当前位置：文档之家› WindowsXP系统安全配置手册

WindowsXP系统安全配置手册

Windows XP系统安全配置手册

第一章前言 (1)

第二章W INDOWS XP的安全安装及更新 (2)

2.1安装前的准备 (2)

2.2选择文件系统 (3)

2.3选择合理密码 (4)

2.4 Windows XP 更新 (5)

第三章W INDOWS XP的安全配置 (10)

3.1 策略管理 (10)

3.2 文件的安全 (18)

3.3 注册表设置 (20)

3.4 日志审核 (24)

3.5系统服务 (28)

3.6 其他安全设置 (29)

第四章XP系统防火墙的使用 (35)

4.1 工作原理 (35)

4.2 注意事项 (35)

4.3 XP防火墙的配置 (36)

4.4 Internet控制消息协议（ICMP） (39)

第五章其他安全工具 (41)

5.1 杀毒软件 (41)

5.2系统备份 (42)

5.3漏洞扫描工具 (42)

5.4 安全意识 (43)

第六章W INDOWS XP上安全模板配置和应用 (45)

6.1模板修改和手动设置 (45)

6.2安全配置模板应用工具 (45)

6.3管理和应用安全配置安全模板 (46)

参考文献 (49)

第一章前言

欢迎使用Windows XP系统安全指南，本文档是基于Windows XP 系统来指导系统管理员如何安装和配置一个安全的Windows XP系统。

本文档对Windows XP中关键的安全措施进行了总结，这里没有详尽地列举Windows XP中与安全相关的每个设置，但是，根据多年来积累的安全经验，我们认为本文档基本覆盖了有关Windows XP安全需要考虑的全部内容。本文档的目的不是期望得到完美的安全，而是减轻系统管理员负担，同时增加潜在攻击者的困难。

本文档的Windows XP检查清单中给出的建议是严格的，可能并不完全适用于用户的网络环境中的Windows XP角色，在可能时，我们会指出在哪里严格的配置会约束特定的功能，但是最终，用户需要在自己的环境中对这些建议进行全面的测试才能确定它们的有效性。虽然如此，我们仍然认为最严格的建议应该被认真地执行，除非由于其他某些不得已的电信业务需求而放松安全要求。管理员需要根据自己的判断做出选择。

Windows XP系统安全指南包含了以下几部分的内容：

第一章：“前言”，介绍了本文档的用途和结构，以及对读者的要求。

第二章：“Windows XP系统的安全安装及更新”，提供了在安全环境中安装Microsoft? Windows? XP 操作系统的初始安装过程和更新的建议。

第三章：“Windows XP系统的安全配置”。提供用于进行安全配置更改以达到Microsoft? Windows? XP 操作系统标准安装基准的工具的概述。

第四章：“Windows XP系统防火墙的使用”。详细介绍了Microsoft? Windows? XP 操作系统中自带防火墙的使用和设置。

第五章：“其他安全工具”。介绍了当前运行在Windows XP 上第三方安全产品及简单的使用方法。

第六章：“Windows XP 上安全模板配置和应用”。定义了Windows XP 强化指南中包含的安全模板。同时说明了配置和应用这些安全模板的步骤。

第二章Windows XP 的安全安装及更新

本章描述提供了在安全环境中安装Microsoft? Windows? XP 操作系统的初始安装过程和有关建议。

使用本章内容可以实现：

安全地安装Windows XP 操作系统；

使用Windows XP UPDATE注意事项。

2.1安装前的准备

在安装过程中，安装程序将要求用户提供有关如何安装和配置Windows XP 的信息。可以通过在启动安装过程前收集硬件信息和制定配置决策来准备Windows XP 操作系统安装。以下预安装检查表就启动安装过程前需要确定的信息提供了一些指导。

安装期间，系统会向用户询问若干问题。请务必准备好下列内容：

?Windows XP CD：此CD 位于Windows XP 护封内。

?产品密钥：可在Windows XP 护封的背面找到产品密钥。

?钢笔或铅笔：可以记录设置及其它重要信息。

?Internet 信息：如果计划连接Internet，则可能需要提供其它一些信息。

用户可以在安装过程中配置自己的设置，也可以在安装完Windows XP 之后进行配置。

?如果在购买计算机时作为优惠而得到了新的Internet 帐户，或者是已经有自己的Internet 帐户，应联系Internet 服务提供商(ISP) 以获取该

信息。

?网络信息：如果计算机当前已连接好网络，在运行安装程序之前，请获取下列信息：

?计算机的名称。

?工作组或域的名称。

?如果计算机是某个域的成员，则还需要域用户名和密码。

?TCP/IP 地址（如果网络没有DHCP 服务器）。

2.2选择文件系统

全新安装Windows XP 期间，可能必须选择计算机所用的文件系统。Wind ows XP 支持：

?FAT32：是增强版的文件分配表(FAT) 系统。从Windows 95 的后期（32 位）版本开始，FAT 就成为所有Windows 操作系统上的标准。FAT32 系统可在大容量硬盘上使用，范围从512 MB 到32 GB。

?NTFS：NT 文件系统(NTFS) 用于Windows NT、Windows 2000 及Windows XP 操作系统。NTFS 增加了可靠性、稳定性和安全性，并支持最大为 2 TB 的大容量硬盘。

