信息化设备安全配置检查报告-2-文档说明方案摘要文档名称安全配置检查报告保密级别文档编号制作人制作日期复审人复审日期适用范围分发控制读者文档权限与文档的主要关系版本控制时间版本说明修改人-3-目录文档说明................................................................................................................-2-1.安全配置审计概述..........................................-4-2.配置检查内容..............................................-4-WINDOWS...............................................................................................................-4-WINDOWS...............................................................................................................-6-WINDOWS...............................................................................................................-7-LINUX.....................................................................................................................-9-边界路由器..........................................................................................................-10-边界防火墙..........................................................................................................-11-内网防火墙..........................................................................................................-12-核心交换机..........................................................................................................-13-楼层交换机..........................................................................................................-14-3.问题总结与分析............................................-16--4-1.安全配置审计概述安全审计利用专业安全技术和相关知识,通过对主机或设备的操作与检查,收集并了解主机或设备目前的补丁或版本信息、系统配置以及日志记录等内容,针对这些信息进行技术分析,从而能够了解到主机或设备目前的安全现状,并根据综合信息分析得到主机或设备的安全等级,以便客户能够采取具有针对性的安全保障措施。因此安全审计的目的是:1)对现有设备的安全现状(包括补丁,权限,安全特性等)进行了解;2)通过安全现状分析,检查目前安全措施和制度的执行情况;3)对安全系统进行专业的检查,检查是否得到了正确的使用;4)检查系统是否有被攻击;通过安全审计,我们能了解到主机或者设备的安全现状,包括:是否存在的安全漏洞,这些安全漏洞是否严重,系统配置是否满足安全要求,是否被入侵或被破坏等。2.配置检查内容Windows备注编号检查内容结果加固建议补丁安装情况1.操作系统是否已经安装相关的补丁,Windows2000为SP4,WindowsXP为SP3。否建议2003更新至SP2补丁2.应用程序是否及时进行补丁的更新,包括否建议更新应用程序补丁-5-Office和IE等。帐号策略3.密码是否符合复杂性要求。否建议开启密码复杂性要求4.密码长度是否符合要求。否建议设置密码最小长度为8位5.是否设置了密码最长使用期限。是无6.是否设置了帐户锁定阀值。否建议设置帐户锁定阀值为3(或5)次无效登录7.是否设定了帐户锁定时间。否建议设置帐户锁定时间最少30分钟8.是否设置了复位帐户锁定计数器。否建议设置复位帐户锁定计数器9.是否将审核策略更改为成功和失败。否建议将审核策略更改为成功和失败10.是否将审核登录事件更改为成功和失败。否建议将审核登录事件更改为成功和失败11.是否将审核对象访问设置为失败。否建议将审核对象访问设置为失败12.当登录时间用完时自动注销用户(启用)。是无13.在挂起会话之前所需的空闲时间(小于等于30分钟)。是无14.发送未加密的密码到第三方SMB服务器:(禁用)。是无15.允许对所有驱动器和文件夹进行软盘复制和访问(禁用)。是无16.故障恢复控制台:允许自动系统管理级登录(禁用)。是无17.清除虚拟内存页面文件(启用)。否建议开启此项设置18.允许系统在未登录前关机(禁用)。是无19.交互式登录:不显示上次的用户名(启用)。否建议开启此项设置不需要的服务20.WirelessconfigurationTaskscheduler否建议根据主机业务情况禁用以下服务:WirelessconfigurationTaskscheduler其它21.