当前位置：文档之家› Windows 2000 安全配置检查表

Windows 2000 安全配置检查表

更新日期：2004年03月01日

本页内容

本模块内容

目标

适用范围

如何使用本模块

安全配置检查表

本模块内容

本模块提供的检查表可在您评估系统时确保应用所有必要的安全配置更改。有关配置更改的相关信息，请参考模块Windows 2000 安全配置和Windows 2000 默认安全策略设置。

返回页首

目标

使用本模块可以实现：

?检查Microsoft? Windows? 2000 操作系统的配置。

?检查系统安全配置。

返回页首

适用范围

本模块适用于下列产品和技术：

?Microsoft Windows 2000 Professional 操作系统

?Microsoft Windows 2000 Server? 操作系统

?Microsoft Windows 2000 Advanced Server 操作系统

?Microsoft Windows 2000 Data Center Server 操作系统

返回页首

如何使用本模块

使用本模块可检查Windows 2000 系统的配置。本模块与所有版本Windows 2000 中的各种角色相关。检查表确认了必需的安全配置。

为了充分理解本模块内容，请：

?阅读模块Windows 2000 安全配置，其中详细描述了可增强Windows 2000 安全性的安全设置。

?阅读模块Windows 2000 安全配置工具，其中概述了可应用安全配置的Windows 2000 工具。

?阅读模块Windows 2000 默认安全策略设置，其中详细描述了应用于不同Windows 2000 系统角色的默认安全策略设置。

?阅读模块Windows 2000 用户权限和特权配置，其中详细描述了Windows 2000 系统的默认用户权限分配，并提供了一组Windows 2000 安全配置模块推荐的更改。

?使用附带的“如何”模块：

如何在Windows 2000 中配置和应用安全模板

返回页首

安全配置检查表

表1：操作系统配置

Windows 2000 Professional

Windows 2000 Server

Windows 2000 Advanced Server

Windows 2000 Data Center

域控制器

工作组名称：______ 域名：______ ____________________ ____________________ ____________________

表2：Windows 2000 安全配置检查表

文件系统配置

安全目标：

Security.inf”

文件系统类型：

强制密码历史

安全目标：设置密码复用率的限制。

计算机设置：

密码最长使用期限

安全目标：设置密码在用户更改前可保留的时间。计算机设置：

安全目标：设置密码在用户更改前必须保留的时间。

计算机设置：_____ 天

密码长度最小值

安全目标：设置用户密码的最少字符数。

计算机设置：_____ 字符

密码必须满足复杂性要求

安全目标：要求使用复杂（强）密码。

计算机设置：启用禁用

用可还原的加密来储存密码（针对域中的所有用户）

安全目标：不启用。使用密码弱加密。

计算机设置：启用禁用

帐户锁定策略

帐户锁定时间

安全目标：如果密码无效，将帐户锁定一段时间。

计算机设置：_____ 分钟帐户锁定阈值

安全目标：设置锁定帐户前允许的无效登录次数。

计算机设置：_____ 次无效登录

重置帐户锁定计数器

安全目标：设置重置前保持锁定阈值的时间长度。

计算机设置：_____ 分钟

Kerberos 策略

强制用户登录限制

安全目标：通过检查用户权限策略来验证每一次的登录请求。

计算机设置：启用禁用

服务票证最长寿命

安全目标：设置服务票证保持有效的最长时间段。

计算机设置：_____ 分钟

用户票证最长寿命

安全目标：设置用户票证保持有效的最长时间段。

计算机设置：_____ 小时用户票证续订最长寿命

安全目标：设置过期票证的续订期间。

计算机设置：_____ 天

计算机时钟同步的最大容差

安全目标：设置域中不同计算机间同步时钟的最大容差。

计算机设置：_____ 分钟

本地策略

审核策略

审核帐户登录事件

安全目标：审核来自其他计算机（帐户需要进行验证）的帐户登录事件。“帐户登录事件”在帐户所在地生成。

计算机设置：成功失败

审核帐户管理

安全目标：审核帐户管理活动。

计算机设置：成功失败审核目录服务访问

安全目标：审核对 Microsoft Active Directory? 对象（有指定的访问控制列表）的访问情况。

计算机设置：成功失败

审核登录事件

安全目标：审核本计算机的本地或网络登录/注销事件。“

登录事件”在登录发生地生成。

计算机设置：成功失败

审核对象访问

安全目标：审核对象（例如文件、文件夹、注册表项或打印机）的访问情况，这些对象都有自己指定的系统访问控制列表。

计算机设置：成功失败

审核策略更改

安全目标：审核用户权限分配策略、审核策略或信任策略的变化情况。

计算机设置：成功失败

审核特权使用

安全目标：审核用户行使权限的所有实例。

计算机设置：成功失败

审核过程跟踪

安全目标：审核事件的详细跟踪信息，比如程序激活，进程退出，复制操作和间接对象访问等。

计算机设置：成功失败审核系统事件

安全目标：审核用户开关计算机的时间，或发生影响系统安全或安全日志的事件的时间。

计算机设置：成功失败

用户权限分配

从网络访问此计算机

安全目标：确定允许哪些用户通过网络连接计算机。

计算机设置：分配给：

________________ ________________ ________________

作为操作系统的一部分工作

安全目标：允许用户作为操作系统本身执行代码，进而作为系统的任何其他用户执行代码。注：该权限非常危险，不要分配给管理员以外的人。拥有该权限的用户可行使操作系统中的所有安全手段。