要点

用户可以随时转换文件系统，甚至在安装完Windows XP 之后。这样不会丢失任何数据。

向NTFS 的转换具有单向性。如果将FAT 或FAT32 文件系统转换为N TFS，则以后将无法把硬盘重新转换为FAT。

如果无法确定使用哪种文件系统，请在安装期间保持计算机上默认的操作系统。如果想更改文件系统，这里给出几点建议：

?如果硬盘小于32 GB，则使用FAT32。

?如果想在计算机上安装多个操作系统，则使用FAT32。

?如果硬盘大于32 GB，且计算机上仅运行一个操作系统，则使用NTFS。?如果想增加文件的安全性，则使用NTFS。

?如果需要改进磁盘的压缩性能，则使用NTFS。

2.3选择合理密码

很多系统安全性都取决于是否选择了一个合理密码。本部分将详细讨论这一主题。

2.3.1构成合理密码的要素

要构建合理的密码，应满足下列几条一般原则：

长于7 个字符（否则LM 哈希的第二部分将是空密码加密）。

所包含的元素至少来自下列四个字符集中的三种：

●大写字符

●小写字符

●数字

●非字母数字字符

●不要包含用户姓名、用户名或任何常见词的任意部分。

但是，大多数此类密码仍然很容易被破译。可以采用下列几个步骤，来增大密码破译的难度：

使用非字母数字字符，而不使用“上行”符。上行符是在按住Shift 键并键入任意数字键时键入的字符。大多数密码破译者都知道，上行符是向密码添加熵的最常用方法，因此他们会使用上行符开始破译密码。

使用Alt 字符。Alt 字符是在按住Alt 键（在便携式计算机上为Fn+Alt 键）并在数字小键盘（在便携式计算机上为数字上垫小键盘）上键入一个三位或四位数字时键入的字符。大多数密码破译者都无法测试Alt 字符中的大多数。

2.4 Windows XP 更新

在Windows XP中有两种安装补丁的方法：访问Windows Update网站和通过系统的自动升级。

其中访问Windows Update网站比较直接，而且能够下载到所有类别的补丁程序（自动升级只能下载关键更新）。方法是，依次点击开始-所有程序-Wi ndows Update ，或者直接在IE的地址栏中输入“windowsupdate.micros https://www.doczj.com/doc/f612461163.html,”。在第一次访问时IE会自动安装一个插件，因此浏览器会弹出安全警告，询问你是否安装。

点击“是”，然后稍等片刻，继续点击“查看以寻找更新”，这时系统开始检查所有可用更新，并显示在窗口左侧的列分类表中，对于每类要安装的更新，进入后分别点击“添加”按钮，就可以添加到下载队列中。在选中所有打算下载的更新程序后点击“复查并安装更新”，然后点击“立即安装”按钮。因为安装程序是直接从网上下载的，因此如果你的网速比较慢或者下载的内容比较多时整个过程就会花费较多时间。建议你选择晚上进行Windows Update操作，或者使用自动更新的方法。

自动更新是在后台工作的，平时当你使用计算机时，一旦系统检测到你的网络有可用的空闲资源，便会利用这些资源在后台自动检查和下载所有的关键更新补丁程序，下载完成后会根据预先的设置提醒你是否开始安装。不用担心打开自动更新会占用你的系统资源，因为首先自动更新只会使用系统和网络的空闲资源，如果系统正在忙碌或者网络正被使用，那么自动更新是不会开始的。另一方面，自动更新大大方便了用户，不用每天手工检查，就可以保持操作系统最新，因此建议所有人使用（当然计算机没有联网的除外）。自动更新的设置方法很简单，打开开始菜单，然后在“我的电脑”图标上点击鼠标右键，选择“属性”，并打开“自动更新”选项卡。在这里你可以按照自己的实际情况选择自动更新功能的工作方式。

如果你经常需要重装系统，不想每次重装后都联网下载这些更新程序，或者你由于某些原因想保留这些更新程序的安装文件，那么可以使用这样的方法。用IE访问“https://www.doczj.com/doc/f612461163.html,/catalog”这个站点，你可以看见类似Windows Update站点的界面，不过在这里我们可以选择性的下载所有Windows操作系统的更新程序到硬盘上一个指定的位置而不用安装。点击“查找Microsoft Windows操作系统的更新”链接，然后选择好要下载更新的操作系统类型以及语言，接着点击“查找”按钮。注意，这里对操作系统的称呼跟我们常用的有些不同，在这里，标有“RTM”的操作系统可以理解为最初的“零售版”，而标有“SPx”的则代表整合了Service Pack x补丁包的操作系统。搜索结果显示出来后你可以点击每个分类查看所有可下载的更新程序，然后分别把他们添加到下载队列中，然后点击页面左侧的“转到下载篮子”开始下载。随后你只要分别运行每个更新程序就可以了。

通常在通过Windows Update站点进行更新的时候可能会遇到一些问题，问题的表现是多种多样的，不过常见的解决方法无外乎以下几种，如果你也遇到了类似问题，可以分别试试看：

1，清空IE的临时文件，包括所有Cookie，在Internet选项中设置。

2，降低IE的安全等级并添加信任站点。有时候因为IE的安全性太高可能会使得检查更新的操作失败。那么就可以在进行Update的时候把I

E的安全等级降低，并把以下站点添加到IE的信任站点中：

https://www.doczj.com/doc/f612461163.html,

https://https://www.doczj.com/doc/f612461163.html,

https://www.doczj.com/doc/f612461163.html,

3，按要求清空以下两个文件夹（注意，是清空，而不是删除）：

\\Program Files\Windowsupdate （注意，这个文件夹中的V4子文件夹要保留）

\\Program Files\Windowsupdate\V4 （注意，这个文件夹中的iuh ist.xml 文件不要删除）

4，直接使用加密连接https://https://www.doczj.com/doc/f612461163.html, 而不是默认的https://www.doczj.com/doc/f612461163.html,

第三章Windows XP的安全配置

Windows XP 结合了Windows 2000 Professional, Windows 98, Windows Me 的所有特性，使用Windows XP 的主要优点在于它的稳定性，可执行性和安全性，它易于使用，支持远程用户，支持联网和通信，并且具有管理和部署能力以及帮助和支持功能。在本章节里主要介绍的是Windows XP 的安全管理、配置。

3.1 策略管理

Windows XP 提供了大量的安全选项，这些安全选项让用户可以根据环境的需求，配置自己所需要的安全设置。比如用户可以选择让资源仅仅能被指定的固定的几台计算机访问，又比如用户可以为不同的用户设置不同的访问限制，如下属，上级，亲人等等。

