搜索
XXX电子商务网站安全加固报告Windows系统安全加固叶刚:13520800400第2页共16页目录电子商务网站安全加固报告...........................................................................................................1目录...........................................................................................................................................2一、加固主机列表...................................................................................................................3二、加固实施...........................................................................................................................42.1操作系统加固............................................................................................................42.1.1补丁安装.......................................................................................................42.1.2帐号、口令策略修改...................................................................................42.1.3网络与服务加固...........................................................................................42.1.4文件系统加固...............................................................................................52.1.5日志审核增强...............................................................................................62.1.6安全性增强...................................................................................................72.1.7推荐安装安全工具.......................................................................................82.2IIS服务加固............................................................................................................82.2.1补丁安装.......................................................................................................82.2.2网站实例权限分配.......................................................................................82.2.3IIS配置安全增强........................................................................................92.2.4安全控件加固...............................................................................................92.3代码审核加固.........................................................................................................102.3.1清除WebShell代码...................................................................................102.3.2清除SQL注入漏洞.....................................................................................102.3.3修正权限认证缺陷.....................................................................................102.3.4减少上传风险威胁.....................................................................................112.3.5正确处理数据库文件.................................................................................11三、推荐安全注意事项.........................................................................................................123.1为新增网站实例分配权限......................................................................................123.2使用SSL加密FTP传输.........................................................................................123.3加强管理员安全习惯.............................................................................................12四、签字确认.........................................................................................................................13附录:.....................................................................................................................................14后台访问用户认证分配一览表.....................................................................................14代码加固修改一览表.....................................................................................................14Windows系统安全加固叶刚:13520800400第3页共16页一、加固主机列表本次安全加固服务的对象包括:编号IP地址操作系统用途或服务H_2112_1XX.XX.XX.2Windows2000Server提供电子商务服务,有偿提供考试资料填写规则:编号统一使用“型号_地址缩写_数字”型号(H-主机;D-设备),数字使用三位数字顺序号。Windows系统安全加固叶刚:13520800400第4页共16页二、加固实施2.1操作系统加固2.1.1补丁安装编号:Windows-02001名称:补丁安装系统以往状态:Windows2000ServicePack4IE最新积累补丁方案实施使用Windowsupdate安装最新补丁实施目的可以使系统版本为最新版本实施风险安装补丁可能导致主机启动失败,或其他未知情况发生2.1.2帐号、口令策略修改编号:Windows-03002,Windows-03003,Windows-03004名称:帐号口令策略修改系统以往状态:密码长度最小值0字符密码最长存留期42天密码最短存留期0天帐号锁定计数器无帐户锁定时间0帐户锁定阀值无方案实施密码长度最小值7字符密码最长存留期90天密码最短存留期30天帐号锁定计数器5次帐户锁定时间5分钟帐户锁定阀值1分钟实施目的保障帐号以及口令的安全实施风险设置帐号策略后可能导致不符合帐号策略的帐号无法登陆,需修改帐号密码(注:管理员不受帐号策略限制,但管理员密码应复杂)2.1.3网络与服务加固编号:Windows-04003,Windows-04004名称:卸载不需要的服务Windows系统安全加固叶刚:13520800400第5页共16页系统以往状态:已安装的不必要的服务包括:DNS服务DHCP服务MSFTP服务SNMP服务方案实施开始|设置|控制面板|添加/删除程序|Windows组件卸载不需要的服务实施目的避免未知漏洞给主机带来的风险实施风险可能由于管理员对主机所开放服务不了解,导致该服务被卸载。编号:Windows-04005名称:将暂时不需要开放的服务停止系统以往状态:已启动且需要停止的服务包括:ComputerBrowser服务Alerter服务Messenger服务方案实施开始|运行|services.msc|将上述服务的启动类型设置为手动并停止上述服务实施目的避免未知漏洞给主机带来的风险实施风险可能由于管理员对主机所开放服务不了解,导致该服务被卸载。2.1.4文件系统加固编号:Windows-05002名称:限制特定执行文件的权限系统以往状态:未对敏感执行文件设置合适的权限方案实施通过实施我公司的安全策略文件对特定文件权限进行限制,禁止Guests用户组访问这些文件。实施目的禁止Guests用户组访问以下文件:xcopy.exewscript.execscript.exenet.exearp.exeedlin.exeping.exeroute.exeposix.exeRsh.exeatsvc.exeCopy.execacls.exeipconfig.exercp.execmd.exedebug.exeregedt32.exeregedit.exeedit.comtelnet.exeFinger.exeNslookup.exeRexec.exeftp.exeat.exerunonce.exenbtstat.exeTracert.exenetstat.exe实施风险在极少数情况下,某些网页可能调用cmd.exe来完成某种功能,限制cmd.exe的执行权限可能导致调用cmd失败。Win