计算机设置：分配给：

________________ ________________ ________________

备份文件和目录

安全目标：允许用户行使文件和文件夹权限来备份系统。注：拥有该权限的用户可读取计算机中的所有文件，包括用户无权访问的文件。

计算机设置：分配给：

跳过遍历检查

安全目标：允许用户跳过平时无权访问的文件夹。计算机设置：分配给：

________________ ________________ ________________ ________________ ________________ ________________ 更改系统时间

安全目标：允许用户设置计算机内部时钟的时间。计算机设置：分配给：

________________ ________________ ________________ ________________ ________________ ________________ 创建页面文件

安全目标：允许用户创建和更改页面文件的大小。计算机设置：分配给：

________________ ________________ ________________ ________________ ________________ ________________

创建令牌对象

安全目标：允许通过某一进程创建访问令牌。

计算机设置：分配给：

________________ ________________ ________________

创建永久共享对象

安全目标：允许通过某一进程在Windows 2000 对象管理器中创建目录对象。

计算机设置：分配给：

________________ ________________ ________________

调试程序

安全目标：允许用户将调试程序附加到另一用户环境中执行的进程。注：该权限允许用户将代码引入任意用户环境中执行的进程。拥有该权限的用户可因此作为系统的任意其他用户运行代码，包括作为操作系统本身。这是非常危险的，不要将该权限分配该管理员以外的人。该权限有效地允许行使系统的所有安全设置。最常见的误解是，开发人员必须拥有此权限来调试程序。这其实是错误的。用户调试自己的程序时并非一定要拥有该权限。只有开发人员要作为其他用户调试程序时，该权限才必要。

