本文档旨在规范久其系统集成部实施过程中所安装配置的WINDOWS 操作系统的主机应当遵循的操作系统安全性设置标准,减少在用户使用过程中因安全问题导致的系统停机和故障处理时间。
1. 操作系统 1.1. Windows系统
1)
禁用来宾账户(默认已禁用)
操作系统缺省帐户安全基线要求项 对于管理员帐号,要求更改缺省帐户名称;禁用guest(来宾)帐号。 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用户和组”: 缺省帐户Administrator->属性 Guest帐号->属性 基线符合性判定依据 备注 缺省帐户Administrator名称已更改。 Guest帐号已停用。 安全基线项目名称 安全基线项说明 检测操作步骤 2) 密码复杂程度
操作系统密码复杂度安全基线要求项 最短密码长度 8个字符,启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的2种: 英语大写字母 A, B, C, … Z 英语小写字母 a, b, c, … z 安全基线项目名称 安全基线项说明 西方阿拉伯数字 0, 1, 2, … 9 非字母数字字符,如标点符号,@, #, $, %, &, *等 检测操作步骤 基线符合性判定依据 备注 进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”: 查看是否“密码必须符合复杂性要求”选择“已启动” “密码最小长度” 大于等于 8 “密码必须符合复杂性要求”选择“已启动” 3) 授权用户从网络访问
操作系统用户授权从网络访问安全基线要求项 在组策略中只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。 安全基线项目名称 安全基线项说明 检测操作步骤 基线符合性判定依据 进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派” “从网络访问此计算机”设置为“指定授权用户” “从网络访问此计算机”设置为“指定授权用户”,进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派” 查看是否“从网络访问此计算机”设置为“指定授权用户” 备注 手工判断是否授权 4) 关闭默认共享
操作系统默认共享安全基线要求项 非域环境中,关闭Windows硬盘默认共享,例如C$,D$。 进入“开始->运行->Regedit”,进入注册表编辑器,查看 HKLM\\System\\CurrentControlSet\\Services\\LanmanServer\\Parameters\\AutoShareServer; 安全基线项目名称 安全基线项说明 检测操作步骤 基线符合性判定依据 备注 HKLM\\System\\CurrentControlSet\\Services\\LanmanServer\\Parameters\\AutoShareServer 键,值为 0。 5) 关闭Windows自动播放
操作系统Windows自动播放安全基线要求项 关闭Windows自动播放功能。 打开“开始→运行”,在对话框中输入“gpedit.msc”命令,在出现“组策略”窗口中依次选择“在计算机配置→管理模板→系统”,双击“关闭自动播放”查看。 安全基线项目名称 安全基线项说明 检测操作步骤 基线符合性判定依据 备注 在“设置”选项卡中选“已启用”选项。 6) 远程桌面登录空闲时间
操作系统远程登录空闲断开时间安全基线要求项 对于远程登陆的帐号,设置不活动断连时间15分钟。 进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”: “Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟 安全基线项目名称 安全基线项说明 检测操作步骤 基线符合性判定依据 “Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟。进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”: 查看是否“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟 备注 7) 开启操作系统防火墙
操作系统远程访问控制安全基线要求项 只允许从网络访问指定的服务端口。 进入“控制面板->管理工具->高级安全Windows防火墙”,在“入站规则”和“出站规则”中设置特定开放的服务。 安全基线项目名称 安全基线项说明 检测操作步骤 基线符合性判定依据 备注
通过网络使用telnet工具测试服务器非开放服务是否可以访问。 1.2. Linux系统
1)
密码策略
操作系统Linux用户口令安全基线要求项 帐号与口令-用户口令设置 1、询问管理员是否存在如下类似的简单用户密码配置,比如: root/root, test/test, root/root1234 2、执行:more /etc/login,检查PASS_MIN_LEN参数 基线符合性判定依据 备注 建议在/etc/login文件中配置:PASS_MIN_LEN=7 不允许存在简单密码,密码设置符合策略,如长度至少为7 安全基线项目名称 安全基线项说明 检测操作步骤 2) 分区规划
