xx主机安全评估及加固服务报告第2页,共19页文档信息文档名称主机安全评估及加固服务报告保密级别文档版本编号制作人制作日期复审人复审日期适用范围分发控制编号读者文档权限与文档的主要关系12版本控制时间版本说明修改人第3页,共19页1项目概述1.1评估范围本次对xxxx运营中心业务系统进行风险评估,xx业务系统资产列表清单如下:.系统清单统计如表1-1所示:系统名称设备数量漏洞总数高危漏洞中危漏洞249135918625219414522179921519472695453462295545419表1-1评估主机设备数量1.2评估方法1.2.1漏洞扫描弱点网络扫描评估指的是使用基于网络的安全弱点扫描工具,根据其内置的弱点测试方法、扫描策略,从网络侧对扫描对象进行系列的设置检查,从而发现弱点。使用弱点评估工具可以实现远程自动化扫描,显著降低安全评估的工作量,自动化程度高,并能根据需求输出评估结果或者报表。以下为弱点风险级别说明:在对xxxx网络设备进行安全评估时,使用了启明星辰的网络安全扫描器天镜及第三方扫描工具NESSUS。漏洞等级说明高可以直接导致系统被非法取得权限进行控制,甚至破坏整个系统的漏洞中存在相当的安全隐患,可以间接获得系统权限或泄漏系统数据的漏洞低潜在的威胁系统安全性的漏洞,包括泄漏系统信息或可能引起其他安全风险的漏洞第4页,共19页1.2.2配置评估收集各设备(包括其上所安装的各关键软件)可能存在的技术脆弱性信息,以便在分析阶段进行详细分析,手工评估提取的相关信息如下:用户与密码策略安全漏洞远程登陆安全漏洞系统版本信息系统自身漏洞威胁后门及远程控制威胁未知进程威胁协议安全弱点威胁配置不当信息泄漏威胁定时任务威胁第三方软件威胁安全策略配置弱点端口开放威胁查看分析配置文件内容,使用命令行、抓取控制台操作界面最终分析。1.2.3综合分析综合分析所获得的所有相关信息以发现被评估对象所存在的安全缺陷和风险。评估人员分析和整理通过上述评估过程所收集的各项信息,查找系统及相关的评估对象之间的相互关联、相互配合中所存在的缺陷和安全风险,并与系统管理人员核实所收集的信息是否真实的反映了系统的真实情况,确认有缺失、有疑问的信息。1.2.4评估报告列出相关的已有控制措施,面临的风险和存在的问题,以及应采取的改进措施;创建评估报告,根据综合分析结果创建评估报告。第5页,共19页2实施内容2.1实施时间2.2实施人员名单名单项目角色联系方法2.3漏洞风险分布统计通过漏洞扫描发现xxxx系统共有1452个风险点,其中在194台主机中极高风险主机有122台、高风险有0台、中风险3台、低风险29台、比较安全主机有40台。第6页,共19页2.3.1高危险漏洞的主机分布统计主机高危漏洞数占高危漏洞比例172.16.0.452.30%180.153.149.431.38%172.16.2.4120.92%第7页,共19页172.16.2.2820.92%172.16.2.2920.92%其它20393.55%2.3.2加固内容隐含最后登陆用户名编号:3018名称:隐含最后登陆用户名重要等级:中基本信息:WindowsNT/2000在缺省情况下最后登陆的用户名,使得攻击者可以猜测系统内的用户信息。检测内容:注销当前用户查看登陆界面上是否显示上次登陆用户。建议操作:Win2000系统:启用“本地安全策略|本地策略|安全选项|屏幕上不显示上次登陆的用户名”windowsNT:打开注册表管理器regedit打开HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/WindowsNT/CurrentVersion/Winlogon清空“DefaultDomainName”和“DefaultUserName”键值操作结果:隐含最后登陆用户名不会对系统造成任何不良的影响。登陆前显示一条警示信息第8页,共19页编号:3019名称:登陆前显示一条警示信息重要等级:中基本信息:利用此项功能可以在登陆前提示一些警示信息或注意事项,以保持系统的正常安全运行。同时防止用户对远程终端服务口令进行自动化的脚本猜测。检测内容:注销当前用户查看登陆界面上是否显示登陆警告信息。建议操作:Win2000:设置“本地安全策略|本地策略|安全选项|用户试图登录时消息文字”WinNT:打开注册表管理器regeditHKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WindowsNT\CurrentVersion\Winlogon\修改“LegalNoticeCaption”键值为警告信息。操作结果:登陆前显示一条警示信息不会对系统造成任何不良的影响。从登陆对话框中删除关机按钮编号:3020名称:从登陆对话框中删除关机按钮重要等级:高基本信息:如果在登陆界面上出现“关机”按钮的话,所有能够接触到该主机的用户都可以关闭机器,这是及其危险的,因此建议在登陆界面上删除“关机”按钮。检测内容:注销当前用户查看登陆界面上是否显示有关机按钮。建议操作:Win2000:停用“本地安全策略|本地策略|安全选项|允许为登录前关机”WinNT:第9页,共19页打开注册表管理器regeditHKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WindowsNT\CurrentVersion\Winlogon\修改“ShutdownWithoutLogon”键值为0。注销用户操作结果:从登陆对话框中删除关机按钮不会对系统造成任何不良的影响。阻止未授权访问注册表编号:3021名称:阻止未授权访问注册表重要等级:高基本信息:1、注册表编辑器支持远程WindowsNT注册表访问。2、禁止远程注册表访问。检测内容:1、检测注册表HiveHKEY_LOCAL_MACHINE\SYSTEMKey\CurrentControlSet\Control\SecurePipeServersName\winreg在该键值中设置的安全权限定义哪些用户或组可以连接到系统以便对注册表进行远程访问。