计算机设置：分配给：

________________ ________________ ________________

拒绝从网络访问此计算机

安全目标：禁止用户或组通过网络连接计算机。计算机设置：分配给：

________________ ________________ ________________ ________________ ________________ ________________ 禁止作为批作业登录

安全目标：禁止用户或组使用批队列工具登录。计算机设置：分配给：

________________ ________________ ________________ ________________ ________________ ________________ 拒绝作为服务登录

安全目标：禁止用户或组作为服务来登录。

计算机设置：分配给：

________________ ________________ ________________ ________________ ________________ ________________ 拒绝本地登录

安全目标：禁止用户或组在本地通过键盘登录。

信任计算机和用户帐户以便委派

安全目标：允许用户更改

计算机设置：分配给：

________________ ________________ ________________

从远程系统强制关机

安全目标：允许用户通过网络的远程位置关闭计算机。计算机设置：分配给：

________________ ________________ ________________

生成安全审核

安全目标：允许通过某一进程生成安全日志中的项。计算机设置：分配给：

________________ ________________ ________________

增加配额

安全目标：允许拥有另一进程写入属性访问权限的进程增加分配给另一进程的处理器配额。计算机设置：分配给：

________________ ________________ ________________

提高计划优先级

安全目标：允许拥有另一进程写入属性访问权限的进程更改进程的处理优先级。

计算机设置：分配给：

________________ ________________ ________________

加载和卸载设备驱动程序

安全目标：允许用户安装和卸载即插即用设备驱动程序。

计算机设置：分配给：

________________ ________________ ________________

安全目标：允许通过某一进程将数据保留在物理内存中，防止系统将页面数据保存在磁盘的虚拟内存中。

计算机设置：分配给：

________________ ________________ ________________

作为批处理作业登录

安全目标：允许用户使用批队列工具登录。

计算机设置：分配给：

________________ ________________ ________________

作为服务登录

安全目标：允许安全主体作为服务登录。

计算机设置：分配给：

________________ ________________ ________________

本地登录

安全目标：允许用户在计算机本地登录。

计算机设置：分配给：

将工作站添加到域（域控制器）

安全目标：允许用户将计算机添加到特定的域。计算机设置：分配给：

________________ ________________ ________________ ________________ ________________ ________________ 管理审核和安全日志

安全目标：允许用户为文件、

计算机设置：分配给：

________________ ________________ ________________ ________________ ________________ ________________ 修改固件环境值

安全目标：允许进程通过

计算机设置：分配给：

________________ ________________ ________________ ________________ ________________ ________________

配置单一进程

安全目标：允许用户运行Microsoft Windows NT?和Windows 2000 性能监视工具来监视非系统进程的性能。计算机设置：分配给：

________________ ________________ ________________

配置系统性能

安全目标：允许用户运行Microsoft Windows NT 和Windows 2000 性能监视工具来监视系统进程的性能。

计算机设置：分配给：

________________ ________________ ________________

从扩展坞移除计算机

安全目标：允许便携式计算机用户通过单击“开始”、“弹出PC”来解锁计算机。计算机设置：分配给：

________________ ________________ ________________

替换进程级令牌

安全目标：允许通过父进程替换与子进程相关联的访问令牌。

计算机设置：分配给：

还原文件和目录

安全目标：允许用户在还原已备份的文件和目录时行使文件和目录权限，并可作为对象所有者设置任意有效的安全主体。计算机设置：分配给：

________________ ________________ ________________

关闭系统

安全目标：允许用户关闭本地计算机。

计算机设置：分配给：

________________ ________________ ________________

同步目录服务数据

安全目标：允许服务提供目录同步服务。

计算机设置：分配给：

________________ ________________ ________________

取得文件或其他对象的所有权

安全目标：允许用户取得系统中所有可获得对象的所有权。

计算机设置：分配给：

________________ ________________ ________________

安全选项匿名连接的附加限制

安全目标：设置计算机匿名连接的限制。

计算机设置：选定选项：__________________________________

允许服务器操作员计划任务（域控制器）

安全目标：确定是否允许服务器操作员通过 AT 计划工具提交作业。

计算机设置：启用禁用

允许在不用登录的情况下关闭系统

安全目标：设置计算机在不要求用户登录的情况下关闭。

计算机设置：启用禁用

对全局系统对象的访问进行审核

安全目标：允许审核对全局系统对象的访问。

计算机设置：启用禁用

对备份和还原特权的使用进行审核

安全目标：允许审核用户备份和还原权限的使用情况。

计算机设置：启用禁用

允许弹出可移动NTFS 媒体

安全目标：设置允许从计算机中弹出可移动NTFS 媒体的帐户。

计算机设置：策略中拒绝的帐户：___________________

断开会话前所需的空闲时间

安全目标：设置因服务器消息块(SMB) 会话处于非活动状态而将其断开前必须经过的空闲时间。

计算机设置：_____ 分钟

登录时间到期后自动注销用户

安全目标：如果启用，系统将断开与本地计算机连接超过有效登录时间的用户帐户。仅能在DC 中设置。计算机设置：启用禁用

登录时间到期后自动注销用户（本地）

安全目标：如果启用，系统将断开与本地计算机连接超过有效登录时间的用户帐户。

计算机设置：启用禁用

操作系统安全配置检查表

1 Windows 2000 操作系统安全检查表（草案）中国教育和科研计算机网紧急响应组(CCERT) 2003年3月前言步骤 1 建议 2 安装过程中的建议 3 安装最新的系统补丁(Service Pack)与更新(Hotfix)程序 4 为管理员（Administrator ）账号指定安全的口令 5 把Administrator 帐号重新命名 6 禁用或删除不必要的帐号 7 关闭不必要的服务 8 安装防病毒软件 9 给所有必要的文件共享设置适当的访问控制权限 10 激活系统的审计功能 11 关于应用软件方面的建议附录一、网络上的参考资源附录二、windows 2000 服务配置参考 1 建议 2 安装过程中的建议

2 3 安装最新的系统补丁(Service Pack)与更新(Hotfix)程序大量系统入侵事件是因为用户没有及时的安装系统的补丁，管理员重要的任务之一是更新系统，保证系统安装了最新的补丁。建议用户及时下载并安装补丁包，修补系统漏洞。Microsoft 公司提供两种类型的补丁：Service Pack 和Hotfix 。 Service Pack 是一系列系统漏洞的补丁程序包，最新版本的Service Pack 包括了以前发布的所有的hotfix 。微软公司建议用户安装最新版本的Service Pack ，现在最新的补丁包是Service Pack 3（推荐安装）。您可以在下面的网址下载到最新的补丁包： ● https://www.doczj.com/doc/b518764196.html,/windows2000/downloads/servicepacks/sp3/ ● https://www.doczj.com/doc/b518764196.html,/china/windows2000/downloads/ ● https://www.doczj.com/doc/b518764196.html,/patch/ Service Pack 3 此补丁包包括了Automatic Updates （自动升级）服务，该服务能够在重要的Windows 2000修补程序发布之时向您发出通知。Automatic Updates 是一种有预见性的“拉”服务，可以自动下载和安装Windows 升级补丁，例如重要的操作系统修补和Windows 安全性升级补丁。 Hotfix 通常用于修补某个特定的安全问题，一般比Service Pack 发布更为频繁。微软用过安全通知服务来发布安全公告。你可以订阅微软免费的安全通知服务： https://www.doczj.com/doc/b518764196.html,/technet/treeview/default.asp?url=/technet/security/bulletin/notify.asp 在发布新的安全补丁时，可以通过电子邮件通知你。如果公告建议你安装 hotfix ，你应该尽快下载并安装这些hotfix 。你也可以在下面的网址下载最新的Hotfix 程序： https://www.doczj.com/doc/b518764196.html,/technet/treeview/default.asp?url=/technet/security/current.asp 4 为管理员（Administrator ）账号指定安全的口令 Windows 2000 允许127个字符的口令。一般来说，强壮的口令应该满足以下条件： 1. 口令应该不少于8个字符； 2. 不包含字典里的单词、不包括姓氏的汉语拼音； 3. 同时包含多种类型的字符，比如 o 大写字母(A,B,C,..Z) o 小写字母(a,b,c..z) o 数字(0,1,2,…9) o 标点符号(@,#,!,$,%,& …) 4. 不要在不同的计算机上使用相同的口令。 5 把Administrator 帐号重新命名由于Windows2000的默认管理员帐号Administrator 已众所周知，该帐号通常称为攻击者猜

学校网络与信息安全巡查表

单位: 网络与信息安全巡查表检查时间：类别检测项目检查内容检查要求检查结果网络安全基础设施建设网络架构安全网络结构设计、网络划分网络结构设计、网络划分符合相关要求是否有不经过防火墙的外联链路（包括拨号外联）外网与内网的连接链路（包括拨号外联）必须经过防火墙网络拓扑结构图提供当前网络的网络拓扑结构图网络分区管理生产控制大区和管理信息大区之间是否按电监会5号令要求部署了专用隔离装置网络使用的各种硬件设备、软件等各种硬件设备、软件和网络接口是否经过安全检验、鉴定、认证。各种硬件设备、软件和网络接口均经过安全检验、鉴定、认证。广域网建设情况广域网是否按集团规定进行建设、并按规定进行连接广域网按集团规定进行建设、并按规定进行连接网络承建单位情况网络承建单位是否具有相关资质网络承建单位具有相关资质（查看相关资质文件）网络内部数据信息网络内部数据信息的产生、使用、存储和维护是否安全、合理等网络内部数据信息的产生、使用、存储和维护安全、合理机房环境安全主机房是否安装了门禁、监控与报警系统主机房安装了门禁、监控与报警系统是否有详细的机房配线图有详细的机房配线图机房供电系统是否将动力、照明用电与计算机系统供电线路分开机房供电系统已将动力、照明用电与计算机系统供电线路分开机房是否配备应急照明装置机房有配备应急照明装置 1

类别检测项目检查内容检查要求检查结果网络安全基础设施建设机房环境安全是否定期对UPS的运行状况进行检测定期对UPS的运行状况进行检测（查看半年内检测记录）是否安装机房自动灭火系统，是否配备机房专用灭火器，是否定期对灭火装置进行检测安装机房自动灭火系统，配备机房专用灭火器，定期对灭火装置进行检测是否有防雷措施，机房设备接地电阻是否满足要求，接地线是否牢固可靠机房有防雷措施，机房设备接地电阻满足要求，接地线牢固可靠（直流工作接地≤1欧，接地地位差≤1V；交流工作交流工作接地系统接地电阻：＜4Ω、零地电压＜1V；计算机系统安全保护接地电阻及静电接地电阻：＜ 4Ω) 机房温度是否控制在摄氏18-25 度以内机房温度控制在摄氏18-25度以内安全技术防核心网络设备、系统安全配置交换机、路由器、防火墙等网络设备的安全设置情况；操作系统的安全配置、版本及补丁升级情况交换机、路由器、防火墙等均根据安全要求进行了正确设置；操作系统的安全配置、版本及补丁升级情况。网络设备配置是否进行了备份（电子、物理介质）网络设备配置进行了备份（电子、物理介质）应用安全配置、身份鉴别策略相关服务进行正确的安全配置、身份鉴别情况WWW服务用户账户、口令是否强健 WWW服务用户账户、口令强健（查看登录） 2