策略用于帮助管理用户帐号。帐号策略用于控制计算机的登陆环境，例如密码和登陆的限制，本地策略制定用户登录之后可以进行的操作，包括核审，用户权利和安全选项。

本地策略可以设置适用于计算机中每个用户的计算机配置和用户配置选项。组策略通常和活动目录一起使用，并作为Group Policy Objects (GPO, 组策略对象)应用。本地组策略对于不在网络中的计算机，或者在没有域控制器的网络中的计算机来说，非常有用。

3.1.1 帐号策略

帐号策略用于指定与登陆过程中有关的用户帐号属性，它们允许用户为密码和帐号锁定规范配置计算机安全设置。

一般来说，如果没有安全问题，例如在自己家中使用Windows XP 计算机，则不必考虑帐号策略。但是在其他情况下，安全是很重要的，例如计算机提供工

资信息，则应该设立非常严格的帐号策略

要实现帐号策略，首先要加载管理单元。在桌面上创建一个MMC，步骤如下：点击桌面左下角“开始“再点”运行“, 在对话框中输入MMC，选择文件–添加/删除管理单元

点击添加—选择安全模板—点击添加—点击关闭—点击确定

选择“文件”到“保存”，单击桌面，制定文件名为Admin Console，默认扩展名为.msc，单击“保存”。

这样，当需要再次访问时，只要打开桌面上的Admin Console.msc文件就可以了。

3.1.1.2 密码策略

密码策略保证安全要求在计算机上被强制执行。需要注意的是，密码策略是在各个计算机上设置，而不能针对特定的用户配置，在以下的表格中，详细介绍了密码策略的各个选项：

3.1.1.3账号锁定策略

账号锁定策略用于指定容忍多少次无效的登陆企图。账号锁定策略配置成在y分钟内进行x次失败登陆时，账号将被锁定指定的时间或者直到管理员解开帐号的锁定为止。

3.1.2. 本地策略

账号策略用于控制登陆过程，要控制用户登录之后的操作，需要使用本地策略。利用本地策略可以实现审核，指定用户权利和设置安全选项。

（要使用本地策略，首先要把本地计算机策略管理单元添加到MMC中，步骤见本地用户和组管理单元的添加步骤）

本地策略有三个子文件夹：审核策略，用户权利策略，安全选项策略。3.1.2.1 审核策略

通过使用审核策略，可以观察用户在干什么，可以审查与用户管理有关的事件，通过跟踪特定事件，可以创建特定任务的历史，如用户的创建以及登陆的成功与失败，还可以标识无权访问的用户访问系统管理任务时造成的安全破坏。

定义审核策略时，可以选择审核特定事件的成功或失败，事件成功表示任务顺利完成，任务失败表示任务没有顺利完成。

默认情况下，审核并不启用，需要手动配置，配置审核后，可以通过Event Viewer工具的Security日志察看审核的结果。

3.1.2.2 用户权利策略

用户权利策略（User Right Policies）确定用户和组队计算机的权利。用户权利被应用到系统，它们不同于权限，权限应用于特定对象。

用户权利的一个例子是备份文件和目录（Back Up Files and Directories）权利。即使用户没有该文件系统的权限，这个权利也能够使用备份文件和文件夹。其他用户权利也类似，因为它们处理的是系统访问而不是资源访问。下表是部分用户权利策略的选项：

3.1.2.3 安全选项策略

安全选项策略（Security Options Policies）用户对计算机配置安全措施，与用户权利策略不同的是，用户权利应用于用户或组，而安全选项策略应用于计算机。下表是部分安全选项的策略：

3.2 文件的安全

3.2.1加密文件与文件夹

加密文件与文件夹可以使未经授权的用户无法读取该文件与文件夹。在Windows XP中加密文件或文件夹的方法是：打开“Windows资源管理器”，右键单击想要加密的文件或文件夹，选择“属性”选项，单击“常规”选项卡中的“高级”按钮，选中“加密内容以便保护数据”复选框即可（这种操作仅适用于NTFS文件系统）。如下图所示：

深入了解Windows安全状况

深入了解Windows安全状况 Windows不像类UNIX系统一样开源,而且Microsoft也不可能公布基于Windows的源代码.所以,对于早期的Windows版本来讲,企业很难满足。作者简介：涂俊雄Microsoft MVP 熟悉微软产品，现为"技术中国"编辑，也是"https://www.doczj.com/doc/f612461163.html,"的论坛版主。有部署大型网络和处理突发事件的经验，曾担任过多家网站的管理员与安全顾问，有丰富的管理站点的经验，熟悉多种站点系统，并能很好的应用，现在在对无线网络进行研究，并且熟悉黑客技术，能很好的处理攻击事件，写过一些基于WINDOWS 下的配置和安全管理的文章，翻译过一些优秀的技术文章。概述 Windows不像类UNIX系统一样开源,而且Microsoft也不可能公布基于Windows的源代码。所以,对于早期的Windows版本来讲,企业很难满足。Windows的安全现状,因为他们不能根据自己的企业来制定满主自己的解决方案。但是,不断完善的Windows给我们带来的越来越好的安全性,以及Windows的高部署性给越来越多的企业带来的惊喜,越来越多的企业选择了Windows,也越来越多的人开始研究Windows。包括Windows 在企业的部署以及Windows的安全性和可扩展性。从Widows NT以来,Microsoft在Windows的安全方面做了很多,最典型的就包括NTFS文件系统。而且结合Microsoft ISA Server可以让企业的安全性大大提升。本文就Windows现有的安全状况加以分析,让更多的从事Windows管理的专业人员提供更深入的对Windows 的安全了解。操作系统安全定义无论任何操作系统(OS),都有一套规范的、可扩展的安全定义。从计算机的访问到用户策略等。操作系统的安全定义包括5大类，分别为：身份认证、访问控制、数据保密性、数据完整性以及不可否认性。身份认证最基本的安全机制。当用户登陆到计算机操作系统时，要求身份认证，最常见的就是使用帐号以及密钥确认身份。但由于该方法的局限性，所以当计算机出现漏洞或密钥泄漏时，可能会出现安全问题。其他的身份认证还有：生物测定（compaq的鼠标认证）指纹、视网模等。这几种方式提供高机密性，保护用户的身份验证。采用唯一的方式，例如指纹，那么，恶意的人就很难获得除自己之外在有获得访问权限。访问控制在WINDOWS NT之后的WINDOWS版本，访问控制带来的更加安全的访问方法。该机制包括很多内容，包括磁盘的使用权限，文件夹的权限以及文件权限继承等。最常见的访问控制可以属WINDOWS的NTFS文件系统了。

