1 网络设备

• 及时检查系统版本号

• 敏感服务设置访问 IP/MAC 白名单

• 开启权限分级控制

• 关闭不必要的服务

• 打开操作日志

• 配置异常告警

• 关闭 ICMP 回应

2 操作系统

Linux

• 无用用户/用户组检查

• 空口令帐号检查

• 用户密码策略

– /etc/login.defs

– /etc/pam.d/system-auth

• 敏感文件权限配置

– /etc/passwd

– /etc/shadow

– ~/.ssh/

– /var/log/messages

– /var/log/secure

– /var/log/maillog

– /var/log/cron

– /var/log/spooler

– /var/log/boot.log

• 日志是否打开

• 及时安装补丁

• 开机自启

– /etc/init.d

• 检查系统时钟

Windows

• 异常进程监控

• 异常启动项监控

• 异常服务监控

• 配置系统日志

• 用户账户

– 设置口令有效期

– 设置口令强度限制

– 设置口令重试次数

• 安装 EMET

• 启用 PowerShell 日志

• 限制以下敏感文件的下载和执行

– ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk,

mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc,

wsf, wsh, exe, pif

• 限制会调起 wscript 的后缀

– bat, js, jse, vbe, vbs, wsf, wsh

• 域

– 限制将计算机加入域的权限

– 域账户使用最小权限原则

– 减少非必要高权限账户的数量

3 应用

FTP

• 禁止匿名登录

• 修改 Banner

SSH

• 是否禁用 ROOT 登录

• 是否禁用密码连接

MySQL

• 文件写权限设置

• 用户授权表管理

• 日志是否启用

• 版本是否最新

4 Web 中间件

Apache

• 版本号隐藏

• 版本是否最新

• 禁用部分 HTTP 动词

• 关闭 Trace

• 禁止 server-status

• 上传文件大小限制

• 目录权限设置

• 是否允许路由重写

• 是否允许列目录

• 日志配置

• 配置超时时间防 DoS

• 非属主用户文件读写限制

– httpd.conf

– access.log

– error.log

Nginx

• 禁用部分 HTTP 动词

• 禁用目录遍历

• 检查重定向配置

• 配置超时时间防 DoS

IIS

• 版本是否最新

• 日志配置

• 用户口令配置

• ASP.NET 功能配置

• 配置超时时间防 DoS

JBoss

• jmx console 配置

• web console 配置

IIS

• 版本是否最新

• 日志配置

• 用户口令配置

• ASP.NET 功能配置

• 配置超时时间防 DoS

JBoss

• jmx console 配置

• web console 配置

Tomcat

• 禁用部分 HTTP 动词

• 禁止列目录

• 禁止 manager 功能

• 用户密码配置

• 用户权限配置

• 配置超时时间防 DoS

5 密码管理策略

• 长度不少于 8 个字符

• 不存在于已有字典之中

• 不使用基于知识的认证方式