企業(yè)系統(tǒng)巡檢報(bào)告(巡檢)

文檔信息：文檔名稱保密級別商密文檔版本編號文檔管理編號管理人制作人制作日期復(fù)審人復(fù)審日期擴(kuò)散范圍客戶()版本紀(jì)錄：版本編號*修改狀態(tài)變更人變更日期*修改狀態(tài)：C——?jiǎng)?chuàng)建，A——增加，M——修改，D——?jiǎng)h除版權(quán)說明：本文檔中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、代碼等內(nèi)容，除由特別注明，版權(quán)均屬于北方互聯(lián)所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)北方互聯(lián)的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文檔的任何片斷。巡檢目的本次系統(tǒng)巡檢的目的是對中海油的29臺(tái)Windows服務(wù)器及SQL數(shù)據(jù)庫服務(wù)器的安全性和可靠性進(jìn)行一個(gè)全面的了解，發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)，并提供推薦的解決辦法，同時(shí)為我們的系統(tǒng)運(yùn)維管理工作提供技術(shù)參考依據(jù)。巡檢范圍與工具巡檢范圍系統(tǒng)巡檢的范圍依據(jù)：系統(tǒng)安全性、可靠性兩條主線來展開，進(jìn)行深入分析。巡檢的內(nèi)容，定義如下：系統(tǒng)類型檢查類型檢查主項(xiàng)子項(xiàng)WindowsServer系統(tǒng)管理系統(tǒng)賬戶n/a安全策略審計(jì)策略本地安全策略設(shè)置系統(tǒng)服務(wù)設(shè)置系統(tǒng)拒絕服務(wù)攻擊資源訪問控制系統(tǒng)特定文件夾權(quán)限系統(tǒng)特定注冊表設(shè)置系統(tǒng)安全系統(tǒng)防病毒n/a系統(tǒng)補(bǔ)丁n/a網(wǎng)絡(luò)安全n/a數(shù)據(jù)安全數(shù)據(jù)加密n/a數(shù)據(jù)備份n/a系統(tǒng)運(yùn)維系統(tǒng)性能n/a系統(tǒng)日志n/aSQLServer系統(tǒng)管理用戶管理n/a備份/恢復(fù)n/a系統(tǒng)安全安全性檢查n/a資源保護(hù)n/a數(shù)據(jù)安全數(shù)據(jù)加密n/a系統(tǒng)運(yùn)維系統(tǒng)日志n/a系統(tǒng)性能n/a巡檢范圍定義如下：業(yè)務(wù)系統(tǒng)名稱包括的windows服務(wù)器IP巡檢內(nèi)容B2B接口應(yīng)用系統(tǒng)10.68.48.219WindowsMAXIMO-SAP接口應(yīng)用服務(wù)器10.63.0.40WindowsSAP報(bào)表發(fā)布系統(tǒng)10.68.48.11WindowsWBCR內(nèi)控管理系統(tǒng)10.68.48.120Windows10.68.48.121Windows10.68.48.122Windows10.68.48.123Windows發(fā)展規(guī)劃部文件服務(wù)器10.68.48.12Windows海外業(yè)務(wù)管理平臺(tái)系統(tǒng)10.68.110.220Windows10.68.110.219Windows10.68.48.13Windows、SQL開發(fā)生產(chǎn)數(shù)據(jù)庫系統(tǒng)10.68.110.228Windows10.68.42.202Windows10.68.42.208Windows、SQL內(nèi)審作業(yè)服務(wù)器10.68.48.16Windows全面預(yù)算系統(tǒng)10.68.110.203Windows10.68.110.204Windows、SQL生產(chǎn)操作費(fèi)系統(tǒng)10.68.110.216Windows生產(chǎn)工藝技術(shù)交流平臺(tái)10.68.42.204Windows、SQL10.68.42.209Windows油氣儲(chǔ)量庫10.68.40.37Windows、SQL資金系統(tǒng) 10.57.251.31Windows10.57.251.33Windows10.57.251.35Windows10.57.251.37Windows10.68.203.1Windows總部報(bào)表系統(tǒng)10.68.42.203Windows鉆完井DP10.68.48.5Windows鉆完井GIS10.68.48.6Windows巡檢使用工具與資源由于本次是手工檢查，一些性能指標(biāo)、安全性設(shè)置（如口令檢測）無法執(zhí)行。工具與形式手工檢查所需資源運(yùn)維工作報(bào)告及報(bào)表臨時(shí)帳號與權(quán)限巡檢時(shí)間巡檢相關(guān)定義我們按照問題的緊急程度和范圍將所發(fā)現(xiàn)的問題排列如下：緊急狀態(tài)–可能影響穩(wěn)定性，安全性或者對系統(tǒng)的性能產(chǎn)生嚴(yán)重影響的問題。應(yīng)該在巡檢后立即進(jìn)行處理。一般問題–問題還需要進(jìn)一步關(guān)注，并不一定會(huì)立即對系統(tǒng)造成損害。運(yùn)維人員應(yīng)該經(jīng)常檢查這些問題，在必要時(shí)采取措施。巡檢參與人員本次巡檢參與人員如下：巡檢數(shù)據(jù)結(jié)果分析此次巡檢數(shù)據(jù)的結(jié)果分析采用5分制評分標(biāo)準(zhǔn)，全部滿足標(biāo)準(zhǔn)配置為5分，每臺(tái)服務(wù)器在每個(gè)巡檢項(xiàng)里的得分=符合指標(biāo)數(shù)/全部指標(biāo)數(shù)*5。經(jīng)過對巡檢數(shù)據(jù)的分析，29臺(tái)WindowsServer服務(wù)器和5臺(tái)SQLServer服務(wù)器整體狀態(tài)如下：WindowsServer巡檢數(shù)據(jù)結(jié)果分析WindowsServer系統(tǒng)整體運(yùn)行狀態(tài)從巡檢的數(shù)據(jù)上看，所有系統(tǒng)總體運(yùn)行狀態(tài)良好，安全設(shè)置都符合標(biāo)準(zhǔn)，部分服務(wù)器在系統(tǒng)的策略配置中有不符合標(biāo)準(zhǔn)情況的現(xiàn)象，總體運(yùn)行狀態(tài)如下圖所示：總體運(yùn)行狀態(tài)中，除了B2B接口應(yīng)用系統(tǒng)、SAP報(bào)表發(fā)布系統(tǒng)、資金系統(tǒng)得分低于4分外，其余系統(tǒng)都比較正常?？鄯种饕蚴窍到y(tǒng)賬號和安全策略等方面不符合指標(biāo)項(xiàng)較多。WindowsServer巡檢指標(biāo)合規(guī)狀態(tài)從巡檢指標(biāo)的合規(guī)狀態(tài)來看，整體上情況良好，但在系統(tǒng)賬號、審計(jì)策略、本地安全策略、系統(tǒng)拒絕服務(wù)攻擊、系統(tǒng)補(bǔ)丁管理和系統(tǒng)日志六個(gè)方面得分較低。