Microsoft_SQL_Server安全配置风险评估检查表

Microsoft SQL Server数据库系统安全配置基线目录第1章概述 (2) 1.1 目的 (2) 1.2 适用范围 (2) 1.3 适用版本 (2) 第2章口令 (3) 2.1 口令安全 (3) 2.1.1 SQLServer用户口令安全 (3) 第3章日志 (4) 3.1 日志审计 (4) 3.1.1 SQLServer登录审计 (4) 3.1.2 SQLServer安全事件审计 (4) 第4章其他 (6) 4.1 安全策略 (6) 4.1.1 通讯协议安全策略 (6) 4.2 更新补丁 (6) 4.2.1 补丁要求 (6)

第1章概述 1.1 目的本文档规定了SQL Server 数据库应当遵循的数据库安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行SQL Server 数据库的安全合规性检查和配置。 1.2 适用范围本配置标准的使用者包括：数据库管理员、应用管理员、网络安全管理员。 1.3 适用版本 SQL Server系列数据库；

第2章口令 2.1 口令安全 2.1.1SQLServer用户口令安全安全基线项数据库管理系统SQLServer用户口令安全基线要求项目名称安全基线SBL-SQLServer-02-01-01 安全基线项对用户的属性进行安全检查，包括空密码、密码更新时间等。修改目前所有说明账号的口令，确认为强口令。特别是sa 账号，需要设置至少10位的强口令。检测操作步 1.检查password字段是否为null。骤 2.参考配置操作查看用户状态运行查询分析器，执行 select * from sysusers Select name,Password from syslogins where password is null order by name # 查看口令为空的用户 password字段不为null。基线符合性判定依据备注

信息安全检查表

广西食品药品检验所信息安全检查表一、信息系统基本情况信息系统基本情况①信息系统总数：个 ②面向社会公众提供服务的信息系统数：个 ③委托社会第三方进行日常运维管理的信息系统数：个，其中签订运维外包服务合同的信息系统数：个互联网接入情况互联网接入口总数：个其中：□联通接入口数量：个接入带宽：兆□电信接入口数量：个接入带宽：兆 □其他：接入口数量：个接入带宽：兆系统定级情况第一级：个第二级：个第三级：个第四级：个第五级：个未定级：个系统安全测评情况最近2年开展安全测评（含风险评估、等级测评）系统数：个二、日常信息安全管理情况人员管理①岗位信息安全和保密责任制度：□已建立□未建立 ②重要岗位人员信息安全和保密协议： □全部签订□部分签订□均未签订 ③人员离岗离职安全管理规定：□已制定□未制定 ④外部人员访问机房等重要区域管理制度：□已建立□未建立资产管理①信息安全设备运维管理： □已明确专人负责□未明确 □定期进行配置检查、日志审计等□未进行 ②设备维修维护和报废销毁管理： □已建立管理制度，且维修维护和报废销毁记录完整□已建立管理制度，但维修维护和报废销毁记录不完整□尚未建立管理制度三、信息安全防护管理情况

网络边界防护管理①网络区域划分是否合理：□合理□不合理 ②安全防护设备策略：□使用默认配置□根据应用自主配置 ③互联网访问控制：□有访问控制措施□无访问控制措施 ④互联网访问日志：□留存日志□未留存日志信息系统安全管理①服务器安全防护： □已关闭不必要的应用、服务、端口□未关闭 □帐户口令满足8位，包含数字、字母或符号□不满足 □定期更新帐户口令□未能定期更新□定期进行漏洞扫描、病毒木马检测□未进行 ②网络设备防护： □安全策略配置有效□无效 □帐户口令满足8位，包含数字、字母或符号□不满足 □定期更新帐户口令□未能定期更新□定期进行漏洞扫描、病毒木马检测□未进行 ③信息安全设备部署及使用： □已部署有防病毒、防火墙、入侵检测、安全审计等功能的设备□未部署□安全策略配置有效□无效门户网站应用管理门户网站管理网站域名：_______________ IP地址：_____________ 是否申请中文域名：□是_______________ □否 ①网站是否备案：□是□否 ②门户网站账户安全管理： □已清理无关帐户□未清理 □无：空口令、弱口令和默认口令□有 ③清理网站临时文件、关闭网站目录遍历功能等情况：口已清理口未清理 ④门户网站信息发布管理： □已建立审核制度，且审核记录完整 □已建立审核制度，但审核记录不完整 □尚未建立审核制度

网络信息安全检查表

网络与信息安全检查项目表类别检查项目检查内容检查要求明确信息安全主管领导、责任人、信息安全管理员，制定岗位职责文件和组织管理与规章制度网络与信息安全管理组织日常管理工作规章制度情况信息安全责任制落实情况信息安全培训情况信息安全管理策略情况信息安全测评、系统安全定级、信息安全检查和风险评估工作网络与信息安全政策落实情况信息安全管理职责、信息安全情况报告制度、资产安全管理制度、系统运行安全管理制度、安全应急响应及事故管理制度等操作规程等（要提供相应文档）信息安全责任人、管理员定期参加有关单位的信息安全培训。对本单位全体人员进行了信息安全培训（提供培训计划、培训内容、培训成绩、人员）制定了详细的信息安全管理策略，并有专人负责，定期进行检查（要提供检查纪录）有工作开展的相关文档、记录、总结国家有关网络与信息安全文件（计算机信息网络国际联网安全保护管理办法等）的落实情况制定了严格的规章制度，并认真落实（提供所有制度文档）。保密承诺书重要岗位、涉密岗位人员保密承诺书是否签订，是否及时更新，新入岗、离岗人员均要签订保密承诺。网络运行及关键安全设备情况网络基本情况网络使用情况网络设计使用符合相关规定要求。网络与信息系统集成、设计与监理情况集成商、设计单位、监理单位必须具备相关资质（要有资质证书复印件）

