操作系統(tǒng)安全基線配置

-.z.Win2003&2008操作系統(tǒng)平安配置要求2.1. 口令平安分配：應(yīng)為不同用戶分配不同的，不允許不同用戶間共享同一。鎖定：應(yīng)刪除或鎖定過期、無用。用戶訪問權(quán)限指派：應(yīng)只允許指定授權(quán)對主機(jī)進(jìn)展遠(yuǎn)程訪問。權(quán)限最小化：應(yīng)根據(jù)實際需要為各個分配最小權(quán)限。默認(rèn)管理：應(yīng)對Administrator重命名，并禁用Guest〔來賓〕。口令長度及復(fù)雜度：應(yīng)要求操作系統(tǒng)口令長度至少為8位，且應(yīng)為數(shù)字、字母和特殊符號中至少2類的組合?？诹钭铋L使用期限：應(yīng)設(shè)置口令的最長使用期限小于90天?？诹顨v史有效次數(shù)：應(yīng)配置操作系統(tǒng)用戶不能重復(fù)使用最近5次〔含5次〕已使用過的口令?？诹铈i定策略：應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)為5次，鎖定該30分鐘。2.2. 效勞及授權(quán)平安效勞開啟最小化：應(yīng)關(guān)閉不必要的效勞。SNMP效勞承受團(tuán)體名稱設(shè)置：應(yīng)設(shè)置SNMP承受團(tuán)體名稱不為public或弱字符串。系統(tǒng)時間同步：應(yīng)確保系統(tǒng)時間與NTP效勞器同步。DNS效勞指向：應(yīng)配置系統(tǒng)DNS指向企業(yè)部DNS效勞器。2.3. 補丁平安系統(tǒng)版本：應(yīng)確保操作系統(tǒng)版本更新至最新。補丁更新：應(yīng)在確保業(yè)務(wù)不受影響的情況下及時更新操作系統(tǒng)補丁。2.4. 日志審計日志審核策略設(shè)置：應(yīng)合理配置系統(tǒng)日志審核策略。日志存儲規(guī)則設(shè)置：應(yīng)設(shè)置日志存儲規(guī)則，保證足夠的日志存儲空間。日志存儲路徑：應(yīng)更改日志默認(rèn)存放路徑。日志定期備份：應(yīng)定期對系統(tǒng)日志進(jìn)展備份。2.5. 系統(tǒng)防火墻：應(yīng)啟用系統(tǒng)自帶防火墻，并根據(jù)業(yè)務(wù)需要限定允許通訊的應(yīng)用程序或端口。2.6. 防病毒軟件：應(yīng)安裝由總部統(tǒng)一部署的防病毒軟件，并及時更新。2.7. 關(guān)閉自動播放功能：應(yīng)關(guān)閉Windows自動播放功能。2.8. 共享文件夾刪除本地默認(rèn)共享：應(yīng)關(guān)閉Windows本地默認(rèn)共享。共享文件權(quán)限限制：應(yīng)設(shè)置共享文件夾的訪問權(quán)限，僅允許授權(quán)的共享此文件夾。2.9. 登錄通信平安制止遠(yuǎn)程訪問注冊表：應(yīng)制止遠(yuǎn)程訪問注冊表路徑和子路徑。登錄超時時間設(shè)置：應(yīng)設(shè)置遠(yuǎn)程登錄的登錄超時時間為30分鐘。限制匿名登錄：應(yīng)禁用匿名訪問命名管道和共享。RedHatLinu*5&6、Solaris9&10、HP-UNI*11操作系統(tǒng)平安配置要求2.1. 口令平安共用：應(yīng)為不同用戶分配不同系統(tǒng)，不允許不同用戶間共享同一系統(tǒng)。鎖定：應(yīng)刪除或鎖定過期或無用。超級管理員遠(yuǎn)程登錄限制：應(yīng)限制root遠(yuǎn)程登錄。權(quán)限最小化：應(yīng)根據(jù)實際需要為各個設(shè)置最小權(quán)限?？