Weblogic安全配置基線V1.1

第第9頁共15頁4.查看是否設(shè)置為“BEA主機(jī)名驗證”基線符合性判定依據(jù)主機(jī)名驗證設(shè)置為“BEA主機(jī)名驗證”加固方案以管理員身份登錄Weblogic管理控制臺進(jìn)入“域結(jié)構(gòu)一環(huán)境一服務(wù)器"進(jìn)入需要配置的服務(wù)器，點擊“配置一SSL—高級一主機(jī)名驗證”設(shè)置為“BEA主機(jī)名驗證”風(fēng)險等級低備注第3章日志審計登錄審核安全基線項目名稱Weblogic登錄審核安全基線要求項安全基線編號Weblogic安全配置技術(shù)要求-6安全基線項說明配置日志功能，對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的帳號，登錄是否成功，登錄時間，以及遠(yuǎn)程登錄時，用戶使用的IP地址。檢測操作步驟以管理員身份登錄Weblogic管理控制臺進(jìn)入“域結(jié)構(gòu)一環(huán)境一服務(wù)器"進(jìn)入需要配置的服務(wù)器，進(jìn)入“日志記錄一HTTP”查看是否啟用HTTP訪問日志文件?；€符合性判定依據(jù)啟用HTTP訪問日志文件。加固方案以管理員身份登錄Weblogic管理控制臺進(jìn)入“域結(jié)構(gòu)一環(huán)境一服務(wù)器"進(jìn)入需要配置的服務(wù)器，進(jìn)入“日志記錄一HTTP”啟用HTTP訪問日志文件。

風(fēng)險等級低備注3.2審核日志安全基線項目名稱Weblogic審核日志安全基線要求項安全基線編號Weblogic安全配置技術(shù)要求-7安全基線項說明設(shè)置審計管理控制臺事件，啟用審計管理控制臺。檢測操作步驟以管理員身份登錄Weblogic管理控制臺進(jìn)入“域結(jié)構(gòu)一安全領(lǐng)域一需要配置的領(lǐng)域一提供程序一審計”查看是否配置審計提供程序基線符合性判定依據(jù)1.配置了審計提供程序，啟用警告、錯誤、成功、失敗審計嚴(yán)重性。加固方案以管理員身份登錄Weblogic管理控制臺進(jìn)入“域結(jié)構(gòu)一安全領(lǐng)域一需要配置的領(lǐng)域一提供程序一審計”新建審計提供程序，并設(shè)置審計的嚴(yán)重性為FAILURE。啟用警告、錯誤、成功、失敗審計嚴(yán)重性。風(fēng)險等級中備注第4章服務(wù)安全禁用Sender-Server-HeaderS安全基線項目名稱Weblogic禁用Sender-Server-HeaderS安全基線要求項

安全基線編號Weblogic安全配置技術(shù)要求-8安全基線項說明禁用SendServerheader檢測操作步驟以管理員身份登錄Weblogic管理控制臺進(jìn)入“域結(jié)構(gòu)一環(huán)境一服務(wù)器”進(jìn)入需要管理的服務(wù)器，進(jìn)入“協(xié)議一HTTP”查看是否勾選“發(fā)送服務(wù)器標(biāo)頭”基線符合性判定依據(jù)未勾選發(fā)送服務(wù)器標(biāo)頭加固方案以管理員身份登錄Weblogic管理控制臺進(jìn)入“域結(jié)構(gòu)一環(huán)境一服務(wù)器”進(jìn)入需要管理的服務(wù)器，進(jìn)入“協(xié)議一HTTP”取消勾選“發(fā)送服務(wù)器標(biāo)頭”風(fēng)險等級低備注4.2更改WebLogic服務(wù)器默認(rèn)端口安全基線項目名稱Weblogic默認(rèn)端口安全基線要求項安全基線編號Weblogic安全配置技術(shù)要求-9安全基線項說明更改WebLogic默認(rèn)管理端口。檢測操作步驟以管理員身份登錄Weblogic管理控制臺進(jìn)入“域結(jié)構(gòu)一環(huán)境一服務(wù)器”進(jìn)入需要管理的服務(wù)器，進(jìn)入“配置一一般信息”查看監(jiān)聽端口基線符合性判定依據(jù)監(jiān)聽端口非默認(rèn)的7001端口

