《服务器、核心交换机巡检报告(共16页).doc》由会员分享,可在线阅读,更多相关《服务器、核心交换机巡检报告(共16页).doc(16页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上信息化设备安全配置检查报告文档说明方案摘要文档名称安全配置检查报告保密级别文档编号制作人制作日期复审人复审日期适用范围分发控制读者文档权限与文档的主要关系版本控制时间版本说明修改人目 录1. 安全配置审计概述安全审计利用专业安全技术和相关知识,通过对主机或设备的操作与检查,收集并了解主机或设备目前的补丁或版本信息、系统配置以及日志记录等内容,针对这些信息进行技术分析,从而能够了解到主机或设备目前的安全现状,并根据综合信息分析得到主机或设备的安全等级,以便客户能够采取具有针对性的安全保障措施。因此安全审计的目的是:1)对现有设备的安全现状(包括补丁,权限,安全特性等)进
2、行了解;2)通过安全现状分析,检查目前安全措施和制度的执行情况;3)对安全系统进行专业的检查,检查是否得到了正确的使用;4)检查系统是否有被攻击;通过安全审计,我们能了解到主机或者设备的安全现状,包括:是否存在的安全漏洞,这些安全漏洞是否严重,系统配置是否满足安全要求,是否被入侵或被破坏等。2. 配置检查内容Windows备注编号检查内容结果加固建议补丁安装情况1.操作系统是否已经安装相关的补丁,Windows 2000为SP4,Windows XP 为SP3。否建议2003更新至SP2补丁2.应用程序是否及时进行补丁的更新,包括Office和IE等。否建议更新应用程序补丁帐号策略3.密码是否
3、符合复杂性要求。否建议开启密码复杂性要求4.密码长度是否符合要求。否建议设置密码最小长度为8位5.是否设置了密码最长使用期限。是无6.是否设置了帐户锁定阀值。否建议设置帐户锁定阀值为3(或5)次无效登录7.是否设定了帐户锁定时间。否建议设置帐户锁定时间最少30分钟8.是否设置了复位帐户锁定计数器。否建议设置复位帐户锁定计数器9.是否将审核策略更改为成功和失败。否建议将审核策略更改为成功和失败10.是否将审核登录事件更改为成功和失败。否建议将审核登录事件更改为成功和失败11.是否将审核对象访问设置为失败。否建议将审核对象访问设置为失败12.当登录时间用完时自动注销用户(启用)。是无13.在挂起会
4、话之前所需的空闲时间(小于等于30分钟)。是无14.发送未加密的密码到第三方SMB服务器:(禁用)。是无15.允许对所有驱动器和文件夹进行软盘复制和访问(禁用)。是无16.故障恢复控制台:允许自动系统管理级登录(禁用)。是无17.清除虚拟内存页面文件(启用)。否建议开启此项设置18.允许系统在未登录前关机(禁用)。是无19.交互式登录:不显示上次的用户名(启用)。否建议开启此项设置不需要的服务20.Wireless configurationTask scheduler 否建议根据主机业务情况禁用以下服务:Wireless configurationTask scheduler其它21.所有的
5、磁盘卷使用NTFS文件系统。是无22.已经安装第三方个人版防火墙。否建议安装第三方个人版防火墙23.已经安装防病毒软件。否建议安装防病毒软件24.防病毒软件的特征码和检查引擎已经更新到最新。否建议更新防病毒软件特征码和检查引擎25.防病毒软件已设置自动更新。否建议设置防病毒软件自动更新26.系统时间是否正确。是无27.文件夹共享是否有过大的权限和帐号。否无28.有无异常的计划任务否无29.有无设置屏保密码否建议设置屏保密码30.有无打开审计功能否建议开启系统审计功能31.有无设置审计文件大小或保留时间是无32.有无打开不需要的端口(如80、25、110)否无33.有无禁用Netbios是无34
6、.只有本地登录的用户才能访问 CD-ROM否建议开启此项设置Windows备注编号检查内容结果加固建议补丁安装情况1.操作系统是否已经安装相关的补丁,Windows 2000为SP4,Windows XP 为SP3。是无2.应用程序是否及时进行补丁的更新,包括Office和IE等。否建议更新应用程序最新补丁帐号策略3.密码是否符合复杂性要求。是无4.密码长度是否符合要求。否建议设置密码最小长度为8位5.是否设置了密码最长使用期限。是无6.是否设置了帐户锁定阀值。否建议设置帐户锁定阀值为3(或5)次无效登录7.是否设定了帐户锁定时间。否建议设置帐户锁定时间最少30分钟8.是否设置了复位帐户锁定计
