企業(yè)系統(tǒng)巡檢報(bào)告巡檢

-.z.文檔信息：文檔名稱級別商密文檔版本編號文檔管理編號管理人制作人制作日期復(fù)審人復(fù)審日期擴(kuò)散圍客戶()版本紀(jì)錄：版本編號*修改狀態(tài)變更人變更日期*修改狀態(tài)：C——創(chuàng)立，A——增加，M——修改，D——刪除說明：本文檔中出現(xiàn)的任何文字表達(dá)、文檔格式、插圖、照片、方法、代碼等容，除由特別注明，均屬于北方互聯(lián)所有，受到有關(guān)產(chǎn)權(quán)及法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)北方互聯(lián)的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文檔的任何片斷。-.z.TOC\o"1-5"\h\z\u目錄31.巡檢目的32.巡檢圍與工具32.1.巡檢圍32.2.巡檢使用工具與資源32.3.巡檢時(shí)間33.巡檢相關(guān)定義34.巡檢參與人員35.巡檢數(shù)據(jù)結(jié)果分析3巡檢數(shù)據(jù)結(jié)果分析35.1.1.WindowsServer系統(tǒng)整體運(yùn)行狀態(tài)35.1.2.WindowsServer巡檢指標(biāo)合規(guī)狀態(tài)35.2.WindowsServer各分項(xiàng)指標(biāo)運(yùn)行情況35.2.1.系統(tǒng)賬戶35.2.2.系統(tǒng)審計(jì)謀略35.2.3.本地平安策略35.2.4.系統(tǒng)效勞設(shè)置35.2.5.系統(tǒng)拒絕效勞攻擊35.2.6.系統(tǒng)特定文件夾權(quán)限35.2.7.系統(tǒng)特定注冊表設(shè)置35.2.8.系統(tǒng)防病毒35.2.9.系統(tǒng)補(bǔ)丁管理35.2.10.網(wǎng)絡(luò)平安35.2.11.數(shù)據(jù)加密35.2.12.數(shù)據(jù)備份35.2.13.系統(tǒng)性能35.2.14.系統(tǒng)日志35.3.SQLServer總體運(yùn)行情況35.3.1.SQLServer整體運(yùn)行狀態(tài)35.3.2.SQLServer巡檢指標(biāo)合規(guī)狀態(tài)35.4.SQLServer各分項(xiàng)指標(biāo)運(yùn)行情況35.4.1.日志檢查35.4.2.備份/恢復(fù)35.4.3.平安性檢查35.4.4.平安性檢查35.4.5.資源保護(hù)35.4.6.數(shù)據(jù)加密36.WindowsServer狀態(tài)分析36.1.系統(tǒng)管理分析36.1.1.系統(tǒng)賬戶36.1.1.1.賬戶鎖定時(shí)間36.1.1.2.賬戶鎖定閥值36.1.1.3.賬戶密碼永不過期36.1.1.4.賬戶密碼復(fù)雜度36.1.1.5.賬戶最小密碼長度36.1.1.6.賬戶密碼最長使用周期36.1.1.7.強(qiáng)制密碼歷史36.1.1.8.賬戶密碼管理36.1.2.審計(jì)謀略36.1.2.1.沒有配置審核策略更改事件36.1.2.2.審核登錄事件配置不完整36.1.2.3.沒有配置審核對象訪問36.1.2.4.沒有配置審核特權(quán)使用36.1.2.5.沒有配置審核系統(tǒng)事件36.1.2.6.審核登錄事件配置不完整36.1.3.本地平安策略配置36.1.3.1.未配置關(guān)機(jī)：去除虛擬存頁面文件36.1.3.2.未配置交互式登錄：不顯示上次的用戶名36.1.3.3.交互式登錄：可被緩存的前次登錄個(gè)數(shù)〔在域控制器不可用的情況下〕36.1.3.4.：重命名系統(tǒng)管理員賬戶36.1.4.系統(tǒng)效勞設(shè)置36.1.5.系統(tǒng)拒絕效勞攻擊36.1.5.1.未配置系統(tǒng)拒絕效勞攻擊注冊表值36.1.6.特定文件夾權(quán)限36.1.7.系統(tǒng)特定注冊表設(shè)置36.1.7.1.未配置特定注冊表設(shè)置36.2.系統(tǒng)平安管理分析36.2.1.系統(tǒng)防病毒36.2.1.1.未部署防病毒軟件36.2.1.2.防病毒軟件未更新36.2.2.系統(tǒng)補(bǔ)丁管理36.2.2.1.不具備補(bǔ)丁安裝測試環(huán)境36.2.3.網(wǎng)絡(luò)平安36.3.數(shù)據(jù)平安分析36.3.1.數(shù)據(jù)加密36.3.2.數(shù)據(jù)備份36.4.系統(tǒng)運(yùn)維分析36.4.1.系統(tǒng)性能36.4.1.1.系統(tǒng)分區(qū)可用磁盤空間36.4.2.系統(tǒng)日志36.4.2.1.平安日志最大占用空間缺乏37.SQLServer狀態(tài)分析37.1.日志檢查37.1.1.日志檢查37.2.備份/恢復(fù)37.2.1.備份/恢復(fù)37.3.平安性檢查37.3.1.平安性檢查錯(cuò)誤！未定義書簽。7.4.用戶管理37.4.1.用戶管理37.4.1.1.