诹铋L度及復(fù)雜度：應(yīng)要求操作系統(tǒng)口令長度至少為8位，且應(yīng)為數(shù)字、字母和特殊符號中至少2類的組合。口令最長使用期限：應(yīng)設(shè)置口令的最長生存周期小于等于90天?？诹顨v史有次數(shù)：應(yīng)配置操作系統(tǒng)用戶不能重復(fù)使用最近5次〔含5次〕已使用的口令?？诹铈i定策略：應(yīng)配置用戶當(dāng)連續(xù)認(rèn)證失敗次數(shù)超過5次〔不含5次〕，鎖定該30分鐘。〔Solaris9&10、RedHatLinu*5&6、AI*5〕應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過5次〔不含5次〕，鎖定該?！睻NI*11〕2.2. 效勞及授權(quán)平安重要文件目錄權(quán)限：應(yīng)根據(jù)用戶的業(yè)務(wù)需要，配置文件及目錄所需的最小權(quán)限。應(yīng)對文件和目錄進(jìn)展權(quán)限設(shè)置，合理設(shè)置重要目錄和文件的權(quán)限〔AI*5〕用戶缺省訪問權(quán)限：應(yīng)配置用戶缺省訪問權(quán)限，屏蔽掉新建文件和目錄不該有的訪問允許權(quán)限?！睻NI*11、RedHatLinu*5&6、AI*5無屏蔽……權(quán)限〕效勞開啟最小化：應(yīng)關(guān)閉不必要的效勞。系統(tǒng)時間同步：應(yīng)確保系統(tǒng)時間與NTP效勞器同步。DNS效勞器指定：應(yīng)配置系統(tǒng)DNS指向企業(yè)部DNS效勞器。2.3. 補丁平安：應(yīng)在確保業(yè)務(wù)不受影響的情況下及時更新操作系統(tǒng)補丁。2.4. 日志審計日志審計功能設(shè)置：應(yīng)配置日志審計功能。日志權(quán)限設(shè)置：應(yīng)合理配置日志文件的權(quán)限?！睸olaris9&10、RedHatLinu*5&6〕應(yīng)配置對日志文件讀取、修改和刪除等操作權(quán)限進(jìn)展限制。〔UNI*11、AI*5〕日志定期備份：應(yīng)定期對系統(tǒng)日志進(jìn)展備份。網(wǎng)絡(luò)日志效勞器設(shè)置〔可選〕：應(yīng)配置統(tǒng)一的網(wǎng)絡(luò)日志效勞器。2.5. 防止堆棧溢出設(shè)置：應(yīng)設(shè)置防止堆棧緩沖溢出。2.6. 登錄通信平安遠(yuǎn)程管理加密協(xié)議：應(yīng)配置使用SSH等加密協(xié)議進(jìn)展遠(yuǎn)程管理，制止使用Telnet等明文傳輸協(xié)議。登錄超時時間設(shè)置：應(yīng)設(shè)置登錄的登錄超時為30分鐘。SQLServer2005&2008數(shù)據(jù)庫平安配置要求2.1. 口令平安共用：應(yīng)為不同用戶分配不同的數(shù)據(jù)庫，不允許多個用戶共用同一個數(shù)據(jù)庫。鎖定：應(yīng)刪除或禁用無關(guān)。制止管理員啟動SQLServer效勞：應(yīng)制止使用管理員啟動SQLserver效勞。策略：應(yīng)在SQLServer策略中啟用操作系統(tǒng)策略，即繼承操作系統(tǒng)策略。2.2. 權(quán)限最小化：應(yīng)根據(jù)用戶的業(yè)務(wù)需要，配置其數(shù)據(jù)庫所需的最小權(quán)限。2.3. 日志審計登錄配置登錄審核，記錄用戶登錄操作。C2審核跟蹤：啟用C2審核跟蹤。2.4. 禁用不必要的存儲過程：應(yīng)禁用不必要的存儲過程。2.5. 補丁平安：應(yīng)在確保業(yè)務(wù)不受影響的情況下及時安裝更新操作系統(tǒng)和SQLServer補丁。