[企业管理]企业系统巡检报告巡检.doc

《[企业管理]企业系统巡检报告巡检.doc》由会员分享，可在线阅读，更多相关《[企业管理]企业系统巡检报告巡检.doc（42页珍藏版）》请在三一办公上搜索。

1、文档信息：文档名称 保密级别商密文档版本编号文档管理编号管理人制作人制作日期复审人复审日期扩散范围客户()版本纪录：版本编号*修改状态变更人变更日期*修改状态：C创建，A增加，M修改，D删除版权说明：本文档中出现的任何文字叙述、文档格式、插图、照片、方法、代码等内容，除由特别注明，版权均属于北方互联所有，受到有关产权及版权法保护。任何个人、机构未经北方互联的书面授权许可，不得以任何方式复制或引用本文档的任何片断。目录目录31.巡检目的82.巡检范围与工具82.1.巡检范围82.2.巡检使用工具与资源102.3.巡检时间103.巡检相关定义104.巡检参与人员105.巡检数据结果分析115.1.

2、WindowsServer巡检数据结果分析115.1.1.Windows Server系统整体运行状态115.1.2.Windows Server巡检指标合规状态125.2.Windows Server各分项指标运行情况125.2.1.系统账户125.2.2.系统审计策略135.2.3.本地安全策略135.2.4.系统服务设置145.2.5.系统拒绝服务攻击145.2.6.系统特定文件夹权限155.2.7.系统特定注册表设置155.2.8.系统防病毒165.2.9.系统补丁管理165.2.10.网络安全175.2.11.数据加密175.2.12.数据备份185.2.13.系统性能185.2.1

3、4.系统日志195.3.SQL Server总体运行情况195.3.1.SQL Server整体运行状态195.3.2.SQL Server巡检指标合规状态205.4.SQL Server各分项指标运行情况205.4.1.日志检查205.4.2.备份/恢复215.4.3.安全性检查215.4.4.安全性检查225.4.5.资源保护225.4.6.数据加密236.WINDOWS SERVER 状态分析246.1.系统管理分析246.1.1.系统账户246.1.1.1.账户锁定时间246.1.1.2.账户锁定閥值256.1.1.3.账户密码永不过期256.1.1.4.账户密码复杂度256.1.1.

4、5.账户最小密码长度256.1.1.6.账户密码最长使用周期266.1.1.7.强制密码历史266.1.1.8.账户密码管理266.1.2.审计策略276.1.2.1.没有配置审核策略更改事件276.1.2.2.审核登录事件配置不完整276.1.2.3.没有配置审核对象访问286.1.2.4.没有配置审核特权使用286.1.2.5.没有配置审核系统事件286.1.2.6.审核帐户登录事件配置不完整286.1.3.本地安全策略配置296.1.3.1.未配置关机：清除虚拟内存页面文件296.1.3.2.未配置交互式登录：不显示上次的用户名296.1.3.3.交互式登录：可被缓存的前次登录个数（在域

5、控制器不可用的情况下）306.1.3.4.帐户：重命名系统管理员账户306.1.4.系统服务设置306.1.5.系统拒绝服务攻击316.1.5.1.未配置系统拒绝服务攻击注册表值316.1.6.特定文件夹权限316.1.7.系统特定注册表设置316.1.7.1.未配置特定注册表设置326.2.系统安全管理分析326.2.1.系统防病毒326.2.1.1.未部署防病毒软件326.2.1.2.防病毒软件未更新326.2.2.系统补丁管理336.2.2.1.不具备补丁安装测试环境336.2.3.网络安全336.3.数据安全分析336.3.1.数据加密336.3.2.数据备份346.4.系统运维分析3

6、46.4.1.系统性能346.4.1.1.系统分区可用磁盘空间346.4.2.系统日志346.4.2.1.安全日志最大占用空间不足357.SQL SERVER 状态分析367.1.日志检查367.1.1.日志检查367.2.备份/恢复367.2.1.备份/恢复367.3.安全性检查367.3.1.安全性检查367.4.用户管理367.4.1.用户管理367.4.1.1.存在BUILTIN/administrators账户377.4.1.2.存在SQLDebugger账户377.4.1.3.存在GUEST账户377.5.资源保护377.5.1.资源保护377.6.数据加密377.6.1.数据加密

7、378.总结建议388.1.问题改进建议388.1.1.系统账号管理388.1.2.系统审计策略388.1.3.本地安全策略配置388.1.4.系统拒绝服务攻击388.1.5.系统补丁管理388.1.6.系统日志管理388.1.7.SQL用户管理398.1.8.部分服务器得分较低、问题突出391. 巡检目的本次系统巡检的目的是对中海油的29台Windows服务器及SQL数据库服务器的安全性和可靠性进行一个全面的了解，发现潜在的风险，并提供推荐的解决办法，同时为我们的系统运维管理工作提供技术参考依据。2. 巡检范围与工具2.1. 巡检范围系统巡检的范围依据：系统安全性、可靠性两条主线来展开，进行

