广州市电子政务外网系统安全加固

广州市电子政务外网

系统安全 加固指南 （1.0版）

广州市机关信息网络中心编制

2010年8月

1

广州市电子政务外网 系统安全 加固指南 （1.0版） ............................................................... 1 Windows系统安全加固 .................................................................................................................. 4 1．补丁更新 .................................................................................................................................... 4

1.1 到微软网站下载最新的补丁程序 ................................................................................... 4 2．安全加固 .................................................................................................................................... 4

2.2 停掉Guest 帐号.............................................................................................................. 4 2.3 限制不必要的用户数量 ................................................................................................... 4 2.4 创建2个管理员用帐号 ................................................................................................... 4 2.5 把系统administrator帐号改名................................................................................... 5 2.6 创建一个陷阱帐号 ........................................................................................................... 5 2.7 把共享文件的权限从”everyone”组改成“授权用户” ........................................... 5 2.8 使用安全密码 ................................................................................................................... 5 2.9 设置屏幕保护密码 ........................................................................................................... 5 2.10 使用NTFS格式分区 ....................................................................................................... 6 2.11 利用win的安全配置工具来配置策略 ......................................................................... 6 2.12 关闭不必要的服务 ......................................................................................................... 6 2.13 关闭不必要的端口 ......................................................................................................... 7 2.14 打开审核策略 ................................................................................................................. 7 2.15 开启帐户策略 ................................................................................................................. 8 2.16 不让系统显示上次登陆的用户名 ................................................................................. 8 2.17 禁止建立空连接 ............................................................................................................. 8 2.18 关闭 DirectDraw........................................................................................................... 8 2.19 关闭默认共享 ................................................................................................................. 8 2.20 禁止dump file的产生................................................................................................. 9 2.21 使用文件加密系统EFS .................................................................................................. 9 2.22 锁住注册表 ..................................................................................................................... 9 2.23 建议安装urlscan（或直接安装IISLockdown）..................................................... 10 2.24 关闭RPC DCOM组件..................................................................................................... 10 TOMCAT系统安全加固 .............................................................................................................. 11 1. Tomcat安全配置 .................................................................................................................... 11

1.1. 基本安全配置 ......................................................................................................... 11 1.2. 多重服务器的安全防护 ......................................................................................... 11 1.3. 配置服务器默认端口 ............................................................................................. 12 1.4. 关闭服务器端口 ..................................................................................................... 12 1.5. 默认错误网页设置 ................................................................................................. 13 1.6. 配置支持SSL ......................................................................................................... 13

配置支持SSL的方法(分别以TEST,TestAdmin两实际访问对象举例) ............. 13

MS SQL系统安全加固 ................................................................................................................. 16 1. 安装最新安全补丁 ................................................................................................................. 16

1.1. 安装操作系统提供商发布的最新的安全补丁 ..................................................... 16 2. 网络和系统服务 ..................................................................................................................... 17

2.1. 检查系统文件是装置在NTFS分区 ..................................................................... 17

2

2.2. 2.3. 2.4. 2.5. 2.6.

默认用户状态及口令更改情况 ............................................................................. 17 停用不必要的存储过程 ......................................................................................... 17 错误日志管理 ......................................................................................................... 19 拒绝来自1434端口的探测 ................................................................................... 19 对网络连接进行IP限制 ....................................................................................... 19

3

Windows系统安全加固

1．补丁更新

1.1 到微软网站下载最新的补丁程序 2．安全加固

2.2 停掉Guest 帐号

在计算机管理的用户里面把guest帐号停用掉，任何时候都不允许guest帐号登陆系统。为了保险起见，最好给guest 加一个复杂的密码，你可以打开记事本，在里面输入一串包含特殊字符,数字，字母的长字符串，然后把它作为guest帐号的密码拷进去。 （windows03的guest帐号一般情况不可删除，会影响应用）

2.3 限制不必要的用户数量

去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号，普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。

2.4 创建2个管理员用帐号

创建一个一般权限帐号用来收信以及处理一些日常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作，以方便管理。

4