默认的WindowsNTWorkstation安装未定义该键值,不限制对注册表的远程访问。WindowsNTServer只允许管理员远程访问绝大多数注册表。在KEY_LOCAL_MACHINE\System\CurrentControlSet\Contro\SecurePipeServers\winreg\AllowedPaths键值中指定义了某些允许非管理员访问的路径2、关闭远程用户修改此计算机上的注册表设置,只有此计算机上的用户才能修改注册表。建议操作:第10页,共19页添加上述注册表键值,限制对远程注册表的访问。在控制面板|管理工具|服务里停止或禁用RemoteRegistry服务。(windows2000默认打开)操作结果:上述设置限制了对注册表的远程访问,不会对系统造成任何不良的影响。对关键注册表项进行访问控制编号:3022名称:对关键注册表项进行访问控制重要等级:高基本信息:应在限定用户对注册表访问权限后,对一些关键的注册表项应该严格访问控制并进行严密监视,防止它们被攻击者用于启动trojan木马程序。检测内容:检测注册表下面的内容:注册表路径:HKEY_LocalMachine\SOFTWARE\Microsoft\Widows\CurrentVersion\键名缺省权限能启动代码执行的值RunEveryone设置值任意RunOnceServerOperators设置值任意RunOnceExEveryone设置值任意AeDebugEveryone设置值DebuggerWinlogonServerOperators设置值Userinit建议操作:注册表路径:HKEY_LocalMachine\SOFTWARE\Microsoft\Widows\CurrentVersion\对其默认的属性进行修改,推荐值为:键名缺省权限能启动代码执行的值RunEveryone设置值任意第11页,共19页RunOnceServerOperators设置值任意RunOnceExEveryone设置值任意AeDebugEveryone设置值DebuggerWinlogonServerOperators设置值UserinitCreatorOwnerFullControlAdministratorFullControlSystemFullControlEveryoneRead操作结果:对所有重要的注册表项进行访问控制限制,不会对系统造成任何不良的影响。清理RPC服务编号:5004名称:清理RPC服务重要等级:高基本信息:RPC服务即远过程调用服务的简称,Solaris系统上RPC服务存在着许多著名的安全漏洞,这些安全漏洞全部是远程缓冲区溢出漏洞,可以直接获得超级用户权限,危害巨大。但是这些RPC服务绝大多数并不需要对外提供服务,相反则会为入侵者提供了绝好的机会。检测内容:下面两种方法相结合检测,可以了解所有RPC服务:1、使用命令“rpcinfo–p目标ip地址”检测指定主机所开放的RPC服务。2、检测/etc/inetd.conf文件中下面内容:100232/10tlirpc/udpwaitroot/usr/sbin/sadmindsadmindrquotad/1tlirpc/datagram_vwaitroot/usr/lib/nfs/rquotadrquotadrusersd/2-3tlirpc/datagram_v,circuit_vwaitroot/usr/lib/netsvc/rusers/rpc.rusersdrpc.rusersd第12页,共19页sprayd/1tlirpc/datagram_vwaitroot/usr/lib/netsvc/spray/rpc.spraydrpc.spraydwalld/1tlirpc/datagram_vwaitroot/usr/lib/netsvc/rwall/rpc.rwalldrpc.rwalldrstatd/2-4tlirpc/datagram_vwaitroot/usr/lib/netsvc/rstat/rpc.rstatdrpc.rstatdrexd/1tlirpc/tcpwaitroot/usr/sbin/rpc.rexdrpc.rexdufsd/1tlirpc/*waitroot/usr/lib/fs/ufs/ufsdufsd–pfsstreamtcpwaitnobody/usr/openwin/lib/fs.autofsdtspcstreamtcpnowaitroot/usr/dt/bin/dtspcd/usr/dt/bin/dtspcd100083/1tlirpc/tcpwaitroot/usr/dt/bin/rpc.ttdbserverdrpc.ttdbserverd100221/1tlirpc/tcpwaitroot/usr/openwin/bin/kcms_serverkcms_server100235/1tlirpc/tcpwaitroot/usr/lib/fs/cachefs/cachefsdcachefsd100134/1tlirpc/ticotsordwaitroot/usr/lib/krb5/ktkt_warndktkt_warnd100234/1tlirpc/ticotsordwaitroot/usr/lib/gss/gssdgssd100146/1tlirpc/ticotsordwaitroot/usr/lib/security/amiservamiserv100147/1tlirpc/ticotsordwaitroot/usr/lib/security/amiservamiserv100150/1tlirpc/ticotsordwaitroot/usr/sbin/ocfservocfserv100068/2-5dgramrpc/udpwaitroot/