精华内容
下载资源
问答
  • 有linux的加固方案、windows的加固方案安全事件响应方案及应急处置排查方法
  • 不错的文档,值得学习oracle的安全加固很实用,公司项目按这个文档操作的
  • Tomcat安全加固方案.pdf

    2019-06-16 18:26:16
    Tomcat安全加固方案..服务降权、端口保护、隐藏版本信息等等
  • 中小企业的网络安全防护应不仅仅是安全产品 和技术方面需要考虑的事情,更应是从安全管理、安 全技术和人员培训等多方面综合构建全面的安全防 护体系。 在安全管理方面,企业内部要建立起一套完整的 安全策略...
  • .PAGEword版本PAGE 2目 录TOC \o "1-3" \h \z \u LINUX加固方案 11.安装最新安全补丁 42.网络和系统服务 43.核心调整 64.日志系统 75.文件/目录访问许可权限 76.系统访问, 认证和授权 87.用户账号和环境 108.关键...

    . .

    PAGE

    word版本

    PAGE 2

    目 录

    TOC \o "1-3" \h \z \u LINUX加固方案 1

    1.安装最新安全补丁 4

    2.网络和系统服务 4

    3.核心调整 6

    4.日志系统 7

    5.文件/目录访问许可权限 7

    6.系统访问, 认证和授权 8

    7.用户账号和环境 10

    8.关键安全工具的安装 11

    1.安装最新安全补丁

    项目:

    注释:

    1

    安装操作系统提供商发布的最新的安全补丁

    各常见的Linux发布安全信息的web地址:

    RedHat Linux: /support/

    Caldera OpenLinux: /support/security/

    Conectiva Linux: .br/atualizacoes/

    Debian GNU/Linux: /security/

    Mandrake Linux: /en/fupdates.php3

    LinuxPPC: /support/updates/security/

    S.u.S.E. : http://www.suse.de/security/index.html

    Yellow Dog Linux : /resources/errata.shtml

    2.网络和系统服务

    inetd/xinetd网络服务:

    设置项

    注释:

    1

    确保只有确实需要的服务在运行:

    先把所有通过ineted/xineted运行的网络服务关闭,再打开确实需要的服务

    绝大多数通过inetd/xinetd运行的网络服务都可以被禁止,比如echo, exec, login, shell,who,finger等.对于telnet, r系列服务, ftp等, 强烈建议使用SSH来代替.

    2

    设置xinetd访问控制

    在/etc/xinetd.conf文件的”default {}”块中加入如下行:

    only_from=// …

    每个/(比如/24)对表示允许的源地址

    启动服务:

    设置项

    注释:

    1

    关闭NFS服务器进程:

    运行 chkconfig nfs off

    NFS通常存在漏洞会导致未授权的文件和系统访问.

    2

    关闭NFS客户端进程:

    运行 chkconfig nfslock off

    chkconfig autofs off

    3

    关闭NIS客户端进程:

    chkconfig ypbind off

    NIS系统在设计时就存在安全隐患

    4

    关闭NIS服务器进程:

    运行 chkconfig ypserv off

    chkconfig yppasswd off

    5

    关闭其它基于RPC的服务:

    运行 chkconfig portmap off

    基于RPC的服务通常非常脆弱或者缺少安全的认证,但是还可能共享敏感信息.除非确实必需,否则应该完全禁止基于RPC的服务.

    6

    关闭SMB服务

    运行 chkconfig smb off

    除非确实需要和Windows系统共享文件,否则应该禁止该服务.

    7

    禁止Netfs脚本

    chkconfig netfs off

    如果不需要文件共享可禁止该脚本

    8

    关闭打印机守护进程

    chkconfig lpd off

    如果用户从来不通过该机器打印文件则应该禁止该服务.Unix的打印服务有糟糕的安全记录.

    9

    关闭启动时运行的 X Server

    sed 's/id:5:initdefault:/id:3:initdefault:/' \

    < /etc/inittab > /etc/inittab.new

    mv /etc/inittab.new /etc/inittab

    chown root:root /etc/inittab

    chmod 0600 /etc/inittab

    对于专门的服务器没有理由要运行X Server, 比如专门的Web服务器

    10

    关闭Mail Server

    chkconfig postfix off

    多数Unix/Linux系统运行Sendmail作为邮件服务器, 而该软件历史上出现过较多安全漏洞,如无必要,禁止该服务

    11

    关闭Web Server

    chkconfig httpd off

    可能的话,禁止该服务.

