2024年6月13日发(作者:)

服务器安全检查基准

检查

子项

问题带来

的风险

恶意分子利用

默认帐号暴力

破解。 常见的

暴力破解办法

就是利用大多

数管理员安全

意识疏忽采用

默认管理员帐

号。运用黑客

工具可暴力破

解管理员帐号

的密码。

检查项 检查内容

检查方式

检查

结果

系统默认帐户和用户名

进行改名,密码符合长

度要求;

进入“控制面板->管

理工具->计算机管理

->本地用户和组”,

在“用户”中,选择

默认管理员,点右键,

选择“重命名”。命

名长度必须是8位以

上。

1,在“开始”—“运

行”,输入

,打开组

策略管理器

2,在组策略管理中,

依次打开 “计算机配

置”---“Windows 设

置”—“安全设置”

—“本地策略”—“用

户权限指派”。

3,在“用户权限指派”

中,根据你的实际情

况,对每个用户指定

最适当的权利。

进入“控制面板->管

理工具->计算机管理

->本地用户和组”,

根据需要管理帐户。

进入“控制面板->管

理工具->本地安全策

略”,在“帐户策略

->帐户锁定策略”:

查看是否“账户锁定

阀值”设置为小于等

于 3次,“帐户锁定

时间”设置为20分钟,

“复位帐户锁定计数

器”设置为20分钟以

后。

禁用netbios服务

安全管理

用户

管理

合理规划帐户的权限,

帐户的分配基于最小权

限原则;

多余权限会被

黑客利用。

用户和帐户集中统一管

理,专人负责发放和回

收;

不规范的帐号

发放会让管理

出现混乱和让

黑客有机可

寻。

当用户连续认证失败次

数超过3次,锁定该用

户使用的账号。

会给暴力破解

带来机会。

注册表

安全

禁止网络默认共享,禁

止枚举域内用户

利用这些开放

的共享信息,

恶意人员通过

这些可以获得

系统信息,并

通过IPC$枚举

域内用户。

HKEY_LOCAL_MACHINE

SYSTEMCurrentCon

trolSetServicesT

cpipParameters

下,修改

SynAttackProtect的

值为2。并添加以下数

EnablePMTUDiscover

y REG_DWORD 0

NoNameReleaseOnDem

and REG_DWORD 1

EnableDeadGWDetect

REG_DWORD 0

KeepAliveTime

REG_DWORD 300,000

定期检查备份系统的

状态。

定期备份数据。

防范SYN攻击

会被黑客使用

SYN碎片和

DDOS攻击。

配安数

置全据

防止硬件故障

将数据备份到文件或磁

导致数据无法

带,备份系统状态检查

使用。

数据

备份

计划使用增量和完全备防止硬件故障

份结合,良好控制备份导致数据无法

的可还原性; 使用。

黑客会利用

定期安装补丁和安全更

WINDOWS漏洞

新,包括系统、组件、

对系统进行攻

应用程序的更新;

击。

黑客会利用

定期检查补丁安装的情

WINDOWS漏洞

况,可用日志与MBSA

对系统进行攻

分析结合检查;

击。

漏洞与

检查Windows服务器是Windows系统

补丁

否都安装了防病毒软易感染病毒,

件,病毒库是否升级到给内部网带来

了最新版本 较大风险

没有及时更新

系统补丁,这

如需启用IIS服务,则

样一旦发现系

将IIS升级到最新补

统漏洞,则存

丁。

在被黑客攻击

的安全隐患。

使用配

预防黑客攻

置模板进行修改和对应

击。

本地策

分析;

预防黑客攻击

略模板

审核登陆事件和目录访

和用户的恶意

问;

访问。

减少磁盘碎

数据

所有分区使用NTFS;