WindowsServer各分項(xiàng)指標(biāo)運(yùn)行情況系統(tǒng)賬戶大多數(shù)服務(wù)器在系統(tǒng)賬號管理的各項(xiàng)巡檢指標(biāo)都無法滿足安全性要求，帳戶鎖定閾值、鎖定時(shí)間、密碼過期時(shí)間、甚至有些服務(wù)器在密碼復(fù)雜度和最小密碼長度上，都不符合推薦配置。而所有服務(wù)器都沒有相應(yīng)的制度和文檔來記錄對賬號和密碼的變更。需引起足夠的重視。系統(tǒng)審計(jì)策略從圖中可以看到目前服務(wù)器中審計(jì)策略做的比較薄弱，建議按推薦配置進(jìn)行配置，以備審計(jì)之用。本地安全策略大部分服務(wù)器以下四個(gè)指標(biāo)的設(shè)置都不符合安全性要求：“關(guān)機(jī)：清除虛擬內(nèi)存頁面文件”、“交互式登錄：不顯示上次的用戶名”、“交互式登錄：可被緩存的前次登錄個(gè)數(shù)（在域控制器不可用的情況下）”、“帳戶：重命名系統(tǒng)管理員賬戶”。系統(tǒng)服務(wù)設(shè)置此配置選項(xiàng)所有服務(wù)器都符合配置。系統(tǒng)拒絕服務(wù)攻擊所有服務(wù)器都沒有設(shè)置注冊表項(xiàng)HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\PAameters\SynAttackProtect，Value:1。系統(tǒng)特定文件夾權(quán)限所有服務(wù)器數(shù)據(jù)安全設(shè)置均符合標(biāo)準(zhǔn)。系統(tǒng)特定注冊表設(shè)置除B2B接口應(yīng)用服務(wù)器的“系統(tǒng)特定注冊表設(shè)置”沒有設(shè)置外，其余均按要求設(shè)置。系統(tǒng)防病毒SAP報(bào)表發(fā)布系統(tǒng)未按公司要求部署殺毒軟件，資金系統(tǒng)雖然部署了殺毒軟件，但病毒庫并沒有升級到最新，需引起足夠的重視。系統(tǒng)補(bǔ)丁管理所有服務(wù)器均沒有補(bǔ)丁安裝測試環(huán)境，需要建立此環(huán)境。網(wǎng)絡(luò)安全所有服務(wù)器數(shù)據(jù)安全設(shè)置均符合標(biāo)準(zhǔn)。數(shù)據(jù)加密所有服務(wù)器數(shù)據(jù)安全設(shè)置均符合標(biāo)準(zhǔn)。數(shù)據(jù)備份所有服務(wù)器數(shù)據(jù)安全設(shè)置均符合標(biāo)準(zhǔn)。系統(tǒng)性能生產(chǎn)操作費(fèi)系統(tǒng)的系統(tǒng)分區(qū)可用磁盤空間110MB/29.2G。系統(tǒng)日志和審計(jì)策略相對應(yīng)，所有服務(wù)器的安全日志存儲(chǔ)最大值都不符合標(biāo)準(zhǔn)得81m，而個(gè)別服務(wù)器的日志存儲(chǔ)只設(shè)置為默認(rèn)的512k。SQLServer總體運(yùn)行情況SQLServer整體運(yùn)行狀態(tài)5臺(tái)SQLserver數(shù)據(jù)看服務(wù)器整體運(yùn)行情況還不錯(cuò)，但也存在相當(dāng)多的不合規(guī)項(xiàng)。SQLServer巡檢指標(biāo)合規(guī)狀態(tài)SQLServer巡檢六項(xiàng)指標(biāo)中，只有數(shù)據(jù)加密一項(xiàng)完全符合標(biāo)準(zhǔn)配置，其他五項(xiàng)指標(biāo)都存在問題。SQLServer各分項(xiàng)指標(biāo)運(yùn)行情況日志檢查SQLServer日志檢查各項(xiàng)指標(biāo)中，Windows應(yīng)用程序日志文件的保留期限項(xiàng)不合規(guī)。所有系統(tǒng)的日志文件保留期限均沒有進(jìn)行設(shè)置。備份/恢復(fù)SQLServer備份、恢復(fù)各項(xiàng)指標(biāo)中備份數(shù)據(jù)文件的存放不合規(guī)指標(biāo)。備份文件和SQL數(shù)據(jù)文件應(yīng)放在不同盤符中，保證數(shù)據(jù)的安全。其中開發(fā)生產(chǎn)數(shù)據(jù)庫、全面預(yù)算系統(tǒng)、生產(chǎn)工藝技術(shù)交流平臺(tái)、油氣儲(chǔ)量庫系統(tǒng)的備份文件和數(shù)據(jù)文件都放在同一盤符里。安全性檢查SQLServer安全性檢查各項(xiàng)指標(biāo)中用戶ID安全項(xiàng)沒有滿足指標(biāo)。所有系統(tǒng)的sql賬戶均未進(jìn)行分組管理。另外油氣儲(chǔ)量庫存在"任務(wù)"以"sa"帳號運(yùn)行。安全性檢查SQLServer用戶管理檢查各項(xiàng)指標(biāo)總共有5項(xiàng)，其中有兩項(xiàng)指標(biāo)不合規(guī)，分別是BUILTIN/administrators和SQLDebugger賬戶應(yīng)該刪除處理。但所檢查的sqlserver中均存在BUILTIN/administrators和SQLDebugger賬戶。資源保護(hù)SQLServer資源保護(hù)各項(xiàng)指標(biāo)只有一項(xiàng)，即系統(tǒng)登錄名的默認(rèn)數(shù)據(jù)庫不應(yīng)為master。但所檢查系統(tǒng)的登錄名默認(rèn)數(shù)據(jù)庫全為master。數(shù)據(jù)加密SQLServer數(shù)據(jù)加密各項(xiàng)指標(biāo)正常。系統(tǒng)性能SQLServer系統(tǒng)性能共三項(xiàng)指標(biāo)，其中操作系統(tǒng)、數(shù)據(jù)庫文件、日志文件、臨時(shí)庫文件的存放位置不滿足要求的。現(xiàn)有數(shù)據(jù)庫數(shù)據(jù)庫文件和日志文件均放在同一盤符，對數(shù)據(jù)的讀取速度有所影響。WindowsServer狀態(tài)分析狀態(tài)分析從系統(tǒng)管理、系統(tǒng)安全、數(shù)據(jù)安全、系統(tǒng)運(yùn)維四個(gè)方面分析結(jié)果，并設(shè)定緊急狀態(tài)和一般問題，文檔將詳細(xì)列出服務(wù)器的實(shí)際配置與推薦配置存在的差異。說明：下表中的紅色字體項(xiàng)目，說明實(shí)際值和推薦值不符，需要進(jìn)行參數(shù)調(diào)整。系統(tǒng)管理分析系統(tǒng)賬戶大多數(shù)服務(wù)器以下指標(biāo)項(xiàng)不符合推薦值，如下：序號檢查項(xiàng)推薦值實(shí)際值1帳戶鎖定時(shí)間0分鐘，帳戶被鎖定，直到管理員進(jìn)行解鎖15分鐘2賬戶鎖定閥值5次無效登錄103賬戶密碼永不過期設(shè)置密碼有效期是4賬戶密碼復(fù)雜度密碼復(fù)雜度：

