Microsoft-Windows安全配置风险评估检查表备课讲稿

1.检查方法：运行 cmd 打开命令提示符窗口,再输入 systeminfo 查看目前补丁信息2. 系统已经安装最新的 Service Pack详述系统已经安装所有的 hotfix检查方法：操作： 点击开始->设置->控制面板， 然后双击管理工具， 最后双击本地安全策略，开始进行检查3、 密码策略：密码最长使用期限(90 天)5、 密码策略：强制密码历史(24) 详述6、 密码策略：用可还原的加密来储存密码(禁用)4、 密码策略：密码最短使用期限(1 天)密码策略：密码必须符合复杂性要求，是否启用密码策略：密码长度最小值(8)1、2、符合 不符合 不合用符合 不符合 不合用1、2、7、帐户锁定策略：复位帐户锁定计数器(15 分钟之后)8、帐户锁定策略：帐户锁定时间(15 分钟)9、帐户锁定策略：帐户锁定阀值(3 次无效登录)10、安全选项：帐户：来宾状态(已禁用)11、审核策略：审核策略更改(成功和失败)12、审核策略：审核登录事件(成功和失败)13、审核策略：审核对象访问(失败)详述14、审核策略：审核目录服务访问(未定义)详述15、审核策略：审核特权使用(失败)详述16、审核策略：审核系统事件(成功和失败)详述17、审核策略：审核帐户登录事件(成功和失败)18、审核策略：审核帐户管理(成功和失败)详述19、事件查看器：登录保持方式(需要时覆盖事件日志)20、事件查看器：安全日志最大占用空间(80Mb)检查方法：操作：点击开始->设置->控制面板，然后双击管理工具，最后双击本地安全策略，选择安全选项进行检查符合不符不适合用1、2、3、4、5、Microsoft 网络服务器：当登录时间用完时自动注销用户(启用)Microsoft 网络服务器：在挂起会话之前所需的空暇时间(小于等于 30 分钟)Microsoft 网络客户端：发送未加密的密码到第三方 SMB 服务器: (禁用)故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问(禁用)故障恢复控制台:允许自动系统管理级登录(禁用)6、关机：清除虚拟内存页面文件(启用)7、关机：允许系统在未登录前关机(禁用)8、交互式登录：不显示上次的用户名(启用)9、10、11、交互式登录：不需要按 Ctrl+Alt+Del (禁用)交互式登录：可被缓存的前次登录个数(在域控制器不可用的情况下)(0)帐户：重命名系统管理员账户(除了Administrator 的其它名字)12、网络访问：不允许 SAM 帐户和共享的匿名枚举(启用)13、网络访问：不允许为网络身份验证储存凭证或者 .NET passports(启用)14、审核：如果无法记录安全审核则即将关闭系统 (启用)15、审核：对全局系统对象的访问进行审核(启用)16、审核：对备份和还原权限的使用进行审核(启用)检查方法：操作： 点击开始->设置->控制面板， 然后双击管理工具， 最后双击本地安全策略，选择用户权限分配进行检查。

(完整版)MicrosoftSQLServer安全配置风险评估检查表编辑整理：尊敬的读者朋友们：这里是精品文档编辑中心，本文档内容是由我和我的同事精心编辑整理后发布的，发布之前我们对文中内容进行仔细校对，但是难免会有疏漏的地方，但是任然希望（(完整版)MicrosoftSQLServer 安全配置风险评估检查表）的内容能够给您的工作和学习带来便利。

同时也真诚的希望收到您的建议和反馈，这将是我们进步的源泉，前进的动力。

本文可编辑可修改，如果觉得对您有帮助请收藏以便随时查阅，最后祝您生活愉快业绩进步，以下为(完整版)MicrosoftSQLServer安全配置风险评估检查表的全部内容。

（完整版）MicrosoftSQLServer安全配置风险评估检查表编辑整理：张嬗雒老师尊敬的读者朋友们:这里是精品文档编辑中心，本文档内容是由我和我的同事精心编辑整理后发布到文库,发布之前我们对文中内容进行仔细校对,但是难免会有疏漏的地方,但是我们任然希望（完整版）MicrosoftSQLServer安全配置风险评估检查表这篇文档能够给您的工作和学习带来便利。