ORACLE数据库安全规范

数据库安全规范

1概述 1.1适用范围本规范明确了Oracle数据库安全配置方面的基本要求。 1.2符号和缩略语 2 ORACLE安全配置要求本规范所指的设备为ORACLE数据库。本规范提出的安全配置要求，在未特别说明的情况下，均适用于ORACLE数据库。本规范从ORACLE数据库的认证授权功能和其它自身安全配置功能提出安全要求。 2.1账号 ORACLE应提供账号管理及认证授权功能，并应满足以下各项要求。 2.1.1按用户分配帐号

2.1.2删除或锁定无关帐号 2.1.3用户权限最小化要求内容在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权

限。

grant 权限 to user name; revoke 权限 from user name; 2、补充操作说明用第一条命令给用户赋相应的最小权限用第二条命令收回用户多余的权限业务测试正常 4、检测操作业务测试正常 5、补充说明 2.1.4使用ROLE 管理对象的权限 1. 使用Create Role 命令创建角色。 2.使用用Grant 命令将相应的系统、对象或 Role 的权限赋予应用用户。 2、补充操作说明对应用用户不要赋予 DBA Role 或不必要的权限。 4、检测操作 1.以DBA 用户登陆到 sqlplus 中。 2.通过查询 dba_role_privs 、dba_sys_privs 和 dba_tab_privs 等视图来检查是否使用ROLE 来管理对象权限。 5、补充说明操作指南 1、参考配置操作检测方法 3、判定条件要求内容使用数据库角色（ROLE ）来管理对象的权限。操作指南 1、参考配置操作检测方法 3、判定条件

工艺安全管理制度

工艺安全管理制度第一章总则第一条为加强工艺安全管理，防范工艺安全事故，依据《化工企业工艺安全管理实施导则》（AQ3034-2010）及相关条例规定，结合企业实际制定本制度。第二条工艺是指任何涉及到危险化学品的活动过程，包括：危险化学品的生产、储存、使用、处置或搬运，或者与这些活动有关的活动。第三条工艺安全事故是指危险化学品（能量）的意外泄漏（释放），造成人员伤害、财产损失或环境破坏的事件。第一章工艺安全信息和工艺风险第四条工艺安全信息需要包括以下内容（一）化学品危害信息应包括： 1 毒性； 2 允许暴露限值； 3 物理参数，如沸点、蒸气压、密度、溶解度、闪点、爆炸极限； 4 反应特性，如分解反应、聚合反应； 5 腐蚀性数据，腐蚀性以及材质的不相容性； 6 热稳定性和化学稳定性，如受热是否分解、暴露于空气中或被撞击时是否稳定；与其它物质混合时的不良后果，混合后是否发生反应； 7 对于泄漏化学品的处置方法。（二）工艺技术信息至少应包括： 1 工艺流程图；

2 工艺化学原理资料； 3 设计的物料最大存储量； 4 安全操作范围（温度、压力、流量、液位或组分等）； 5 异常情况原因与处理，包括对员工的安全和健康的影响。（三）工艺设备信息至少应包括： 1 材质； 2 工艺控制流程图（P&ID)； 3 电气设备危险等级区域划分图； 4 压力容器的泄压系统设计和设计基础； 5 通风系统的设计图； 6 设计标准或规范； 7 物料平衡表、能量平衡表； 8 计量控制系统； 9 安全系统（如：联锁系统）。第五条工艺安全信息应包含在技术手册、操作规程、培训材料或其他工艺文件中。工艺安全信息文件应纳入企业文件控制系统予以管理，定期更新，保持最新版本。第六条工艺安全信息的获得途径：（一）从制造商或供应商处获得物料安全技术说明书（MSDS）；（二）从项目工艺技术包的提供商或工程项目总承包商处可以获得基础的工艺技术信息；（三）从设计单位获得详细的工艺系统信息，包括各专业的详细图纸、文件和计

windows-Server服务器系统自身安全防护措施

Windows Server系统自身安全防护措施提示：为慎重操作，可以先在测试机做关闭测试，最好通过与厂方工程师商定后再设置。一、关闭服务器不必要端口利用win2003自带防火墙关闭所有端口，如就留一个端口：80 。（设置有两种方法，一个使用windows自带防火墙设，一个实在TCP/IP属性里设。）设置方法： 1、在“网络连接”属性里设置windows防火墙。 2、将需要打开的端口添加进去。建议大家尽可能少打开端口。尽量不要开远程桌面。

二、在服务中关闭不必要的服务以下服务可以关闭： Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Removable storage 管理可移动媒体、驱动程序和库 Remote Registry Service 允许远程注册表操作 Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE）和IP安全驱动程序Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知Com+ Event System 提供事件的自动发布到订阅COM组件 Alerter 通知选定的用户和计算机管理警报 Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序Messenger 传输客户端和服务器之间的 NET SEND 和警报器服务消息 Telnet 允许远程用户登录到此计算机并运行程序