加固方案以管理員身份登錄Weblogic管理控制臺進(jìn)入“域結(jié)構(gòu)一環(huán)境一服務(wù)器”進(jìn)入需要管理的服務(wù)器，進(jìn)入“配置一一般信息”修改監(jiān)聽端口風(fēng)險等級高備注配置加密協(xié)議安全基線項目名稱Weblogic加密協(xié)議安全基線要求項安全基線編號Weblogic安全配置技術(shù)要求-10安全基線項說明WebLogic啟用SSL加密協(xié)議，保護(hù)傳輸數(shù)據(jù)的安全性。檢測操作步驟以管理員身份登錄Weblogic管理控制臺進(jìn)入“域結(jié)構(gòu)一環(huán)境一服務(wù)器”進(jìn)入需要管理的服務(wù)器，進(jìn)入“配置一一般信息”查看是否啟用SSL監(jiān)聽端口基線符合性判定依據(jù)啟用SSL監(jiān)聽端口，并且端口號不為7002加固方案以管理員身份登錄Weblogic管理控制臺進(jìn)入“域結(jié)構(gòu)一環(huán)境一服務(wù)器”進(jìn)入需要管理的服務(wù)器，進(jìn)入“配置一一般信息”啟用SSL監(jiān)聽端口，并設(shè)置端口號。風(fēng)險等級高備注

4.4限制socket的數(shù)量安全基線項目名稱Weblogic限制socket數(shù)量安全基線要求項安全基線編號Weblogic安全配置技術(shù)要求T1安全基線項說明Sockets最大打開數(shù)目設(shè)置不當(dāng)?shù)脑?，容易受到拒絕服務(wù)攻擊，超出操作系統(tǒng)文件描述符限制。檢測操作步驟以管理員身份登錄Weblogic管理控制臺進(jìn)入“域結(jié)構(gòu)一環(huán)境一服務(wù)器”進(jìn)入需要管理的服務(wù)器，進(jìn)入“配置一優(yōu)化”查看最大打開套接字?jǐn)?shù)設(shè)置?；€符合性判定依據(jù)最大打開套接字?jǐn)?shù)設(shè)置不為-1加固方案以管理員身份登錄Weblogic管理控制臺進(jìn)入“域結(jié)構(gòu)一環(huán)境一服務(wù)器”進(jìn)入需要管理的服務(wù)器，進(jìn)入“配置一優(yōu)化”修改最大打開套接字?jǐn)?shù)設(shè)置〈=1024。風(fēng)險等級高備注4.5配置錯誤頁面處理安全基線項目名稱Weblogic錯誤頁面處理安全基線要求項安全基線編號Weblogic安全配置技術(shù)要求-12安全基線項說明重新定義默認(rèn)出錯頁面檢測操作步驟1.以管理員身份登錄服務(wù)器，命令行模式查看weblogic安裝路徑下的web.xml文件：

#more./consoleapp/webapp/WEBTNF/web.xml查看是否有error對應(yīng)配置2.通過web訪問weblogic不存在的貝面基線符合性判定依據(jù)具有error對應(yīng)配置能夠指向指定的錯誤頁面加固方案以管理員身份登錄服務(wù)器，命令行模式編輯weblogic安裝路徑下的web.xml文件：#vi./server/lib/consoleapp/webapp/WEBTNF/web.xml添加如下字段：〈error—page〉〈error-code〉404〈/error-code〉<location〉/errors/404.jsp〈/location〉〈/error〉風(fēng)險等級低備注4.6運(yùn)行模式安全基線項目名稱Weblogic運(yùn)行模式安全基線要求項安全基線編號Weblogic安全配置技術(shù)要求T3安全基線項說明WebLogic默認(rèn)以開發(fā)方式運(yùn)行，安全限制很寬松，需配置運(yùn)行模式為生產(chǎn)模式。檢測操作步驟以管理員身份登錄Weblogic管理控制臺進(jìn)入“域結(jié)構(gòu)一需要配置的域一一般信息”查看是否勾選“生產(chǎn)模式”基線符合性判定依據(jù)設(shè)置為生產(chǎn)模式加固方案1.以管理員身份登錄Weblogic管理控制臺

進(jìn)入“域結(jié)構(gòu)一需要配置的域一一般信息”勾選“生產(chǎn)模式”風(fēng)險等級低備注4.7刪除sample程序安全基線項目名稱Weblogic刪除sample程序安全基線要求項安全基線編號Weblogic安全配置技術(shù)要求T4安全基線項說明需刪除示例程序檢測操作步驟以管理員身份登錄Weblogic管理控制臺進(jìn)入“域結(jié)構(gòu)一部署”查看是否有類似“examplesWebApp、mainWebApp等例子程序”基線符合性判定依據(jù)無例子程序加固方案以管理員身份登錄Weblogic管理控制臺進(jìn)入“域結(jié)構(gòu)一部署”刪除類似“examplesWebApp、mainWebApp等例子程序”風(fēng)險等級高備注

第5章補(bǔ)丁管理補(bǔ)丁管理安全基線項目名稱Weblogic取新補(bǔ)丁安全基線要求項安全基線編號Weblogic安全配置技術(shù)要求T5安全基線項說明在不影響業(yè)務(wù)的情