一、
边界安全
各单位应通过硬件防火墙设备对外部用户访问单位内
部网络的数据,进行过滤或阻断,禁止外部用户访问单位内
部未授权的网络或机器,保障外部用户只能够访问单位已授
权访问的指定服务等资源,例如:网站、邮件等信息。
检查手段:
1、各单位安排安全运维人员,检查网络防火墙配置信
息,确认对互联网用户开放的端口是否为业务所需端口,取
消无需开放或不必要开放的业务端口。
2、使用 scanport 工具对单位的互联网访问地址进行端
口扫描,确认互联网地址仅开放了单位所需的服务。(工具
使用方法见附件一)
二、
通信安全
各单位对外提供服务的网站、邮件等应用应采用安全的
通信协议 例如网站配置 HTTPS 协议 )),防止应用通信过程中
的数据被窃听或篡改。
检查手段:
1、各单位安排安全运维人员,检查对外开放的网站、
邮箱是否配置 HTTPS 协议,并将未配置 HTTPS 的网站或邮件
设置
设置HTTPSHTTPS协议,同时禁止协议,同时禁止HTTPHTTP协议访问或将协议访问或将HTTPHTTP访问自访问自动跳转到动跳转到HTTPSHTTPS协议。(协议。(HTTPSHTTPS配置方法见附件二)配置方法见附件二)
三、
三、应用安全应用安全
各单位应自行或通过安全服务商对已开放互联网访问
各单位应自行或通过安全服务商对已开放互联网访问的应用进行漏洞扫描的应用进行漏洞扫描、渗透测试等安全检测、渗透测试等安全检测,及时修复漏洞,及时修复漏洞((中危及以上的漏洞必须修复),避免外部用中危及以上的漏洞必须修复),避免外部用户通过漏洞对户通过漏洞对单位应用单位应用进行进行攻击或破坏。攻击或破坏。
检查手段:
检查手段:
1、有签约网络安全服务商的单位可安排网络安全服务有签约网络安全服务商的单位可安排网络安全服务商对单位开放互联网的应用进行商对单位开放互联网的应用进行漏洞扫描、渗透测试等安全漏洞扫描、渗透测试等安全检测检测,并,并根据根据检测检测报告对漏洞进行修复。报告对漏洞进行修复。
2、无签约网络安全服务商的单位可无签约网络安全服务商的单位可先先自主下载免费漏自主下载免费漏洞扫描软件对单位开放互联网的应用进行漏洞扫描,并根据洞扫描软件对单位开放互联网的应用进行漏洞扫描,并根据漏洞扫描报告对漏洞进行修复。漏洞扫描报告对漏洞进行修复。后续后续委托网络安全委托网络安全服务商开服务商开展渗透测试工作。展渗透测试工作。((漏洞扫描工具推荐漏洞扫描工具推荐使用使用OPENVASOPENVAS或或NESSUSNESSUS,安装及使用方法见官方使用说明),安装及使用方法见官方使用说明)
四
四、主机安全、主机安全
各单位应通过在服务器上部署杀毒
各单位应通过在服务器上部署杀毒软件软件,关闭不必要的,关闭不必要的系统服务、删除或禁用不必要的系统用户、修改密码为系统服务、删除或禁用不必要的系统用户、修改密码为88位位以上符合复杂度要求的密码等手段加强主机服务器安全性,以上符合复杂度要求的密码等手段加强主机服务器安全性,及时及时更新更新补丁,补丁,避免服务器被非法攻击利用。避免服务器被非法攻击利用。
检查手段:
检查手段:
1、有签约网络安全服务商的单位可安排网络安全服务有签约网络安全服务商的单位可安排网络安全服务商对单位服务器进行安全检查和加固商对单位服务器进行安全检查和加固;;
2、无签约网络安全服务商的单位可自主进行服务器安无签约网络安全服务商的单位可自主进行服务器安全检查及加固。(主机安全要求及检查步骤见附件三)全检查及加固。(主机安全要求及检查步骤见附件三)
附件一
端口扫描配置说明
端口扫描配置说明
1
1:打开:打开toolstools中的中的scanport.exescanport.exe,启动后见下图:,启动后见下图:
2
2:配置扫描参数:配置扫描参数
➢ 起始结束起始结束IPIP设置:单位的互联网设置:单位的互联网IPIP地址,例如:地址,例如:114.114.114.XXX114.114.114.XXX,如单位仅有一个对外的,如单位仅有一个对外的IPIP地址,则起地址,则起始、结束始、结束IPIP相同。如单位存在多个连续的互联网相同。如单位存在多个连续的互联网IPIP地址地址(例如:(例如:1.1.1.1 1.1.1.1 \\1.1.1.21.1.1.2),则则起始),则则起始IPIP为:为:1.1.1.1 1.1.1.1 ,,结束结束IPIP为:为:1.1.1.21.1.1.2
➢ 端口号设置:可设置为端口号设置:可设置为11--6553565535
➢ 超时设置:超时设置:200200毫秒毫秒
➢ 线程数设置:线程数设置:
3
3:点击扫描,扫描结果见右侧:点击扫描,扫描结果见右侧
附件二:
HTTPS
HTTPS配置方法配置方法
因各单位使用的软件不同,则配置方法也不相同,本手册
因各单位使用的软件不同,则配置方法也不相同,本手册仅提供常见仅提供常见WEBWEB软件配置软件配置HTTPSHTTPS的文件供参考:的文件供参考:
1、apacheapache配置配置HTTPSHTTPS
www.cnblogs.com
www.cnblogs.com
baijiahao.baidu.com
baijiahao.baidu.com
2、nginx nginx 配置配置HTTPSHTTPS
www.cnblogs.com
www.cnblogs.com
3、IIS IIS 配置配置HTTPSHTTPS
附件三:
主机检查及配置