Windows操作系统安全

实验报告全框架。使用仪器实验环境使用仪器及实验环境：一台装有Windows2000或者XP操作系统的计算机、磁盘格式配置为NTFS。实验内容在Windows2000或者XP操作系统中，相关安全设置会稍有不同，但大同小异，所有的设置均以管理员（Administrator）身份登录系统。任务一：账户和口令的安全设置任务二：文件系统安全设置任务三：用加密软件EPS加密硬盘数据任务四：启用审核与日志查看任务五：启用安全策略与安全模块实验步骤：任务一账户和口令的安全设置、删除不再使用的账户，禁用guest账户（1）检查和删除不必要的账户。右击“开始”按钮，打开“资源管理器”，选择“控制面板”中的“用户和密码”项；在弹出的对话框中选择从列出的用户里删除不需要的账户。（2）guest账户的禁用。右键单击guest用户，选择“属性”，在弹出的对话框中“账户已停用”一栏前打勾；确定后，guest前的图标上会出现一个红色的叉，此时账户被禁用。

其中，符合复杂性要求的密码是具有相当长度、同时含有数字、大小写字母和特殊字符的序列。双击其中每一项，可按照需要改变密码特殊的设置。（1）双击“密码密码必须符合复杂性要求”，选择“启用”。打开“控制面板”中“用户和密码”项，在弹出的对话框中选择一个用户后，单击“设置密码”按钮。在出现的设置密码窗口中输入密码。此时密码符合设置的密码要求。（2）双击上图中的“密码长度最小值”；在弹出的对话框中可设置可被系统接纳的账户

、禁止枚举帐户名为了便于远程用户共享本地文件，Windows默认设置远程用户可以通过空连接枚举出所有本地帐户名，这给了攻击者可乘之机。要禁用枚举账户名，执行下列操作：打开“本地安全策略”项，选择“本地策略”中的“安全选项”，选择“对匿名连接的额

生产工艺操作安全管理制度

生产工艺操作安全管理制度（一）运行管理第一条：产品生产必须编制生产工艺规程，并根据工艺规程和安全管理制度编制操作法，严格按操作法进行操作。第二条：改变或修正工艺指标，必须由生产车间以书面形式下达，操作者必须遵守工艺纪律不得擅自改变工艺指标。第三条：操作者必须严格执行《操作工的六严格》规定，不得擅自离开自己的岗位。第四条：安全附件和联锁不得随意拆弃和解除，声、光报警等信号不能随意切断。第五条：在现场检查时，不准踩跳管道、阀门、电线、电缆架以及各种仪表管线等设施，去危险部位检查，必须有人监护。第六条：严格安全纪律，禁止无关人员进入操作岗位和动用生产设备、设施和工具。第七条：正确判断和处理异常情况，紧急情况下，可以先处理后报告（包括停止一切检修作业，通知无关人员撤离现场等）。第八条：在工艺过程或机电设备处在异常状态时，不能随意地交接班。（二）开车管理第九条：必须做好开车前的一切准备工作，检查并确认水、电、汽（气）必须符合开车要求，各种原料、材料、辅助材料的供应必须备齐合格，投料前必须进行分析验证。第十条：检查阀门开闭状态及盲板抽加情况，保证装置流程畅通，各种机电设备及电气仪表均应处在完好状态。第十一条：保温、保压及洗净的设备要符合开车要求，必要时应重新置换、清洗和分析，使之合格。第十二条：安全、消防设施完好，通讯联络畅通，危险性较大的生产装置开车，应通知安全部门的人员到场。第十三条：必要时停止一切检修作业，无关人员不准进入现场。第十四条：各种条件具备后开车，开车过程中要加强有关岗位之间的联络，严格按开车方案中的步骤进行，严格遵守升温，升降压和加减负荷的幅度（速率）要求进行。第十五条：开车过程中要密切注意工艺的变化和设备运行的情况，加强与有关岗位和部门的联系，发现异常现象应及时处理，情况紧急时应终止开车，严禁强行开车。（三）停车管理第十六条：必须编制停车方案，加强与有关岗位和部门的联系。第十七条：系统降压降温必须按要求的幅度进行并按先高压后低压的顺序进行。凡需保压、保温的设备（容器）等，停车后要按时记录压力、温度的变化。第十八条：大型传动设备的停车，必须先停主机，后停辅机。第十九条：设备（容器）卸压时，要注意易燃、易爆、易中毒等化学危险物品的排放和散发，防止造成事故。第二十条：冬季停车后，要采取防冻保温措施，注意低位、死角及水、蒸汽、管线、阀门、疏水器和保温伴管的情况，防止冻坏。

服务器基本安全配置

服务器基本安全配置 1.用户安全 (1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字，并新建同名 Administrator普通用户，设置超长密码去除所有隶属用户组。 (2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略启动密码复杂性要求，设置密码最小长度、密码最长使用期限，定期修改密码保证服务器账户的密码安全。 (3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略启动账户锁定，设置单用户多次登录错误锁定策略，具体设置参照要求设置。

(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项交互式登录:不显示上次的用户名；——启动交互式登录：回话锁定时显示用户信息；——不显示用户信息 (5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项网络访问：可匿名访问的共享；——清空网络访问：可匿名访问的命名管道；——清空网络访问：可远程访问的注册表路径；——清空网络访问：可远程访问的注册表路径和子路径；——清空 (6)运行gpedit.msc——计算机配置—安全设置—本地策略通过终端服务拒绝登陆——加入一下用户（****代表计算机名）ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger 注：用户添加查找如下图：

(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核即系统日志记录的审核消息，方便我们检查服务器的账户安全，推荐设置如下： (8)