-大寫字母、小寫字母、數(shù)字和特殊字符四者中三者的組合

-不能包含用戶名

海油：至少包含一個(gè)數(shù)字和一個(gè)字母未啟用5賬戶最小密碼長度8個(gè)字符海油：不應(yīng)小于6位06賬戶密碼最長使用周期90天0，未啟用7賬戶強(qiáng)制密碼歷史4個(gè)記住的密碼248賬戶密碼管理變更有詳細(xì)的文檔保留無賬戶鎖定時(shí)間緊急程度:緊急說明：服務(wù)器沒有設(shè)置帳戶鎖定時(shí)間風(fēng)險(xiǎn)：如果沒有對賬戶鎖定時(shí)間進(jìn)行設(shè)置，非法用戶在過了設(shè)定時(shí)間后，可能會(huì)通過自動(dòng)登錄工具和密碼猜解字典的方式破解用戶密碼。建議：立即啟用賬戶鎖定策略，配置參數(shù)請參閱推薦值。賬戶鎖定閥值緊急程度:緊急說明：服務(wù)器沒有設(shè)置帳戶鎖定策略風(fēng)險(xiǎn)：如果沒有設(shè)置鎖定閥值，非法用戶可能會(huì)通過自動(dòng)登錄工具和密碼猜解字典的方式破解用戶密碼，啟用了賬戶鎖定閥值后，如果連續(xù)出現(xiàn)多次無效登錄，該賬戶將被自動(dòng)鎖定，這樣可有效地阻斷非法用戶對密碼的破解嘗試。建議：立即啟用賬戶鎖定閥值，配置參數(shù)請參閱推薦值。賬戶密碼永不過期緊急程度:緊急說明：服務(wù)器沒有設(shè)置帳戶密碼有效期風(fēng)險(xiǎn)：如果沒有設(shè)置密碼有效期，非法用戶可能會(huì)通過自動(dòng)登錄工具和密碼猜解字典的方式破解用戶密碼，啟用了賬戶密碼有效期后，定期對賬號密碼進(jìn)行更改，可有效地阻斷非法用戶對密碼的破解嘗試。建議：立即啟用賬戶密碼有效期，配置參數(shù)請參閱推薦值。賬戶密碼復(fù)雜度緊急程度:緊急說明：服務(wù)器沒有設(shè)置帳戶密碼復(fù)雜度風(fēng)險(xiǎn)：如果沒有設(shè)置密碼復(fù)雜度，非法用戶可能會(huì)通過自動(dòng)登錄工具和密碼猜解字典的方式破解用戶密碼，啟用了賬戶密碼復(fù)雜度后，可有效地阻斷非法用戶對密碼的破解嘗試。建議：立即啟用賬戶密碼復(fù)雜度，配置參數(shù)請參閱推薦值。賬戶最小密碼長度緊急程度:緊急說明：服務(wù)器沒有設(shè)置賬戶最小密碼長度風(fēng)險(xiǎn)：如果沒有設(shè)置最小密碼長度，非法用戶可能會(huì)通過自動(dòng)登錄工具和密碼猜解字典的方式破解用戶密碼，啟用了賬戶最小密碼長度后，可有效地阻斷非法用戶對密碼的破解嘗試。建議：立即啟用賬戶密碼最小密碼長度，配置參數(shù)請參閱推薦值。賬戶密碼最長使用周期緊急程度:緊急說明：服務(wù)器沒有設(shè)置賬戶密碼最長使用周期風(fēng)險(xiǎn)：如果沒有設(shè)置賬戶密碼最長使用周期，非法用戶可能會(huì)通過自動(dòng)登錄工具和密碼猜解字典的方式破解用戶密碼，啟用了賬戶密碼最長使用周期后，可有效地阻斷非法用戶對密碼的破解嘗試。建議：立即啟用賬戶密碼最小密碼長度，配置參數(shù)請參閱推薦值。強(qiáng)制密碼歷史緊急程度:緊急說明：服務(wù)器沒有設(shè)置強(qiáng)制密碼歷史策略風(fēng)險(xiǎn)：密碼重用對于任何組織來說都是需要考慮的重要問題。許多用戶都希望在很長時(shí)間以后使用或重用相同的帳戶密碼。特定帳戶使用相同密碼的時(shí)間越長，攻擊者能夠通過暴力攻擊確定密碼的機(jī)會(huì)就越大。如果要求用戶更改其密碼，但卻無法阻止他們使用舊密碼，或允許他們持續(xù)重用少數(shù)幾個(gè)密碼，則會(huì)大大降低密碼策略的有效性。建議：立即啟用強(qiáng)制密碼歷史策略，配置參數(shù)請參閱推薦值。賬戶密碼管理緊急程度:一般問題說明：沒有對服務(wù)器各種賬號和密碼進(jìn)行管理風(fēng)險(xiǎn)：沒有設(shè)立相關(guān)文檔和管理制度，對服務(wù)器各種賬號和密碼的變更進(jìn)行記錄和追蹤，便不能有效的對賬號和密碼的使用情況進(jìn)行審計(jì)，有使賬號和密碼的管理失控的危險(xiǎn)。建議：立即建立相關(guān)賬號和密碼的管理規(guī)定和詳細(xì)的管理文檔進(jìn)行追蹤。審計(jì)策略系統(tǒng)審計(jì)策略出現(xiàn)的問題比較多，大部分服務(wù)器的審計(jì)策略未做任何配置或少量配置：系統(tǒng)值/參數(shù)推薦配置允許配置當(dāng)前配置結(jié)果帳戶登錄事件成功&失敗成功&失敗成功賬戶管理成功&失敗成功&失敗無審核目錄服務(wù)訪問失敗失敗無審核登錄事件成功&失敗成功&失敗成功對象訪問失敗失敗無審核策略變更成功&失敗成功&失敗無審核特權(quán)使用成功&失敗成功&失敗無審核過程追蹤不需要設(shè)置不需要設(shè)置無審核系統(tǒng)事件失敗失敗無審核沒有配置審核策略更改事件緊急程度:一般問題說明：沒有配置審核策略更改事件風(fēng)險(xiǎn)：如果配置了“審核策略更改”設(shè)置，則可指定是否審核成功、審核失敗或根本不審核此事件類型。