主机检查及配置
◼ WindowsWindows配置项清配置项清单单
1
1、重命名管理员及来宾账号、重命名管理员及来宾账号
2
2、禁用、禁用guestguest账号账号
3
3、更改默认远程桌面、更改默认远程桌面33893389端口端口
4
4、禁用不必要的操作系统账号和服务、禁用不必要的操作系统账号和服务
5
5、检查系统是否有未安装的安全补丁、检查系统是否有未安装的安全补丁
6
6、删除系统默认的文件共享、删除系统默认的文件共享
7
7、安装杀毒软件并检查病毒库更新日期、安装杀毒软件并检查病毒库更新日期
8
8、开启密码复杂性要求及账号锁定策略、开启密码复杂性要求及账号锁定策略
9
9、启用不显示最后登录额用户名、启用不显示最后登录额用户名
10
10、开启操作系统审核策略、开启操作系统审核策略
➢ 重命名管理员账号步骤重命名管理员账号步骤 1、在程序中找到“运行”,打开运行窗口,或者键盘在程序中找到“运行”,打开运行窗口,或者键盘"windows"+"R""windows"+"R" 2、输入输入gpedit.mscgpedit.msc,,之后回车或点击下面的确定打开之后回车或点击下面的确定打开gpedit.mscgpedit.msc(组策略工具)(组策略工具)
3、点击本地计算机策略下面点击打开点击本地计算机策略下面点击打开::计算机配置计算机配置------------windowswindows设置设置----------安全设置安全设置------------本地策略本地策略------------安全选项安全选项
4、找到找到“账户找到找到“账户::重命名系统管理员账户”,然后在上重命名系统管理员账户”,然后在上面点右键,之后在弹出菜单中选择属性面点右键,之后在弹出菜单中选择属性 5、将输入框里面的将输入框里面的AdministratorAdministrator修改为自己要改的用修改为自己要改的用户名,然后点右下角的应用和确定按钮,就可以将系统默户名,然后点右下角的应用和确定按钮,就可以将系统默认的认的AdministratorAdministrator改为自己的用户名了。改为自己的用户名了。 6、找到找到“账户找到找到“账户::重命名来宾账户”,然后在上面点右重命名来宾账户”,然后在上面点右键,之后在弹出菜单中选择属性键,之后在弹出菜单中选择属性 7、将输入框里面的将输入框里面的GuestGuest修改为自己要改的用户名,然后修改为自己要改的用户名,然后点右下角的应用和确定按钮,就可以将系统默认的点右下角的应用和确定按钮,就可以将系统默认的GuestGuest改为自己的用户名了。改为自己的用户名了。
➢ 禁用来宾账号步骤禁用来宾账号步骤 1、打开该系统的“开始”菜单,从中依次点选“程序”打开该系统的“开始”菜单,从中依次点选“程序”//“管“管理工具”命令,在弹出的系统管理工具列表中,双击“计算理工具”命令,在弹出的系统管理工具列表中,双击“计算机管理”图标,打开对应系统的计算机管理窗口;机管理”图标,打开对应系统的计算机管理窗口; 2、其次在该管理窗口的左侧显示区域,用鼠标依次展开“系其次在该管理窗口的左侧显示区域,用鼠标依次展开“系统工具”统工具”//“本地用户和组”“本地用户和组”//“用户”分支选项,在对应“用“用户”分支选项,在对应“用户”分支选项的右侧显示区域,双击户”分支选项的右侧显示区域,双击guestguest帐户图标。帐户图标。 3、勾选账号已禁用,并点击确定。勾选账号已禁用,并点击确定。
➢ 更改默认远程桌面更改默认远程桌面33893389端口端口 1、在程序中找到“运行”,打开运行窗口,或者键盘在程序中找到“运行”,打开运行窗口,或者键盘"windows"+"R"windows"+"R"",输入,输入regeditregedit命令,打开注册表编辑器命令,打开注册表编辑器
2、进入进入[HKEY_LOCAL_MACHINE[HKEY_LOCAL_MACHINE\\SYSTEMSYSTEM\\CurrentControlSetCurrentControlSet\\ControControll\\Terminal ServerTerminal Server\\WdsWds\\rdpwdrdpwd\\TdsTds\\tcp]tcp],右侧找到,右侧找到PortNamberPortNamber,双击,默认显示的是十六进制数据,双击,默认显示的是十六进制数据d3dd3d,点击,点击选择十进制后变为选择十进制后变为33893389。。 3、修改修改33893389为您需要的端口,例如:为您需要的端口,例如:85798579 4、再进入再进入[HKEY_LOCAL_MACHINE[HKEY_LOCAL_MACHINE\\SYSTEMSYSTEM\\CurrentControlSetCurrentControlSet\\ControControll\\Tenninal ServerTenninal Server\\WinStationsWinStations\\RDPRDP--Tcp]Tcp],修改,修改PortNamberPortNamber的值为的值为85798579,保存并关闭注册表。,保存并关闭注册表。
注:如果系统自带防火墙处于开启状态,则需把修改后的远
注:如果系统自带防火墙处于开启状态,则需把修改后的远程端口设置允许入站,否则将无法连接远程桌面。程端口设置允许入站,否则将无法连接远程桌面。