系统安全配置技术规范-Windows

系统安全配置技术规范—Windows

212211文档说明（一）变更信息（二）文档审核人

目录 1.适用范围.................................................. 错误!未定义书签。 2.帐号管理与授权............................................ 错误!未定义书签。 1 ........................................................... 错误!未定义书签。 2 ........................................................... 错误!未定义书签。【基本】删除或锁定可能无用的帐户 ..................... 错误!未定义书签。【基本】按照用户角色分配不同权限的帐号................ 错误!未定义书签。【基本】口令策略设置不符合复杂度要求 ................. 错误!未定义书签。【基本】设定不能重复使用口令 ......................... 错误!未定义书签。不使用系统默认用户名 ................................. 错误!未定义书签。口令生存期不得长于90天 .............................. 错误!未定义书签。设定连续认证失败次数 ................................. 错误!未定义书签。远端系统强制关机的权限设置 ........................... 错误!未定义书签。关闭系统的权限设置 ................................... 错误!未定义书签。取得文件或其它对象的所有权设置 ....................... 错误!未定义书签。将从本地登录设置为指定授权用户 ....................... 错误!未定义书签。将从网络访问设置为指定授权用户 ....................... 错误!未定义书签。 3.日志配置要求.............................................. 错误!未定义书签。 3 ........................................................... 错误!未定义书签。【基本】审核策略设置中成功失败都要审核................ 错误!未定义书签。【基本】设置日志查看器大小 ........................... 错误!未定义书签。 4.IP协议安全要求 ........................................... 错误!未定义书签。 4 ........................................................... 错误!未定义书签。开启TCP/IP筛选 ...................................... 错误!未定义书签。启用防火墙 ........................................... 错误!未定义书签。启用SYN攻击保护 ..................................... 错误!未定义书签。

Windows系统安全加固技术指导书

甘肃海丰信息科技有限公司Windows系统安全加固技术指导书 ◆版本◆密级【绝密】 ◆发布甘肃海丰科技◆编号GSHF-0005-OPM- ?2006-2020 HIGHFLYER INFORMATION TECHNOLOGY ,INC.

目录文档信息................................................................. 错误!未定义书签。前言.................................................................... 错误!未定义书签。一、编制说明............................................................ 错误!未定义书签。二、参照标准文件........................................................ 错误!未定义书签。三、加固原则............................................................ 错误!未定义书签。 1.业务主导原则..................................................... 错误!未定义书签。 2.业务影响最小化原则............................................... 错误!未定义书签。 3.实施风险控制..................................................... 错误!未定义书签。 (一)主机系统............................................................. 错误!未定义书签。 (二)数据库或其他应用 ..................................................... 错误!未定义书签。 4.保护重点......................................................... 错误!未定义书签。 5.灵活实施......................................................... 错误!未定义书签。 6.周期性的安全评估................................................. 错误!未定义书签。四、安全加固流程........................................................ 错误!未定义书签。 1.主机分析安全加固................................................. 错误!未定义书签。 2.业务系统安全加固................................................. 错误!未定义书签。五、W INDOWS 2003操作系统加固指南......................................... 错误!未定义书签。 1.系统信息......................................................... 错误!未定义书签。 2.补丁管理......................................................... 错误!未定义书签。 (一)补丁安装............................................................. 错误!未定义书签。 3.账号口令......................................................... 错误!未定义书签。 (一)优化账号............................................................. 错误!未定义书签。 (二)口令策略............................................................. 错误!未定义书签。 4.网络服务......................................................... 错误!未定义书签。 (三)优化服务............................................................. 错误!未定义书签。 (四)关闭共享............................................................. 错误!未定义书签。 (五)网络限制............................................................. 错误!未定义书签。

Oracle数据库安全配置规范华为

目录 1概述 (2) 1.1适用范围 (2) 1.2内部适用性说明 .......................................................................................................... 错误！未定义书签。 1.3外部引用说明 .............................................................................................................. 错误！未定义书签。 1.4术语和定义 .................................................................................................................. 错误！未定义书签。 1.5符号和缩略语 (2) 2ORACLE安全配置要求 (2) 2.1账号 (2) 2.2口令 (7) 2.3日志 (11) 2.4其他 (13)

1概述 1.1适用范围本规范明确了Oracle数据库安全配置方面的基本要求。 1.2符号和缩略语 2ORACLE安全配置要求本规范所指的设备为ORACLE数据库。本规范提出的安全配置要求，在未特别说明的情况下，均适用于ORACLE数据库。本规范从ORACLE数据库的认证授权功能、安全日志功能，和其他自身安全配置功能提出安全要求。 2.1账号 ORACLE应提供账号管理及认证授权功能，并应满足以下各项要求。 2.1.1按用户分配帐号

AIX操作系统安全配置规范

AIX安全配置程序

1账号认证编号：安全要求-设备-通用-配置-1 编号：安全要求-设备-通用-配置-2

2密码策略编号：安全要求-设备-通用-配置-3

编号：安全要求-设备-通用-配置-4 编号：安全要求-设备-通用-配置-5

编号：安全要求-设备-通用-配置-6 3审核授权策略编号：安全要求-设备-通用-配置-7 (1)设置全局审核事件

配置/etc/security/audit/config文件，审核特权帐号和应用管理员帐号登录、注销，用户帐号增删，密码修改，执行任务更改，组更改，文件属主、模式更改，TCP连接等事件。 classes: custom = USER_Login,USER_Logout,USER_SU,PASSWORD_Change,USER_Create, USER_Change,USER_Remove,USER_Chpass,GROUP_Create,GROUP_Change,GROUP_Remove,CRON_J obAdd,CRON_JobRemove,TCPIP_config,TCPIP_host_id,TCPIP_connect,TCPIP_access,TCPIP_route,USER _Reboot,USER_SetGroups,INSTALLP_Inst,INSTALLP_Exec,FS_Rmdir,FS_Chroot,PORT_Locked,PORT_ Change,PROC_kill,PROC_Reboot,FS_Mount,FS_Umount,PROC_Settimer,PROC_Adjtime (2)审核系统安全文件修改配置/etc/security/audit/objects文件，审核如下系统安全相关文件的修改。 /etc/security/environ: w = "S_ENVIRON_WRITE" /etc/security/group: w = "S_GROUP_WRITE" /etc/security/limits: w = "S_LIMITS_WRITE" /etc/security/login.cfg: w = "S_LOGIN_WRITE" /etc/security/passwd: r = "S_PASSWD_READ" w = "S_PASSWD_WRITE" /etc/security/user: w = "S_USER_WRITE" /etc/security/audit/config: w = "AUD_CONFIG_WR" 编号：安全要求-设备-通用-配置-8