成功審核會(huì)在對用戶權(quán)限分配策略、審核策略或信任策略的更改成功時(shí)生成一個(gè)審核項(xiàng)。此審核信息對于記賬十分有用，并可幫助確定誰在域中或單臺(tái)計(jì)算機(jī)上成功修改了策略。失敗審核會(huì)在對用戶權(quán)限分配策略、審核策略或信任策略的更改失敗時(shí)生成一個(gè)審核項(xiàng)。建議：立即啟用審核策略更改，配置參數(shù)請參閱推薦值。審核登錄事件配置不完整緊急程度:一般問題說明：沒有配置審核登錄事件的失敗審核風(fēng)險(xiǎn)：如果配置了“審核登錄事件”設(shè)置，則可指定是否審核成功、審核失敗或根本不審核此事件類型。成功審核會(huì)在登錄嘗試成功時(shí)生成一個(gè)審核項(xiàng)。該審核項(xiàng)的信息對于記帳以及事件發(fā)生后的辯論十分有用，可用來確定哪個(gè)人成功登錄到哪臺(tái)計(jì)算機(jī)。失敗審核會(huì)在登錄嘗試失敗時(shí)生成一個(gè)審核項(xiàng)，該審核項(xiàng)對于入侵檢測十分有用。但是，此配置還會(huì)創(chuàng)建一個(gè)潛在DoS條件，因?yàn)楣粽呖赡軙?huì)生成數(shù)百萬個(gè)登錄失敗項(xiàng)，填滿安全事件日志，并導(dǎo)致強(qiáng)制關(guān)閉服務(wù)器。建議：立即完善審核登錄事件配置，配置參數(shù)請參閱推薦值。沒有配置審核對象訪問緊急程度:一般問題說明：沒有配置審核登錄事件的失敗審核風(fēng)險(xiǎn)：如果配置了“審核對象訪問”設(shè)置，則可指定是否審核成功、審核失敗或根本不審核此事件類型。成功審核會(huì)在用戶成功訪問具有SACL的對象時(shí)生成一個(gè)審核項(xiàng)。失敗審核會(huì)在用戶嘗試訪問具有SACL的對象失敗時(shí)生成一個(gè)審核項(xiàng)。建議：立即配置審核對象訪問，配置參數(shù)請參閱推薦值。沒有配置審核特權(quán)使用緊急程度:一般問題說明：沒有配置審核特權(quán)使用風(fēng)險(xiǎn)：如果配置了“審核特權(quán)使用”設(shè)置，則可指定是否審核成功、審核失敗或根本不審核此事件類型。成功審核會(huì)在成功行使用戶權(quán)限時(shí)生成一個(gè)審核項(xiàng)。失敗審核會(huì)在行使用戶權(quán)限失敗時(shí)生成一個(gè)審核項(xiàng)。失敗審核會(huì)在行使用戶權(quán)限失敗時(shí)生成一個(gè)審核項(xiàng)。如果啟用此策略設(shè)置，生成的事件數(shù)量可能會(huì)非常多，并且事件將難以排序。只有在已經(jīng)計(jì)劃好如何使用所生成的信息時(shí)，才應(yīng)啟用此設(shè)置。建議：立即配置審核特權(quán)使用，配置參數(shù)請參閱推薦值。沒有配置審核系統(tǒng)事件緊急程度:一般問題說明：沒有配置審核系統(tǒng)事件風(fēng)險(xiǎn)：如果配置了“審核系統(tǒng)事件”設(shè)置，則可指定是否審核成功、審核失敗或根本不審核此事件類型。成功審核在事件執(zhí)行成功時(shí)生成一個(gè)審核項(xiàng)。失敗審核在事件失敗時(shí)生成一個(gè)審核項(xiàng)。由于在為系統(tǒng)事件同時(shí)啟用失敗審核和成功審核時(shí)幾乎不會(huì)記錄附加事件，并且由于所有這類事件都非常重要，因此應(yīng)在計(jì)算機(jī)上將此策略設(shè)置配置為“已啟用”。建議：立即配置審核系統(tǒng)事件，配置參數(shù)請參閱推薦值。審核帳戶登錄事件配置不完整緊急程度:一般問題說明：審核帳戶登錄事件配置不完整風(fēng)險(xiǎn)：此策略設(shè)置確定是否審核用戶在不同計(jì)算機(jī)（非記錄事件和驗(yàn)證帳戶的計(jì)算機(jī)）上登錄或注銷的每個(gè)實(shí)例，該審核項(xiàng)的信息對于記帳以及事件發(fā)生后的辯論十分有用，可用來確定哪個(gè)人成功登錄到哪臺(tái)計(jì)算機(jī)。失敗審核會(huì)在帳戶登錄嘗試失敗時(shí)生成一個(gè)審核項(xiàng)，該審核項(xiàng)對于入侵檢測十分有用。建議：立即配置審核帳戶登錄事件，配置參數(shù)請參閱推薦值。