7、数器。否建议设置复位帐户锁定计数器9.是否将审核策略更改为成功和失败。否建议将审核策略更改为成功和失败10.是否将审核登录事件更改为成功和失败。否建议将审核登录事件更改为成功和失败11.是否将审核对象访问设置为失败。否建议将审核对象访问设置为失败12.当登录时间用完时自动注销用户(启用)。否建议启用此项设置13.在挂起会话之前所需的空闲时间(小于等于30分钟)。否建议启用此项设置14.发送未加密的密码到第三方SMB服务器:(禁用)。否建议启用此项设置15.允许对所有驱动器和文件夹进行软盘复制和访问(禁用)。否建议启用此项设置16.故障恢复控制台:允许自动系统管理级登录(禁用)。否建议启用此项设
8、置17.清除虚拟内存页面文件(启用)。否建议启用此项设置18.允许系统在未登录前关机(禁用)。否建议启用此项设置19.交互式登录:不显示上次的用户名(启用)。否建议启用此项设置不需要的服务20.Computer browserHelp and supportPrint spoolerRemote registryTask schedulerWireless configuration 否建议根据主机业务情况禁用以下服务:Computer browserHelp and supportPrint spoolerRemote registryTask schedulerWireless confi
9、guration其它21.所有的磁盘卷使用NTFS文件系统。是无22.已经安装第三方个人版防火墙。是无23.已经安装防病毒软件。是无24.防病毒软件的特征码和检查引擎已经更新到最新。是无25.防病毒软件已设置自动更新。是无26.系统时间是否正确。是无27.文件夹共享是否有过大的权限和帐号。否无28.有无异常的计划任务否无29.有无设置屏保密码否建议设置屏保密码30.有无打开审计功能否建议开启审计功能31.有无设置审计文件大小或保留时间是无32.有无打开不需要的端口(如80、25、110)否无33.有无禁用Netbios是无34.只有本地登录的用户才能访问 CD-ROM否建议开启此项设置Wind
10、ows备注编号检查内容结果加固建议补丁安装情况1.操作系统是否已经安装相关的补丁,Windows 2000为SP4,Windows XP 为SP3。是无2.应用程序是否及时进行补丁的更新,包括Office和IE等。否建议更新应用程序最新补丁帐号策略3.密码是否符合复杂性要求。否建议开启密码复杂性要求4.密码长度是否符合要求。否建议设置密码最小长度为8位5.是否设置了密码最长使用期限。是无6.是否设置了帐户锁定阀值。否建议设置帐户锁定阀值为3(或5)次无效登录7.是否设定了帐户锁定时间。否建议设置帐户锁定时间最少30分钟8.是否设置了复位帐户锁定计数器。否建议设置复位帐户锁定计数器9.是否将审核
11、策略更改为成功和失败。否建议将审核策略更改为成功和失败10.是否将审核登录事件更改为成功和失败。否建议将审核登录事件更改为成功和失败11.是否将审核对象访问设置为失败。否建议将审核对象访问设置为失败12.当登录时间用完时自动注销用户(启用)。是无13.在挂起会话之前所需的空闲时间(小于等于30分钟)。是无14.发送未加密的密码到第三方SMB服务器:(禁用)。是无15.允许对所有驱动器和文件夹进行软盘复制和访问(禁用)。是无16.故障恢复控制台:允许自动系统管理级登录(禁用)。是无17.清除虚拟内存页面文件(启用)。否建议启用此项设置18.允许系统在未登录前关机(禁用)。是无19.交互式登录:不
12、显示上次的用户名(启用)。否建议启用此项设置不需要的服务20.AlterterComputer browserMessengerPrint SpoolerRemote Registry ServiceTask Scheduler 否建议根据主机业务情况禁用以下服务:AlterterComputer browserMessengerPrint SpoolerRemote Registry ServiceTask Scheduler其它21.所有的磁盘卷使用NTFS文件系统。是无22.已经安装第三方个人版防火墙。否建议安装第三方个人版防火墙23.已经安装防病毒软件。是无24.防病毒软件的特征码和检
