PDF《致远协同管理软件》

? 通过终端服务拒绝登陆:加入 Guests、Users 组;

? 通过终端服务允许登陆:只加入 Administrators 组其他全部删除;

? 安全设置-本地策略-审核策略,在创建审核项目时,需要注意的是如果审核的项目太多,生 成的事件也就越多, 那么要想发现严重的事件也越难, 当然如果审核的太少也会影响你发现 严重的事件,你需要根据情况在这二者之间做出选择.推荐的要审核的项目是: ? 登录事件 成功 失败 ? 账户登录事件 成功 失败 ? 系统事件 成功 失败 ? 策略更改 成功 失败 ? 对象访问 失败 ? 目录服务访问 失败 ? 特权使用 失败 1.6 网络服务安全管理 ? 禁止 C$、D$、ADMIN$一类的缺省共享 打开注册表,进入: 在右边的窗口中新建 Dword 值,名称设为 AutoShareServer 值设为

0 ? 解除 NetBios 与TCP/IP 协议的绑定 ? 在 "网络连接" 里, 把不需要的协议和服务都删掉, 建议只安装基本的 Internet 协议 (TCP/IP) , 若要控制带宽流量服务,则需安装 Qos 数据包计划程序. ? 在高级 TCP/IP 设置--"NetBIOS"设置"禁用 TCP/IP 上的 NetBIOS(S) " . 具体做法是右 击网上邻居-属性-右击本地连接-属性-双击 Internet 协议-高级-Wins-禁用 TCP/IP 上的 NETBIOS. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters 中国协同软件行业连续

13 年市场占有率第一 北京致远互联软件股份有限公司

6 /

8 www.seeyon.com ? 在本地连接属性的"高级"选项里,使用"Windows 防火墙" . 1.7 其他 ? 系统维护: 安装防火墙、防病毒木马等必要软件 ? 端口记录 运行服务器,记录当前的程序和开放的端口,将当前服务器的进程截图或记录下来,将 其保存,方便以后对照查看是否有不明的程序. ? 启用 Windows 防火墙,只开放 web 服务(80 端口). 注:在2003 系统里,不推荐用 TCP/IP 筛选里的端口过滤功能,譬如在使用 FTP 服务器的时候, 如果仅仅只开放

21 端口, 在进行 FTP 传输的时候, 由于 FTP 特有的 Port 模式和 Passive 模式, 在进行数据传输的时候,需要动态的打开高端口,所以在使用 TCP/IP 过滤的情况下,经常会出 现连接上后无法列出目录和数据传输的问题.在2003 系统上增加的 Windows 连接防火墙能很好 的解决这个问题,不推荐使用网卡的 TCP/IP 过滤功能. 中国协同软件行业连续

13 年市场占有率第一 北京致远互联软件股份有限公司

7 /

8 www.seeyon.com

2 服务端安全 2.1 数据库安全 对于使用的相关数据库,建议如下: MySQL:建议使用 MySQL 5.5.*系列最新版本;

Oracle:建议更新最新官方补丁包;

SQLServer:建议更新最新官方补丁包. 2.2 中间件安全 对于使用的相关中间件,建议如下: WAS:建议更新同一大版本下的最新官方补丁包;

Weblogic:建议更新同一大版本下的最新官方补丁包. 2.3 Apache 安全 使用 Apache 服务的,需要注意禁用 jk 控制台,降低相关安全风险. 2.4 操作系统安全 对于使用的相关操作系统,建议如下: Windows 操作系统请参考"Windows 系统安全"章节;

Linux:建议更新最新官方补丁包;

Unix:建议更新最新官方补丁包. 2.5 启用 HTTPS 无特殊情况,建议开启 HTTPS 以保障客户端与服务器端交互的数据传输安全. 2.6 数据信息安全 需要注意全文检索索引数据、Office 转换数据、系统上传数据和数据库文件的存储安全,包括 相关硬件和操作系统的安全防护, 规范接触这些敏感数据的行为等, 避免不必要的信息丢失和泄 露. 中国协同软件行业连续