本地安全策略配置所以服務(wù)器中除了SAP報(bào)表發(fā)布服務(wù)器符合標(biāo)準(zhǔn)配置外，其余所有服務(wù)器的以下指標(biāo)選項(xiàng)不符合標(biāo)準(zhǔn)配置：序號檢查項(xiàng)推薦值實(shí)際值1關(guān)機(jī)：清除虛擬內(nèi)存頁面文件已啟用已禁用2交互式登錄：不顯示上次的用戶名已啟用已禁用3交互式登錄：可被緩存的前次登錄個(gè)數(shù)（在域控制器不可用的情況下）0104帳戶：重命名系統(tǒng)管理員賬戶除了Administrator的其它名字Administrator未配置關(guān)機(jī)：清除虛擬內(nèi)存頁面文件緊急程度:一般問題說明：該安全設(shè)置決定在關(guān)閉系統(tǒng)時(shí)是否清除虛擬內(nèi)存頁面文件風(fēng)險(xiǎn)：虛擬內(nèi)存支持使用系統(tǒng)頁面文件，將不使用的內(nèi)存頁交還給磁盤。在運(yùn)行的系統(tǒng)上，該頁面文件由操作系統(tǒng)以獨(dú)占方式打開，并得到很好的保護(hù)。不過，配置后允許啟動(dòng)到其他操作系統(tǒng)的系統(tǒng)可能要確保在本系統(tǒng)關(guān)閉時(shí)已完全清除系統(tǒng)頁面文件。通過這種方法，可確保那些能直接訪問頁面文件的非授權(quán)用戶，無法得到納入該頁面文件中的進(jìn)程內(nèi)存所含敏感信息。建議：立即配置關(guān)機(jī)：清除虛擬內(nèi)存頁面文件策略，配置參數(shù)請參閱推薦值。未配置交互式登錄：不顯示上次的用戶名緊急程度:一般問題說明：該安全設(shè)置確定是否將最近一次登錄到計(jì)算機(jī)的用戶名顯示在Windows登錄屏幕中風(fēng)險(xiǎn)：如果啟用該策略，則最近一次成功登錄的用戶的名稱將不顯示在“登錄到Windows”對話框中。如果禁用該策略，則會(huì)顯示最近一次登錄的用戶的名稱，存在用戶被攻擊的風(fēng)險(xiǎn)。建議：立即配置交互式登錄：不顯示上次的用戶名策略，配置參數(shù)請參閱推薦值。交互式登錄：可被緩存的前次登錄個(gè)數(shù)（在域控制器不可用的情況下）緊急程度:一般問題說明：此策略設(shè)置確定用戶是否可使用緩存的帳戶信息登錄到Windows域。此策略設(shè)置確定其登錄信息在本地緩存的唯一用戶的個(gè)數(shù)。如果將此設(shè)置配置為0，則將禁用登錄緩存。風(fēng)險(xiǎn)：域帳戶的登錄信息可在本地緩存，以便若在后續(xù)登錄中無法聯(lián)系到域控制器，用戶仍能登錄。如果允許此功能，可能允許用戶在其帳戶被禁用或刪除之后，或者工作站無法聯(lián)系到域控制器時(shí)進(jìn)行登錄。建議：立即配置“交互式登錄：可被緩存的前次登錄個(gè)數(shù)（在域控制器不可用的情況下）”策略，配置參數(shù)請參閱推薦值。帳戶：重命名系統(tǒng)管理員賬戶緊急程度:一般問題說明：此策略設(shè)置是否將系統(tǒng)管理員默認(rèn)賬號administrator改名風(fēng)險(xiǎn)：如果不更改默認(rèn)系統(tǒng)管理員賬號administrator，將有管理員賬號密碼被惡意破解的風(fēng)險(xiǎn)，可能會(huì)通過自動(dòng)登錄工具和密碼猜解字典的方式破解用戶密碼。建議：立即更改administrator賬號名并做好記錄。系統(tǒng)服務(wù)設(shè)置所有服務(wù)器在此項(xiàng)巡檢的各指標(biāo)項(xiàng)的配置都符合允許配置值。系統(tǒng)拒絕服務(wù)攻擊所有服務(wù)器在此項(xiàng)巡檢的各指標(biāo)項(xiàng)的配置中，以下都不符合允許配置值。序號檢查項(xiàng)推薦值實(shí)際值1HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\PAameters\(registrysubkey）Name:SynAttackProtectType:REG_DWORDValue:1無未配置系統(tǒng)拒絕服務(wù)攻擊注冊表值緊急程度:一般問題說明：該安全設(shè)置確定是否在注冊表中設(shè)定相關(guān)鍵值是否防止系統(tǒng)拒絕服務(wù)攻擊。風(fēng)險(xiǎn)：如果沒有設(shè)置該策略，將有可能受到系統(tǒng)拒絕服務(wù)攻擊。建議：立即配置特定注冊表設(shè)置策略，配置參數(shù)請參閱推薦值。特定文件夾權(quán)限所有服務(wù)器在此項(xiàng)巡檢的各指標(biāo)項(xiàng)的配置都符合允許配置值。系統(tǒng)特定注冊表設(shè)置除B2B接口應(yīng)用服務(wù)器不符合此標(biāo)準(zhǔn)外，其他服務(wù)器都符合允許配置值：系統(tǒng)特定注冊表設(shè)置推薦配置允許配置當(dāng)前配置HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\ApplicationName:RestrictGuestAccess

