1 网络设备
• 及时检查系统版本号
• 敏感服务设置访问 IP/MAC 白名单
• 开启权限分级控制
• 关闭不必要的服务
• 打开操作日志
• 配置异常告警
• 关闭 ICMP 回应
2 操作系统
Linux
• 无用用户/用户组检查
• 空口令帐号检查
• 用户密码策略
– /etc/login.defs
– /etc/pam.d/system-auth
• 敏感文件权限配置
– /etc/passwd
– /etc/shadow
– ~/.ssh/
– /var/log/messages
– /var/log/secure
– /var/log/maillog
– /var/log/cron
– /var/log/spooler
– /var/log/boot.log
• 日志是否打开
• 及时安装补丁
• 开机自启
– /etc/init.d
• 检查系统时钟
Windows
• 异常进程监控
• 异常启动项监控
• 异常服务监控
• 配置系统日志
• 用户账户
– 设置口令有效期
– 设置口令强度限制
– 设置口令重试次数
• 安装 EMET
• 启用 PowerShell 日志
• 限制以下敏感文件的下载和执行
– ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk,
mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc,
wsf, wsh, exe, pif
• 限制会调起 wscript 的后缀
– bat, js, jse, vbe, vbs, wsf, wsh
• 域
– 限制将计算机加入域的权限
– 域账户使用最小权限原则
– 减少非必要高权限账户的数量
3 应用
FTP
• 禁止匿名登录
• 修改 Banner
SSH
• 是否禁用 ROOT 登录
• 是否禁用密码连接
MySQL
• 文件写权限设置
• 用户授权表管理
• 日志是否启用
• 版本是否最新
4 Web 中间件
Apache
• 版本号隐藏
• 版本是否最新
• 禁用部分 HTTP 动词
• 关闭 Trace
• 禁止 server-status
• 上传文件大小限制
• 目录权限设置
• 是否允许路由重写
• 是否允许列目录
• 日志配置
• 配置超时时间防 DoS
• 非属主用户文件读写限制
– httpd.conf
– access.log
– error.log
Nginx
• 禁用部分 HTTP 动词
• 禁用目录遍历
• 检查重定向配置
• 配置超时时间防 DoS
IIS
• 版本是否最新
• 日志配置
• 用户口令配置
• ASP.NET 功能配置
• 配置超时时间防 DoS
JBoss
• jmx console 配置
• web console 配置
IIS
• 版本是否最新
• 日志配置
• 用户口令配置
• ASP.NET 功能配置
• 配置超时时间防 DoS
JBoss
• jmx console 配置
• web console 配置
Tomcat
• 禁用部分 HTTP 动词
• 禁止列目录
• 禁止 manager 功能
• 用户密码配置
• 用户权限配置
• 配置超时时间防 DoS
5 密码管理策略
• 长度不少于 8 个字符
• 不存在于已有字典之中
• 不使用基于知识的认证方式