8、深入分析。l 巡检的内容，定义如下：系统类型检查类型检查主项子项Windows Server系统管理系统账户n/a安全策略审计策略本地安全策略设置系统服务设置系统拒绝服务攻击资源访问控制系统特定文件夹权限系统特定注册表设置系统安全系统防病毒n/a系统补丁n/a网络安全n/a数据安全数据加密n/a数据备份n/a系统运维系统性能n/a系统日志n/aSQL Server系统管理用户管理n/a备份/恢复n/a系统安全安全性检查n/a资源保护n/a数据安全数据加密n/a系统运维系统日志n/a系统性能n/al 巡检范围定义如下：业务系统名称包括的windows服务器IP巡检内容B2B接口应用系统10.68

9、.48.219WindowsMAXIMO-SAP接口应用服务器10.63.0.40 WindowsSAP报表发布系统10.68.48.11WindowsWBCR内控管理系统10.68.48.120Windows10.68.48.121Windows10.68.48.122Windows10.68.48.123Windows发展规划部文件服务器10.68.48.12Windows海外业务管理平台系统10.68.110.220Windows10.68.110.219Windows10.68.48.13Windows、SQL开发生产数据库系统10.68.110.228Windows10.68.42.

10、202Windows10.68.42.208Windows、SQL内审作业服务器10.68.48.16Windows全面预算系统10.68.110.203Windows10.68.110.204Windows、SQL生产操作费系统10.68.110.216Windows生产工艺技术交流平台10.68.42.204Windows、SQL10.68.42.209Windows油气储量库10.68.40.37Windows、SQL资金系统10.57.251.31Windows10.57.251.33Windows10.57.251.35Windows10.57.251.37Windows10.68.

11、203.1Windows总部报表系统10.68.42.203Windows钻完井DP10.68.48.5Windows钻完井GIS10.68.48.6Windows2.2. 巡检使用工具与资源由于本次是手工检查，一些性能指标、安全性设置（如口令检测）无法执行。工具与形式l 手工检查所需资源l 运维工作报告及报表l 临时帐号与权限2.3. 巡检时间3. 巡检相关定义我们按照问题的紧急程度和范围将所发现的问题排列如下：n 紧急状态 可能影响稳定性，安全性或者对系统的性能产生严重影响的问题。应该在巡检后立即进行处理。n 一般问题 问题还需要进一步关注，并不一定会立即对系统造成损害。运维人员应该经常检

12、查这些问题，在必要时采取措施。4. 巡检参与人员本次巡检参与人员如下：5. 巡检数据结果分析此次巡检数据的结果分析采用5分制评分标准，全部满足标准配置为5分，每台服务器在每个巡检项里的得分=符合指标数/全部指标数*5。经过对巡检数据的分析，29台Windows Server服务器和5台SQL Server服务器整体状态如下：1.2.3.4.5.5.1. WINDOWSSERVER巡检数据结果分析5.1.1. WINDOWS SERVER系统整体运行状态从巡检的数据上看，所有系统总体运行状态良好，安全设置都符合标准，部分服务器在系统的策略配置中有不符合标准情况的现象，总体运行状态如下图所示：总体

13、运行状态中，除了B2B接口应用系统、SAP报表发布系统、资金系统得分低于4分外，其余系统都比较正常。扣分主要原因是系统账号和安全策略等方面不符合指标项较多。5.1.2. WINDOWS SERVER巡检指标合规状态从巡检指标的合规状态来看，整体上情况良好，但在系统账号、审计策略、本地安全策略、系统拒绝服务攻击、系统补丁管理和系统日志六个方面得分较低。5.2. WINDOWS SERVER各分项指标运行情况5.2.1. 系统账户大多数服务器在系统账号管理的各项巡检指标都无法满足安全性要求，帐户锁定阈值、锁定时间、密码过期时间、甚至有些服务器在密码复杂度和最小密码长度上，都不符合推荐配置。而所有服

14、务器都没有相应的制度和文档来记录对账号和密码的变更。需引起足够的重视。5.2.2. 系统审计策略从图中可以看到目前服务器中审计策略做的比较薄弱，建议按推荐配置进行配置，以备审计之用。5.2.3. 本地安全策略大部分服务器以下四个指标的设置都不符合安全性要求：“关机：清除虚拟内存页面文件”、“交互式登录：不显示上次的用户名”、“交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况下）”、“帐户：重命名系统管理员账户”。5.2.4. 系统服务设置此配置选项所有服务器都符合配置。5.2.5. 系统拒绝服务攻击所有服务器都没有设置注册表项HKLMSYSTEMCurrentControlSetSe