    12

    关闭SNMP

    chkconfig snmpd off

    如果必需运行SNMP的话,应该更改缺省的community string

    13

    关闭DNS Server

    chkconfig named off

    可能的话,禁止该服务

    14

    关闭 Database Server

    展开全文
  • LINUX安全加固方案

    2021-05-10 07:11:56
    LINUX 加固手册(2009-2-11)一、修改密码策略1、cp /etc/login.defs /etc/login.defs.bak2、vi /etc/login.defsPASS_MAX_DAYS 90 (用户的密码不过期最多的天数)PASS_MIN_DAYS 0 (密码修改之间最小的天数)PASS_MIN_LEN...

    LINUX 加固手册(2009-2-11)

    一、修改密码策略

    1、cp /etc/login.defs /etc/login.defs.bak

    2、vi /etc/login.defs

    PASS_MAX_DAYS 90 (用户的密码不过期最多的天数)

    PASS_MIN_DAYS 0 (密码修改之间最小的天数)

    PASS_MIN_LEN 8 (密码最小长度)

    PASS_WARN_AGE 7 (口令失效前多少天开始通知用户更改密码)

    按要求修改这几个密码选项,修改完之后保存(:wq!)退出即可。

    二、查看系统是否已设定了正确UMASK值(022)

    1、用命令umask查看umask值是否是 022,

    如果不是用下面命令进行修改:

    cp/etc/profile/etc/profile.bak

    vi /etc/profile

    找到 umask 022,修改这个数值即可。

    三、锁定系统中不必要的系统用户和组

    1、cp /etc/passwd /etc/passwd.bak

    cp /etc/shadow /etc/shadow.bak

    锁定下列用户

    2、for i in adm lp sync news uucp games ftp rpc rpcuser nfsnobody mailnull gdm do

    usermod -L $i

    done

    3、检查是否锁定成功

    more /etc/shadow 如 :lp:!*:13943:0:99999:7::: lp帐户后面有!号为已锁定。

    4、禁用无关的组:

    备份:

    cp /etc/group /etc/group.bak

    展开全文
  • centos7 系统安全加固方案

    千次阅读 2020-02-03 21:11:16
    ****centos7 系统安全加固方案**** 一.密码长度与有效期 1、用户的默认设置文件:/etc/login.defs 2、/etc/login.defs文件说明 *设置项* *含义* MAIL_DIR /var/spool/mail 创建用户时,系统会在目录 /var/...

    ****centos7 系统安全加固方案****

    一.密码长度与有效期

    1、用户的默认设置文件:/etc/login.defs

    2、/etc/login.defs文件说明

    *设置项**含义*
    MAIL_DIR /var/spool/mail创建用户时,系统会在目录 /var/spool/mail 中创建一个用户邮箱,比如 lamp 用户的邮箱是 /var/spool/mail/lamp。
    PASS_MAX_DAYS 99999密码有效期,99999 是自 1970 年 1 月 1 日起密码有效的天数,相当于 273 年,可理解为密码始终有效。
    PASS_MIN_DAYS 0表示自上次修改密码以来,最少隔多少天后用户才能再次修改密码,默认值是0。
    PASS_MIN_LEN 5指定密码的最小长度,默认不小于 5 位,但是现在用户登录时验证已经被 PAM 模块取代,所以这个选项并不生效。
    PASS_WARN_AGE 7指定在密码到期前多少天,系统就开始通过用户密码即将到期,默认为7天。
    UID_MIN 500指定最小 UID 为 500,也就是说,添加用户时,默认 UID 从 500 开始。注意,如果手工指定了一个用户的 UID 是 550,那么下一个创建的用户的 UID 就会从 551 开始,哪怕 500~549 之间的 UID 没有使用。
    UID_MAX 60000指定用户最大的 UID 为 60000。
    GID_MIN 500指定最小 GID 为 500,也就是在添加组时,组的 GID 从 500 开始。
    GID_MAX 60000用户 GID 最大为 60000。
    CREATE_HOME yes指定在创建用户时,是否同时创建用户主目录,yes 表示创建,no 则不创建,默认是 yes。
    UMASK 077用户主目录的权限默认设置为 077。
    USERGROUPS_ENAB yes指定删除用户的时候是否同时删除用户组,准确地说,这里指的是删除用户的初始组,此项的默认值为 yes。
    ENCRYPT_METHOD SHA512指定用户密码的加密规则,默认采用 SHA512,这是新的密码加密模式,原先的 Linux 只能用 DES或MD5加密。