➢ 禁用不必要的操作系统账号和服务禁用不必要的操作系统账号和服务
因不同业务依赖的系统服务不同,禁用服务前需确认系统或
因不同业务依赖的系统服务不同,禁用服务前需确认系统或业务应用是否依赖该服务,本文不提供需要关闭的服务列表业务应用是否依赖该服务,本文不提供需要关闭的服务列表,,请各单位根据实际情况而定。请各单位根据实际情况而定。
1、在程序中找到“运行”,打开运行窗口,或者键盘在程序中找到“运行”,打开运行窗口,或者键盘"windows"+"R""windows"+"R",输入,输入services.mscservices.msc命令,打开系统服务管命令,打开系统服务管理器理器 2、找到需要禁用的服务,点击右键找到需要禁用的服务,点击右键//属性,在弹出的属性框属性,在弹出的属性框中,将启动类型设置为“禁用”。中,将启动类型设置为“禁用”。
3、打开该系统的“开始”菜单,从中依次点选“程序”打开该系统的“开始”菜单,从中依次点选“程序”//“管“管理工具”命令,在弹出的系统管理工具列表中,双击“计算理工具”命令,在弹出的系统管理工具列表中,双击“计算机管理”图标,打开对应系统的计算机管理窗口;机管理”图标,打开对应系统的计算机管理窗口; 4、禁用不惜要的账号操作参考禁用来宾账号操作。禁用不惜要的账号操作参考禁用来宾账号操作。
➢ 检查系统是否有未安装的安全补丁检查系统是否有未安装的安全补丁
1、打开打开windowswindows控制面板控制面板,,双击双击windows updatewindows update,打开系统,打开系统补丁更新管理器补丁更新管理器。。
2、点击“检查更新”,查看是否存在未安装的安全补丁。点击“检查更新”,查看是否存在未安装的安全补丁。
3、如存在未安装的安全补丁,则点击安全更新如存在未安装的安全补丁,则点击安全更新
4、安装完成后,根据系统要求,重启系统。安装完成后,根据系统要求,重启系统。
➢ 删除系统默认的文件共享删除系统默认的文件共享 1、在程序中找到“运行”,打开运行窗口,或者键盘在程序中找到“运行”,打开运行窗口,或者键盘"windows"+"R""windows"+"R",输入,输入cmdcmd命令。命令。
2、在在cmdcmd窗口中输入窗口中输入 net share net share 命令,查看存在的默认共命令,查看存在的默认共享享
3、在在cmdcmd窗口中输入窗口中输入 net share net share “共享名”“共享名” /del /del 删除默删除默认共享,例如:认共享,例如: net share c$ /delnet share c$ /del net share ipc$ /delnet share ipc$ /del net share net share admin$ /deladmin$ /del 注:上述方法为临时删除默认共享,如想每次开机后自动删注:上述方法为临时删除默认共享,如想每次开机后自动删除默认共享,只需把上面的命令保存为除默认共享,只需把上面的命令保存为.bat.bat文件,开机自动文件,开机自动运行就可以了。运行就可以了。
➢ 开启密码复杂性要求及账号锁定策略开启密码复杂性要求及账号锁定策略 1、在程序中找到“运行”,打开运行窗口,或者键盘在程序中找到“运行”,打开运行窗口,或者键盘"windows"+"R""windows"+"R" 2、输入输入gpedit.msc,gpedit.msc,之后回车或点击下面的确定打开之后回车或点击下面的确定打开gpedit.mscgpedit.msc(组策略工具)(组策略工具) 3、点击本地计算机策略下面点击打开点击本地计算机策略下面点击打开::计算机配置计算机配置\\windowswindows设置设置\\安全设置安全设置\\账户策略账户策略\\密码策略密码策略
4、设置复杂度要求为已启用、密码最小长度设置复杂度要求为已启用、密码最小长度88、密码最长、密码最长使用期限使用期限9090
5、点击本地计算机策略下面点击打开点击本地计算机策略下面点击打开::计算机配置计算机配置\\windowswindows设置设置\\安全设置安全设置\\账户策略账户策略\\账户锁定策略,设置账户锁定策略,设置账户锁定时间为账户锁定时间为3030分钟,锁定阈值为分钟,锁定阈值为55次,重置账户锁定次,重置账户锁定计数器为计数器为3030分钟分钟
➢ 启用不显示最后登录用户名启用不显示最后登录用户名 1、在程序中找到“运行”,打开运行窗口,或者键盘在程序中找到“运行”,打开运行窗口,或者键盘"windows"+"R""windows"+"R" 2、输入输入gpedit.mscgpedit.msc,,之后回车或点击下面的确定打开之后回车或点击下面的确定打开gpedit.mscgpedit.msc(组策略工具)(组策略工具) 3、点击本地计算机策略下面点击打开点击本地计算机策略下面点击打开::计算机配置计算机配置\\windowswindows设置设置\\安全设置安全设置\\本地策略本地策略\\安全选项安全选项 4、找到交互式登录:登录时不显示用户名,并设置为启用。找到交互式登录:登录时不显示用户名,并设置为启用。
