服务器安全方案

服务器安全方案内容摘要：

1 ICN 区域 关键设备组二 SHDC_ICN_SW_02 内联接入区 域汇聚交换机 2 ICN 区域 关键设备组二 SHDC_ICN_RT_01 远程数据中心接入区域 ASR 路由器 1 ICN 区域 关键设备组二 SHDC_ICN_RT_02 远程数据中心接入区域 ASR 路由器 2 ICN 区域 关键设备组二 SHDC_ICN_RT_03 系统远程管理通道区域路由器 1 ICN 区域 关键设备组二 SHDC_ICN_RT_04 CCPC 子区域路由器 1 ICN 区域 关键设备组二 SHDC_ICN_RT_05 CCPC 子区域路由器 2 ICN 区域 图表 40 ACS 设备组分类表 命令组 对网络设备进行管理的命令级别分为三个组，分别为： level1level level5。  level15 的命令集只分配给超级用户，具有对所有网络设备登录和配置任何命令的权限。  level10 级别对应的管理权限需要能使用大部分配置命令、查看系统配置参数、网络运行状态、进行网络故障诊断，但不能使用涉及 AAA 安全参数的命令，对单台网络设备的参数配置应不能影响网络的全局数据路由通讯。 该权限分配的设想是在 level15 的用户权限中，除去以下 的配置模式权限： aaa Authentication, Authorization and Accounting enable Modify enable password parameters line Configure a terminal line radiusserver Modify RADIUS query parameters router Enable a routing process tacacsserver Modify TACACS query parameters  在网络核心设备组上，另外设置 level5 的用户，其管理权限的分配是在level1 用户权限的基础上，增加进行日常网络运行维护所需要的基本权限： configure terminal 进入全局配置模式，才能进入需要的子配置模式；需要在全局配置模式下的一些常用配置命令，如“ ip route”等 controller Controller configuration mode exec Exec mode(能查看系统配置参数、 进行网络故障诊断等，对应于level15 的 exec 命令集，但除去所有的 debug 命令 ) interface Interface configuration mode interfacedlci Frame Relay dlci configuration mode 相关的网管用户，命令级别和设备组的排列见下表： 用户类型 关键设备组一 关键设备组二 超级用户 Level 15 Level 15 用户组 1 Level 5 Level 10 用户组 2 deny Level 5 图表 41 ACS 用户等级分配表 应急步骤 在 console口通过静态口令和密码来进行登录，如果无法使用 ACS方式登录到网络设备，则在紧急情况下，可以通过进入机房，登录 Console 口，使用静态口令和密码进行配置 ,在路由器界面下需要做额外的配置。 测试  使用动态口令测试登陆网络设备是否成功  使用不同权限用户登陆网络查看命令权限  ACS 服务器故障时，使用本地口令登陆网络设备 数据库备份与恢复 数据库备份 对于 ACS 的数据库（ server database）和日志数据库（ log database）的备份，可以设置认证服务器定时按照所选方式将日志数据库保存到归档的文件中。 对 ACS 服务器中的用户、用户组及系统相关配置进行备份，备份的目录更改为 D 盘下，这样保证即使损伤系统崩溃，数据资料不受影响。 数据库恢复 管理员可手工操作 ACS Server 从指定的目录的备份文件恢复用户配置、用户组配置及系统相关配置，实现 ACS 的数据库恢复。 在 console口通过静态口令和密码来进行登录，如果无法使用 ACS方式登录到网络设备， 则在紧急情况下，可以通过进入机房，登录 Console 口，使用静态口令和密码进行配置 ,在路由器界面下需要做额外的配置。 操作系统安全加固 （ 红色代表可以实施， 蓝色代表了解后再 讨论确定 ） 操作系统加固 编号 机器名 内部 IP 地址 域名服务器 IP 操作系统 Windows 2020 Server 网关 IP CPU 内存 检查日期 检查人 编号 检查内容 检查结果 加固建议 补丁安装情况 1 操作系统是否已经安装相关的补丁 是 无 2 操作系统是否已经安装了全部 的HOTFIX 是 无 3 应用程序是否及时进行补丁的更新，包括 Office 和 IE 等 是 无 账户策略 4 密码是否符合复杂性要求 否 开启密码复杂性要求 5 密码长度是否符合要求 否 启用密码最小长度，最小 8 位 6 是否设置了密码最长使用期限 否 启用密码最长使用期限（不小于30 天） 7 是否设置了帐户锁定阀值 否 开启帐户锁定，一般 5 次 8 是否设定了帐户锁定时间 否 启用帐户锁定时间 9 是否设置了复位帐户锁定计数器 否 启用帐户锁定复位时间 10 是否将审核策略更改为 成功和失败 否 审核策略更改的成功和失败事件 11 是否将审核登录事件更改为 成功和失败 否 审核对登录事件的成功和失败事件 12 是否将审核对象访问设置为 失 败 否 审核对象访问的失败事件 安全 设置 13 当登录时间用完时自动注销用户 （启用） 是 无 14 在挂起会话之前所需的空闲时间 （小于等于 30 分钟） 是 无 15 发送未加密的密码到第三方 SMB 服务器 :（禁用） 是 无 16 允许对所有驱动器和文件夹进行软盘复制和访问 （禁用） 是 无 17 故障恢复控制台 :允许自动系统管理级登录 （禁用） 是 无 18 清除虚拟内存页面文件 （启用） 否 建议启用清除虚拟内存页面文件 该项影响 ：系统在关机时会清除虚拟内存页面文件 19 允许系统在未登录前关机 （禁用） 是 无 20 交互式登录：不显示上次的用户名（启用） 否 建议在登录时不显示上次的用户名 注册表安全 21 抑制 Dr. Watson Crash Dump: HKLM\Software\Microsoft\DrWatson\ CreateCrashDump (REG_DWORD) 0 否 建议设置 CreateCrashDump 键值为 0 该项影响 ：系统崩 溃时不会生成Dump 文件 22 禁止在任何驱动器上自动运行任何程序： HKLM\Software\ Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun (REG_DWORD) 255 否 建议创建并设置NoDriveTypeAutoRun 键值为 255 该项影响 ：在驱动器上无法自动运行任何程序 23 用星号掩藏任何的口令输入：HKLM\Software\Microsoft\ Windows\CurrentVersion\Policies\Network\HideSharePwds (REG_DWORD) 1 否 建议创建并设置 HideSharePwds键值为 1 24 禁止自动执行系统调试器： HKLM\Software\ Microsoft\ Windows NT\CurrentVersion\ AeDebug\Auto (REG_DWORD) 0 否 建议创建并设置 AeDebug\Auto键值为 0 该项影响 ：无系统调试功能 25 禁止自动登录：。