操作系统Linux磁盘分区安全基线要求项 设置合理的分区规划 安装系统时,定义分区至少包含以下分区: 挂载点 容量建议 说明 / 10G~20G 存放系统文件 /boot 200M 存放启动配置文件及内核 swap 物理内存的1~2倍 系统虚拟内存 /var 20G或更多 存放系统自带应用及系统日志 /opt 剩余空间(20G以上)存放业务系统及相关文件 安全基线项目名称 安全基线项说明 检测操作步骤 基线符合性判定依据 在操作系统中使用df -h命令查看分区信息,确认是否包含以上分区,容量是否合格。 备注 3) 开启操作系统防火墙
操作系统远程访问控制安全基线要求项 只允许从网络访问指定的服务端口。 编辑/etc/sysconfig/iptables配置文件,设定iptables防火墙规则,开放指定的服务。 安全基线项目名称 安全基线项说明 检测操作步骤 基线符合性判定依据 备注 通过网络使用telnet工具测试服务器非开放服务是否可以访问。 2. Oracle安全规范
1)
帐号口令的生存期
帐号口令生存期 对于采用静态口令认证技术的数据库,帐号口令的生存期不长于90天。 1. 以Oracle用户登陆到系统中。 2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中。 3、执行select limit from dba_profiles where resource_name='PASSWORD_LIFE_TIME' and profile in (select profile from dba_users where account_status='OPEN' 查询结果中PASSWORD_LIFE_TIME小于等于90。 该选项作为极端安全需求情况下使用,建议在客户没有特殊安全要求的情况下不使用该策略,避免密码到期影响业务系统运行。 安全基线项目名称 安全基线项说明 检测操作步骤 基线符合性判定依据 备注
2) 认证控制
认证控制策略 对于采用静态口令认证技术的数据库,应配置当用户连续认证失败次数超过20次,锁定该用户使用的帐号。 安全基线项目名称 安全基线项说明 检测操作步骤 1. 以Oracle用户登陆到系统中。 2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中。 3. 执行select resource_name, limit from dba_profiles, dba_users where dba_profiles.profile = dba_users .profile and dba_users.account_status='OPEN' and resource_name='FAILED_LOGIN_ATTEMPTS'; 查询结果中FAILED_LOGIN_ATTEMPTS等于10。 Show parameter failed 根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。对核心库、生产用户不能设置此基线。误操作或恶意超过20次,导致用户锁定,有一定风险,可能会导致应用异常 基线符合性判定依据 备注 3) 密码复杂度策略
密码复杂度策略 对于采用静态口令进行认证的数据库,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。 1. 以Oracle用户登陆到系统中。 2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中。 3、执行select limit from dba_profiles where resource_name='PASSWORD_VERIFY_FUNCTION' and profile in (select profile from dba_users where account_status='OPEN' 为用户建profile,调整PASSWORD_VERIFY_FUNCTION,指定密码复杂度 安全基线项目名称 安全基线项说明 检测操作步骤 基线符合性判定依据 备注
4) 数据库审计策略
数据库审计策略 根据业务要求制定数据库审计策略。 对用户登录进行记录,记录内容包括用户登录使用的帐号、登录是否成功、登录时间以及远程登录时用户使用的IP地址; 用户对数据库的操作,包括但不限于以下内容:帐号创建、删除和权限修改、口令修改、读取和修改数据库配置、读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户帐号,操作时间,操作内容以及操作结果; 记录对与数据库相关的安全事件。 1. 以Oracle用户登陆到系统中。 2. 以sqlplus ‘/as sysdba’登陆到sqlplus环境中。 安全基线项目名称 安全基线项说明 检测操作步骤 3. 使用show parameter命令来检查参数audit_trail是否设置。 4.检查dba_audit_trail视图中或$ORACLE_BASE/admin/adump目录下是否有数据。 基线符合性判定依据 备注 参数audit_trail不能设置为NONE。 需设置具体的审计内容。 可以设置数据库参数audit_sys_operations=true来审计所有SYS用户的操作。 因数据库审计对数据库性能和业务系统影响较大,请谨慎评估是否需要开启此功能 3. Tomcat安全规范