片,扩展磁盘

定期更新补丁。

定期核查并记录在

案。

安装防病毒软件,升

级防病毒库到最新

控制面板->添加或删

除程序->显示更新打

钩,查看是否安装IIS

补丁包。

使用安全配置审核

在日志中审核登陆记

录,并审核恶意访问

的记录。

将所有FAT32转换为

NTFS格式。

存储

所有卷只给

administrator组和

system完全权限;

重要数据的本地存储要

求使用EFS加密保护;

关键系统间的通信要求

使用IPSEC封装,避免

被侦听;

配额、EFS等安

全功能。

防止用户的恶

意访问。

防止用户的恶

意访问。

检查每个卷,确定只

给administrator组

和system完全权限。

配置EFS给文件加密。

数据

保护

防止在传输过要求数据通讯的双方

程中被侦听。 都配置IPSEC。

这些不必要的

服务开启完全

可能被恶意分

子利用,有些

服务的开启有

可能通过网络

共享资源泄漏

出系统的敏感

信息或者通过

一些不必要的

服务开启利用

共享资源浏览

一些而这些其

它机器上的信

息,信息的泄

漏都是在用户

不知情的情况

下发生的。因

为开启了这些

服务后,这些

服务会自动跟

踪网络上一个

域内的机器,

允许用户通过

网上邻居来发

现他们不知道

确切名字的共

享资源。而且

浏览这些资源

是不通过任何

授权的。

如果恶意分子

利用远程修改

注册表键值,

可以修改部分

主机属性,为

远程获取主机

信息,甚至远

程控制主机提

供便利。应及

时关闭远程注

册表项。

检查Windows服务器是

否开启了一些危险的缺

省服务,若存在应及时

关闭。否则会成为潜在

威胁。

访

关闭Windows主机的

一些有危险的缺省服

务:禁用alerter、

clipbook、commputer

browser、messenger、

Routing and Remote

Access、Telnet、

remote registry等服

服务访

问控制

检查Windows服务器是

否没有关闭远程注册表

服务

关闭windows主机的

远程注册表服务

remote registry

网络访

问控制

使用TCP/IP筛选过滤

网络访问,至少关闭高

危和服务不必要的端

口;

检查Windows服务器注

册表

HKLMsoftwaremicros

oftDrWatsonCreateC

rashDump 键值是否不

合理。若存在,一旦存

到磁盘上很可能泄露一

些敏感信息。(注:

Microsoft用来处理应

用程序错误的一个实用

程序。它可以Dump一个

出错应用程序的内存以

便进行分析。但是Dump

出来的数据中肯能会含

有敏感信息,因此应该

防止Dr. Watson crash

dump到磁盘上。)

防火墙配置默认禁止所

有网络访问的条件许可

可信通信;

防止黑客利用

多余的网络连

接。

减少黑客攻击

的风险。

核对网络访问,核查

异常连接。配置防火

墙只开放允许的连接

和服务。

关闭一些不必要的

TCP/IP端口。

Microsoft用

来处理应用程

序错误的一个

实用程序。它

可以Dump一个

出错应用程序

的内存以便进

行分析。但是

Dump出来的数

据中肯能会含

有敏感信息,

因此应该防止

Dr. Watson

crash dump到

磁盘上。

更改键值为0

异常监

防止有恶意用

户故意制造程

序错误来重起

机器以进行破

坏操作。致使

正在编辑、修

改的资料和信

息来不及保存

就重启机器,

导致文件丢

通过登录查看Windows

失。或者使正

主机注册表后发现注册

在运行的程序

由于没有写入

HKLMSystemCurrentC

成功,导致文

ontrolSetControlCr

件破坏。有一

ashControlAutoReboo

些恶意程序需

t键值不合理,存在安

要 重新启动

全隐患应该及时更改。

后才能运行,

如果键值不合

理,遭到恶意

程序入侵后恶

意程序主动制

造程序错误导

致系统自动重

新启动,会造

成恶意程序直

接运行,泄漏

更改键值为0

系统信息或对

系统造成破

坏。