4) 对服务器进行远程管理时,采取必要措施,防止鉴别信息在网络传输过
程中被窃听; 整改措施:
1) 对登录操作系统的管理员用户和普通用户均设置口令;删除操作系统中
过期的账户,修改操作系统中默认帐户和口令,检查操作系统中是否存在相同用户名的账户。 操作系统 AIX 操作方式 1. 检查/etc/passwd密码域中存在“*”的帐户,删除不必要的账户,或增设口令; 1. 删除非法帐号或多余帐号,更改默认管理员帐号,将原Administrator名称改成不被人熟识的帐户,新建一个普通用户,将其重命名为Administrator,并将其权限设为最低,口令复杂度为32位以上; 2. 选择“本地用户和组”的“用户”,可设置口令、删除或禁用非必需账户或禁用Guest账户。 WINDOWS 注:管理员账号Administrator重命名后,可能会导致某些服务不能用,如SQL Server数据库可能无法启动,修改前,需在备机上进行测试运行一周时间,无任何问题,再在主机上进行修改。
2) 增强操作系统口令强度设置: 操作系统 操作方式 1. 修改passwd参数:/etc/security/user - maxage=30 口令最长生存期30天 - maxrepeat=4 每个口令在系统中重复出现的次数 AIX - minalpha=4 口令中最小含有的字符个数 - mindiff=2 新口令不同于旧口令的最小个数 - minlen = 8 口令最短长度(包含字母、数字和特殊字符) 1. 修改“密码策略”,开启复杂性要求,设置口令最小长度等: WINDOWS 密码复杂性要求 启用 密码长度最小值 8字符 密码最长存留期 30天
20
密码最短存留期 0天 复位帐户锁定计数器 10分钟 帐户锁定时间 帐户锁定阀值 10分钟 5次 注:设置密码策略后可能导致不符合密码策略的帐号无法登录。在修改密码策略前,需修改不符合帐号策略的密码使其符合策略要求,最后再修改密码策略。
3) 启用登录失败处理功能,设置限制非法登录次数和自动退出等措施。 操作系统 操作方式 1. 配置登录策略:修改/etc/security/login.cfg文件 logindelay=3 失败登录后延迟3秒显示提示符 logindisable=5 5次失败登录后锁定端口 AIX logininterval=60 在60秒内3次失败登录才锁定端口 loginreenable=15 端口锁定15分钟后解锁 2. 增加或修改/etc/profile文件中如下行: TMOUT=600 ; 1. 修改“账户锁定策略”,设置帐户锁定相关设置: 复位账户锁定计数器 15分钟 WINDOWS 账户锁定时间 15分钟 账户锁定阈值 5次 4) 当对服务器进行远程管理时,对于UNIX类服务器,用当前稳定版本的
SSH等安全工具取代明文传输的telnet,并及时升级,保证传输数据的安全性;对于windows类服务器,关闭不必要的telnet服务,采用加密或认证的方式保证数据才网络传输过程中的保密性、完整性和可用性。 操作系统 root: admin = true SYSTEM = \ loginretries = 0 account_locked = false rlogin=false 操作方式 1. 增加或修改/etc/security/user文件中如下行 AIX
21
如果无法禁用telnet服务,也可使用TCP wrapper、防火墙或包过滤技术禁止不可信IP对telnet服务(例如 23/TCP端口)访问。 1. 禁用不需要的服务,如remote Registry 、telnet等(远程管理注册表,开启此服务带来一定的风险)。 2. 采用其他加密的远程桌面管理软件代替远程桌面管理,或者在远程桌面管理上启用证书认证系统。 WINDOWS
注:应用系统或程序可能对特定的系统服务有依赖关系,在未确定某个服务是否需要前,请勿关闭该服务,否则会影响应用系统或程序的正常运行。 5.3.3
访问控制
省公司及地市公司主机身份鉴别现状与等级保护要求存在一定的差距,应对以下几个方面进行完善:
1) 启用访问控制功能,依据安全策略控制用户对资源的访问; 2) 实现操作系统特权用户的权限分离;
3) 限制默认帐户的访问权限,重命名系统默认帐户,修改帐户的默认口令; 4) 及时删除多余的、过期的帐户,避免共享帐户的存在。 整改措施:
1) 在交换机和防火墙上设置不同网段、不同用户对服务器的访问控制权
限;关闭操作系统开启的默认共享,对于需开启的共享及共享文件夹设置不同的访问权限,对于操作系统重要文件和目录需设置权限要求。 操作系统 /bin; /sbin; 操作方式 1. 修改普通用户对下列文件的权限: AIX /etc; /etc/passwd; /etc/group;
22
/usr/bin; WINDOWS 1. 修改访问控制策略,将注册标中restrictanonymous值改为1; 2. 删除不必要的共享文件夹或修改其权限,重要共享文件夹的权限属性不能为everyone完全控制。 2) 设置不同的管理员对服务器进行管理,分为系统管理员、安全管理员、
安全审计员等以实现操作系统特权用户的权限分离,并对各个帐户在其工作范围内设置最小权限,如系统管理员只能对系统进行维护,安全管理员只能进行策略配置和安全设置,安全审计员只能维护审计信息等。 3) 限制默认帐户的访问权限,重命名系统默认帐户,修改帐户的默认口令;
删除操作系统和数据库中过期或多余的账户,禁用无用帐户或共享帐户。 操作系统 AIX 操作方式 1. 禁用 文件/etc/security/user中,sys, bin, uucp, nuucp, daemon等系统默认帐户。在用户前面加上注释号“#” 1. 修改administrator名称,将原Administrator名称改成不被人熟识的帐户,同时将一个普通帐户名称改成Administrator,登录普通帐户执行系统所有操作; 2. 禁用Guest账号。 WINDOWS 4) 根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理
用户所需的最小权限。 操作系统 AIX WINDOWS 5.3.4
安全审计
操作方式 1. 更改默认口令。使用smit或增加、修改/etc/security/user下各用户的设置: 将su=true更改为su=false 1. 修改管理用户的权限; 省公司及地市公司主机访问控制现状与等级保护要求存在一定的差距,需对
23