同时我们也真诚的希望收到您的建议和反馈到下面的留言区,这将是我们进步的源泉，前进的动力。

本文可编辑可修改，如果觉得对您有帮助请下载收藏以便随时查阅，最后祝您生活愉快业绩进步,以下为〈（完整版)MicrosoftSQLServer安全配置风险评估检查表> 这篇文档的全部内容。

Microsoft SQL Server数据库系统安全配置基线目录第1章概述 (2)1。

1目的 (2)1。

2适用范围 (2)1.3适用版本 (2)第2章口令 (3)2.1口令安全 (3)2.1。

1 SQLServer用户口令安全 (3)第3章日志 (4)3。

1日志审计 (4)3。

1.1 SQLServer登录审计 (4)3。

1。

2 .............................. SQLServer安全事件审计 4第4章其他 (6)4。

Netscreen防火墙设备安全配置要求目 录第1章 概述 (1)1.1 目的 (1)1.2 适用范围 (1)1.3 适用版本 (1)第2章 适用性安全要求 (2)2.1 帐号 (2)2.2 口令 (4)2.3 授权 (5)2.4 日志 (6)2.5 访问控制 (7)第3章 增强安全要求 (9)3.1 认证 (9)3.2 B ANNER定义 (9)3.3 登录IP (10)第1章 概述1.1 目的本文档规定了netscreen防火墙应当遵循的数据库安全性设置标准，本文档旨在指导网络管理人员进行netscreen防火墙的安全配置。

1.2 适用范围本配置标准的使用者包括：数据库管理员、应用管理员、网络安全管理员。

1.3 适用版本netscreen防火墙；配置示例基于Version 5.1.0。

第2章 适用性安全要求2.1 帐号编号：JX-TY-PZ-1-opt要求内容应按照用户分配账号。

避免不同用户间共享账号。

避免用户账号和设备间通信使用的账号共享。

操作指南1．参考配置操作set admin name <name>set admin password <password> ;修改根用户管理口令和密码set admin user name <name> password <password> privilege [all | read-only] ；建立系统管理员口令和密码，分只读和读写权限2．补充操作说明检测方法1.判定条件I.配置文件中，存在不同的帐号分配II.网络管理员确认用户与帐号分配关系明确 2.检测操作get config all编号：JX-TY-PZ-2-opt要求内容应删除与设备运行、维护等工作无关的账号。

操作指南1．参考配置操作unset admin name <name>检测方法1.判定条件I.配置文件存在多帐号II.网络管理员确认所有帐号与设备运行、维护等工作有关2.检测操作get config all编号：JX-TY-PZ-3-opt要求内容限制具备根管理员权限的用户远程登录。

SEC-W01-005.1配置Windows系统安全评估2010年5月技术背景Microsoft Windows内置提供了配置系统账号、认证授权等功能的系统工具，原始系统含有了各类默认账号及组概念，系统管理员可以根据安全需求进行修改。

另外，利用系统工具对各类账号的操作权限做限制，能够有效保证用户无法超越其账号权限的操作，确保系统安全。

领信安全配置审计工具是一款用户对各类系统、设备做安全配置检查的自动化工具，能够智能化识别各类安全设置，分析安全状态，并能够给出多种配置审计分析报告，目前已经支持多种操作系统及网络设备。

实验目的熟悉领信安全配置审计工具的安全检查操作；修改系统账号及账号分组练习；配置安全策略，提高口令复杂度及安全审计；调整帐户权限；实验平台客户端：Windows 2000/XP/2003服务端：Windows 操作系统实验工具安氏领信安全配置审计工具实验要点实验中，将掌握配置检查工具对Windows系统的安全评估，修改系统账号、口令、权限等操作。

实验步骤指导实验准备实验概要：●获取Windows 远程桌面客户端工具mstsc压缩包，并解压。

●获取服务器Windows操作系统Administrator管理员口令。

●获取服务器IP地址。

安全配置审计工具安全检查实验概要：使用领信安全配置审计工具对Windows操作系统进行安全配置检查。

1.运行远程桌面客户端程序mstsc.exe，输入服务器端IP地址，点击Connect连接，如图1：（图1）2.以Administrator（管理员）身份登陆服务器桌面。