➢ 开启操作系统审核策略开启操作系统审核策略 1、在程序中找到“运行”,打开运行窗口,或者键盘在程序中找到“运行”,打开运行窗口,或者键盘"windows"+"R""windows"+"R" 2、输入输入gpedit.msc,gpedit.msc,之后回车或点击下面的确定打开之后回车或点击下面的确定打开gpedit.mscgpedit.msc(组策略工具)(组策略工具) 3、点击本地计算机策略下面点击打开点击本地计算机策略下面点击打开::计算机配置计算机配置\\windowswindows设置设置\\安全设置安全设置\\本地策略本地策略\\审核策略审核策略
4、将右侧审计项全部设将右侧审计项全部设置为审核成功和失败。置为审核成功和失败。
◼ LinuxLinux配置项清单配置项清单
1
1、更改、更改SSHSSH服务默认端口服务默认端口
2
2、禁止、禁止ROOTROOT用户远程登录用户远程登录
3
3、禁用不必要的服务或账号、禁用不必要的服务或账号
4
4、设置账号密码安全策略、设置账号密码安全策略
5
5、设置系统会话超时时间、设置系统会话超时时间
➢ 更改更改SSHSSH服务默认端口服务默认端口 1、打开打开SSHSSH配置文件(配置文件(vi /etc/ssh/sshd_configvi /etc/ssh/sshd_config)),, 2、修改修改PORTPORT的值为的值为您需要的端口,例如:您需要的端口,例如:2222222222
➢ 禁止禁止ROOTROOT用户远程登录用户远程登录 1、打开打开SSHSSH配置文件(配置文件(vi /etc/ssh/sshd_configvi /etc/ssh/sshd_config)),, 2、修改修改PermitRootLoginPermitRootLogin的值为的值为nono
3、重启、重启SSH服务(服务(service sshd restart))
➢ 禁用不必要的服务或账号禁用不必要的服务或账号
因不同业务依赖的系统服务不同,禁用服务前需确认系统或
因不同业务依赖的系统服务不同,禁用服务前需确认系统或业务应用是否依赖该服务,本文不提供需要关闭的服务列表业务应用是否依赖该服务,本文不提供需要关闭的服务列表,,请各单位根据实际情况而定。请各单位根据实际情况而定。 1、查看系统服务列表(查看系统服务列表(chkconfig chkconfig ----listlist)) 2、停止不必要的服务(例如:停止不必要的服务(例如:service telnet stopservice telnet stop))
3、禁止不必要的服务开启启动(例如禁止不必要的服务开启启动(例如: chkconfig telnet : chkconfig telnet offoff)) 4、查看系统账号列表(查看系统账号列表(cat /etc/passwdcat /etc/passwd)) 5、删除或锁定不必要的账号(例如:删除或锁定不必要的账号(例如:userdel telnet userdel telnet 或或 usermod usermod --L telnet L telnet ))
➢ 设置账号密码安全策略设置账号密码安全策略 1、修改系统配置文件(修改系统配置文件(vi /etc/login.defsvi /etc/login.defs)) 2、将将PASS_MIN_LENPASS_MIN_LEN的值修改为的值修改为88(密码最小长度(密码最小长度88位)位) 3、将将PASS_MAX_DAYSPASS_MAX_DAYS的值修改为的值修改为90,90,(密码最长使用期限)(密码最长使用期限) 4、将将PASS_WARN_AGEPASS_WARN_AGE的值修改为的值修改为77,,((设置过期提前警告设置过期提前警告天数天数)) 5、保存并退保存并退出编辑出编辑 6、设置账户登录错误锁定策略(设置账户登录错误锁定策略(vi vi /etc/pam.d/etc/pam.d/system/system--authauth),加入:),加入: auth required pam_tally.so onerr=fail deny=6 auth required pam_tally.so onerr=fail deny=6 unlock_time=300unlock_time=300 7、保存并退出保存并退出编辑编辑
➢ 设置系统会话超时自动断开设置系统会话超时自动断开 1、修改系统配置文件(修改系统配置文件(vi /etc/profilevi /etc/profile))
2、修改会增加修改会增加TMOUT=180 TMOUT=180 配置项(配置项(33分钟无操作自动退分钟无操作自动退出)出) 3、保存并退出保存并退出编辑编辑 4、重新加载重新加载profileprofile文件(文件(source /etc/profilesource /etc/profile)
边界安全
各单位应通过硬件防火墙设备对外部用户访问单位内
部网络的数据,进行过滤或阻断,禁止外部用户访问单位内
部未授权的网络或机器,保障外部用户只能够访问单位已授
权访问的指定服务等资源,例如:网站、邮件等信息。
检查手段:
1、各单位安排安全运维人员,检查网络防火墙配置信
息,确认对互联网用户开放的端口是否为业务所需端口,取
消无需开放或不必要开放的业务端口。
2、使用 scanport 工具对单位的互联网访问地址进行端
口扫描,确认互联网地址仅开放了单位所需的服务。(工具
使用方法见附件一)
二、
通信安全
各单位对外提供服务的网站、邮件等应用应采用安全的
通信协议 例如网站配置 HTTPS 协议 )),防止应用通信过程中
的数据被窃听或篡改。