    3、查看默认配置

    cat /etc/login.defs |grep PASS_ |grep -v ‘#’

    PASS_MAX_DAYS 99999

    PASS_MIN_DAYS 0

    PASS_MIN_LEN 5

    PASS_WARN_AGE 7

    4、加固方案

    5、

    (1)备份配置文件:

    cp -a /etc/login.defs /etc/login.defs.default

    (2)编辑配置文件并将相关参数改成如下

    # vi /etc/login.defs

    PASS_MAX_DAYS 90

    PASS_MIN_DAYS 6

    PASS_MIN_LEN 8

    PASS_WARN_AGE 30

    二、密码复杂度

    1、查看默认配置

    # cat /etc/pam.d/system-auth | grep “pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=”

    password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=

    2、相关字段说明

    *try_first_pass* 而当pam_unix验证模块与password验证类型一起使用时,该选项主要用来防止用户新设定的密码与以前的旧密码相同。

    *minlen=8* 最小长度8位

    *difok=5* 新、旧密码最少5个字符不同

    *dcredit=-1* 最少1个数字

    *lcredit=-1* 最少1个小写字符,(ucredit=-1:最少1个大写字符)

    *ocredit=-1* 最少1个特殊字符

    *retry=1* 1次错误后返回错误信息

    *type=xxx* 此选项用来修改缺省的密码提示文本

    3、/etc/login.defs文件的pass_min_len 参数并不具备强制性,测试仍然可以设置7位密码。最终需要cracklib来实现。

    3、加固方案

    (1)备份配置文件:

    # cp -a /etc/pam.d/system-auth /etc/pam.d/system-auth.default

    (2)编辑配置文件

    # vi /etc/pam.d/system-auth

    注释:password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=

    在其下面新增1行:password requisite pam_cracklib.so try_first_pass minlen=8 difok=5 dcredit=-1 lcredit=-1 ocredit=-1 retry=1 type=

    (3)保存配置文件

    三.新口令不能与4个最近使用的相同

    *1、查看默认配置*

    # cat /etc/pam.d/system-auth |grep use_authtok

    password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok

    2、*加固方案*

    (1)备份配置文件

    (2)编辑配置文件:# vi /etc/pam.d/system-auth

    在password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok 行的后面添加remember=5

    (4)保存配置文件

    四.设置会话超时(5分钟

    *1、********默认配置:无*

    *2、********加固方案:*

    (1)备份配置文件:

    # cp -a /etc/profile /etc/profile.default

    (2)编辑配置文件:

    vi /etc/profile

    在文件的末尾添加参数

    export TMOUT=300

    (3)保存配置文件

    五.设置history命令时间戳

    *1、********默认配置: 无*

    *2、********加固方案:*

    (1)备份配置文件:

    (2)编辑配置文件:

    vi /etc/profile

    在文件的末尾添加参数

    export HISTTIMEFORMAT="%F %T whoami "

    (4)保存配置文件

    六.设置登陆失败锁定(终端登录)

    通过终端登录,5次登录失败后锁定账号30分钟,锁定期间此账号无法再次登录。

    *1、********默认配置:无*

    *2、********加固方案:*

    1.备份配置文件

    2.编辑配置文件:

    # vi /etc/pam.d/system-auth

    在# User changes will be destroyed the next time authconfig is run.行的下面,添加

    auth required pam_tally2.so deny=5 unlock_time=1800 even_deny_root root_unlock_time=1800