※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※【注释】服务器Administrator用户的登陆密码为123456※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※3.在远程桌面中，单击桌面程序快捷图标：ConfigDetector和WinCollect.exe，运行领信安全配置审计工具及wincollect信息收集程序，如图2：（图2）4.在wincollect程序对话框中输入如图2内容，点击确定，进行对系统信息的收集工作。

贵州大学实验报告（小三号，加黑）学院：计算机科学与技术专业：信息安全班级：121实验数据系统安全试验：一、账户和密码的安全设置1、删除不在使用的账户，禁止guest账户删除不再使用的用户禁用guest账户2、启用账户策略启动密码复杂性要求验证发现不符合要求设置密码长度最小值密码最短使用期限密码最长使用期限设置账户锁定阀值设置账户锁定时间3、开机时设置为不自动显示上次登录用户4、禁止枚举账户名二、文件系统安全设置1、删除everyone组的操作权限2、对同一磁盘进行不同的用户全选分配查看磁盘高级安全设置三、用加密软件EFS加密硬盘数据创建新用户加密文件切换用户，访问被加密的文件切换回来，在控制台添加证书查看证书详细信息导出证书再次切换用户，同过证书查看文件：导入证书选择文件查看文件四、启用审查与日志查看1、打开审查策略对相应的选项进行设置，如审核账户管理2、查看时间日志查看安全性双击选中项，可查看具体信息五、启用安全策略与安全模板1、启用安全模板在安全配置和分析中打开数据库分析计算机分析结果配置计算机2、创建安全模板设置密码长度最小值六、利用MBSA检查和配置系统安全1、系统漏洞扫描设置参数2、扫描结果查看详情和查看纠正方法Windows中web、ftp服务器的安全配置：一、用IIS建立高安全性的Web服务器1、删除不必要的虚拟目录2、停止默认的Web站点新建一个网站3、对IIS中的文件和目录进行分类，分别设置权限4、删除不必要的应用程序映射5、维护日志安全指定路径修改路径的权限6、修改端口值二、Ftp服务器的安全配置停止默认Ftp站点将自己的Ftp站点的默认端口号改成其他值启用日志记录复选框，并设置其日志文件目录取消允许匿名连接删除除Adminstrator用户之外的一切用户设置Ftp的主目录在目录安全性的选项卡中添加被拒绝或允许访问的IP地址思考题：1、单击网站的右键，选择【属性】，点击目录安全性，在【身份验证和访问控制】中选择【编辑】，在【身份验证方法】中选择【基于身份验证】。

查看系统的版本信息、主机名及配置信息检查网卡数目与状态检查系统端口开放情况及路由查看系统已经安装了哪些程序包以root权限，执行：以root 权限，执行：查看网卡数目、网络配置、是否开启混杂监听模式。

以root 权限，执行：以root 权限，执行：了解系统备份情况、备份机制审核补丁安装情况检查passwd 、shadow 及group 文件检查有无对于login 进行口令认证检查是否问询相关的管理员。

重点了解备份介质，方式，人员，是否有应急恢复制度等状况。

# patchadd -p 检查系统的补丁情况# showrev -p 查看所有已经安装的patch或者# ls /var/sadm/patch 或者ls /var/adm/patchcat /etc/passwdcat /etc/shadowcat /etc/group保存后检查文件执行：执行：设置了口令最短长度要求检查是否设置了口令过期策略无用帐号审核为新增用户配置安全模板执行：查看/etc/passwd 中是否存在uucp,news 等帐号以及确认拥有shell 权限的帐号是否合理确认/usr/sadm/defadduser 有以下类似配置内容：检查是否设置登录超时检查root 的搜索路径检查/tmp 目录的属性检查查看/etc/default/login 文件，确认其中存在合理的设置，下面的举例为30 秒执行：检查root 的$PATH环境变量中是否浮现当前目录“. ”。