存在BUILTIN/administrators賬戶37.4.1.2.存在SQLDebugger賬戶37.4.1.3.存在GUEST賬戶錯(cuò)誤！未定義書簽。7.5.資源保護(hù)37.5.1.資源保護(hù)37.6.數(shù)據(jù)加密37.6.1.數(shù)據(jù)加密38.總結(jié)建議38.1.問題改良建議38.1.1.系統(tǒng)賬號管理38.1.2.系統(tǒng)審計(jì)謀略38.1.3.本地平安策略配置38.1.4.系統(tǒng)拒絕效勞攻擊38.1.5.系統(tǒng)補(bǔ)丁管理38.1.6.系統(tǒng)日志管理3用戶管理38.1.8.局部效勞器得分較低、問題突出3-.z.本次系統(tǒng)巡檢的目的是對中海油的29臺Windows效勞器及SQL數(shù)據(jù)庫效勞器的平安性和可靠性進(jìn)展一個(gè)全面的了解，發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)，并提供推薦的解決方法，同時(shí)為我們的系統(tǒng)運(yùn)維管理工作提供技術(shù)參考依據(jù)。巡檢圍系統(tǒng)巡檢的圍依據(jù)：系統(tǒng)平安性、可靠性兩條主線來展開，進(jìn)展深入分析。巡檢的容，定義如下：WindowsServer系統(tǒng)管理系統(tǒng)賬戶n/a平安策略審計(jì)謀略本地平安策略設(shè)置系統(tǒng)效勞設(shè)置系統(tǒng)拒絕效勞攻擊資源訪問控制系統(tǒng)特定文件夾權(quán)限系統(tǒng)特定注冊表設(shè)置系統(tǒng)平安系統(tǒng)防病毒n/a系統(tǒng)補(bǔ)丁n/a網(wǎng)絡(luò)平安n/a數(shù)據(jù)平安數(shù)據(jù)加密n/a數(shù)據(jù)備份n/a系統(tǒng)運(yùn)維系統(tǒng)性能n/a系統(tǒng)日志n/aSQLServer系統(tǒng)管理用戶管理n/a備份/恢復(fù)n/a系統(tǒng)平安平安性檢查n/a資源保護(hù)n/a數(shù)據(jù)平安數(shù)據(jù)加密n/a系統(tǒng)運(yùn)維系統(tǒng)日志n/a系統(tǒng)性能n/a巡檢圍定義如下：B2B接口應(yīng)用系統(tǒng)WindowsMA*IMO-SAP接口應(yīng)用效勞器10.63.0.40WindowsSAP報(bào)表發(fā)布系統(tǒng)WindowsWBCR控管理系統(tǒng)WindowsWindowsWindowsWindows開展規(guī)劃部文件效勞器Windows海外業(yè)務(wù)管理平臺系統(tǒng)WindowsWindowsWindows、SQL開發(fā)生產(chǎn)數(shù)據(jù)庫系統(tǒng)WindowsWindowsWindows、SQL審作業(yè)效勞器Windows全面預(yù)算系統(tǒng)WindowsWindows、SQL生產(chǎn)操作費(fèi)系統(tǒng)Windows生產(chǎn)工藝技術(shù)交流平臺Windows、SQLWindows油氣儲量庫Windows、SQL資金系統(tǒng)WindowsWindowsWindowsWindowsWindows總部報(bào)表系統(tǒng)Windows鉆完井DPWindows鉆完井GISWindows-.z.巡檢使用工具與資源由于本次是手工檢查，一些性能指標(biāo)、平安性設(shè)置〔如口令檢測〕無法執(zhí)行。工具與形式手工檢查所需資源運(yùn)維工作報(bào)告及報(bào)表臨時(shí)與權(quán)限巡檢時(shí)間我們按照問題的緊急程度和圍將所發(fā)現(xiàn)的問題排列如下：緊急狀態(tài)–可能影響穩(wěn)定性，平安性或者對系統(tǒng)的性能產(chǎn)生嚴(yán)重影響的問題。應(yīng)該在巡檢后立即進(jìn)展處理。一般問題–問題還需要進(jìn)一步關(guān)注，并不一定會立即對系統(tǒng)造成損害。運(yùn)維人員應(yīng)該經(jīng)常檢查這些問題，在必要時(shí)采取措施。本次巡檢參與人員如下：-.z.此次巡檢數(shù)據(jù)的結(jié)果分析采用5分制評分標(biāo)準(zhǔn)，全部滿足標(biāo)準(zhǔn)配置為5分，每臺效勞器在每個(gè)巡檢項(xiàng)里的得分=符合指標(biāo)數(shù)/全部指標(biāo)數(shù)*5。經(jīng)過對巡檢數(shù)據(jù)的分析，29臺WindowsServer效勞器和5臺SQLServer效勞器整體狀態(tài)如下：WindowsServer巡檢數(shù)據(jù)結(jié)果分析WindowsServer系統(tǒng)整體運(yùn)行狀態(tài)從巡檢的數(shù)據(jù)上看，所有系統(tǒng)總體運(yùn)行狀態(tài)良好，平安設(shè)置都符合標(biāo)準(zhǔn)，局部效勞器在系統(tǒng)的策略配置中有不符合標(biāo)準(zhǔn)情況的現(xiàn)象，總體運(yùn)行狀態(tài)如下列圖所示：總體運(yùn)行狀態(tài)中，除了B2B接口應(yīng)用系統(tǒng)、SAP報(bào)表發(fā)布系統(tǒng)、資金系統(tǒng)得分低于4分外，其余系統(tǒng)都比擬正常?？