    3.保存配置文件

    七. 禁止root通过ssh远程登录

    1、*默认配置:*

    # cat /etc/ssh/sshd_config |grep PermitRootLogin

    #PermitRootLogin yes

    2、*加固方案:*

    (1)备份配置文件

    # cp -a /etc/ssh/sshd_config /etc/ssh/sshd_config.default

    (2)编辑配置文件

    vi /etc/ssh/sshd_config

    将配置参数#PermitRootLogin yes改成PermitRootLogin no

    (3)保存配置文件

    (4)重启ssh服务

    # /etc/init.d/sshd restart

    八.SSH 配置参数增强

    *1.备份配置文件*

    *2.编辑配置文件*

    #vi /etc/ssh/sshd_config

    1.备份配置文件2.编辑配置文件

    #vi /etc/ssh/sshd_config

    (1)禁止空密码登录

    将#PermitEmptyPasswords no参数的注释符号去掉,改成

    PermitEmptyPasswords no

    (2)关闭ssh的tcp转发

    将#AllowTcpForwarding yes参数改成

    AllowTcpForwarding no

    (3)关闭S/KEY(质疑-应答)认证方式

    将#ChallengeResponseAuthentication yes参数,改成

    ChallengeResponseAuthentication no

    (4)关闭基于GSSAPI 的用户认证

    将GSSAPIAuthentication yes参数,改成

    GSSAPIAuthentication no

    *3.********保存配置文件*

    *4.重启ssh服务*

    九.设置SSH登录警告语

    *1.********默认配置:无*

    *2.********加固方案:*

    (1)备份配置文件

    (2)编辑配置文件

    #vim /etc/ssh/sshd_config

    找到#Banner none参数,在其下一行,增加

    Banner /etc/ssh/alert

    (3)保存配置文件

    (4)新增告警信息文件.

    #vim /etc/ssh/alert

    文件内容,设置成


    这里的内容自己定义,可以提示一下登录的用户引起运维人员重视

    Warning!!!Any Access Without Permission Is Forbidden!!!


    (5)保存后重启ssh服务

    十设置umask值

    *1、********默认配置:*

    # umask

    0022

    3、*加固方案:*

    将umask值设置成0027,用于拿掉新增目录与文件的非所有者和所有者所属组的访问权限。

    默认情况下:

    新增目录权限755,即rxwr-xr-x

    新增文件权限644,即rw-r–r—

    加固后:

    新增目录权限750,即rxwr-x—

    新增文件权限640,即rw-r-----

    (1)备份配置文件

    # cp -a /etc/bashrc /etc/bashrc.default

    (2)编辑配置文件

    # vi /etc/bashrc

    在文件末尾增加参数

    umask 027

    (3)保存配置文件

    (4)备份配置文件

    # cp -a /etc/profile /etc/pr ofile.default

    (5)编辑配置文件

    # vi /etc/profile

    在文件末尾增加参数

    umask 027

    (6)保存配置文件

    十一.Control-Alt-Delete 键盘重启系统命令

    *1.********默认配置:*

    ls /usr/lib/systemd/system/ctrl-alt-del.target

    *2.********加固方案:*

    (1)备份配置文件

    cp -a /usr/lib/systemd/system/ctrl-alt-del.target /usr/lib/systemd/system/ctrl-alt-del.target.default

    (2)移除该原源文件

    rm -rf /usr/lib/systemd/system/ctrl-alt-del.target

    十二. 隐藏系统版本信息:登录界面显示系统版本信息

    加固方案:

    #mv /etc/issue /etc/issue.bak

    #mv /etc/issue.net /etc/issue.net.bak

    13.最大文件打开数(文件句柄数):修改所有用户的最大文件打开数为65535

    *1、********默认配置:*

    [root@i-1y3we23j ~]# ulimit -n1024

    *2、********加固方案:*

    (1)备份配置文件

    cp -a /etc/security/limits.conf /etc/security/limits.conf.default

    (2)添加以下两行配置到该文件最后

    * soft nofile 65535

    * hard nofile 65535

    十四.用户最大进程数:修改所有用户的最大进程数为65535

    *1、********默认配置:*

    [root@i-1y3we23j ~]# cat /etc/security/limits.d/20-nproc.conf

    # Default limit for number of user’s processes to prevent# accidental fork bombs.

    # See rhbz #432903 for reasoning.

    * soft nproc 4096

    root soft nproc unlimited

    *2、加固方案:*

    (1)备份配置文件

    cp -a /etc/security/limits.d/20-nproc.conf /etc/security/limits.d/20-nproc.conf.default