生产工艺安全管理要求通用版

操作规程编号：YTO-FS-PD813 生产工艺安全管理要求通用版 In Order T o Standardize The Management Of Daily Behavior, The Activities And T asks Are Controlled By The Determined Terms, So As T o Achieve The Effect Of Safe Production And Reduce Hidden Dangers. 标准/ 权威/ 规范/ 实用 Authoritative And Practical Standards

生产工艺安全管理要求通用版使用提示：本操作规程文件可用于工作中为规范日常行为与作业运行过程的管理，通过对确定的条款对活动和任务实施控制,使活动和任务在受控状态，从而达到安全生产和减少隐患的效果。文件下载后可定制修改，请根据实际需要进行调整和使用。 1所有操作人员必须掌握本岗位工艺安全信息，主要包括：（1）木质品危险性信息:物理特性、化学特性、毒性、职业接触限值；（2）工艺信息:流程图、化学反应过程、最大储存量、工艺参数安全上下限值；（3）设备信息:设备材料、设备和管道图纸、电气类别、调节阀系统、安全设施。 2各车间应落实专人对工艺安全信息进行管理，并及时更新，保证工艺安全信息随时保持完整、有效、可靠。 3各车间应严格执行企业各项生产设施安全管理制度，保证下列设备设施运行安全可靠、完整：（4）压力容器和压力管道，包括管件和阀门；（5）泄压和排空系统；（6）紧急停车系统；（7）监控、报警系统；（8）联锁系统；

TongWeb 服务器安全配置基线

TongWeb服务器安全配置基线页脚内容1

备注： 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。页脚内容2

目录第1章...................................................................................................... 概述0 1.1 .............................................................................................................. 目的 1.2 ..................................................................................................... 适用范围 1.3 ..................................................................................................... 适用版本 1.4 ............................................................................................................. 实施 1.5 ..................................................................................................... 例外条款第2章 ........................................................................... 账号管理、认证授权0 2.1 ............................................................................................................. 帐号 2.1.1 ....................................................................................... 应用帐号分配 2.1.2 ....................................................................................... 用户口令设置页脚内容

Windows 操作系统安全防护强制性要求

Windows 操作系统安全防护强制性要求二〇一四年五月

目录 1.系统用户口令及策略加固1 1.1.系统用户口令策略加固 1 1.2.用户权限设置 1 1.3.禁用Guest（来宾）帐户 2 1.4.禁止使用超级管理员帐号 3 1.5.删除多余的账号 4 2.日志审核策略配置4 2.1.设置主机审核策略 4 2.2.调整事件日志的大小及覆盖策略 5 2.3.启用系统失败日志记录功能 5 3.安全选项策略配置6 3.1.设置挂起会话的空闲时间 6 3.2.禁止发送未加密的密码到第三方SMB 服务器

6 3.3.禁用对所有驱动器和文件夹进行软盘复制和访问 7 3.4.禁止故障恢复控制台自动登录 7 3.5.关机时清除虚拟内存页面文件 7 3.6.禁止系统在未登录前关机 8 3.7.不显示上次登录的用户名 8 3.8.登录时需要按CTRL+ALT+DEL 8 3.9.可被缓存的前次登录个数 9 3.10. 不允许SAM 帐户和共享的匿名枚举 (9) 3.11.不允许为网络身份验证储存凭证或.NET Passports 9 3.12. 如果无法记录安全审核则立即关闭系统 (10) 3.13. 禁止从本机发送远程协助邀请 (10) 3.14. 关闭故障恢复自动重新启动 (11) 4.用户权限策略配置11 4.1.禁止用户组通过终端服务登录 11 4.2.只允许管理组通过终端服务登录 11

4.3.限制从网络访问此计算机 12 5.用户权限策略配置12 5.1.禁止自动登录 12 5.2.禁止光驱自动运行 12 5.3.启用源路由欺骗保护 13 5.4.删除IPC 共享 13 6.网络与服务加固14 6.1.卸载、禁用、停止不需要的服务 14 6.2.禁用不必要进程，防止病毒程序运行 15 6.3.关闭不必要启动项，防止病毒程序开机启动 24 6.4.检查是否开启不必要的端口 34 6.5.修改默认的远程桌面端口 34 6.6.启用客户端自带防火墙 35 6.7.检测DDOS 攻击保护设置

Oracle数据库安全配置规范

Oracle数据库安全配置规范 1概述 1.1目的本规范明确了oraclｅ数据库安全配置方面的基本要求。为了提高oｒacｌe数据库的安全性而提出的。 1.2范围本规范适用于XＸXXＸ适用的oraｃle数据库版本。 2配置标准 2.1账号管理及认证授权 2.1.1按照用户分配账号 [目的]应按照用户分配账号，避免不同用户共享账号。 [具体配置] create user abc1 identifiｅd ｂｙｐasswoｒd1； crｅatｅｕser abc2 iｄentｉｆｉｅｄｂy password2; 建立role，并给role授权，把roｌe赋给不同的用户删除无关账号。 [检测操作]