13、查引擎已经更新到最新。是无25.防病毒软件已设置自动更新。是无26.系统时间是否正确。是无27.文件夹共享是否有过大的权限和帐号。否无28.有无异常的计划任务否无29.有无设置屏保密码否建议设置屏保密码30.有无打开审计功能否建议开启审计功能31.有无设置审计文件大小或保留时间是无32.有无打开不需要的端口(如80、25、110)是建议根据主机业务使用情况,关闭25端口33.有无禁用Netbios否无34.只有本地登录的用户才能访问 CD-ROM否无Linux备注编号检查内容结果加固建议安装和配置1.系统是否使用iptables否建议启用IPTABLES功能2.系统已经安装了最新的安全补丁否建
14、议安装最新安全补丁帐号3.设置了登录失败,锁定帐户的次数否建议设置登录失败,锁定帐户的次数4.设置了无效登录的终端锁定时间否建议设定无效登录的终端锁定时间策略5.系统禁止root用户远程登录否建议系统禁止ROOT用户远程登录6.系统中已经删除了不必要的系统用户是无7.系统中已经删除了不必要的系统用户组是无8.密码的安全策略(比如长度、周期等)否建议设置密码最短为8位服务9.是否开启了不必要的服务如FTP、SENDMAIL等否无其它10.系统中已经安装了OpenSSH代替telnet是无11.对passwd, shadow, 和group文件权限设置正确性是无边界路由器编号检查项目检查结果安全建
15、议登录要求和账号管理1.所有提供登陆服务的位置是否都有口令防护(CONAUXVTY)是无2.采用认证(用户名,密码保护)是无3.设置exec-timeout(5分钟以内)(exec-timeout )是无4.采用访问控制措施,限制可登录的源地址是无5.关闭HTTP(no ip http server )是无6.远程登录采用加密传输(SSH)否建议使用SSH登录方式进行远程登录维护设置特权口令和密码策略7.采用enable secret设置密码(enable secret)-是无SNMP协议设置和日志审计8.设置SNMP读写密码(snmp-server community )是无9.是否开启日志
16、功能是否其它安全要求10.禁止未使用或空闲的端口是无11.整机和关键模块是否进行备份(包括热备或冷备)是建议对整机和关键模块进行备份12.ACL设置是否合理是无13.是否启用了动态路由协议认证功能否建议启用动态路由协议认证功能14.是否定期检查运行状态是无边界防火墙编号检查内容检查结果安全建议自身安全性1.是否及时修改防火墙超级管理员的默认口令。是无2.是否开放了不必要的端口和服务否无3.是否划分了不同级别的用户,赋予其不同的权限,至少应包括系统管理员、审计管理员等用户角色。是无4.管理员口令是否具有严格的保管措施。是无运行维护5.是否具备两个以上的用户身份,对系统策略和日志进行维护和管理。是
17、无6.防火墙在网络拓扑图中是否有明显的标示。是无7.防火墙安全区域的划分是否明确合理。是无8.防火墙是否明确以何种方式接入网络,包括透明模式、混合模式和路由模式。是无9.防火墙是否具有详细的访问控制列表。是无10.防火墙是否标注了源地址和目的地址。是无11.防火墙是否标注了允许和拒绝的动作。是无12.防火墙访问控制策略中是否出现重复或冲突。否无13.防火墙接口IP是否有明确的标注。是无14.是否对不安全的远程登录进行控制。是无15.防火墙是否标注NAT地址转换和MAP等。是无16.是否将防火墙配置及时保存并导出。是无17.是否每天有专人查看和分析防火墙日志,并对高危事件进行记录。是无18.是否
18、对防火墙的CPU、内存和硬盘使用情况进行监测。是建议对防火墙的CPU、内存和硬盘使用情况进行监测内网防火墙编号检查内容检查结果安全建议自身安全性19.是否及时修改防火墙超级管理员的默认口令。是无20.是否开放了不必要的端口和服务否无21.是否划分了不同级别的用户,赋予其不同的权限,至少应包括系统管理员、审计管理员等用户角色。是无22.管理员口令是否具有严格的保管措施。是无运行维护23.是否具备两个以上的用户身份,对系统策略和日志进行维护和管理。是无24.防火墙在网络拓扑图中是否有明显的标示。是无25.防火墙安全区域的划分是否明确合理。是无26.防火墙是否明确以何种方式接入网络,包括透明模式、混
