5操作系统安全配置方法 5.1操作系统的安全配置规范应该根据不同的操作系统类型,不同的应用环境及不同的安全等级,结合信息系统和终端安全特性,制定合适的操作系统安全配置,以采取合适的安全控制措施。 5.2根据应用系统实际情况,在总体安全要求的前提下,操作系统的安全配置应满足《IT主流设备安全基线技术规范》(Q/CSG11804-xx)文件中对AIx系统、Windows系统、Linux系统及HPUNIx等最低安全配置要求的基础上可进行适当调节。 5.3操作系统安全配置方法应该根据技术发展和信息系统实际发展情况不断修订和完善。 第 3 页共 8 页