鄯种饕蚴窍到y(tǒng)賬號和平安策略等方面不符合指標(biāo)項(xiàng)較多。WindowsServer巡檢指標(biāo)合規(guī)狀態(tài)從巡檢指標(biāo)的合規(guī)狀態(tài)來看，整體上情況良好，但在系統(tǒng)賬號、審計(jì)謀略、本地平安策略、系統(tǒng)拒絕效勞攻擊、系統(tǒng)補(bǔ)丁管理和系統(tǒng)日志六個(gè)方面得分較低。WindowsServer各分項(xiàng)指標(biāo)運(yùn)行情況系統(tǒng)賬戶大多數(shù)效勞器在系統(tǒng)賬號管理的各項(xiàng)巡檢指標(biāo)都無法滿足平安性要求，鎖定閾值、鎖定時(shí)間、密碼過期時(shí)間、甚至有些效勞器在密碼復(fù)雜度和最小密碼長度上，都不符合推薦配置。而所有效勞器都沒有相應(yīng)的制度和文檔來記錄對賬號和密碼的變更。需引起足夠的重視。系統(tǒng)審計(jì)謀略從圖中可以看到目前效勞器中審計(jì)謀略做的比擬薄弱，建議按推薦配置進(jìn)展配置，以備審計(jì)之用。本地平安策略大局部效勞器以下四個(gè)指標(biāo)的設(shè)置都不符合平安性要求：“關(guān)機(jī)：去除虛擬存頁面文件〞、“交互式登錄：不顯示上次的用戶名〞、“交互式登錄：可被緩存的前次登錄個(gè)數(shù)〔在域控制器不可用的情況下〕〞、“：重命名系統(tǒng)管理員賬戶〞。系統(tǒng)效勞設(shè)置此配置選項(xiàng)所有效勞器都符合配置。系統(tǒng)拒絕效勞攻擊所有效勞器都沒有設(shè)置注冊表項(xiàng)HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\PAameters\SynAttackProtect，Value:1。系統(tǒng)特定文件夾權(quán)限所有效勞器數(shù)據(jù)平安設(shè)置均符合標(biāo)準(zhǔn)。系統(tǒng)特定注冊表設(shè)置除B2B接口應(yīng)用效勞器的“系統(tǒng)特定注冊表設(shè)置〞沒有設(shè)置外，其余均按要求設(shè)置。系統(tǒng)防病毒SAP報(bào)表發(fā)布系統(tǒng)未按公司要求部署殺毒軟件，資金系統(tǒng)雖然部署了殺毒軟件，但病毒庫并沒有升級到最新，需引起足夠的重視。系統(tǒng)補(bǔ)丁管理所有效勞器均沒有補(bǔ)丁安裝測試環(huán)境，需要建立此環(huán)境。網(wǎng)絡(luò)平安所有效勞器數(shù)據(jù)平安設(shè)置均符合標(biāo)準(zhǔn)。數(shù)據(jù)加密所有效勞器數(shù)據(jù)平安設(shè)置均符合標(biāo)準(zhǔn)。數(shù)據(jù)備份所有效勞器數(shù)據(jù)平安設(shè)置均符合標(biāo)準(zhǔn)。系統(tǒng)性能生產(chǎn)操作費(fèi)系統(tǒng)的系統(tǒng)分區(qū)可用磁盤空間110MB/29.2G。系統(tǒng)日志和審計(jì)謀略相對應(yīng)，所有效勞器的平安日志存儲最大值都不符合標(biāo)準(zhǔn)得81m，而個(gè)別效勞器的日志存儲只設(shè)置為默認(rèn)的512k。SQLServer總體運(yùn)行情況SQLServer整體運(yùn)行狀態(tài)5臺SQLserver數(shù)據(jù)看效勞器整體運(yùn)行情況還不錯(cuò)，但也存在相當(dāng)多的不合規(guī)項(xiàng)。SQLServer巡檢指標(biāo)合規(guī)狀態(tài)SQLServer巡檢六項(xiàng)指標(biāo)中，只有數(shù)據(jù)加密一項(xiàng)完全符合標(biāo)準(zhǔn)配置，其他五項(xiàng)指標(biāo)都存在問題。SQLServer各分項(xiàng)指標(biāo)運(yùn)行情況日志檢查SQLServer日志檢查各項(xiàng)指標(biāo)中，Windows應(yīng)用程序日志文件的保存期限項(xiàng)不合規(guī)。所有系統(tǒng)的日志文件保存期限均沒有進(jìn)展設(shè)置。備份/恢復(fù)SQLServer備份、恢復(fù)各項(xiàng)指標(biāo)中備份數(shù)據(jù)文件的存放不合規(guī)指標(biāo)。備份文件和SQL數(shù)據(jù)文件應(yīng)放在不同盤符中，保證數(shù)據(jù)的平安。其中開發(fā)生產(chǎn)數(shù)據(jù)庫、全面預(yù)算系統(tǒng)、生產(chǎn)工藝技術(shù)交流平臺、油氣儲量庫系統(tǒng)的備份文件和數(shù)據(jù)文件都放在同一盤符里。平安性檢查SQLServer平安性檢查各項(xiàng)指標(biāo)中用戶ID平安項(xiàng)沒有滿足指標(biāo)。所有系統(tǒng)的sql賬戶均未進(jìn)展分組管理。另外油氣儲量庫存在"任務(wù)"以"sa"運(yùn)行。