检查手段:
1、各单位安排安全运维人员,检查对外开放的网站、
邮箱是否配置 HTTPS 协议,并将未配置 HTTPS 的网站或邮件
设置
设置HTTPSHTTPS协议,同时禁止协议,同时禁止HTTPHTTP协议访问或将协议访问或将HTTPHTTP访问自访问自动跳转到动跳转到HTTPSHTTPS协议。(协议。(HTTPSHTTPS配置方法见附件二)配置方法见附件二)
三、
三、应用安全应用安全
各单位应自行或通过安全服务商对已开放互联网访问
各单位应自行或通过安全服务商对已开放互联网访问的应用进行漏洞扫描的应用进行漏洞扫描、渗透测试等安全检测、渗透测试等安全检测,及时修复漏洞,及时修复漏洞((中危及以上的漏洞必须修复),避免外部用中危及以上的漏洞必须修复),避免外部用户通过漏洞对户通过漏洞对单位应用单位应用进行进行攻击或破坏。攻击或破坏。
检查手段:
检查手段:
1、有签约网络安全服务商的单位可安排网络安全服务有签约网络安全服务商的单位可安排网络安全服务商对单位开放互联网的应用进行商对单位开放互联网的应用进行漏洞扫描、渗透测试等安全漏洞扫描、渗透测试等安全检测检测,并,并根据根据检测检测报告对漏洞进行修复。报告对漏洞进行修复。
2、无签约网络安全服务商的单位可无签约网络安全服务商的单位可先先自主下载免费漏自主下载免费漏洞扫描软件对单位开放互联网的应用进行漏洞扫描,并根据洞扫描软件对单位开放互联网的应用进行漏洞扫描,并根据漏洞扫描报告对漏洞进行修复。漏洞扫描报告对漏洞进行修复。后续后续委托网络安全委托网络安全服务商开服务商开展渗透测试工作。展渗透测试工作。((漏洞扫描工具推荐漏洞扫描工具推荐使用使用OPENVASOPENVAS或或NESSUSNESSUS,安装及使用方法见官方使用说明),安装及使用方法见官方使用说明)
四
四、主机安全、主机安全
各单位应通过在服务器上部署杀毒
各单位应通过在服务器上部署杀毒软件软件,关闭不必要的,关闭不必要的系统服务、删除或禁用不必要的系统用户、修改密码为系统服务、删除或禁用不必要的系统用户、修改密码为88位位以上符合复杂度要求的密码等手段加强主机服务器安全性,以上符合复杂度要求的密码等手段加强主机服务器安全性,及时及时更新更新补丁,补丁,避免服务器被非法攻击利用。避免服务器被非法攻击利用。
检查手段:
检查手段:
1、有签约网络安全服务商的单位可安排网络安全服务有签约网络安全服务商的单位可安排网络安全服务商对单位服务器进行安全检查和加固商对单位服务器进行安全检查和加固;;
2、无签约网络安全服务商的单位可自主进行服务器安无签约网络安全服务商的单位可自主进行服务器安全检查及加固。(主机安全要求及检查步骤见附件三)全检查及加固。(主机安全要求及检查步骤见附件三)
附件一
端口扫描配置说明
端口扫描配置说明
1
1:打开:打开toolstools中的中的scanport.exescanport.exe,启动后见下图:,启动后见下图:
2
2:配置扫描参数:配置扫描参数
➢ 起始结束起始结束IPIP设置:单位的互联网设置:单位的互联网IPIP地址,例如:地址,例如:114.114.114.XXX114.114.114.XXX,如单位仅有一个对外的,如单位仅有一个对外的IPIP地址,则起地址,则起始、结束始、结束IPIP相同。如单位存在多个连续的互联网相同。如单位存在多个连续的互联网IPIP地址地址(例如:(例如:1.1.1.1 1.1.1.1 \\1.1.1.21.1.1.2),则则起始),则则起始IPIP为:为:1.1.1.1 1.1.1.1 ,,结束结束IPIP为:为:1.1.1.21.1.1.2
➢ 端口号设置:可设置为端口号设置:可设置为11--6553565535
➢ 超时设置:超时设置:200200毫秒毫秒
➢ 线程数设置:线程数设置:
3
3:点击扫描,扫描结果见右侧:点击扫描,扫描结果见右侧
附件二:
HTTPS
HTTPS配置方法配置方法
因各单位使用的软件不同,则配置方法也不相同,本手册
因各单位使用的软件不同,则配置方法也不相同,本手册仅提供常见仅提供常见WEBWEB软件配置软件配置HTTPSHTTPS的文件供参考:的文件供参考:
1、apacheapache配置配置HTTPSHTTPS
Apache配置HTTPS功能 - 温柔易淡 - 博客园
apache配置https 一、yum 安装openssl和openssl devel,httpd devel 二、生成证书(也可以从公司的证书颁发机构获取): 三、修改Apache的配置文件httpd.conf 打开ssl模块,没有这个模块就需要安装依赖包:mod_ssl,安装后就会在module
www.cnblogs.com
Apache配置HTTPS功能 - 温柔易淡 - 博客园
apache配置https 一、yum 安装openssl和openssl devel,httpd devel 二、生成证书(也可以从公司的证书颁发机构获取): 三、修改Apache的配置文件httpd.conf 打开ssl模块,没有这个模块就需要安装依赖包:mod_ssl,安装后就会在module
www.cnblogs.com
百度安全验证
baijiahao.baidu.com
百度安全验证
baijiahao.baidu.com
Nginx配置Https - 致林 - 博客园
