广州市电子政务外网系统安全加固指南（1.0版）广州市机关信息网络中心编制2010年8月广州市电子政务外网系统安全加固指南（1.0版）1Windows系统安全加固41．补丁更新41.1到微软网站下载最新的补丁程序42．安全加固42.2停掉Guest帐号42.3限制不必要的用户数量42.4创建2个管理员用帐号42.5把系统administrator帐号改名52.6创建一个陷阱帐号52.7把共享文件的权限从”everyone”组改成“授权用户”52.8使用安全密码52.9设置屏幕保护密码52.10使用NTFS格式分区62.11利用win的安全配置工具来配置策略62.12关闭不必要的服务62.13关闭不必要的端口72.14打开审核策略72.15开启帐户策略82.16不让系统显示上次登陆的用户名82.17禁止建立空连接82.18关闭DirectDraw82.19关闭默认共享82.20禁止dumpfile的产生92.21使用文件加密系统EFS92.22锁住注册表92.23建议安装urlscan（或直接安装IISLockdown）102.24关闭RPCDCOM组件10TOMCAT系统安全加固111.Tomcat安全配置111.1.基本安全配置111.2.多重服务器的安全防护111.3.配置服务器默认端口121.4.关闭服务器端口121.5.默认错误网页设置131.6.配置支持SSL13配置支持SSL的方法(分别以TEST,TestAdmin两实际访问对象举例)13MSSQL系统安全加固161.安装最新安全补丁161.1.安装操作系统提供商发布的最新的安全补丁162.网络和系统服务172.1.检查系统文件是装置在NTFS分区172.2.默认用户状态及口令更改情况172.3.停用不必要的存储过程172.4.错误日志管理192.5.拒绝来自1434端口的探测192.6.对网络连接进行IP限制19Windows系统安全加固1．补丁更新1.1到微软网站下载最新的补丁程序2．安全加固2.2停掉Guest帐号在计算机管理的用户里面把guest帐号停用掉，任何时候都不允许guest帐号登陆系统。为了保险起见，最好给guest加一个复杂的密码，你可以打开记事本，在里面输入一串包含特殊字符,数字，字母的长字符串，然后把它作为guest帐号的密码拷进去。（windows03的guest帐号一般情况不可删除，会影响应用）2.3限制不必要的用户数量去掉所有的duplicateuser帐户,测试用帐户,共享帐号，普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。2.4创建2个管理员用帐号创建一个一般权限帐号用来收信以及处理一些日常事物，另一个拥有Administrators权限的帐户只在需要的时候使用。可以让管理员使用“RunAS”命令来执行一些需要特权才能作的一些工作，以方便管理。2.5把系统administrator帐号改名windows的administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然，请不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone。2.6创建一个陷阱帐号创建一个名为”Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些Scripts忙上一段时间了，并且可以借此发现它们的入侵企图。2.7把共享文件的权限从”everyone”组改成“授权用户”“everyone”在win中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享，默认的属性就是”everyone”组的。2.8使用安全密码一个好的密码对于一个网络是非常重要的，但是它是最容易被忽略的。一些公司的管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的东西做用户名，然后又把这些帐户的密码设置得很简单，比如“welcome”，“iloveyou”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。2.9设置屏幕保护密码很简单也很有必要，设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。2.10使用NTFS格式分区把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。2.11利用win的安全配置工具来配置策略微软提供了一套的基于MMC(管理控制台)安全配置和