平安性檢查SQLServer用戶管理檢查各項(xiàng)指標(biāo)總共有5項(xiàng)，其中有兩項(xiàng)指標(biāo)不合規(guī)，分別是BUILTIN/administrators和SQLDebugger賬戶應(yīng)該刪除處理。但所檢查的sqlserver中均存在BUILTIN/administrators和SQLDebugger賬戶。資源保護(hù)SQLServer資源保護(hù)各項(xiàng)指標(biāo)只有一項(xiàng)，即系統(tǒng)登錄名的默認(rèn)數(shù)據(jù)庫不應(yīng)為master。但所檢查系統(tǒng)的登錄名默認(rèn)數(shù)據(jù)庫全為master。數(shù)據(jù)加密SQLServer數(shù)據(jù)加密各項(xiàng)指標(biāo)正常。系統(tǒng)性能SQLServer系統(tǒng)性能共三項(xiàng)指標(biāo)，其中操作系統(tǒng)、數(shù)據(jù)庫文件、日志文件、臨時(shí)庫文件的存放位置不滿足要求的?，F(xiàn)有數(shù)據(jù)庫數(shù)據(jù)庫文件和日志文件均放在同一盤符，對數(shù)據(jù)的讀取速度有所影響。狀態(tài)分析從系統(tǒng)管理、系統(tǒng)平安、數(shù)據(jù)平安、系統(tǒng)運(yùn)維四個(gè)方面分析結(jié)果，并設(shè)定緊急狀態(tài)和一般問題，文檔將詳細(xì)列出效勞器的實(shí)際配置與推薦配置存在的差異。說明：下表中的紅色字體工程，說明實(shí)際值和推薦值不符，需要進(jìn)展參數(shù)調(diào)整。系統(tǒng)管理分析系統(tǒng)賬戶大多數(shù)效勞器以下指標(biāo)項(xiàng)不符合推薦值，如下：1鎖定時(shí)間0分鐘，被鎖定，直到管理員進(jìn)展解鎖15分鐘2賬戶鎖定閥值5次無效登錄103賬戶密碼永不過期設(shè)置密碼有效期是4賬戶密碼復(fù)雜度密碼復(fù)雜度：-大寫字母、小寫字母、數(shù)字和特殊字符四者中三者的組合-不能包含用戶名海油：至少包含一個(gè)數(shù)字和一個(gè)字母未啟用5賬戶最小密碼長度8個(gè)字符海油：不應(yīng)小于6位06賬戶密碼最長使用周期90天0，未啟用7賬戶強(qiáng)制密碼歷史4個(gè)記住的密碼248賬戶密碼管理變更有詳細(xì)的文檔保存無賬戶鎖定時(shí)間緊急程度:緊急說明：效勞器沒有設(shè)置鎖定時(shí)間風(fēng)險(xiǎn)：如果沒有對賬戶鎖定時(shí)間進(jìn)展設(shè)置，非法用戶在過了設(shè)定時(shí)間后，可能會通過自動登錄工具和密碼猜解字典的方式破解用戶密碼。建議：立即啟用賬戶鎖定策略，配置參數(shù)請參閱推薦值。賬戶鎖定閥值緊急程度:緊急說明：效勞器沒有設(shè)置鎖定策略風(fēng)險(xiǎn)：如果沒有設(shè)置鎖定閥值，非法用戶可能會通過自動登錄工具和密碼猜解字典的方式破解用戶密碼，啟用了賬戶鎖定閥值后，如果連續(xù)出現(xiàn)屢次無效登錄，該賬戶將被自動鎖定，這樣可有效地阻斷非法用戶對密碼的破解嘗試。建議：立即啟用賬戶鎖定閥值，配置參數(shù)請參閱推薦值。賬戶密碼永不過期緊急程度:緊急說明：效勞器沒有設(shè)置密碼有效期風(fēng)險(xiǎn)：如果沒有設(shè)置密碼有效期，非法用戶可能會通過自動登錄工具和密碼猜解字典的方式破解用戶密碼，啟用了賬戶密碼有效期后，定期對賬號密碼進(jìn)展更改，可有效地阻斷非法用戶對密碼的破解嘗試。建議：立即啟用賬戶密碼有效期，配置參數(shù)請參閱推薦值。賬戶密碼復(fù)雜度緊急程度:緊急說明：效勞器沒有設(shè)置密碼復(fù)雜度風(fēng)險(xiǎn)：如果沒有設(shè)置密碼復(fù)雜度，非法用戶可能會通過自動登錄工具和密碼猜解字典的方式破解用戶密碼，啟用了賬戶密碼復(fù)雜度后，可有效地阻斷非法用戶對密碼的破解嘗試。建議：立即啟用賬戶密碼復(fù)雜度，配置參數(shù)請參閱推薦值。賬戶最小密碼長度緊急程度:緊急說明：效勞器沒有設(shè)置賬戶最小密碼長度風(fēng)險(xiǎn)：如果沒有設(shè)置最小密碼長度，非法用戶可能會通過自動登錄工具和密碼猜解字典的方式破解用戶密碼，啟用了賬戶最小密碼長度后，可有效地阻斷非法用戶對密碼的破解嘗試。建議：立即啟用賬戶密碼最小密碼長度，配置參數(shù)請參閱推薦值。賬戶密碼最長使用周期緊急程度:緊急說明：效勞器沒有設(shè)置賬戶密碼最長使用周期風(fēng)險(xiǎn)：如果沒有設(shè)置賬戶密碼最長使用周期，非法用戶可能會通過自動登錄工具和密碼猜解字典的方式破解用戶密碼，啟用了賬戶密碼最長使用周期后，可有效地阻斷非法用戶對密碼的破解嘗試。建議：立即啟用賬戶密碼最小密碼長度，配置參數(shù)請參閱推薦值。強(qiáng)制密碼歷史緊急程度:緊急說明：效勞器沒有設(shè)置強(qiáng)制密碼歷史策略風(fēng)險(xiǎn)：密碼重用對于任何組織來說都是需要考慮的重要問題。許多用戶都希望在很長時(shí)間以后使用或重用一樣的密碼。