1.申请证书: https://console.qcloud.com/ssl?utm_source=yingyongbao&utm_medium=ssl&utm_campaign=qcloud 2.将证书导入服务器,xftp或者FileZilla都可以: 3.修改Nginx,我的Ng
www.cnblogs.com
Nginx配置Https - 致林 - 博客园
1.申请证书: https://console.qcloud.com/ssl?utm_source=yingyongbao&utm_medium=ssl&utm_campaign=qcloud 2.将证书导入服务器,xftp或者FileZilla都可以: 3.修改Nginx,我的Ng
www.cnblogs.com
附件三:
主机检查及配置
主机检查及配置
◼ WindowsWindows配置项清配置项清单单
1
1、重命名管理员及来宾账号、重命名管理员及来宾账号
2
2、禁用、禁用guestguest账号账号
3
3、更改默认远程桌面、更改默认远程桌面33893389端口端口
4
4、禁用不必要的操作系统账号和服务、禁用不必要的操作系统账号和服务
5
5、检查系统是否有未安装的安全补丁、检查系统是否有未安装的安全补丁
6
6、删除系统默认的文件共享、删除系统默认的文件共享
7
7、安装杀毒软件并检查病毒库更新日期、安装杀毒软件并检查病毒库更新日期
8
8、开启密码复杂性要求及账号锁定策略、开启密码复杂性要求及账号锁定策略
9
9、启用不显示最后登录额用户名、启用不显示最后登录额用户名
10
10、开启操作系统审核策略、开启操作系统审核策略
➢ 重命名管理员账号步骤重命名管理员账号步骤 1、在程序中找到“运行”,打开运行窗口,或者键盘在程序中找到“运行”,打开运行窗口,或者键盘"windows"+"R""windows"+"R" 2、输入输入gpedit.mscgpedit.msc,,之后回车或点击下面的确定打开之后回车或点击下面的确定打开gpedit.mscgpedit.msc(组策略工具)(组策略工具)
3、点击本地计算机策略下面点击打开点击本地计算机策略下面点击打开::计算机配置计算机配置------------windowswindows设置设置----------安全设置安全设置------------本地策略本地策略------------安全选项安全选项
4、找到找到“账户找到找到“账户::重命名系统管理员账户”,然后在上重命名系统管理员账户”,然后在上面点右键,之后在弹出菜单中选择属性面点右键,之后在弹出菜单中选择属性 5、将输入框里面的将输入框里面的AdministratorAdministrator修改为自己要改的用修改为自己要改的用户名,然后点右下角的应用和确定按钮,就可以将系统默户名,然后点右下角的应用和确定按钮,就可以将系统默认的认的AdministratorAdministrator改为自己的用户名了。改为自己的用户名了。 6、找到找到“账户找到找到“账户::重命名来宾账户”,然后在上面点右重命名来宾账户”,然后在上面点右键,之后在弹出菜单中选择属性键,之后在弹出菜单中选择属性 7、将输入框里面的将输入框里面的GuestGuest修改为自己要改的用户名,然后修改为自己要改的用户名,然后点右下角的应用和确定按钮,就可以将系统默认的点右下角的应用和确定按钮,就可以将系统默认的GuestGuest改为自己的用户名了。改为自己的用户名了。
➢ 禁用来宾账号步骤禁用来宾账号步骤 1、打开该系统的“开始”菜单,从中依次点选“程序”打开该系统的“开始”菜单,从中依次点选“程序”//“管“管理工具”命令,在弹出的系统管理工具列表中,双击“计算理工具”命令,在弹出的系统管理工具列表中,双击“计算机管理”图标,打开对应系统的计算机管理窗口;机管理”图标,打开对应系统的计算机管理窗口; 2、其次在该管理窗口的左侧显示区域,用鼠标依次展开“系其次在该管理窗口的左侧显示区域,用鼠标依次展开“系统工具”统工具”//“本地用户和组”“本地用户和组”//“用户”分支选项,在对应“用“用户”分支选项,在对应“用户”分支选项的右侧显示区域,双击户”分支选项的右侧显示区域,双击guestguest帐户图标。帐户图标。 3、勾选账号已禁用,并点击确定。勾选账号已禁用,并点击确定。
➢ 更改默认远程桌面更改默认远程桌面33893389端口端口 1、在程序中找到“运行”,打开运行窗口,或者键盘在程序中找到“运行”,打开运行窗口,或者键盘"windows"+"R"windows"+"R"",输入,输入regeditregedit命令,打开注册表编辑器命令,打开注册表编辑器
2、进入进入[HKEY_LOCAL_MACHINE[HKEY_LOCAL_MACHINE\\SYSTEMSYSTEM\\CurrentControlSetCurrentControlSet\\ControControll\\Terminal ServerTerminal Server\\WdsWds\\rdpwdrdpwd\\TdsTds\\tcp]tcp],右侧找到,右侧找到PortNamberPortNamber,双击,默认显示的是十六进制数据,双击,默认显示的是十六进制数据d3dd3d,点击,点击选择十进制后变为选择十进制后变为33893389。。 3、修改修改33893389为您需要的端口,例如:为您需要的端口,例如:85798579 4、再进入再进入[HKEY_LOCAL_MACHINE[HKEY_LOCAL_MACHINE\\SYSTEMSYSTEM\\CurrentControlSetCurrentControlSet\\ControControll\\Tenninal ServerTenninal Server\\WinStationsWinStations\\RDPRDP--Tcp]Tcp],修改,修改PortNamberPortNamber的值为的值为85798579,保存并关闭注册表。,保存并关闭注册表。