2.6. 訪問IP限制：應(yīng)只允許信任的IP地址通過監(jiān)聽器訪問數(shù)據(jù)庫。配置防火墻限制，只允許與指定的IP地址建立1433的通訊〔從更為平安的角度考慮，可將1433端口改為其他的端口〕。2.7. 連接數(shù)設(shè)置：應(yīng)根據(jù)效勞器性能和業(yè)務(wù)需求，設(shè)置最大并發(fā)連接數(shù)。2.8. 數(shù)據(jù)庫備份：應(yīng)每周對數(shù)據(jù)庫進(jìn)展一次完整備份。Oracle9i&10g&11g數(shù)據(jù)平安配置要求2.1. 口令平安制止共用：應(yīng)為不同用戶分配不同的數(shù)據(jù)庫，不允許多個用戶共用同一數(shù)據(jù)庫。鎖定：應(yīng)鎖定或刪除無關(guān)。限制DBA組：DBA組僅添加Oracle?？诹铋L度及復(fù)雜度：應(yīng)要求數(shù)據(jù)庫系統(tǒng)口令長度至少為8位，且應(yīng)為數(shù)字、字母和特殊符號中至少2類的組合。口令過期警告天數(shù)：應(yīng)將口令過期警告天數(shù)設(shè)置為不少于7天〔提前7天通知更改口令〕。口令最長使用天數(shù)：應(yīng)將口令最長生存期不長于90天?？诹顨v史有效次數(shù)：應(yīng)配置數(shù)據(jù)庫不能重復(fù)使用最近5次〔含5次〕已使用的口令?？诹铈i定策略：對于采用靜態(tài)口令認(rèn)證的系統(tǒng)，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過5次〔不含5次〕，鎖定該。鎖定時間：當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過5次〔不含5次〕，鎖定該30分鐘。系統(tǒng)口令平安：應(yīng)修改數(shù)據(jù)庫系統(tǒng)的默認(rèn)口令。2.2. 效勞及授權(quán)權(quán)限最小化：應(yīng)根據(jù)用戶的業(yè)務(wù)需要，配置數(shù)據(jù)庫所需的最小權(quán)限。限制特權(quán)遠(yuǎn)程登錄：應(yīng)限制特權(quán)遠(yuǎn)程登錄。2.3. 日志審計：應(yīng)啟用數(shù)據(jù)庫審計功能。2.4. 補丁平安：應(yīng)在確保業(yè)務(wù)不受影響的情況下及時更新數(shù)據(jù)庫補丁。2.5. 訪問IP限制：應(yīng)只允許信任的IP地址通過監(jiān)聽器訪問數(shù)據(jù)庫。2.6. 連接數(shù)設(shè)置：應(yīng)根據(jù)效勞器性能和業(yè)務(wù)需求，設(shè)置最大并發(fā)連接數(shù)。2.7. 數(shù)據(jù)庫備份：應(yīng)定期對數(shù)據(jù)庫進(jìn)展備份。IIS6&7平安配置要求2.0. 平安：應(yīng)根據(jù)實際情況，刪除或鎖定IIS自動生成的無用?！睮IS6〕2.1. 文件系統(tǒng)及訪問權(quán)限：更改站點路徑：應(yīng)更改站點路徑為非系統(tǒng)分區(qū)。站點目錄權(quán)限：應(yīng)確保站點目錄的所有權(quán)限不分配給Everyone。主目錄權(quán)限配置：應(yīng)合理設(shè)置站點“主目錄〞的權(quán)限。〔IIS6〕制止目錄瀏覽：應(yīng)制止瀏覽站點目錄?！睮IS7〕站點目錄的功能權(quán)限：應(yīng)制止站點目錄的執(zhí)行權(quán)限?！睮IS7〕站點上傳目錄的功能權(quán)限：應(yīng)制止站點上傳目錄的執(zhí)行和腳本權(quán)限。2.2. 