    (2)修改配置文件vim /etc/security/limits.d/20-nproc.conf

    * soft nproc 65535

    * hard nproc 65535

    十五、系统参数调优

    *1、********默认配置:无*

    *2、********加固方案:*

    (1)备份配置文件

    cp -a /etc/sysctl.conf /etc/sysctl.conf.default

    (2)添加以下调优参数到该文件中

    net.ipv4.ip_forward = 1

    net.ipv4.conf.default.rp_filter = 1

    net.ipv4.conf.default.accept_source_route = 0

    kernel.sysrq = 0

    kernel.core_uses_pid = 1

    kernel.msgmnb = 65536

    kernel.msgmax = 65536

    kernel.shmmax = 68719476736

    kernel.shmall = 4294967296

    net.core.wmem_default = 8388608

    net.core.rmem_default = 8388608

    net.core.rmem_max = 16777216

    net.core.wmem_max = 16777216

    net.ipv4.route.gc_timeout = 20

    net.ipv4.tcp_retries2 = 5

    net.ipv4.tcp_fin_timeout = 30

    net.ipv4.tcp_wmem = 8192 131072 16777216

    net.ipv4.tcp_rmem = 32768 131072 16777216

    net.ipv4.tcp_mem = 94500000 915000000 927000000

    net.core.somaxconn = 262144

    net.core.netdev_max_backlog = 262144

    net.core.wmem_default = 8388608

    net.core.rmem_default = 8388608

    net.core.rmem_max = 16777216

    net.core.wmem_max = 16777216

    net.ipv4.route.gc_timeout = 20

    net.ipv4.ip_local_port_range = 10024 65535

    net.ipv4.tcp_retries2 = 5

    net.ipv4.tcp_syn_retries = 2

    net.ipv4.tcp_synack_retries = 2

    net.ipv4.tcp_timestamps = 0

    net.ipv4.tcp_tw_recycle = 1

    net.ipv4.tcp_tw_reuse = 1

    net.ipv4.tcp_keepalive_time = 1800

    net.ipv4.tcp_keepalive_probes = 3

    net.ipv4.tcp_keepalive_intvl = 30

    net.ipv4.tcp_max_orphans = 3276800

    net.ipv4.tcp_wmem = 8192 131072 16777216

    net.ipv4.tcp_rmem = 32768 131072 16777216

    net.ipv4.tcp_mem = 94500000 915000000 927000000

    fs.file-max = 65535

    kernel.pid_max = 65536

    net.ipv4.tcp_wmem = 4096 87380 8388608

    net.core.wmem_max = 8388608

    net.core.netdev_max_backlog = 5000

    net.ipv4.tcp_window_scaling = 1

    net.ipv4.tcp_max_syn_backlog = 10240

    net.core.netdev_max_backlog = 262144

    net.core.somaxconn = 262144

    net.ipv4.tcp_max_orphans = 3276800

    net.ipv4.tcp_max_syn_backlog = 262144

    net.ipv4.tcp_timestamps = 0

    net.ipv4.tcp_syn_retries = 1

    net.ipv4.tcp_synack_retries = 1

    net.ipv4.tcp_syncookies = 1

    net.ipv4.tcp_tw_reuse = 1

    net.ipv4.tcp_tw_recycle = 1

    net.ipv4.tcp_fin_timeout = 30

    net.ipv4.tcp_keepalive_time = 120

    net.ipv4.ip_local_port_range = 10000 65000

    net.ipv4.tcp_max_syn_backlog = 262144

    net.ipv4.tcp_max_tw_buckets = 36000

    展开全文
  • 本文基于中国电信ISMP(综合业务管理平台)的特点,研究了在业务统一管理过程中的安全控制机制,提出了ISMP的安全解决方案
  • 数据中心安全加固方案.docx
  • Windows server系统基本安全加固方案 一、账号配置 (一)、禁用guest账户 Guest帐户即所谓的来宾帐户,它可以访问计算机,但受到极大的限制。然而黑客依然可以通过该账户进行入侵提权。在不需要使用该账户的情况下...