注:如果系统自带防火墙处于开启状态,则需把修改后的远
注:如果系统自带防火墙处于开启状态,则需把修改后的远程端口设置允许入站,否则将无法连接远程桌面。程端口设置允许入站,否则将无法连接远程桌面。
➢ 禁用不必要的操作系统账号和服务禁用不必要的操作系统账号和服务
因不同业务依赖的系统服务不同,禁用服务前需确认系统或
因不同业务依赖的系统服务不同,禁用服务前需确认系统或业务应用是否依赖该服务,本文不提供需要关闭的服务列表业务应用是否依赖该服务,本文不提供需要关闭的服务列表,,请各单位根据实际情况而定。请各单位根据实际情况而定。
1、在程序中找到“运行”,打开运行窗口,或者键盘在程序中找到“运行”,打开运行窗口,或者键盘"windows"+"R""windows"+"R",输入,输入services.mscservices.msc命令,打开系统服务管命令,打开系统服务管理器理器 2、找到需要禁用的服务,点击右键找到需要禁用的服务,点击右键//属性,在弹出的属性框属性,在弹出的属性框中,将启动类型设置为“禁用”。中,将启动类型设置为“禁用”。
3、打开该系统的“开始”菜单,从中依次点选“程序”打开该系统的“开始”菜单,从中依次点选“程序”//“管“管理工具”命令,在弹出的系统管理工具列表中,双击“计算理工具”命令,在弹出的系统管理工具列表中,双击“计算机管理”图标,打开对应系统的计算机管理窗口;机管理”图标,打开对应系统的计算机管理窗口; 4、禁用不惜要的账号操作参考禁用来宾账号操作。禁用不惜要的账号操作参考禁用来宾账号操作。
➢ 检查系统是否有未安装的安全补丁检查系统是否有未安装的安全补丁
1、打开打开windowswindows控制面板控制面板,,双击双击windows updatewindows update,打开系统,打开系统补丁更新管理器补丁更新管理器。。
2、点击“检查更新”,查看是否存在未安装的安全补丁。点击“检查更新”,查看是否存在未安装的安全补丁。
3、如存在未安装的安全补丁,则点击安全更新如存在未安装的安全补丁,则点击安全更新
4、安装完成后,根据系统要求,重启系统。安装完成后,根据系统要求,重启系统。
➢ 删除系统默认的文件共享删除系统默认的文件共享 1、在程序中找到“运行”,打开运行窗口,或者键盘在程序中找到“运行”,打开运行窗口,或者键盘"windows"+"R""windows"+"R",输入,输入cmdcmd命令。命令。
2、在在cmdcmd窗口中输入窗口中输入 net share net share 命令,查看存在的默认共命令,查看存在的默认共享享
3、在在cmdcmd窗口中输入窗口中输入 net share net share “共享名”“共享名” /del /del 删除默删除默认共享,例如:认共享,例如: net share c$ /delnet share c$ /del net share ipc$ /delnet share ipc$ /del net share net share admin$ /deladmin$ /del 注:上述方法为临时删除默认共享,如想每次开机后自动删注:上述方法为临时删除默认共享,如想每次开机后自动删除默认共享,只需把上面的命令保存为除默认共享,只需把上面的命令保存为.bat.bat文件,开机自动文件,开机自动运行就可以了。运行就可以了。
➢ 开启密码复杂性要求及账号锁定策略开启密码复杂性要求及账号锁定策略 1、在程序中找到“运行”,打开运行窗口,或者键盘在程序中找到“运行”,打开运行窗口,或者键盘"windows"+"R""windows"+"R" 2、输入输入gpedit.msc,gpedit.msc,之后回车或点击下面的确定打开之后回车或点击下面的确定打开gpedit.mscgpedit.msc(组策略工具)(组策略工具) 3、点击本地计算机策略下面点击打开点击本地计算机策略下面点击打开::计算机配置计算机配置\\windowswindows设置设置\\安全设置安全设置\\账户策略账户策略\\密码策略密码策略
4、设置复杂度要求为已启用、密码最小长度设置复杂度要求为已启用、密码最小长度88、密码最长、密码最长使用期限使用期限9090
5、点击本地计算机策略下面点击打开点击本地计算机策略下面点击打开::计算机配置计算机配置\\windowswindows设置设置\\安全设置安全设置\\账户策略账户策略\\账户锁定策略,设置账户锁定策略,设置账户锁定时间为账户锁定时间为3030分钟,锁定阈值为分钟,锁定阈值为55次,重置账户锁定次,重置账户锁定计数器为计数器为3030分钟分钟