最小化效勞：匿名訪問權(quán)限：應(yīng)確保每個站點的匿名訪問是相互獨立的，且只存在于Guests組。IIS效勞組件：應(yīng)刪除IIS應(yīng)用效勞中不需要的組件效勞。Web效勞擴(kuò)展：應(yīng)禁用站點不需要的Web效勞擴(kuò)展?！睮IS6〕刪除不必要的腳本映射：應(yīng)刪除不必要的腳本映射。2.3. 日志審計：日志啟用：應(yīng)啟用日志記錄功能。〔IIS6〕日志存儲：應(yīng)更改日志默認(rèn)的存放路徑。2.4. 連接數(shù)限制：應(yīng)合理設(shè)置最大并發(fā)連接數(shù)和最大帶寬值。連接數(shù)限制：應(yīng)合理設(shè)置最接數(shù)和最大帶寬值。〔IIS6〕2.5. 自定義錯誤頁面：應(yīng)自定義錯誤頁面。Tomcat6&7平安配置要求2.1. 口令平安共用：應(yīng)為不同的用戶分配不同的Tomcat，不允許不同用戶間共享Tomcat。鎖定：應(yīng)刪除過期、無用?？诹顝?fù)雜度：應(yīng)要求Tomcat管理口令長度至少8位，且為數(shù)字、字母和特殊符號中至少2類的組合。2.2. 權(quán)限最小化：應(yīng)僅允許超級管理員具有遠(yuǎn)程管理權(quán)限。2.3. 日志審計：應(yīng)為效勞配置日志功能，對用戶登錄事件進(jìn)展記錄，記錄容包括用戶登錄使用的，登錄是否成功，登錄時間，以及遠(yuǎn)程登錄時使用的IP地址等信息。2.4. 遠(yuǎn)程訪問加密：應(yīng)對Tomcat的遠(yuǎn)程訪問進(jìn)展加密。2.5. 更改默認(rèn)管理端口：應(yīng)更改Tomcat效勞默認(rèn)管理端口。2.6. 自定義錯誤頁面：應(yīng)重定向Tomcat的錯誤頁面。2.7. 目錄瀏覽：應(yīng)制止站點目錄瀏覽。2.8. 連接數(shù)設(shè)置：應(yīng)根據(jù)效勞器性能和業(yè)務(wù)需求，設(shè)置最接數(shù)。Apache2.2&2.4平安配置要求2.1平安：應(yīng)以非系統(tǒng)運行Apache。2.2. 文件與目錄平安Apache主目錄權(quán)限：應(yīng)嚴(yán)格控制Apache主目錄的訪問權(quán)限，非系統(tǒng)特權(quán)用戶不能修改該目錄下的文件。文件權(quán)限：應(yīng)嚴(yán)格限制配置文件和日志文件的訪問權(quán)限。制止訪問外部文件：應(yīng)制止Apache訪問Web目錄之外的任何文件。刪除缺省安裝無用文件：應(yīng)刪除缺省安裝的無用文件。制止目錄瀏覽：應(yīng)制止站點目錄瀏覽。2.3. 連接與通信平安連接數(shù)設(shè)置：應(yīng)合理設(shè)置最大并發(fā)連接數(shù)。禁用危險HTTP方法：應(yīng)禁用PUT、DELETE等危險的HTTP方法。2.4. 信息泄露防隱藏Apache版本號：應(yīng)隱藏Apache版本號信息。自定義錯誤頁面容：應(yīng)自定義錯誤頁面。2.5. 日志審計：應(yīng)合理配置審計謀略。2.6. 補丁更新：應(yīng)及時更新補丁。2.7. 其他禁用CG：應(yīng)禁用CGI程序。關(guān)閉TRACE：應(yīng)關(guān)閉TRACE方法。WebLogic8&9&10平安配置要求2.1. 口令平安共用：應(yīng)為不同的用戶分配不同的Weblogic，不允許多個用戶共用同一個。清理：應(yīng)刪除過期、無用。制止以特權(quán)身份運行：應(yīng)制止以特權(quán)用戶身份運行WebLogic?？诹铋L度：應(yīng)設(shè)置Weblogic口令長度至少為8位。