所有的磁盘卷使用NTFS文件系统。是无22.已经安装第三方个人版防火墙。否建议安装第三方个人版防火墙23.已经安装防病毒软件。否建议安装防病毒软件24.防病毒软件的特征码和检查引擎已经更新到最新。否建议更新防病毒软件特征码和检查引擎25.防病毒软件已设置自动更新。否建议设置防病毒软件自动更新26.系统时间是否正确。是无27.文件夹共享是否有过大的权限和帐号。否无-6-28.有无异常的计划任务否无29.有无设置屏保密码否建议设置屏保密码30.有无打开审计功能否建议开启系统审计功能31.有无设置审计文件大小或保留时间是无32.有无打开不需要的端口(如80、25、110)否无33.有无禁用Netbios是无34.只有本地登录的用户才能访问CD-ROM否建议开启此项设置Windows备注编号检查内容结果加固建议补丁安装情况1.操作系统是否已经安装相关的补丁,Windows2000为SP4,WindowsXP为SP3。是无2.应用程序是否及时进行补丁的更新,包括Office和IE等。否建议更新应用程序最新补丁帐号策略3.密码是否符合复杂性要求。是无4.密码长度是否符合要求。否建议设置密码最小长度为8位5.是否设置了密码最长使用期限。是无6.是否设置了帐户锁定阀值。否建议设置帐户锁定阀值为3(或5)次无效登录7.是否设定了帐户锁定时间。否建议设置帐户锁定时间最少30分钟8.是否设置了复位帐户锁定计数器。否建议设置复位帐户锁定计数器9.是否将审核策略更改为成功和失败。否建议将审核策略更改为成功和失败10.是否将审核登录事件更改为成功和失败。否建议将审核登录事件更改为成功和失败11.是否将审核对象访问设置为失败。否建议将审核对象访问设置为失败12.当登录时间用完时自动注销用户(启用)。否建议启用此项设置13.在挂起会话之前所需的空闲时间(小于等于30分钟)。否建议启用此项设置14.发送未加密的密码到第三方SMB服务器:(禁用)。否建议启用此项设置15.允许对所有驱动器和文件夹进行软盘复制和访问(禁用)。否建议启用此项设置16.故障恢复控制台:允许自动系统管理级登录否建议启用此项设置-7-(禁用)。17.清除虚拟内存页面文件(启用)。否建议启用此项设置18.允许系统在未登录前关机(禁用)。否建议启用此项设置19.交互式登录:不显示上次的用户名(启用)。否建议启用此项设置不需要的服务20.ComputerbrowserHelpandsupportPrintspoolerRemoteregistryTaskschedulerWirelessconfiguration否建议根据主机业务情况禁用以下服务:ComputerbrowserHelpandsupportPrintspoolerRemoteregistryTaskschedulerWirelessconfiguration其它21.所有的磁盘卷使用NTFS文件系统。是无22.已经安装第三方个人版防火墙。是无23.已经安装防病毒软件。是无24.防病毒软件的特征码和检查引擎已经更新到最新。是无25.防病毒软件已设置自动更新。是无26.系统时间是否正确。是无27.文件夹共享是否有过大的权限和帐号。否无28.有无异常的计划任务否无29.有无设置屏保密码否建议设置屏保密码30.有无打开审计功能否建议开启审计功能31.有无设置审计文件大小或保留时间是无32.有无打开不需要的端口(如80、25、110)否无33.有无禁用Netbios是无34.只有本地登录的用户才能访问CD-ROM否建议开启此项设置Windows备注编号检查内容结果加固建议补丁安装情况1.操作系统是否已经安装相关的补丁,Windows2000为SP4,WindowsXP为SP3。是无2.应用程序是否及时进行补丁的更新,包括Office和IE等。否建议更新应用程序最新补丁帐号策略3.密码是否符合复杂性要求。否建议开启密码复杂性要求-8-4.密码长度是否符合要求。否建议设置密码最小长度为8位5.是否设置了密码最长使用期限。是无6.是否设置了帐户锁定阀值。否建议设置帐户锁定阀值为3(或5)次无效登录7.是否设定了帐户锁定时间。否建议设置帐户锁定时间最少30分钟8.是否设置了复位帐户锁定计数器。否建议设置复位帐户锁定计数器9.是否将审核策略更改为成功和失败。否建议将审核策略更改为成功和失败10.是否将审核登录事件更改为成功和失败。否建议将审核登录事件更改为成功和失败11.是否将审核对象访问设置为失败。否建议将审核对象访问设置为失败12.当登录时间用完时自动注销用户(启用)。是无13.在挂起会话之前所需的空闲时间(小于等于30分钟)。是无14.发送未加密的密码到第三方SMB服务器:(禁用)。是无15.允许对所有驱动器和文件夹进行软盘复制和访问(禁用)。是无16.故障恢复控制台:允许自动系统管理级登录(禁用)。是无17.清除虚拟内存页面文件(启用)。否建议启用此项设置18.允许系统在未登录前关机(禁用)。是无19.交互式登录:不显示上次的用户名(启用)。否建议启用此项设置不需要的服务20.AlterterComputerbrowserMessengerPrintSpoolerRemoteRegistryServiceTaskScheduler否建议根据主机业务情况禁用以下服务:AlterterComputerbrowserMessengerPrintSpoolerRemoteRegistryServiceTaskScheduler其它21.所有的磁盘卷使用NTFS文件系统。是无22.已经安装第三方个人版防火墙。否建议安装第三方个人版防火墙23.已经安装防病毒软件。是无24.防病毒软件的特征码和检查引擎已经更新到最新。是无25.防病毒软件已设置自动更新。是无-9-26.系统时间是否正确。是无27.文件夹共享是否有过大的权限和帐号。否无28.有无异常的计划任务否无29