Type:REG_DWORD

Value:1Name:RestrictGuestAccess

Type:REG_DWORD

Value:1無HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\SecurityName:RestrictGuestAccess

Type:REG_DWORD

Value:1Name:RestrictGuestAccess

Type:REG_DWORD

Value:1無HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\SystemName:RestrictGuestAccess

Type:REG_DWORD

Value:1Name:RestrictGuestAccess

Type:REG_DWORD

Value:1無HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\DNSServerName:RestrictGuestAccess

Type:REG_DWORD

Value:1Name:RestrictGuestAccess

Type:REG_DWORD

Value:1無未配置特定注冊表設(shè)置緊急程度:一般問題說明：該安全設(shè)置確定是否在注冊表中設(shè)定相關(guān)鍵值是否防止guest用戶訪問風(fēng)險(xiǎn)：如果啟用該策略，將禁止guest用戶訪問訪問相關(guān)服務(wù)建議：立即配置特定注冊表設(shè)置策略，配置參數(shù)請參閱推薦值。系統(tǒng)安全管理分析系統(tǒng)防病毒SAP報(bào)表發(fā)布服務(wù)器沒有正確部署企業(yè)版防病毒軟件；資金系統(tǒng)的四臺(tái)服務(wù)器，其病毒庫沒有更新至巡檢日。序號檢查項(xiàng)推薦值實(shí)際值1防病毒軟件的部署1）服務(wù)器部署率：100%2）正確部署企業(yè)版防病毒軟件無2防病毒軟件的更新1）頻率周期：每日定時(shí)更新2）更新方式：從服務(wù)器端更新3）更新檢查：通過服務(wù)器控制臺(tái)查看病毒碼定義病毒庫沒有更新至：2010-1-25未部署防病毒軟件緊急程度:緊急狀態(tài)說明：系統(tǒng)沒有按要求部署企業(yè)版防病毒軟件風(fēng)險(xiǎn)：如果沒有部署企業(yè)版防病毒軟件，將給服務(wù)器帶來病毒侵襲的危險(xiǎn)。建議：立即部署企業(yè)版防病毒軟件。防病毒軟件未更新緊急程度:緊急狀態(tài)說明：防病毒軟件的病毒庫定義沒有升級到最新版本風(fēng)險(xiǎn)：如果病毒庫定義不升級到最新版本，將給服務(wù)器帶來病毒侵襲的危險(xiǎn)建議：立即將病毒庫定義升級到最新版本。系統(tǒng)補(bǔ)丁管理所有服務(wù)器均不具備補(bǔ)丁安裝測試環(huán)境：系統(tǒng)值/參數(shù)推薦配置允許配置當(dāng)前配置結(jié)果補(bǔ)丁安裝測試安裝測試應(yīng)滿足：