特定使用一樣密碼的時(shí)間越長，攻擊者能夠通過暴力攻擊確定密碼的時(shí)機(jī)就越大。如果要求用戶更改其密碼，但卻無法阻止他們使用舊密碼，或允許他們持續(xù)重用少數(shù)幾個(gè)密碼，則會大大降低密碼策略的有效性。建議：立即啟用強(qiáng)制密碼歷史策略，配置參數(shù)請參閱推薦值。賬戶密碼管理緊急程度:一般問題說明：沒有對效勞器各種賬號和密碼進(jìn)展管理風(fēng)險(xiǎn)：沒有設(shè)立相關(guān)文檔和管理制度，對效勞器各種賬號和密碼的變更進(jìn)展記錄和追蹤，便不能有效的對賬號和密碼的使用情況進(jìn)展審計(jì)，有使賬號和密碼的管理失控的危險(xiǎn)。建議：立即建立相關(guān)賬號和密碼的管理規(guī)定和詳細(xì)的管理文檔進(jìn)展追蹤。審計(jì)謀略系統(tǒng)審計(jì)謀略出現(xiàn)的問題比擬多，大局部效勞器的審計(jì)謀略未做任何配置或少量配置：登錄事件成功&失敗成功&失敗成功賬戶管理成功&失敗成功&失敗無審核目錄效勞訪問失敗失敗無審核登錄事件成功&失敗成功&失敗成功對象訪問失敗失敗無審核策略變更成功&失敗成功&失敗無審核特權(quán)使用成功&失敗成功&失敗無審核過程追蹤不需要設(shè)置不需要設(shè)置無審核系統(tǒng)事件失敗失敗無審核沒有配置審核策略更改事件緊急程度:一般問題說明：沒有配置審核策略更改事件風(fēng)險(xiǎn)：如果配置了“審核策略更改〞設(shè)置，則可指定是否審核成功、審核失敗或根本不審核此事件類型。成功審核會在對用戶權(quán)限分配策略、審核策略或信任策略的更改成功時(shí)生成一個(gè)審核項(xiàng)。此審核信息對于記賬十分有用，并可幫助確定誰在域中或單臺計(jì)算機(jī)上成功修改了策略。失敗審核會在對用戶權(quán)限分配策略、審核策略或信任策略的更改失敗時(shí)生成一個(gè)審核項(xiàng)。建議：立即啟用審核策略更改，配置參數(shù)請參閱推薦值。審核登錄事件配置不完整緊急程度:一般問題說明：沒有配置審核登錄事件的失敗審核風(fēng)險(xiǎn)：如果配置了“審核登錄事件〞設(shè)置，則可指定是否審核成功、審核失敗或根本不審核此事件類型。成功審核會在登錄嘗試成功時(shí)生成一個(gè)審核項(xiàng)。該審核項(xiàng)的信息對于記帳以及事件發(fā)生后的辯論十分有用，可用來確定哪個(gè)人成功登錄到哪臺計(jì)算機(jī)。失敗審核會在登錄嘗試失敗時(shí)生成一個(gè)審核項(xiàng)，該審核項(xiàng)對于入侵檢測十分有用。但是，此配置還會創(chuàng)立一個(gè)潛在DoS條件，因?yàn)楣粽呖赡軙蓴?shù)百萬個(gè)登錄失敗項(xiàng)，填滿平安事件日志，并導(dǎo)致強(qiáng)制關(guān)閉效勞器。建議：立即完善審核登錄事件配置，配置參數(shù)請參閱推薦值。沒有配置審核對象訪問緊急程度:一般問題說明：沒有配置審核登錄事件的失敗審核風(fēng)險(xiǎn)：如果配置了“審核對象訪問〞設(shè)置，則可指定是否審核成功、審核失敗或根本不審核此事件類型。成功審核會在用戶成功訪問具有SACL的對象時(shí)生成一個(gè)審核項(xiàng)。失敗審核會在用戶嘗試訪問具有SACL的對象失敗時(shí)生成一個(gè)審核項(xiàng)。建議：立即配置審核對象訪問，配置參數(shù)請參閱推薦值。沒有配置審核特權(quán)使用緊急程度:一般問題說明：沒有配置審核特權(quán)使用風(fēng)險(xiǎn)：如果配置了“審核特權(quán)使用〞設(shè)置，則可指定是否審核成功、審核失敗或根本不審核此事件類型。成功審核會在成功行使用戶權(quán)限時(shí)生成一個(gè)審核項(xiàng)。失敗審核會在行使用戶權(quán)限失敗時(shí)生成一個(gè)審核項(xiàng)。失敗審核會在行使用戶權(quán)限失敗時(shí)生成一個(gè)審核項(xiàng)。如果啟用此策略設(shè)置，生成的事件數(shù)量可能會非常多，并且事件將難以排序。只有在已經(jīng)方案好如何使用所生成的信息時(shí)，才應(yīng)啟用此設(shè)置。建議：立即配置審核特權(quán)使用，配置參數(shù)請參閱推薦值。沒有配置審核系統(tǒng)事件緊急程度:一般問題說明：沒有配置審核系統(tǒng)事件風(fēng)險(xiǎn)：如果配置了“審核系統(tǒng)事件〞設(shè)置，則可指定是否審核成功、審核失敗或根本不審核此事件類型。成功審核在事件執(zhí)行成功時(shí)生成一個(gè)審核項(xiàng)。失敗審核在事件失敗時(shí)生成一個(gè)審核項(xiàng)。由于在為系統(tǒng)事件同時(shí)啟用失敗審核和成功審核時(shí)幾乎不會記錄附加事件，并且由于所有這類事件都非常重要，因此應(yīng)在計(jì)算機(jī)上將此策略設(shè)置配置為“已啟用〞。建議：立即配置審核系統(tǒng)事件，配置參數(shù)請參閱推薦值。