19、合模式和路由模式。是无27.防火墙是否具有详细的访问控制列表。是无28.防火墙是否标注了源地址和目的地址。是无29.防火墙是否标注了允许和拒绝的动作。是无30.防火墙访问控制策略中是否出现重复或冲突。否无31.防火墙接口IP是否有明确的标注。是无32.是否对不安全的远程登录进行控制。是无33.防火墙是否标注NAT地址转换和MAP等。是无34.是否将防火墙配置及时保存并导出。是无35.是否每天有专人查看和分析防火墙日志,并对高危事件进行记录。是无36.是否对防火墙的CPU、内存和硬盘使用情况进行监测。是建议对防火墙的CPU、内存和硬盘使用情况进行监测核心交换机编号检查项目检查内容检查结果安全建议
20、1.系统安全是否定期更新IOS版本是建议定期检查并更新IOS版本2.口令管理是否修改网络设备的默认口令是无3.是否设置口令强度和有效期是无4.是否使用enable secret是无5.是否使用service password-encryption是建议启用service password-encryption6.是否关闭HTTP设置否建议关闭HTTP设置7.是否封锁ICMP PING请求否建议封锁ICMP PING请求8.是否禁止CDP否建议禁止CDP9.是否禁用了不必要的服务,如no finger、no cdp、no ip bootp server等等是建议根据业务情况,禁用业务不相关服务1
21、0.是否限制远程终端会话否建议限制远程终端会话11.策略安全是否配置了强加密和密码加密是无12.是否应用Control-plane police预防DDOS攻击否建议打开CP13.是否有完整的系统日志记录功能,包括AAA、SNMP Trap Syslog、本地日志缓存是14.OSPF协议使用LOOPBACK是否做ROUTER-ID的标识无此处不适用15.接入层和汇聚层之间是否采用静态路由是无16.其它动态路由协议是否启用认证功能否此处不适用17.使用SSH代替TELNET否建议使用SSH代替TELNET18.是否设置Syslog日志是无楼层交换机编号检查项目检查内容检查结果安全建议19.系统安
22、全是否定期更新IOS版本否建议定期检查并更新IOS版本20.口令管理是否修改网络设备的默认口令是无21.是否设置口令强度和有效期是无22.是否使用enable secret是无23.是否使用service password-encryption是无24.是否关闭HTTP设置否建议关闭HTTP设置25.是否封锁ICMP PING请求否建议封锁ICMP PING请求26.是否禁止CDP否建议禁止CDP27.是否禁用了不必要的服务,如no finger、no cdp、no ip bootp server等等否建议根据业务情况,禁用业务不相关服务28.是否限制远程终端会话是无29.策略安全是否配置了强
23、加密和密码加密是无30.是否应用Control-plane police预防DDOS攻击无建议打开31.是否有完整的系统日志记录功能,包括AAA、SNMP Trap Syslog、本地日志缓存否建议开启系统日志记录功能32.OSPF协议使用LOOPBACK是否做ROUTER-ID的标识无此处不适用33.接入层和汇聚层之间是否采用静态路由是无34.其它动态路由协议是否启用认证功能否建议启用OSPF路由认证功能35.使用SSH代替TELNET否建议使用SSH代替TELNET36.是否设置Syslog日志否建议打开日志功能3. 问题总结与分析 通过对四台服务器和网络设备进行抽样安全检查,总结发现普遍存在以下安全问题:n 操作系统及应用程序补丁未更新至最新,建议更新操作系统和应用程序安全补丁;n 操作系统默认安全配置策略问题,建议根据主机安全级别配置服务器安全策略;n 操作系统未按服务最小化原则进行优化,建议根据服务器主机业务使用情况关闭业务不相关服务和端口;n 操作系统普遍未开启系统审计功能,建议对操作系统开启审计功能;n 系统默认账户策略配置问题(导致系统账号口令被恶意破解);n 交换机未禁止CDP,ICMP的服务(导致增加被攻击的可能)专心-专注-专业