网络与信息安全产品防火墙、入侵检测、安全审计、漏洞扫描、违规外联监控、网页防篡改、网络安全隔离网闸、病毒防范等安全产品以及密码设备必须采用通过国家保密局涉密信息系统安全保密测评机构、国家及省级信息安全测评机构测评的测评资质证书，公安部销售许可证；密码产品及研发、生产、销售企业必须具有国家密码管理局的许可资质（各类资质要有资质证书复印件）

防火墙安全规则和配置

网络安全是一个系统的概念，有效的安全策略或方案的制定，是网络信息安全的首要目标。网络安全技术主要有，认证授权、数据加密、访问控制、安全审计等。而提供安全网关服务的类型有：地址转换、包过滤、应用代理、访问控制和DoS防御。本文主要介绍地址转换和访问控制两种安全网关服务，利用cisco路由器对ISDN拨号上网做安全规则设置。试验环境是一台有fir ewall 版本IOS的cisco2621 路由器、一台交换机组成的局域网利用ISDN拨号上网。一、地址转换我们知道，Internet 技术是基丁IP协议的技术，所有的信息通信都是通过IP包来实现的，每一个设备需要进行通信都必须有一个唯一的 IP地址。因此，当一个网络需要接入Inte rnet的时候，需要在Internet 上进行通信的设备就必须有一个在全球Internet 网络上唯一的地址。当一个网络需要接入Internet 上使用时，网络中的每一台设备都有一个I nternet 地址，这在实行各种Internet 应用上当然是最理想不过的。但是，这样也导致每一个设备都暴露在网络上，任何人都可以对这些设备攻击，同时由丁I nternet目前采用的IPV4协议在网络发展到现在，所剩下的可用的IP地址已经不多了，网络中的每一台设备都需要一个IP 地址，这几乎是不可能的事情。采用端口地址转换，管理员只需要设定一个可以用作端口地址转换的公有Internet 地址，用户的访问将会映射到IP池中IP的一个端口上去，这使每个合法Internet IP 可以映射六万多台部网主机。从而隐藏部网

路地址信息，使外界无法直接访问部网络设备。 Cisco路由器提供了几种NAT转换的功能： 1、部地址与出口地址的——对应缺点：在出口地址资源稀少的情况下只能使较少主机连到internet 。2、部地址分享出口地址路由器利用出口地址和端口号以及外部主机地址和端口号作为接口。其中部地址的端口号为随机产生的大丁1024的，而外部主机端口号为公认的标准端口号。这样可以用同一个出口地址来分配不同的端口号连接任意数量的部主机到外网。具体配置：由丁实验用的是ISDN拨号上网，在internet 上只能随机获得出口地址，所以NAT转换的地址池设置为BRI 口上拨号所获得的地址。interface FastEthernet0/0 ip address 172.16.18.200 255.255.255.0 ip nat inside the interface connected to inside world ! interface BRI0/0 ip address negotiated ip nat outside the interface connected to outside network encapsulation ppp no ip split-horizon dialer string 163 dialer load-threshold 150 inbound

学校网络与信息安全检查表

单位：长春市第一五七中学网络与信息安全检查表检查时间：2017.10 类别检测项目检查内容检查要求检查记录检查结果网络安全基础设施建设网络架构安全网络结构设计、网络划分网络结构设计、网络划分符合相关要求是否有不经过防火墙的外联链路（包括拨号外联）外网与内网的连接链路（包括拨号外联）必须经过防火墙网络拓扑结构图提供当前网络的网络拓扑结构图网络分区管理生产控制大区和管理信息大区之间是否按电监会5号令要求部署了专用隔离装置网络使用的各种硬件设备、软件等各种硬件设备、软件和网络接口是否经过安全检验、鉴定、认证。各种硬件设备、软件和网络接口均经过安全检验、鉴定、认证。广域网建设情况广域网是否按集团规定进行建设、并按规定进行连接广域网按集团规定进行建设、并按规定进行连接网络承建单位情况网络承建单位是否具有相关资质网络承建单位具有相关资质（查看相关资质文件）网络内部数据信息网络内部数据信息的产生、使用、存储和维护是否安全、合理等网络内部数据信息的产生、使用、存储和维护安全、合理机房环境安全机房环境安全主机房是否安装了门禁、监控与报警系统主机房安装了门禁、监控与报警系统是否有详细的机房配线图有详细的机房配线图机房供电系统是否将动力、照明用电与计算机系统供电线路分开机房供电系统已将动力、照明用电与计算机系统供电线路分开机房是否配备应急照明装置机房有配备应急照明装置是否定期对UPS的运行状况进行检测定期对UPS的运行状况进行检测（查看半年内检测记录）是否安装机房自动灭火系统，是安装机房自动灭火系统，配备机房专用灭火器，

WebLogic Web服务器安全配置风险评估检查表

WebLogicWeb服务器安全配置基线目录第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 第2章账号管理、认证授权 (2) 2.1账号 (2) 2.1.1账号锁定策略 (2) 2.2口令 (2) 2.2.1密码复杂度 (2) 第3章日志配置操作 (4) 3.1日志配置 (4) 3.1.1审核登录 (4) 第4章IP协议安全配置 (5) 4.1IP协议 (5) 4.1.1支持加密协议 (5) 4.1.2限制应用服务器Socket数量 (5) 4.1.3禁用Send Server Header (6) 第5章设备其他配置操作 (7) 5.1安全管理 (7) 5.1.1定时登出 (7) 5.1.2更改默认端口 (7) 5.1.3错误页面处理 (8) 5.1.4目录列表访问限制 (8)