審核登錄事件配置不完整緊急程度:一般問題說明：審核登錄事件配置不完整風(fēng)險(xiǎn)：此策略設(shè)置確定是否審核用戶在不同計(jì)算機(jī)〔非記錄事件和驗(yàn)證的計(jì)算機(jī)〕上登錄或注銷的每個(gè)實(shí)例，該審核項(xiàng)的信息對于記帳以及事件發(fā)生后的辯論十分有用，可用來確定哪個(gè)人成功登錄到哪臺計(jì)算機(jī)。失敗審核會在登錄嘗試失敗時(shí)生成一個(gè)審核項(xiàng)，該審核項(xiàng)對于入侵檢測十分有用。建議：立即配置審核登錄事件，配置參數(shù)請參閱推薦值。本地平安策略配置所以效勞器中除了SAP報(bào)表發(fā)布效勞器符合標(biāo)準(zhǔn)配置外，其余所有效勞器的以下指標(biāo)選項(xiàng)不符合標(biāo)準(zhǔn)配置：1關(guān)機(jī)：去除虛擬存頁面文件已啟用已禁用2交互式登錄：不顯示上次的用戶名已啟用已禁用3交互式登錄：可被緩存的前次登錄個(gè)數(shù)〔在域控制器不可用的情況下〕0104：重命名系統(tǒng)管理員賬戶除了Administrator的其它名字Administrator未配置關(guān)機(jī)：去除虛擬存頁面文件緊急程度:一般問題說明：該平安設(shè)置決定在關(guān)閉系統(tǒng)時(shí)是否去除虛擬存頁面文件風(fēng)險(xiǎn)：虛擬存支持使用系統(tǒng)頁面文件，將不使用的存頁交還給磁盤。在運(yùn)行的系統(tǒng)上，該頁面文件由操作系統(tǒng)以獨(dú)占方式翻開，并得到很好的保護(hù)。不過，配置后允許啟動到其他操作系統(tǒng)的系統(tǒng)可能要確保在本系統(tǒng)關(guān)閉時(shí)已完全去除系統(tǒng)頁面文件。通過這種方法，可確保那些能直接訪問頁面文件的非授權(quán)用戶，無法得到納入該頁面文件中的進(jìn)程存所含敏感信息。建議：立即配置關(guān)機(jī)：去除虛擬存頁面文件策略，配置參數(shù)請參閱推薦值。未配置交互式登錄：不顯示上次的用戶名緊急程度:一般問題說明：該平安設(shè)置確定是否將最近一次登錄到計(jì)算機(jī)的用戶名顯示在Windows登錄屏幕中風(fēng)險(xiǎn)：如果啟用該策略，則最近一次成功登錄的用戶的名稱將不顯示在“登錄到Windows〞對話框中。如果禁用該策略，則會顯示最近一次登錄的用戶的名稱，存在用戶被攻擊的風(fēng)險(xiǎn)。建議：立即配置交互式登錄：不顯示上次的用戶名策略，配置參數(shù)請參閱推薦值。交互式登錄：可被緩存的前次登錄個(gè)數(shù)〔在域控制器不可用的情況下〕緊急程度:一般問題說明：此策略設(shè)置確定用戶是否可使用緩存的信息登錄到Windows域。此策略設(shè)置確定其登錄信息在本地緩存的唯一用戶的個(gè)數(shù)。如果將此設(shè)置配置為0，則將禁用登錄緩存。風(fēng)險(xiǎn)：域的登錄信息可在本地緩存，以便假設(shè)在后續(xù)登錄中無法聯(lián)系到域控制器，用戶仍能登錄。如果允許此功能，可能允許用戶在其被禁用或刪除之后，或者工作站無法聯(lián)系到域控制器時(shí)進(jìn)展登錄。建議：立即配置“交互式登錄：可被緩存的前次登錄個(gè)數(shù)〔在域控制器不可用的情況下〕〞策略，配置參數(shù)請參閱推薦值。：重命名系統(tǒng)管理員賬戶緊急程度:一般問題說明：此策略設(shè)置是否將系統(tǒng)管理員默認(rèn)賬號administrator改名風(fēng)險(xiǎn)：如果不更改默認(rèn)系統(tǒng)管理員賬號administrator，將有管理員賬號密碼被惡意破解的風(fēng)險(xiǎn)，可能會通過自動登錄工具和密碼猜解字典的方式破解用戶密碼。建議：立即更改administrator賬號名并做好記錄。系統(tǒng)效勞設(shè)置所有效勞器在此項(xiàng)巡檢的各指標(biāo)項(xiàng)的配置都符合允許配置值。系統(tǒng)拒絕效勞攻擊所有效勞器在此項(xiàng)巡檢的各指標(biāo)項(xiàng)的配置中，以下都不符合允許配置值。1HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\PAameters\(registrysubkey〕Name:SynAttackProtectType:REG_DWORDValue:1無未配置系統(tǒng)拒絕效勞攻擊注冊表值緊急程度:一般問題說明：該平安設(shè)置確定是否在注冊表中設(shè)定相關(guān)鍵值是否防止系統(tǒng)拒絕效勞攻擊。風(fēng)險(xiǎn)：如果沒有設(shè)置該策略，將有可能受到系統(tǒng)拒絕效勞攻擊。建議：立即配置特定注冊表設(shè)置策略，配置參數(shù)請參閱推薦值。特定文件夾權(quán)限所有效勞器在此項(xiàng)巡檢的各指標(biāo)項(xiàng)的配置都符合允許配置值。系統(tǒng)特定注冊表設(shè)置除B2B接口應(yīng)用效勞器不符合此標(biāo)準(zhǔn)外，其他效勞器都符合允許配置值：HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\ApplicationName:RestrictGuestAccess