    Windows server 2008r2系统基本安全加固方案

    一、针对用户配置

    (一)、账户操作

      禁用guest账户、删除无效和到期账户、更改管理员名称都可以直接在“计算机管理”中进行操作

      进入方式:windows徽标键(win键) + R,输入“compmgmt.msc”进入计算机管理。
    在这里插入图片描述

    1、禁用guest账户

      Guest帐户即所谓的来宾帐户,它可以访问计算机,但受到极大的限制。然而黑客依然可以通过该账户进行入侵提权。在不需要使用该账户的情况下,禁用是最好的选择。

      操作流程:本地用户和组=>用户=>Guest 在“账户已禁用”选项上打钩启用。
    在这里插入图片描述

    2.删除无效或到期的账户,同时更改管理员名称

      无效或是到期的用户,一般是指不会再次使用的账户,这些账户对于计算机而言也是一个隐患,所以最好删除掉。

      操作流程:本地用户和组=>用户=>选择无效或是到期的用户=>右键选择删除。
    在这里插入图片描述

    3、更改管理员名称

      windows系统的默认管理员账号在网上轻易就能搜索得到,因此最好将管理员的默认账户名更改掉,减小被爆破的几率。
      操作流程:本地用户和组=>用户=>选择无效或是到期的用户=>右键选择删除。
    在这里插入图片描述

    (二)、账户策略

      “账户策略”主要用来加强用户的账户对爆破的防御能力,下含“密码策略”和“账户锁定策略”。可以通过“本地安全策略”或是“本地组策略编辑器”进行设置,以下是以“本地安全策略”内配置为例:

      进入方式:windows徽标键(win键) + R,输入“secpol.msc”进入本地安全策略。
    在这里插入图片描述

    1、密码策略

      密码又被称为口令,作为操作系统、用户身份鉴别信息应具有不易被冒用的特点,且口令应符合一定的复杂度要求并定期更换。密码策略内的各条策略的含义及其配置如下:

    (1)、密码必须符合复杂性要求

      含义:密码复杂性是指密码必须满足由数字、大小写字母和特殊符号组成。
      配置:双击后勾选“已启用”,启用该策略。

    (2)、密码长度最小值

      含义:即密码的长度。增加密码的复杂程度和被爆破的难度。
      配置:最小长度值一般配置最低为8个字符,上限为14个字符。(为0时,表示不限制密码长度。)

    (3)、密码最短使用期限

      含义:密码最短的使用时间,未超过设定的时间期限不能修改密码
      配置:可以按照需求灵活配置,一般可设置为7天,上限为998天。(为0时,表示可以随时更改密码。)
      注意:密码最短使用期限在设置时,强制默认小于等于密码最长使用期限。

    (4)、密码最长使用期限

      含义:密码最长使用时间,超过设定的时间期限后,如果不修改密码,则会在每次使用旧密码登陆后,弹窗提醒修改密码
      配置:默认为42天。可以按照需求灵活配置,上限为999天。(为0时,表示密码没有使用期限,可以一直使用)

    (5)、强制密码历史

      含义:记忆最近的使用的旧密码的个数,使得被记忆的密码无法再次使用。
      配置:可以按照需求灵活配置,一般设置记忆数量不超过5个,上限为24个。(为0时,表示可以随意使用之前的旧密码作为新密码使用)

    (6)、用可还原的加密来存储密码

      含义:此安全设置确定操作系统是否使用可还原的加密来储存密码。
      配置:可还原存在一定隐患,在没有需求情况先最好禁用。

    配置结果如下图:
    在这里插入图片描述

    2、配置账户锁定策略

      账户锁定策略用于在同一个账户输入次数达到指定次数后,自动锁定该账户一段时间后才能再次进行登录。用于防范被他人暴力爆破。锁定账户策略各条策略的含义及配置如下:
      注意:账户锁定策略对管理员无效。

