# 网络设备
- 及时检查系统版本号
- 敏感服务设置访问 IP/MAC 白名单
- 开启权限分级控制
- 关闭不必要的服务
- 打开操作日志
- 配置异常告警
- 关闭 ICMP 回应
# 操作系统
# Linux
-
无用用户 / 用户组检查
-
空口令帐号检查
-
用户密码策略
- /etc/login.defs
- /etc/pam.d/system-auth
-
敏感文件权限配置
- /etc/passwd
- /etc/shadow
- ~/.ssh/
- /var/log/messages
- /var/log/secure
- /var/log/maillog
- /var/log/cron
- /var/log/spooler
- /var/log/boot.log
-
日志是否打开
-
及时安装补丁
-
开机自启
- /etc/init.d
-
检查系统时钟
# Windows
-
异常进程监控
-
异常启动项监控
-
异常服务监控
-
配置系统日志
-
用户账户
- 设置口令有效期
- 设置口令强度限制
- 设置口令重试次数
-
安装 EMET
-
启用 PowerShell 日志
-
限制以下敏感文件的下载和执行
- ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh, exe, pif
-
限制会调起 wscript 的后缀
- bat, js, jse, vbe, vbs, wsf, wsh
-
域
- 限制将计算机加入域的权限域账户使用最小权限原则减少非必要高权限账户的数量
# 应用
# FTP
- 禁止匿名登录
- 修改 Banner
# SSH
- 是否禁用 ROOT 登录
- 是否禁用密码连接
# MySQL
- 文件写权限设置
- 用户授权表管理
- 日志是否启用
- 版本是否最新
# Web 中间件
# Apache
-
版本号隐藏
-
版本是否最新
-
禁用部分 HTTP 动词
-
关闭 Trace
-
禁止
server-status -
上传文件大小限制
-
目录权限设置
-
是否允许路由重写
-
是否允许列目录
-
日志配置
-
配置超时时间防 DoS
-
非属主用户文件读写限制
- httpd.conf
- access.log
- error.log
# Nginx
- 禁用部分 HTTP 动词
- 禁用目录遍历
- 检查重定向配置
- 配置超时时间防 DoS
# IIS
- 版本是否最新
- 日志配置
- 用户口令配置
- ASP.NET 功能配置
- 配置超时时间防 DoS
# JBoss
- jmx console 配置
- web console 配置
# Tomcat
- 禁用部分 HTTP 动词
- 禁止列目录
- 禁止 manager 功能
- 用户密码配置
- 用户权限配置
- 配置超时时间防 DoS
# 密码管理策略
- 长度不少于 8 个字符
- 不存在于已有字典之中
- 不使用基于知识的认证方式
# 参考链接
- awesome windows domain hardening
- customize attack surface reduction