➢ 启用不显示最后登录用户名启用不显示最后登录用户名 1、在程序中找到“运行”,打开运行窗口,或者键盘在程序中找到“运行”,打开运行窗口,或者键盘"windows"+"R""windows"+"R" 2、输入输入gpedit.mscgpedit.msc,,之后回车或点击下面的确定打开之后回车或点击下面的确定打开gpedit.mscgpedit.msc(组策略工具)(组策略工具) 3、点击本地计算机策略下面点击打开点击本地计算机策略下面点击打开::计算机配置计算机配置\\windowswindows设置设置\\安全设置安全设置\\本地策略本地策略\\安全选项安全选项 4、找到交互式登录:登录时不显示用户名,并设置为启用。找到交互式登录:登录时不显示用户名,并设置为启用。
➢ 开启操作系统审核策略开启操作系统审核策略 1、在程序中找到“运行”,打开运行窗口,或者键盘在程序中找到“运行”,打开运行窗口,或者键盘"windows"+"R""windows"+"R" 2、输入输入gpedit.msc,gpedit.msc,之后回车或点击下面的确定打开之后回车或点击下面的确定打开gpedit.mscgpedit.msc(组策略工具)(组策略工具) 3、点击本地计算机策略下面点击打开点击本地计算机策略下面点击打开::计算机配置计算机配置\\windowswindows设置设置\\安全设置安全设置\\本地策略本地策略\\审核策略审核策略
4、将右侧审计项全部设将右侧审计项全部设置为审核成功和失败。置为审核成功和失败。
◼ LinuxLinux配置项清单配置项清单
1
1、更改、更改SSHSSH服务默认端口服务默认端口
2
2、禁止、禁止ROOTROOT用户远程登录用户远程登录
3
3、禁用不必要的服务或账号、禁用不必要的服务或账号
4
4、设置账号密码安全策略、设置账号密码安全策略
5
5、设置系统会话超时时间、设置系统会话超时时间
➢ 更改更改SSHSSH服务默认端口服务默认端口 1、打开打开SSHSSH配置文件(配置文件(vi /etc/ssh/sshd_configvi /etc/ssh/sshd_config)),, 2、修改修改PORTPORT的值为的值为您需要的端口,例如:您需要的端口,例如:2222222222
➢ 禁止禁止ROOTROOT用户远程登录用户远程登录 1、打开打开SSHSSH配置文件(配置文件(vi /etc/ssh/sshd_configvi /etc/ssh/sshd_config)),, 2、修改修改PermitRootLoginPermitRootLogin的值为的值为nono
3、重启、重启SSH服务(服务(service sshd restart))
➢ 禁用不必要的服务或账号禁用不必要的服务或账号
因不同业务依赖的系统服务不同,禁用服务前需确认系统或
因不同业务依赖的系统服务不同,禁用服务前需确认系统或业务应用是否依赖该服务,本文不提供需要关闭的服务列表业务应用是否依赖该服务,本文不提供需要关闭的服务列表,,请各单位根据实际情况而定。请各单位根据实际情况而定。 1、查看系统服务列表(查看系统服务列表(chkconfig chkconfig ----listlist)) 2、停止不必要的服务(例如:停止不必要的服务(例如:service telnet stopservice telnet stop))
3、禁止不必要的服务开启启动(例如禁止不必要的服务开启启动(例如: chkconfig telnet : chkconfig telnet offoff)) 4、查看系统账号列表(查看系统账号列表(cat /etc/passwdcat /etc/passwd)) 5、删除或锁定不必要的账号(例如:删除或锁定不必要的账号(例如:userdel telnet userdel telnet 或或 usermod usermod --L telnet L telnet ))
➢ 设置账号密码安全策略设置账号密码安全策略 1、修改系统配置文件(修改系统配置文件(vi /etc/login.defsvi /etc/login.defs)) 2、将将PASS_MIN_LENPASS_MIN_LEN的值修改为的值修改为88(密码最小长度(密码最小长度88位)位) 3、将将PASS_MAX_DAYSPASS_MAX_DAYS的值修改为的值修改为90,90,(密码最长使用期限)(密码最长使用期限) 4、将将PASS_WARN_AGEPASS_WARN_AGE的值修改为的值修改为77,,((设置过期提前警告设置过期提前警告天数天数)) 5、保存并退保存并退出编辑出编辑 6、设置账户登录错误锁定策略(设置账户登录错误锁定策略(vi vi /etc/pam.d/etc/pam.d/system/system--authauth),加入:),加入: auth required pam_tally.so onerr=fail deny=6 auth required pam_tally.so onerr=fail deny=6 unlock_time=300unlock_time=300 7、保存并退出保存并退出编辑编辑
➢ 设置系统会话超时自动断开设置系统会话超时自动断开 1、修改系统配置文件(修改系统配置文件(vi /etc/profilevi /etc/profile))
2、修改会增加修改会增加TMOUT=180 TMOUT=180 配置项(配置项(33分钟无操作自动退分钟无操作自动退出)出) 3、保存并退出保存并退出编辑编辑 4、重新加载重新加载profileprofile文件(文件(source /etc/profilesource /etc/profile)