1)
密码复杂度
密码复杂度 对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。 1、参考配置操作 在tomcat/conf/tomcat-user.xml配置文件中设置密码 2) 审核登录 Tomcat审核登录 设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的帐号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。 1、参考配置操作 编辑server.xml配置文件,在 Tomcat目录列表安全 禁止tomcat列表显示文件 1、参考配置操作 (1) 编辑tomcat/conf/web.xml配置文件, 1) 系统启动帐号 WebLogic启动帐号 要求帐号 1、参考配置操作 查看以管理员身份登录控制台 执行# ps –ef| grep –i weblogic 1、判定条件 执行帐号不可以是root和nobody。 安全基线项目名称 安全基线项说明 检测操作步骤 基线符合性判定依据 备注 2) 帐号锁定策略 WebLogic帐号锁定 要求设定帐号锁定次数和时间,错误输入密码10次,系统自动锁定,锁定时间5分钟。 1、参考配置操作 查看以管理员身份登录控制台 1. 点击左侧面板”Security”文件夹,展开”REALM” 2. 点击右侧面板中的”User Lock”标签,查看Lockout Enabled,Lockout Threshold,Lockout Duration等 1、判定条件 要求Lockout Enabled=true; Lockout Threshold=10; Lockout Duration=5 安全基线项目名称 安全基线项说明 检测操作步骤 基线符合性判定依据 备注 3) 密码复杂度 WebLogic密码复杂度 安全基线项目名称 安全基线项说明 检测操作步骤 对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。 1、参考配置操作 查看WebLogic安装目录下的weblogic.properties配置文件 2、补充操作说明 口令要求:口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。 判定条件 weblogic.system.minPasswordLen=8等 基线符合性判定依据 备注 4) 审核登录 WebLogic审核登录 设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的帐号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。 1、参考配置操作 查看WebLogic安装目录下的weblogic.properties配置文件 1、判定条件 开启日志,配置按日期rotate weblogic.system.enableReverseDNSLookups=true 安全基线项目名称 安全基线项说明 检测操作步骤 基线符合性判定依据 备注 5) 应用服务器Socket数量 WebLogic应用服务器Socket数量 Sockets最大打开数目设置不当的话,容易受到拒绝服务攻击,超出操作系统文件描述符 1、参考配置操作 以管理员身份登录管理控制台 1. 点击左侧面板的域名文件夹,然后点击Servers文件夹,双击要管理的服务器 2. 在右侧面板的“Configuration”面板下选择“Tuning”标签,查看Maximum Open Sockets值 1、判定条件 要求Maximum Open Sockets不大于1024。 此设置适用于同时在线用户不大于300人时,如果在线用户量较大,建议使用硬件防火墙实现防护DoS攻击的功能,而不在中间件层面做。 安全基线项目名称 安全基线项说明 检测操作步骤 基线符合性判定依据 备注 6) 禁用Send Server Header 禁用Send Server Header Sockets最大打开数目设置不当的话,容易受到拒绝服务攻击,超出操作系统文件描述符 1、参考配置操作 以管理员身份登录管理控制台 1. 点击域名下的Servers文件夹,选择要管理的服务器 2. 在右侧面板“Protocols”面板下,点击HTTP标签 3. 检查是否勾选Send Server header 1、判定条件 要求禁止Send Server header 安全基线项目名称 安全基线项说明 检测操作步骤 基线符合性判定依据 备注 7) 目录列表访问 WebLogic目录列表安全 禁止WebLogic列表显示文件 1、参考配置操作 查看WebLogic安装目录下的weblogic.properties配置文件 1、判定条件 weblogic.httpd.indexDirectories=false 安全基线项目名称 安全基线项说明 检测操作步骤 基线符合性判定依据 备注 因篇幅问题不能全部显示,请点此查看更多更全内容
Copyright © 2019- efsc.cn 版权所有 赣ICP备2024042792号-1
违法及侵权请联系:TEL:199 1889 7713 E-MAIL:2724546146@qq.com
本站由北京市万商天勤律师事务所王兴未律师提供法律服务