第1章概述 1.1 目的本文档规定了WebLogic Web服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行WebLogic Web服务器的安全配置。 1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。 1.3 适用版本 6.x、 7.x、 8.x版本的WebLogic Web服务器。现在最新的weblogic服务器时9.1，此文件不适用与最新的服务器

第2章账号管理、认证授权2.1 账号 2.1.1账号锁定策略 2.2 口令 2.2.1密码复杂度

第3章日志配置操作3.1 日志配置 3.1.1审核登录

第4章IP协议安全配置4.1 IP协议 4.1.1支持加密协议 4.1.2限制应用服务器Socket数量

网络与信息安全检查表

网络与信息安全检查表单位名称：嘉兴市妇幼保健院一、信息安全组织机构基本情况信息安全责任部门信息科分管信息安全工作的领导（如单位正副职领导）①姓名：王立中；职务：副院长； ②姓名：；职务：；信息安全管理机构（如信息中心）①名称：信息科； ②负责人：沈碧飞；职务：科长； ③联系人：龚林峰；电话：；信息安全专职工作处室（如信息科）①名称：； ②联系人：；电话：；信息安全责任部门职责 (可附件另附) 二、重要信息系统基本情况重要信息系统总数：（请另附系统简介清单）系统定级情况第一级：个第二级：个第三级：个第四级：个第五级：个未定级：个等级保护测评完成等级保护测评系统的名称及对应等级：①； ②； ③； ④；服务对象统计①面向社会公众提供服务的系统数量及等级：； ②非面向社会公众提供服务的系统数量及等级：；联网情况统计①通过互联网可直接访问的系统数量及等级：； ②通过互联网不能直接访问的系统数量及等级：；其中，与互联网物理隔离的系统数量及等级：；

数据集中性统计①省级数据集中的系统数量及数据类型：； ②市级数据集中的系统数量及数据类型：； ③县级数据集中的系统数量及数据类型：； ④未进行数据集中的系统数量：；业务连续性统计①可容忍值小于小时的系统数量：； ②可容忍值大于小时，小于小时的系统数量：； ③可容忍值大于小时的系统数量：；系统灾备统计①定期对系统级进行灾备的系统数量：； ②仅对数据库定期进行灾备的系统数量：； ③无灾备措施的系统数量：；业务应用软件系统（统计年内数据）①自主设计开发（不含二次开发）的套数：； ②外包国内服务商开发的套数：；外包国外服务商开发的套数：； ③直接采购国内服务商产品的套数：；直接采购国外服务商产品的套数：；三、日常信息安全运维管理情况人员安全管理①重点岗位人员安全保密协议：全部签订部分签订均未签订； ②人员离岗离职安全管理规定：已制定未制定； ③外部人员机房访问管理制度及权限审批制度：已建立未建立；设备资产管理①资产管理制度：已建立未建立； ②机房设备标签：全部标签合格部分标签合格无标签； ③设备维修维护和报废管理：已建立管理制度，且维修维护和报废记录完整；已建立管理制度，但维修维护和报废记录不完整；未建立管理制度；机房安全管理①机房管理制度：已建立未建立； ②机房日常运维记录：完整详实部分简略无记录； ③人员进出机房记录：完整详实部分简略无记录； ④机房物理环境：达标未达标；采购预算保障①年度采购方案及预算：已建立未建立； ②采购合同：完整部分完整； ③安全设备采购比例：> > <；外包服务管理①外包服务商资质证书：齐全部分齐全； ②外包服务合同：完整部分完整；

服务器健康检查表

服务器健康检查表公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N]

1 环保局服务器健康检查表检查内容： 1．检查机房环境，电源温度、湿度是否符合要求：□符合要求□不符合备注：电源：相电压：□符合要求□不符合备注：线电压：□符合要求□不符合备注：零地电压：□符合要求□不符合备注： 2．检查系统硬件情况检查设备故障灯是否有亮：□有□无备注：有否异常情况（如硬盘、风扇异常的声音，电缆破损）：□有□无备注： 3．检查有无内置磁带机内置磁带机：□有□无 4．检查系统错误报告（Error Log）有否硬件故障：□有□无故障内容：有否软件故障：□有□无故障内容： 2 结论：注意：如果故障记录太多，应将故障报告取回，作进一步分析。 5．查文件系统查看有没有“满”的文件系统。文件系统满可导致系统不能正常工作，尤其是AIX 的基本文件系统。如/（根文件系统）满则会导致用户不能登录。有否“满”的文件系统：□有□无备注： 6．检查内存交换区（paging pace）使用率使用率是否超过70%：□有□无备注： 7．检查CPU 是否繁忙（sar 1 10） CPU 空闲是否小于20%：□有□无备注： 8．检查I/O 是否繁忙（iostat 1）

是否大数据读写都集中在某些硬盘上：□有□无备注： 9．检测诊断（Diagnostic）机器shutdown 后以慢启动方式作自检，启动后运行diag 系统诊断程序。系统板、CPU、内存、I/O 板：□正常□不正常网卡、SCSI 卡、SSA 卡：□正常□不正常系统其他扩展卡：□正常□不正常硬盘、磁盘阵列：□正常□不正常磁带机、磁带库：□正常□不正常备注： 10．通信测试检查各网卡的状态、IP 地址、路由表等：□正常□不正常用“ping”等命令检查通信：□正常□不正常备注： 11．检查磁盘阵列（如：7133）状况，并填写下表：序列号硬盘数量硬盘容量硬盘微码有无Hot Spare 何种数据保护 12．检查硬盘使用率整体存储空间： GB 使用空间： GB 客户签字：工程师签字：年月日年月日