Type:REG_DWORD

Value:1Name:RestrictGuestAccess

Type:REG_DWORD

Value:1無HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\SecurityName:RestrictGuestAccess

Type:REG_DWORD

Value:1Name:RestrictGuestAccess

Type:REG_DWORD

Value:1無HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\SystemName:RestrictGuestAccess

Type:REG_DWORD

Value:1Name:RestrictGuestAccess

Type:REG_DWORD

Value:1無HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\DNSServerName:RestrictGuestAccess

Type:REG_DWORD

Value:1Name:RestrictGuestAccess

Type:REG_DWORD

Value:1無未配置特定注冊表設(shè)置緊急程度:一般問題說明：該平安設(shè)置確定是否在注冊表中設(shè)定相關(guān)鍵值是否防止guest用戶訪問風(fēng)險(xiǎn)：如果啟用該策略，將制止guest用戶訪問訪問相關(guān)效勞建議：立即配置特定注冊表設(shè)置策略，配置參數(shù)請參閱推薦值。系統(tǒng)平安管理分析系統(tǒng)防病毒SAP報(bào)表發(fā)布效勞器沒有正確部署企業(yè)版防病毒軟件；資金系統(tǒng)的四臺效勞器，其病毒庫沒有更新至巡檢日。1防病毒軟件的部署1〕效勞器部署率：100%2〕正確部署企業(yè)版防病毒軟件無2防病毒軟件的更新1〕頻率周期：每日定時(shí)更新2〕更新方式：從效勞器端更新3〕更新檢查：通過效勞器控制臺查看病毒碼定義病毒庫沒有更新至：2010-1-25未部署防病毒軟件緊急程度:緊急狀態(tài)說明：系統(tǒng)沒有按要求部署企業(yè)版防病毒軟件風(fēng)險(xiǎn)：如果沒有部署企業(yè)版防病毒軟件，將給效勞器帶來病毒侵襲的危險(xiǎn)。建議：立即部署企業(yè)版防病毒軟件。防病毒軟件未更新緊急程度:緊急狀態(tài)說明：防病毒軟件的病毒庫定義沒有升級到最新版本風(fēng)險(xiǎn)：如果病毒庫定義不升級到最新版本，將給效勞器帶來病毒侵襲的危險(xiǎn)建議：立即將病毒庫定義升級到最新版本。系統(tǒng)補(bǔ)丁管理所有效勞器均不具備補(bǔ)丁安裝測試環(huán)境：補(bǔ)丁安裝測試安裝測試應(yīng)滿足：

1〕具備補(bǔ)丁安裝測試環(huán)境2〕具備補(bǔ)丁安裝測試操作安裝測試應(yīng)滿足：

1〕具備補(bǔ)丁安裝測試環(huán)境2〕具備補(bǔ)丁安裝測試操作安裝測試應(yīng)滿足：1〕具備補(bǔ)丁安裝測試環(huán)境〔否〕2〕具備補(bǔ)丁安裝測試操作〔有〕不具備補(bǔ)丁安裝測試環(huán)境緊急程度:一般問題說明：具備補(bǔ)丁安裝測試環(huán)境能檢驗(yàn)補(bǔ)丁是否對生產(chǎn)環(huán)境中實(shí)際應(yīng)用存在影響風(fēng)險(xiǎn)：如果啟用該策略，能檢驗(yàn)補(bǔ)丁是否對生產(chǎn)環(huán)境中實(shí)際應(yīng)用存在影響，防止打補(bǔ)丁造成額外的風(fēng)險(xiǎn)建議：盡快具備補(bǔ)丁安裝測試環(huán)境，配置參數(shù)請參閱推薦值。網(wǎng)絡(luò)平安所有效勞器在此項(xiàng)巡檢的各指標(biāo)項(xiàng)的配置都符合允許配置值。數(shù)據(jù)平安分析數(shù)據(jù)加密所有效勞器在此項(xiàng)巡檢的各指標(biāo)項(xiàng)的配置都符合允許配置值。數(shù)據(jù)備份所有效勞器在此項(xiàng)巡檢的各指標(biāo)項(xiàng)的配置都符合允許配置值。系統(tǒng)運(yùn)維分析系統(tǒng)性能生產(chǎn)操作費(fèi)系統(tǒng)的系統(tǒng)分區(qū)可用磁盤空間110MB/29.2G。磁盤容量系統(tǒng)分區(qū)可用磁盤空間＞500MB系統(tǒng)分區(qū)可用磁盤空間＞500MB生產(chǎn)操作費(fèi)系統(tǒng)的系統(tǒng)分區(qū)可用磁盤空間110MB/29.2G。系統(tǒng)分區(qū)可用磁盤空間緊急程度:緊急狀態(tài)說明：系統(tǒng)分區(qū)可用磁盤空間>500MB風(fēng)險(xiǎn)：如果系統(tǒng)分區(qū)可用磁盤空間低于500MB，一旦磁盤空間耗盡將帶來系統(tǒng)停機(jī)的風(fēng)險(xiǎn)。建議：盡快解決磁盤空間缺乏的問題，配置參數(shù)請參閱推薦值。系統(tǒng)日志所有效勞器的平安日志存儲最大值都不符合標(biāo)準(zhǔn)得81m，而個(gè)別效勞器的日志存儲只設(shè)置為默認(rèn)的512k。日志文件管理-應(yīng)用程序日志最大值〔16MB〕