2.1.2删除无用账号 [目的］应删除或锁定与数据库运行、维护等工作无关的账号。 [具体配置] aｌter user usernamｅｌock; dｒop user uｓername cａscａde; ［检测操作] 2.1.3限制DBＡ远程登入［目的]限制具备数据库超级管理员（SYSＤＢA）权限的用户远程登录。 [具体配置] 1.在spｆile中设置RＥMOTE_LOＧIN_PＡSSＷORDFIＬE=ＮＯNE来禁止 SYSDBA用户从远程登陆。 2.在sqlnet.orａ中设置SQLNET.AUTHＥＮＴICATIＯＮ_ＳＥRＶICES=NONE来禁用SYSＤBA角色的自动登入。 [检测操作] 1.以Oraｃle用户登入到系统中。 2.以sｑlpｌｕｓ‘/asｓyｓdbａ’登入到sqlpｌｕs环境中。 3.使用shoｗｐarameter 命令来检查参数REMOTE＿ＬOGIN_PASSWORDFＩＬE是否设置为NＯNE。Show pａrametｅr REMOTE＿LOＧIN_ＰASSWORDF ＩLＥ

数据库服务器安全配置检查表

数据库服务器安全配置检查表更新日期：2004年04月12日本页内容如何使用本检查表产品服务器的安装注意事项修补程序和更新程序服务协议帐户文件和目录共享端口注册表审核与日志记录 SQL Server 安全性 SQL Server 登录、用户和角色 SQL Server 数据库对象其他注意事项保持安全如何使用本检查表本检查表随模块18 保证数据库服务器的安全一起提供。本检查表可帮助您保护数据库服务器，并可用作相应模块的快照。返回页首产品服务器的安装注意事项

返回页首修补程序和更新程序返回页首服务

协议在在数据库服务器上强化返回页首帐户使用具有最少权限的本地帐户运行从禁用重命名强制执行强密码策略。限制远程登录。限制使用空会话（匿名登录）。帐户委派必须经过审批。不使用共享帐户。限制使用本地

文件和目录返回页首共享从服务器中删除所有不必要的共享。限制对必需的共享的访问（如果不需要管理性共享（ Operations Manager (MOM) 返回页首端口

和配置在同一端口侦听命名实例。如果端口将防火墙配置为支持在服务器网络实用工具中，选中返回页首注册表返回页首审核与日志记录记录所有失败的记录文件系统中的所有失败的操作。启用将日志文件从默认位置移走，并使用访问控制列表加以保护。将日志文件配置为适当大小，具体取决于应用程序的安全需要。

返回页首 SQL Server 安全性返回页首 SQL Server 登录、用户和角色返回页首

生产工艺安全操作技能

仅供参考[整理] 安全管理文书生产工艺安全操作技能日期：__________________ 单位：__________________ 第1 页共4 页

生产工艺安全操作技能石油化工装置中，防火防爆工作是重中之重，本装置特别是反应器等，因为任何可能引起其压力温度大幅度波动的因素均有可能引发重大火灾事故。石油化工生产的各个工艺过程，每个岗位、每台设备所制订的工艺指标，都是安全生产中客观规律的反应。因此严格控制和执行工艺指标，认真执行安全技术操作规程，及时分析和正确处理生产中出现的异常情况，能不失时机的排除可能导至起火爆炸的各种因素。例如，控制好反应器反应温度，控制合适的反应深度，不仅可以稳定生产，稳定后续岗位的操作，提高产品质量，也是防火防爆所必需。温度过高，调节温度速度过快均使反应剧烈，压力升高。升温降温速度过快，还会引起因温度突变导致的设备、部件膨胀或收缩急剧变化而损坏设备。温度过低，会导致反应速度减慢或反应停止，一旦温度恢复正常，则因为反应物料过多反应剧烈造成超温超压甚至于发生爆炸。石油化工生产中，大部分情况下为带压操作。根据一定的操作压力，选用的设备的强度也是一定的，所以当控制不当时，超压操作，使设备超出所能承受的强度时，就会造成设备破坏甚至爆炸。为了有效的防止超温、超压、超负荷，应尽量采用自动分析、自动调节、自动报警、自动停车、自动排放、自动切除电源等安全联锁自控技术，以便在工艺指标突然变化时，能自动快速地进行工艺处理，这是防止火灾、爆炸的重要措施。火灾爆炸危险性大的生产现场，应设置可燃气体、有毒有害气体自动报警仪，以便能及时发现和消除险情。在日常生产中应牢记并严格执行以下生产原则规定： 1严格控制好临氢系统的反应温度、压力、高分、循环氢脱硫塔液第 2 页共 4 页

Oracle数据库安全配置手册

Oracle数据库安全配置手册 Version 1.0

版本控制

目录第一章目的与范围 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3数据库类型 (1) 第二章数据库安全规范 (1) 2.1操作系统安全 (1) 2.2帐户安全 (2) 2.3密码安全 (2) 2.4访问权限安全 (2) 2.5日志记录 (3) 2.6加密 (3) 2.7管理员客户端安全 (3) 2.8安全补丁 (3) 2.9审计 (3) 第三章数据库安全配置手册 (4) 3.1O RACLE数据库安全配置方法 (4) 3.1.1 基本漏洞加固方法 (4) 3.1.2 特定漏洞加固方法 (12)

第一章目的与范围 1.1 目的为了加强宝付的数据安全管理，全面提高宝付各业务系统的数据安全水平，保证业务系统的正常运营，提高业务服务质量，特制定本方法。本文档旨在于规范宝付对各业务系统的Oracle数据库进行安全加固处理。 1.2适用范围本手册适用于对宝付公司的各业务系统的数据库系统加固进行指导。 1.3数据库类型数据库类型为Oracle 11g。第二章数据库安全规范 2.1 操作系统安全要使数据库安全，首先要使其所在的平台和网络安全。然后就要考虑操作系统的安全性。Oracle使用大量用户不需要直接访问的文件。例如，数据文件和联机重做日志文件只能通过Oracle的后台进程进行读写。因此，只有要创建和删除这些文件的数据库管理员才需要在操作系统级直接访问它们。导出转储文件和其他备份文件也必须受到保护。可以把数据复制到其他数据库上，或者是作为复制模式的一部分，或者是提供一个开发数据库。若要保护数据的安全，就要对数

文档之家