数据库服务器安全配置检查表

数据库服务器安全配置检查表更新日期：2004年04月12日本页内容如何使用本检查表产品服务器的安装注意事项修补程序和更新程序服务协议帐户文件和目录共享端口注册表审核与日志记录 SQL Server 安全性 SQL Server 登录、用户和角色 SQL Server 数据库对象其他注意事项保持安全如何使用本检查表本检查表随模块18 保证数据库服务器的安全一起提供。本检查表可帮助您保护数据库服务器，并可用作相应模块的快照。返回页首产品服务器的安装注意事项

返回页首修补程序和更新程序返回页首服务

协议在在数据库服务器上强化返回页首帐户使用具有最少权限的本地帐户运行从禁用重命名强制执行强密码策略。限制远程登录。限制使用空会话（匿名登录）。帐户委派必须经过审批。不使用共享帐户。限制使用本地

文件和目录返回页首共享从服务器中删除所有不必要的共享。限制对必需的共享的访问（如果不需要管理性共享（ Operations Manager (MOM) 返回页首端口

和配置在同一端口侦听命名实例。如果端口将防火墙配置为支持在服务器网络实用工具中，选中返回页首注册表返回页首审核与日志记录记录所有失败的记录文件系统中的所有失败的操作。启用将日志文件从默认位置移走，并使用访问控制列表加以保护。将日志文件配置为适当大小，具体取决于应用程序的安全需要。

返回页首 SQL Server 安全性返回页首 SQL Server 登录、用户和角色返回页首

Linux安全配置风险评估检查表

Linux 系统安全配置基线目录第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 第2章账号管理、认证授权 (2) 2.1账号 (2) 2.1.1用户口令设置 (2) 2.1.2root用户远程登录限制 (2) 2.1.3检查是否存在除root之外UID为0的用户 (3) 2.1.4root用户环境变量的安全性 (3) 2.2认证 (4) 2.2.1远程连接的安全性配置 (4) 2.2.2用户的umask安全配置 (4) 2.2.3重要目录和文件的权限设置 (4) 2.2.4查找未授权的SUID/SGID文件 (5) 2.2.5检查任何人都有写权限的目录 (6) 2.2.6查找任何人都有写权限的文件 (6) 2.2.7检查没有属主的文件 (7) 2.2.8检查异常隐含文件 (7) 第3章日志审计 (9) 3.1日志 (9) 3.1.1syslog登录事件记录 (9) 3.2审计 (9) 3.2.1Syslog.conf的配置审核 (9) 第4章系统文件 (11) 4.1系统状态 (11) 4.1.1系统core dump状态 (11)

第1章概述 1.1 目的本文档规定了LINUX 操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行LINUX 操作系统的安全合规性检查和配置。 1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。 1.3 适用版本 LINUX系列服务器；

第2章账号管理、认证授权2.1 账号 2.1.1用户口令设置 2.1.2root用户远程登录限制

网络安全检查表.doc

附件 1 XXXXXXX网络安全检查表一、部门基本情况部门（单位）名称分管网络安全工作的领导（如副厅长）网络安全管理机构（如办公室）① 姓名： ② 职务： ① 名称： ② 负责人： ③ 联系人：职务：办公电话：移动电话：网络安全专职工作处室（如信息中心、网络安全科等）网络安全从业人员① 名称： ② 负责人：办公电话：移动电话： ① 本单位网络安全从业人员总数：，其中有网络安全从业资格的人员数量： ② 网络安全从业人员缺口：二、信息系统基本情况 ① 信息系统总数： ② 网络连接情况信息系统可以通过互联网访问的系统数量：情况不能通过互联网访问的系统数量： ③ 面向社会公众提供服务的系统数量： ④ 本年度经过安全测评的系统数量：互联网接入口总数：互联网接入□接入中国联通接入口数量：情况□接入中国电信接入口数量： □其他：中国移动接入口数量：第一级：个第二级：个第三级：个已开展年度测评系统等级第四级：个已开展年度测评保护情况第五级：个已开展年度测评未定级：个接入带宽：MB 接入带宽：MB 1接入带宽：8 MB 个测评通过率个测评通过率个测评通过率

三、网络安全日常管理情况人员管理资产管理网络安全规划① 岗位网络安全责任制度：□已建立□未建立 ② 重点岗位人员安全保密协议：□全部签订□部分签订□均未签订 ③ 人员离岗离职安全管理规定：□已制定□未制定 ④ 外部人员访问机房等重要区域审批制度：□已建立□未建立 ① 资产管理制度：□已建立□未建立 ② 设备维修维护和报废管理： □已建立管理制度，且记录完整 □已建立管理制度，但记录不完整 □未建立管理制度规划制定情况（单选）： □制定了部门（单位）的网络安全规划 □在部门（单位）总体发展规划中涵盖了网络安全规划 □无四、网络安全防护情况 ① 网络安全防护设备部署（可多选） □防火墙□入侵检测设备□安全审计设备网络边界 □防病毒网关□抗拒绝服务攻击设备 □其他：安全防护 ② 设备安全策略配置：□使用默认配置□根据需要配置 ③ 网络访问日志：□留存日志□未留存日志 ① 本单位使用无线路由器数量： ② 无线路由器用途： □访问互联网：个无线网络 □访问业务 /办公网络：个③ 安全防护策略（可多选）：安全防护 □采取身份鉴别措施□采取地址过滤措施 □未设置安全防护策略 ④ 无线路由器使用默认管理地址情况：□存在□不存在 ⑤ 无线路由器使用默认管理口令情况：□存在□不存在