1）具備補(bǔ)丁安裝測試環(huán)境

2）具備補(bǔ)丁安裝測試操作安裝測試應(yīng)滿足：

1）具備補(bǔ)丁安裝測試環(huán)境

2）具備補(bǔ)丁安裝測試操作安裝測試應(yīng)滿足：

1）具備補(bǔ)丁安裝測試環(huán)境（否）

2）具備補(bǔ)丁安裝測試操作（有）不具備補(bǔ)丁安裝測試環(huán)境緊急程度:一般問題說明：具備補(bǔ)丁安裝測試環(huán)境能檢驗(yàn)補(bǔ)丁是否對生產(chǎn)環(huán)境中實(shí)際應(yīng)用存在影響風(fēng)險(xiǎn)：如果啟用該策略，能檢驗(yàn)補(bǔ)丁是否對生產(chǎn)環(huán)境中實(shí)際應(yīng)用存在影響，避免打補(bǔ)丁造成額外的風(fēng)險(xiǎn)建議：盡快具備補(bǔ)丁安裝測試環(huán)境，配置參數(shù)請參閱推薦值。網(wǎng)絡(luò)安全所有服務(wù)器在此項(xiàng)巡檢的各指標(biāo)項(xiàng)的配置都符合允許配置值。數(shù)據(jù)安全分析數(shù)據(jù)加密所有服務(wù)器在此項(xiàng)巡檢的各指標(biāo)項(xiàng)的配置都符合允許配置值。數(shù)據(jù)備份所有服務(wù)器在此項(xiàng)巡檢的各指標(biāo)項(xiàng)的配置都符合允許配置值。系統(tǒng)運(yùn)維分析系統(tǒng)性能生產(chǎn)操作費(fèi)系統(tǒng)的系統(tǒng)分區(qū)可用磁盤空間110MB/29.2G。系統(tǒng)值/參數(shù)推薦配置允許配置當(dāng)前配置結(jié)果磁盤容量系統(tǒng)分區(qū)可用磁盤空間＞500MB系統(tǒng)分區(qū)可用磁盤空間＞500MB生產(chǎn)操作費(fèi)系統(tǒng)的系統(tǒng)分區(qū)可用磁盤空間110MB/29.2G。系統(tǒng)分區(qū)可用磁盤空間緊急程度:緊急狀態(tài)說明：系統(tǒng)分區(qū)可用磁盤空間>500MB風(fēng)險(xiǎn)：如果系統(tǒng)分區(qū)可用磁盤空間低于500MB，一旦磁盤空間耗盡將帶來系統(tǒng)停機(jī)的風(fēng)險(xiǎn)。建議：盡快解決磁盤空間不足的問題，配置參數(shù)請參閱推薦值。系統(tǒng)日志所有服務(wù)器的安全日志存儲(chǔ)最大值都不符合標(biāo)準(zhǔn)得81m，而個(gè)別服務(wù)器的日志存儲(chǔ)只設(shè)置為默認(rèn)的512k。指標(biāo)推薦配置允許配置當(dāng)前配置結(jié)果日志文件管理-應(yīng)用程序日志最大值（16MB）