-平安日志最大值〔81MB〕

-系統(tǒng)日志最大值〔16MB)-應(yīng)用程序日志最大值〔16MB〕

-平安日志最大值〔81MB〕

-系統(tǒng)日志最大值〔16MB)應(yīng)用程序日志最大值〔512KB〕平安日志最大值〔512KB〕系統(tǒng)日志最大值〔512KB)平安日志最大占用空間缺乏緊急程度:一般問題說明：平安日志最大占用空間配置參數(shù)值過低風(fēng)險(xiǎn)：由于開啟了相關(guān)的系統(tǒng)審核，在平安日志里面會產(chǎn)生大量的審核記錄，而這些審核記錄對于中海油的審計(jì)工作來說又是至關(guān)重要的，所以平安日志空間過低，會導(dǎo)致審核記錄的不完整〔較舊日期的數(shù)據(jù)會被覆蓋掉〕，造成對出現(xiàn)的平安事件〔效勞器被攻擊〕缺乏足夠的分析判斷依據(jù)。建議：立即修改平安日志最大占用空間，配置參數(shù)請參閱推薦值。狀態(tài)分析從日志檢查、備份/恢復(fù)、平安性檢查、用戶管理、資源保護(hù)和數(shù)據(jù)加密六個(gè)方面分析結(jié)果，并設(shè)定緊急狀態(tài)和一般問題，文檔將詳細(xì)列出效勞器的實(shí)際配置與推薦配置存在的差異。說明：下表中的紅色字體工程，說明實(shí)際值和推薦值不符，需要進(jìn)展參數(shù)調(diào)整。日志檢查日志檢查各效勞器在以下幾個(gè)指標(biāo)存在不符合項(xiàng)：Windows應(yīng)用程序日志文件保存期60天Windows應(yīng)用日志屬性，查看保存期限無設(shè)置Windows應(yīng)用程序日志文件保存期未設(shè)置緊急程度:一般問題說明：Windows應(yīng)用日志屬性，查看保存期限風(fēng)險(xiǎn)：未設(shè)保存期，可能日志過小或過大，導(dǎo)致日志文件信息不全面或不可用。建議：設(shè)置保存期為60天，配置參數(shù)請參閱推薦值。備份/恢復(fù)備份/恢復(fù)各效勞器在以下幾個(gè)指標(biāo)存在不符合項(xiàng)：備份數(shù)據(jù)文件存放備份文件與SQL數(shù)據(jù)文件不能在同一臺機(jī)器的同一個(gè)物理磁盤上檢查備份方案的輸出路徑或咨詢DBASQL數(shù)據(jù)文件與備份文件放在同一盤符；備份文件和數(shù)據(jù)文件存放于同一盤符緊急程度:緊急狀態(tài)說明：檢查備份方案的輸出路徑或咨詢DBA風(fēng)險(xiǎn)：備份文件和數(shù)據(jù)文件存放在同一盤符，假設(shè)該盤符不可用，導(dǎo)致所有數(shù)據(jù)文件均喪失。建議：備份文件和數(shù)據(jù)文件應(yīng)存放在不同盤符，配置參數(shù)請參閱推薦值。平安性檢查平安性檢查各效勞器在以下幾個(gè)指標(biāo)存在不符合項(xiàng)：用戶ID平安使用用戶組或數(shù)據(jù)庫角色來應(yīng)用權(quán)限，而不是單個(gè)用戶ID類似Windows中賬戶參加組，通過組進(jìn)展管理(無)無"任務(wù)"〔job〕以"sa"運(yùn)行不允許，使用其他賬戶運(yùn)行SQL實(shí)例-管理-SQLAgent-作業(yè),翻開作業(yè)查看執(zhí)行賬戶是否為SA存在sa賬戶運(yùn)行任務(wù)〔job〕未使用用戶組管理數(shù)據(jù)庫賬戶緊急程度:一般問題說明：類似Windows中賬戶參加組，通過組進(jìn)展管理風(fēng)險(xiǎn)：通過單個(gè)用戶ID來管理數(shù)據(jù)庫賬戶，將給系統(tǒng)帶來管理混亂的風(fēng)險(xiǎn)。建議：使用用戶組或數(shù)據(jù)庫角色來管理數(shù)據(jù)庫賬戶，配置參數(shù)請參閱推薦值。"任務(wù)"〔job〕以"sa"運(yùn)行緊急程度:一般問題說明：SQL實(shí)例-管理-SQLAgent-作業(yè),翻開作業(yè)查看執(zhí)行賬戶是否為SA風(fēng)險(xiǎn)：假設(shè)以sa賬號來運(yùn)行job，將給系統(tǒng)帶來被攻擊的風(fēng)險(xiǎn)。建議：改用其他賬戶來運(yùn)行job，配置參數(shù)請參閱推薦值。用戶管理用戶管理各效勞器在以下幾個(gè)指標(biāo)存在不符合項(xiàng)：BUILTIN/administrators刪除SQL實(shí)例-平安性-登陸，查看是否存在存在SQLDebugger(安裝SQL2000SP3過程中創(chuàng)立的賬戶)刪除Windows賬戶存在存在BUILTIN/administrators賬戶緊急程度:緊急狀態(tài)說明：SQL實(shí)例-平安性-登陸，查看是否存在風(fēng)險(xiǎn)：如果存在BUILTIN/ADMINISTRATORS，將給系統(tǒng)帶來被攻擊的風(fēng)險(xiǎn)。建議：刪除BUILTIN/ADMINISTRATORS，配置參數(shù)請參閱推薦值。存在SQLDebugger賬戶緊急程度:一般問題說明：安裝SQL2000SP3過程中創(chuàng)立的賬戶風(fēng)險(xiǎn)：如果存在SQLDebugger賬號，將給系統(tǒng)帶來被攻擊的風(fēng)險(xiǎn)。建議：刪除