防火墙安全配置基线

H3C防火墙安全配置基线 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述.................................................................... 1.1目的..................................................................... 1.2适用范围................................................................. 1.3适用版本................................................................. 1.4实施..................................................................... 1.5例外条款................................................................. 第2章帐号管理、认证授权安全要求.............................................. 2.1帐号管理................................................................. 2.1.1用户帐号分配*........................................................ 2.1.2删除无关的帐号*...................................................... 2.1.3帐户登录超时*........................................................ 2.1.4帐户密码错误自动锁定*................................................ 2.2口令..................................................................... 2.2.1口令复杂度要求....................................................... 2.3授权..................................................................... 2.3.1远程维护的设备使用加密协议........................................... 第3章日志及配置安全要求...................................................... 3.1日志安全................................................................. 3.1.1记录用户对设备的操作................................................. 3.1.2开启记录NAT日志*.................................................... 3.1.3开启记录VPN日志*.................................................... 3.1.4配置记录拒绝和丢弃报文规则的日志..................................... 3.2告警配置要求............................................................. 3.2.1配置对防火墙本身的攻击或内部错误告警................................. 3.2.2配置TCP/IP协议网络层异常报文攻击告警................................ 3.2.3配置DOS和DDOS攻击告警.............................................. 3.2.4配置关键字内容过滤功能告警*.......................................... 3.3安全策略配置要求......................................................... 3.3.1访问规则列表最后一条必须是拒绝一切流量............................... 3.3.2配置访问规则应尽可能缩小范围......................................... 3.3.3VPN用户按照访问权限进行分组*........................................... 3.3.4配置NAT地址转换*.................................................... 3.3.5隐藏防火墙字符管理界面的bannner信息................................. 3.3.6避免从内网主机直接访问外网的规则*.................................... 3.3.7关闭非必要服务....................................................... 3.4攻击防护配置要求......................................................... 3.4.1拒绝常见漏洞所对应端口或者服务的访问................................. 3.4.2防火墙各逻辑接口配置开启防源地址欺骗功能............................. 第4章IP协议安全要求....................................................... 4.1功能配置.................................................................

数据库安全评估检查表_sql_server

主机安全检查-SQL Server 安全检查流程

1. 设备编号规则编号规则：设备类型_客户名称_部门名称—数字编号。设备类型（S—服务器；PC鉴端；FV W防火墙，R0路由器，SW交换机）; 客户名称（拼音缩写）；部门名称（拼音缩写）；数字编号使用三位数字顺序号。 2. 主机信息

3. 安全检查 3.1.获取应用服务信息编号：SQL-01003 名称：获取服务监听端口和地址说明：获取SQL Server所监听端口和地址检查方法：开始菜单-> 程序->Microsoft SQL Server-〉企业管理器-> 控制台目录-> Microsoft SQLServers->SQL Server 组，在要查看的服务器上右键查看“属性”

-> “常规” ->网络配置，选中“启用协议”中相关协议，察看“属性” 检查风险（对系统的影响，请具体描述）：无检查结果：适用版本: All 备注：编号： SQL-01006 名称：获取数据库维护人员信息说明: 获取与SQL Server 所有数据库维护人员以及主机维护人员名单检查方法：询问相关人员：每个数据库的管理员是谁？系统管理员是谁？「检查风险（对系统的影响，请具体描述）：无检查结果：适用版本： All 「备注：编号： SQL-01007 |名称：获取数据库备份方式说明：获取与SQL Server 数据库备份方式编号： SQL-01007 名称：获取数据库备份方式 |说明：

检查方法：询问相关人员：谁在什么时候用什么方法把哪些数据备份到什么地方? 谁在什么情况下决定用什么方法把哪些地方如何恢复? 检查风险（对系统的影响，请具体描述）：无检查结果：适用版本: All 备注： 32 补丁安装情况 33 帐号和口令编号：SQL-03001 名称：获取SQL Server系统中账号说明：获取当前SQL Server系统中所有用户信息检查方法：开始菜单->程序-'Microsoft SQL Server->SQL 查询分析器，登录后在查询中输入：use master Select n ame,password from syslog ins order by n ame 检查风险（对系统的影响，请具体描述）: 无检查结果：适用版本:

Microsoft Windows安全配置风险评估检查表

Windows 系统安全配置基线目录第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 第2章账号管理、认证授权 (2) 2.1账号 (2) 2.1.1管理缺省账户 (2) 2.2口令 (2) 2.2.1密码复杂度 (2) 2.2.2密码历史 (3) 2.2.3帐户锁定策略 (3) 2.3授权 (4) 2.3.1远程关机 (4) 2.3.2本地关机 (4) 2.3.3用户权利指派 (4) 第3章日志配置操作 (6) 3.1日志配置 (6) 3.1.1审核登录 (6) 3.1.2审核策略更改 (6) 3.1.3审核对象访问 (7) 3.1.4审核事件目录服务器访问 (7) 3.1.5审核特权使用 (7) 3.1.6审核系统事件 (8) 3.1.7审核账户管理 (8) 3.1.8审核过程追踪 (8) 3.1.9日志文件大小 (9) 第4章IP协议安全配置 (10) 4.1IP协议 (10) 4.1.1启用SYN攻击保护 (10) 第5章设备其他配置操作 (12) 5.1共享文件夹及访问权限 (12) 5.1.1关闭默认共享 (12)

5.2防病毒管理 (12) 5.2.1数据执行保护 (12) 5.3W INDOWS服务 (13) 5.3.1 SNMP服务管理 (13) 5.4启动项 (13) 5.4.1关闭Windows自动播放功能 (13)

第1章概述 1.1 目的本文档规定了WINDOWS 操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行WINDOWS 操作系统的安全合规性检查和配置。 1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。 1.3 适用版本 WINDOWS系列服务器；

文档之家

Windows 2000 安全配置检查表

操作系统安全配置检查表

学校网络与信息安全巡查表

最新安全检查表格式大汇总

Microsoft_SQL_Server安全配置风险评估检查表

信息安全检查表

网络信息安全检查表

防火墙安全规则和配置

学校网络与信息安全检查表

WebLogic Web服务器安全配置风险评估检查表

网络与信息安全检查表

服务器健康检查表

数据库服务器安全配置检查表

Linux安全配置风险评估检查表

网络安全检查表.doc

防火墙安全配置基线

数据库安全评估检查表_sql_server

Microsoft Windows安全配置风险评估检查表