    (1)、账户锁定时间

      含义:在达到“账户锁定阈值”的限制次数时会锁定账户一定时间。
      配置:可以按照需求灵活配置,一般默认在打开设定“账户锁定阈值后”自动定为30分钟,上限为99999分钟。

    (2)、账户锁定阈值

      含义:同一账户的登入失败次数限制,一旦超过设置的限制次数会自动锁定该账户一定时间。
      配置:可以按照需求灵活配置,一般设置为5次,上限为999。(为0时,表示不限制登入失败次数)

    (3)、重置账户锁定计数器

      含义:重置账户登入失败次数。
      配置:可以按照需求灵活配置,一般默认在打开设定“账户锁定阈值后”自动定为30分钟,上限为99999分钟。
      注意:该项策略设定时间时,强制默认必须小于等于“账户的锁定时间”。

    配置结果如下图:
    在这里插入图片描述

    二、针对系统配置

      针对系统的配置比较分散,以下我就我所学到的配置进行举例说明。如有不足请各位大佬多多包涵。

    (一)、本地组策略编辑器内的配置

    1、进入本地组策略编辑器**

      通过windows徽标键(win键)+ R,输入“gpedit.msc”进入
    在这里插入图片描述

    2、设置安全审核

      审核在计算机上的所有操作,默认无审核,最好全部开启。

      配置结果如下图
    在这里插入图片描述

    3、用户权限分配配置

      主要是将权限分配给用户或者组,使用用户或组能够对系统进行操作。重要的有:
      (1)、“从网络访问此计算机”策略除了给予管理员组外,只给予值得信任的用户。
      (2)、“从远程系统强制关机”、“关闭系统”、“取得文件或其他对象的所有权”三个策略只给予管理员或者管理员组
    在这里插入图片描述

    4、安全选项

      主要是对策略的启用与关闭,重要的有:
      (1)、Microsoft网络客户端:暂停会话前所需的空闲时间
      (对于不活动的用户,最好是设置一定时间断开连接,可以设置为15分钟。
      (2)、关机:清除虚拟内存
      如果电脑的内存太小,会直接影响到系统效率,这时就得使用虚拟内存。虚拟内存就是将硬盘虚拟成为内存,生成一个用作缓存的页面文件。但是每次关机时,这个虚拟内存在默认的设置中,并不会释放它所记忆的数据,在下次开机时就会影响到开机时间。因此最好设置关机时自动删除,当然开启后会影响关机速度。
      (3)、交互不显示最后的用户名
      系统会默认记住上一个登陆的用户的登陆名。本意是为了方便用户的登陆,但却为心怀恶念之人提供了一个方便之门。因此在非必要的情况下最好禁用该功能。同时该策略配合“账户策略”能够提高对爆破的防御能力。
    在这里插入图片描述

    5、远程桌面服务策略

      远程桌面相关的安全策略,主要配置对已断开连接的远程桌面服务会话配置时间限制。一般配置断开时间为1分钟。配置如下:
    在这里插入图片描述
    在这里插入图片描述

    6、自动播放关闭

      一旦将介质插入驱动器,自动播放就开始从驱动器中进行读取操作。这样,程序的安装文件和音频媒体上的音乐将立即启动。同时这也为恶意软件提供了可乘之机,因此最好关闭该项功能。
    在这里插入图片描述
    在这里插入图片描述

    (二)、其余零散重要配置

    1、日志文件配置

      日志文件,它记录着Windows系统及其各种服务运行的每个细节,对增强Windows的稳定和安全性,起着非常重要的作用。不注意对它保护,一些“不速之客”很轻易就将日志文件清空,给系统带来严重的安全隐患。
      可已通过修改日志文件的存放位置、使用NTFS文件权限给日志文件设置访问权限。
      同时因为服务的流量会产生大量的日志内容,默认的日志文件的容量太小,必须增大日志的容量
      日志文件配置点如下:
     (1)、windows徽标键(win键) + R,输入“compmgmt.msc”进入计算机管理。
    在这里插入图片描述
     (2)、点击windows日志项。
    在这里插入图片描述
     (3)、右键选项进入属性界面。
    在这里插入图片描述
     (4)、修改默认路径、增加日志文件容量大小(下图为未配置的默认值,可根据需求自行配置)。
    在这里插入图片描述