-安全日志最大值（81MB）

-系統(tǒng)日志最大值（16MB)-應(yīng)用程序日志最大值（16MB）

-安全日志最大值（81MB）

-系統(tǒng)日志最大值（16MB)應(yīng)用程序日志最大值（512KB）

安全日志最大值（512KB）

系統(tǒng)日志最大值（512KB)安全日志最大占用空間不足緊急程度:一般問題說明：安全日志最大占用空間配置參數(shù)值過低風(fēng)險(xiǎn)：由于開啟了相關(guān)的系統(tǒng)審核，在安全日志里面會(huì)產(chǎn)生大量的審核記錄，而這些審核記錄對于中海油的審計(jì)工作來說又是至關(guān)重要的，所以安全日志空間過低，會(huì)導(dǎo)致審核記錄的不完整（較舊日期的數(shù)據(jù)會(huì)被覆蓋掉），造成對出現(xiàn)的安全事件（服務(wù)器被攻擊）缺乏足夠的分析判斷依據(jù)。建議：立即修改安全日志最大占用空間，配置參數(shù)請參閱推薦值。SQLServer狀態(tài)分析狀態(tài)分析從日志檢查、備份/恢復(fù)、安全性檢查、用戶管理、資源保護(hù)和數(shù)據(jù)加密六個(gè)方面分析結(jié)果，并設(shè)定緊急狀態(tài)和一般問題，文檔將詳細(xì)列出服務(wù)器的實(shí)際配置與推薦配置存在的差異。說明：下表中的紅色字體項(xiàng)目，說明實(shí)際值和推薦值不符，需要進(jìn)行參數(shù)調(diào)整。日志檢查日志檢查各服務(wù)器在以下幾個(gè)指標(biāo)存在不符合項(xiàng)：系統(tǒng)值/參數(shù)推薦配置操作步驟當(dāng)前配置結(jié)果Windows應(yīng)用程序日志文件保留期60天Windows應(yīng)用日志屬性，查看保留期限無設(shè)置Windows應(yīng)用程序日志文件保留期未設(shè)置緊急程度:一般問題說明：Windows應(yīng)用日志屬性，查看保留期限風(fēng)險(xiǎn)：未設(shè)保留期，可能日志過小或過大，導(dǎo)致日志文件信息不全面或不可用。建議：設(shè)置保留期為60天，配置參數(shù)請參閱推薦值。備份/恢復(fù)備份/恢復(fù)各服務(wù)器在以下幾個(gè)指標(biāo)存在不符合項(xiàng)：系統(tǒng)值/參數(shù)推薦配置操作步驟當(dāng)前配置結(jié)果備份數(shù)據(jù)文件存放備份文件與SQL數(shù)據(jù)文件不能在同一臺(tái)機(jī)器的同一個(gè)物理磁盤上檢查備份計(jì)劃的輸出路徑或咨詢DBASQL數(shù)據(jù)文件與備份文件放在同一盤符；備份文件和數(shù)據(jù)文件存放于同一盤符緊急程度:緊急狀態(tài)說明：檢查備份計(jì)劃的輸出路徑或咨詢DBA風(fēng)險(xiǎn)：備份文件和數(shù)據(jù)文件存放在同一盤符，若該盤符不可用，導(dǎo)致所有數(shù)據(jù)文件均丟失。建議：備份文件和數(shù)據(jù)文件應(yīng)存放在不同盤符，配置參數(shù)請參閱推薦值。安全性檢查安全性檢查各服務(wù)器在以下幾個(gè)指標(biāo)存在不符合項(xiàng)：系統(tǒng)值/參數(shù)推薦配置操作步驟當(dāng)前配置結(jié)果用戶ID安全使用用戶組或數(shù)據(jù)庫角色來應(yīng)用權(quán)限，而不是單個(gè)用戶ID類似Windows中賬戶加入組，通過組進(jìn)行管理(無)無"任務(wù)"（job）以"sa"帳號運(yùn)行不允許，使用其他賬戶運(yùn)行SQL實(shí)例-管理-SQLAgent-作業(yè),打開作業(yè)查看執(zhí)行賬戶是否為SA存在sa賬戶運(yùn)行任務(wù)（job）未使用用戶組管理數(shù)據(jù)庫賬戶緊急程度:一般問題說明：類似Windows中賬戶加入組，通過組進(jìn)行管理風(fēng)險(xiǎn)：通過單個(gè)用戶ID來管理數(shù)據(jù)庫賬戶，將給系統(tǒng)帶來管理混亂的風(fēng)險(xiǎn)。建議：使用用戶組或數(shù)據(jù)庫角色來管理數(shù)據(jù)庫賬戶，配置參數(shù)請參閱推薦值。"任務(wù)"（job）以"sa"帳號運(yùn)行緊急程度:一般問題說明：SQL實(shí)例-管理-SQLAgent-作業(yè),打開作業(yè)查看執(zhí)行賬戶是否為SA風(fēng)險(xiǎn)：若以sa賬號來運(yùn)行job，將給系統(tǒng)帶來被攻擊的風(fēng)險(xiǎn)。建議：改用其他賬戶來運(yùn)行job，配置參數(shù)請參閱推薦值。用戶管理用戶管理各服務(wù)器在以下幾個(gè)指標(biāo)存在不符合項(xiàng)：系統(tǒng)值/參數(shù)推薦配置操作步驟當(dāng)前配置結(jié)果BUILTIN/administrators刪除SQL實(shí)例-安全性-登陸，查看是否存在存在SQLDebugger(安裝SQL2000SP3過程中創(chuàng)建的賬戶)刪除Windows賬戶存在存在BUILTIN/administrators賬戶緊急程度:緊急狀態(tài)說明：SQL實(shí)例-安全性-登陸，查看是否存在風(fēng)險(xiǎn)：如果存在BUILTIN/ADMINISTRATORS，將給系統(tǒng)帶來被攻擊的風(fēng)險(xiǎn)。建議：刪除BUILTIN/ADMINISTRATORS，配置參數(shù)請參閱推薦值。存在SQLDebugger賬戶緊急程度:一般問題說明：安裝SQL2000SP3過程中創(chuàng)建的賬戶風(fēng)險(xiǎn)：如果存在SQLDebugger賬號，將給系統(tǒng)帶來被攻擊的風(fēng)險(xiǎn)。建議：刪除SQLDebugger賬號，配置參數(shù)請參閱推薦值。資源保護(hù)資源保護(hù)各服務(wù)器在以下幾個(gè)指標(biāo)存在不符合項(xiàng):系統(tǒng)值/參數(shù)推薦配置操作步驟當(dāng)前配置結(jié)果SQL登錄的默認(rèn)數(shù)據(jù)庫設(shè)置Master數(shù)據(jù)庫不應(yīng)該作為默認(rèn)的登錄數(shù)據(jù)庫SQL實(shí)例-安全性-登陸，打開用戶屬性查看默認(rèn)DBMaster為默認(rèn)登錄數(shù)據(jù)庫SQL登錄的默認(rèn)數(shù)據(jù)庫設(shè)置為ma