执行：查看执行结果是否如下：drwxrwxrwt 7 sys sys 496 6 月8 15:41 /tmp/确认有“t”的粘合位/var/adm/utmp、/var/adm/utmpx、/etc/group、/var/adm /utmp 、/var/adm /utmpx 、/etc/gro up 、/var/adm /wtmp 文件的权限检查是否有属主非有效用户的文件/ 目录检查是否有属组非有效组的文件/目录检查/var/adm 目/var/adm/wtmp 文件的权限应该是 644执行：(检查风险：根目录下目录及文件数量非常大，执行时间会很长，建议采用系统利用率比较底的时间执行)执行：(检查风险：根目录下目录及文件数量非常大，执行时间会很长，建议采用系统利用率比较底的时间执行)执行：(检查风险：/var/adm 目录下目录及文件数量非常大，执录下是否存在所有人可写文件检查/var/cron 目录的属性检查是否存在所有人可写的目录检查属性为777 的文件/目录检查属性为666 的文件/目录检查移动介质上的文件系统行时间会很长，建议采用系统利用率比较底的时间执行) 检查/var/cron 目录权限是否为：root:sys 755执行：(检查风险：根目录下目录及文件数量非常大，执行时间会很长，建议采用系统利用率比较底的时间执行)执行：find / -type f -perm 777 | xargs ls -las(检查风险：根目录下目录及文件数量非常大，执行时间会很长，建议采用系统利用率比较底的时间执行)执行：find / -type f -perm 666 | xargs ls -las(检查风险：根目录下目录及文件数量非常大，执行时间会很长，建议采用系统利用率比较底的时间执行)执行：，查看是否做了如下设置执行：(检查风险：如果/etc 目录下目录及文件数量非常大，执 行时间会很长，建议采用系统利用率比较底的时间执行) 执行： (检查风险：如果/etc 目录下目录及文件数量非常大，执 行时间会很长，建议采用系统利用率比较底的时间执行) 查看/etc/default/login 文件中是否有如下配置： 查看 root 的掩码设置，确认/etc/profile 文件中将 umask 设 为 077 或者 027 执行：安全配置检查/etc 目 录 下 所 有 文 件 的 组 可写权限检查/etc 目 录 下 所 有 文 件 的 其 他 用 户 可 写权限检 查 初 始 文 件 权 限 掩码配置检 查 Root 的 文 件 权 限 掩 码 设置查 看 磁 盘 分区情况检查/etc/inetd.c onf 中的各项服务配置检查telnet & SSH 服务状况审核root 用户远程telnet\ftp 登录检查是否限制telnet 或者ssh 等的登录IP 执行：more /etc/inetd.conf查看是否禁止了部份不必要的、危（wei）险的服务。

Windows2000安全配置检查表更新日期：2004年03月01日本页内容本模块内容目标适用范围如何使用本模块安全配置检查表本模块内容本模块提供的检查表可在您评估系统时确保应用所有必要的安全配置更改。

有关配置更改的相关信息，请参考模块Windows2000安全配置和Windows2000默认安全策略设置。

返回页首目标使用本模块可以实现：∙检查Microsoft®Windows®2000操作系统的配置。

∙检查系统安全配置。

返回页首适用范围本模块适用于下列产品和技术：∙MicrosoftWindows2000Professional操作系统∙MicrosoftWindows2000Server™操作系统∙MicrosoftWindows2000AdvancedServer操作系统∙MicrosoftWindows2000DataCenterServer操作系统返回页首如何使用本模块使用本模块可检查Windows2000系统的配置。

本模块与所有版本Windows2000中的各种角色相关。

检查表确认了必需的安全配置。

为了充分理解本模块内容，请：∙阅读模块Windows2000安全配置，其中详细描述了可增强Windows2000安全性的安全设置。

∙阅读模块Windows2000安全配置工具，其中概述了可应用安全配置的Windows2000工具。

∙阅读模块Windows2000默认安全策略设置，其中详细描述了应用于不同Windows2000系统角色的默认安全策略设置。

∙阅读模块Windows2000用户权限和特权配置，其中详细描述了Windows2000系统的默认用户权限分配，并提供了一组Windows2000安全配置模块推荐的更改。

∙使用附带的“如何”模块：∙如何在Windows2000中配置和应用安全模板返回页首安全配置检查表表1：操作系统配置Windows2000ProfessionalWindows2000ServerWindows2000AdvancedServerWindows2000DataCenter域控制器工作组名称：______ 域名：______ ____________________ ____________________ ____________________表2：Windows2000安全配置检查表文件系统配置安全目标：允许配置安全机制，支持一致的安全策略。