    2、默认共享检查

    将默认共享的磁盘从默认共享内移除。进入cmd
    在这里插入图片描述
    输入命令:net share
    在这里插入图片描述
    使用命令,以删除c盘为例:net share C$ /del
    在这里插入图片描述

    3、磁盘配额

      磁盘配额可以限制指定账户能够使用的磁盘空间,这样可以避免因某个用户的过度 使用磁盘空间造成其他用户无法正常工作甚至影响系统运行。操作流程如下

    windows徽标键(win键) + R,输入“compmgmt.msc”进入计算机管理。
    在这里插入图片描述
    进入属性
    在这里插入图片描述
    配置磁盘额度
    在这里插入图片描述
    注意:以上配置涉及策略的项,在各项策略配置完毕后,一定要注意更新。更新策略的方式有:
      1.重启计算机。
      2.注销用户,重新登陆。
      3.windows徽标键(win键) + R,输入“gpupdate /force”强制更新组策略

    展开全文
  • Windowsxx服务器安全加固方案 Windows xx服务器安全加固方案 sql服务器安全加固 安装最新的mdac.microsoft./data/download.htm) 5.1 密码策略 由于sql server不能更改sa用户名称也不能删除这个超级用户所以我们必须...
  • Q/ZD 浙江省电力公司企业标准 编号Q/ xxx XXX Oracle数据库安全加固方案 2014年11月19日 2010-*-发布 2010-*-* 实施 2010-*- 浙江省电力公司 发布 特制订XXX为规范Oracle数据库安全加固操作全面系统地降低Oracle 特...
  • 酒钢网络安全加固方案探析.pdf
  • Windowsxx的服务器安全加固方案 Windows xx的服务器安全加固方案 因为IIS(即Inter Information Server)的方便性和易用性使它成为最受欢迎的Web服务器软件之一但是IIS的安全性却一直令人担忧如何利用IIS建立一个安全...
  • 文档包括调整系统服务运行用户,以降低服务运行权限;防止暴力破解,对异常IP进行监控处理;远程登陆保护,对异常登陆用户进行监控保护;修改SSH默认端口,提高系统安全等等。
  • 安全加固方案模板.doc

    2021-10-01 23:31:31
    安全加固方案模板.doc
  • 中小型企业网络安全加固方案.pdf
  • WIN2003服务器 安全加固方案 关 键 词 安全? 加固? 方案? 服务器? WIN2003 因为IIS(即Internet Information Server)的方便性和易用性使它成为最受欢迎的Web服务器软件之一但是IIS的 安全性却一直令人担忧如何利用...
  • CentOS7 系统安全加固实施方案介绍,
  • 在全球信息化的普及和移动互联网蓬勃发展的背景下,安卓系统的安全加固作为移动互联网和智能终端的新兴领域最为核心的技术之一,需要结合其所表现出来的安全问题进行深入的分析与研究。结合了证书链机制,以完整性...
  • 网络信息安全加固方案.docx
  • 东北财经大学网络安全加固方案设计与实践.pdf
  • 电力信息网络安全加固方案.pdf
  • 范文 范例 指导 参考 Q/ZD 浙 江 省 电 力 公 司 企 业 标 准 编号Q/ XXX Oracle 数据库安全加固方案 2014 年11 19 日 2010-*-* 发布 2010-*-* 实施 word版 整理 范文 范例 指导 参考 浙江省电力公司 发布 word版 ...
  • 中安威士数据库安全加固方案之公有云解决方案.pdf
  • 中国移动企业信息化系统安全加固方案和实施计划是移动集团总部信息化办公室和各省公司信息化办公室对其所负责的平台(统一信息平台、OA等)的安全指南。 集团公司信息化办公室针对信息系统安全制定了一系列由概括到...
  • 基于Intent过滤的应用安全加固方案
  • XXXX 业务网网络信息安全加固项目案例介绍 一 概述 随着信息化技术的深入和互联网的迅速发展整个世界正在迅速 地融为一体IT 统已经成为 XXX 整合共享内部资源的核心平台 同时随着 XXX 经营理念的不断深化利用各种...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 12,423
精华内容 4,969
关键字:

安全加固方案