封鎖：應(yīng)配置當(dāng)連續(xù)認(rèn)證失敗次數(shù)超過5次〔不含5次〕，鎖定該30分鐘。2.2. 日志審計日志啟用：應(yīng)啟用日志功能。審計謀略：應(yīng)合理配置審計謀略。2.3. Keystore和SSL設(shè)置：應(yīng)合理設(shè)置Keystore和SSL。2.4. 運行模式：應(yīng)更改運行模式為“ProductionMode〞。2.5. SenderServerHeader：應(yīng)禁用SendServerheader。2.6. 刪除Sample程序：應(yīng)刪除sample程序。2.7. 自定義錯誤頁面：應(yīng)自定義錯誤頁面。2.8. 超時時間策略：應(yīng)根據(jù)具體應(yīng)用，合理設(shè)置session超時時間。2.9. 連接數(shù)設(shè)置：應(yīng)合理設(shè)置最接數(shù)。2.10.主機(jī)名認(rèn)證：應(yīng)開啟主機(jī)名認(rèn)證。Web應(yīng)用平安配置要求2.1. 口令平安身份認(rèn)證：應(yīng)對應(yīng)用系統(tǒng)用戶登錄進(jìn)展身份認(rèn)證。管理：應(yīng)禁用或刪除應(yīng)用系統(tǒng)默認(rèn)、無用或測試。鎖定策略：應(yīng)設(shè)置登錄失敗鎖定策略?？诹畈呗裕簯?yīng)要求應(yīng)用系統(tǒng)中管理的口令長度至少為8位，且為數(shù)字、字母和特殊符號中至少2類的組合。定期更換口令策略：應(yīng)設(shè)置口令定期更換策略。2.2. 數(shù)據(jù)平安敏感信息存儲：應(yīng)對應(yīng)用系統(tǒng)中的敏感信息采用加密形式存儲。敏感信息傳輸：應(yīng)對應(yīng)用系統(tǒng)的敏感信息采用加密方式傳輸。數(shù)據(jù)備份：應(yīng)定期對應(yīng)用系統(tǒng)程序及數(shù)據(jù)庫進(jìn)展備份。2.3. 資源控制權(quán)限別離：應(yīng)對應(yīng)用系統(tǒng)管理權(quán)限進(jìn)展別離。登錄會話超時策略：應(yīng)配置用戶登錄超時策略。最大并發(fā)連接數(shù)限制：應(yīng)設(shè)置應(yīng)用系統(tǒng)最大并發(fā)連接數(shù)策略。多重并發(fā)會話數(shù)限制：應(yīng)限制單用戶的多重并發(fā)會話數(shù)。2.4. 日志審計：應(yīng)對系統(tǒng)用戶的所有操作進(jìn)展日志審計。2.5. 代碼質(zhì)量跨站腳本攻擊：檢查系統(tǒng)是否存在跨站腳本攻擊漏洞。SQL注入攻擊：檢查系統(tǒng)是否存在SQL注入攻擊漏洞。路徑遍歷攻擊：檢查系統(tǒng)是否存在路徑遍歷攻擊漏洞。上傳后門腳本：應(yīng)對上傳頁面格式進(jìn)展限制。輸入有效性：應(yīng)對交互式頁面上提交數(shù)據(jù)的有效性進(jìn)展驗證。2.6. 第三方軟件平安：應(yīng)用系統(tǒng)使用的第三方軟件的平安性檢查。Cisco、H3C設(shè)備平安配置要求2.1. 口令平安身份認(rèn)證：應(yīng)對登錄進(jìn)展身份認(rèn)證。特權(quán)口令平安：應(yīng)對口令加密存儲。該登錄口令要求長度至少為8位,應(yīng)為字母、數(shù)字、特殊符號中至少2類的組合。Console模式口令平安：應(yīng)為Console口模式設(shè)置登錄口令，該登錄口令要以密文存儲，要求長度至少為8位,應(yīng)為字母、數(shù)字、特殊符號中至少2類的組合。登錄地址限制：應(yīng)對登錄地址進(jìn)展限制。登錄會話超時：應(yīng)對登錄會話超時自動退出。2.2. 平安配置通訊加密：應(yīng)采