15、rvicesTcpipPAameters SynAttackProtect，Value: 1。5.2.6. 系统特定文件夹权限所有服务器数据安全设置均符合标准。5.2.7. 系统特定注册表设置除B2B接口应用服务器的“系统特定注册表设置”没有设置外，其余均按要求设置。5.2.8. 系统防病毒SAP报表发布系统未按公司要求部署杀毒软件，资金系统虽然部署了杀毒软件，但病毒库并没有升级到最新，需引起足够的重视。5.2.9. 系统补丁管理所有服务器均没有补丁安装测试环境，需要建立此环境。5.2.10. 网络安全所有服务器数据安全设置均符合标准。5.2.11. 数据加密所有服务器数据安全设置均符合标准。

16、5.2.12. 数据备份所有服务器数据安全设置均符合标准。5.2.13. 系统性能生产操作费系统的系统分区可用磁盘空间110MB/29.2G。5.2.14. 系统日志和审计策略相对应，所有服务器的安全日志存储最大值都不符合标准得81m，而个别服务器的日志存储只设置为默认的512k。5.3. SQL SERVER总体运行情况5.3.1. SQL SERVER整体运行状态5台SQL server数据看服务器整体运行情况还不错，但也存在相当多的不合规项。5.3.2. SQL SERVER巡检指标合规状态SQL Server巡检六项指标中，只有数据加密一项完全符合标准配置，其他五项指标都存在问题。5.

17、4. SQL SERVER各分项指标运行情况5.4.1. 日志检查SQL Server日志检查各项指标中，Windows 应用程序日志文件的保留期限项不合规。所有系统的日志文件保留期限均没有进行设置。5.4.2. 备份/恢复SQL Server备份、恢复各项指标中备份数据文件的存放不合规指标。备份文件和SQL数据文件应放在不同盘符中，保证数据的安全。其中开发生产数据库、全面预算系统、生产工艺技术交流平台、油气储量库系统的备份文件和数据文件都放在同一盘符里。5.4.3. 安全性检查SQL Server安全性检查各项指标中用户ID安全项没有满足指标。所有系统的sql账户均未进行分组管理。另外油气储

18、量库存在任务以sa 帐号运行。5.4.4. 安全性检查SQL Server用户管理检查各项指标总共有5项，其中有两项指标不合规，分别是BUILTIN/administrators和SQLDebugger账户应该删除处理。但所检查的sql server中均存在BUILTIN/administrators和SQLDebugger账户。5.4.5. 资源保护SQL Server资源保护各项指标只有一项，即系统登录名的默认数据库不应为master。但所检查系统的登录名默认数据库全为master。5.4.6. 数据加密SQL Server数据加密各项指标正常。5.4.7. 系统性能SQL Server系

19、统性能共三项指标，其中操作系统、数据库文件、日志文件、临时库文件的存放位置不满足要求的。现有数据库数据库文件和日志文件均放在同一盘符，对数据的读取速度有所影响。1.2.3.4.5.5.1.6. WINDOWS SERVER 状态分析状态分析从系统管理、系统安全、数据安全、系统运维四个方面分析结果，并设定紧急状态和一般问题，文档将详细列出服务器的实际配置与推荐配置存在的差异。说明：下表中的红色字体项目，说明实际值和推荐值不符，需要进行参数调整。6.1. 系统管理分析6.1.1. 系统账户l 大多数服务器以下指标项不符合推荐值，如下：序号检查项推荐值实际值1帐户锁定时间0分钟，帐户被锁定，直到管理

20、员进行解锁15分钟2账户锁定閥值5次无效登录103账户密码永不过期设置密码有效期是4账户密码复杂度密码复杂度：- 大写字母、小写字母、数字和特殊字符四者中三者的组合- 不能包含用户名海油：至少包含一个数字和一个字母未启用5账户最小密码长度8 个字符海油：不应小于6位06账户密码最长使用周期90天0，未启用7账户强制密码历史4 个记住的密码248账户密码管理变更有详细的文档保留无6.1.1.1. 账户锁定时间 紧急程度: 紧急 说明：服务器没有设置帐户锁定时间 风险：如果没有对账户锁定时间进行设置，非法用户在过了设定时间后，可能会通过自动登录工具和密码猜解字典的方式破解用户密码。 建议：立即启用

21、账户锁定策略，配置参数请参阅推荐值。6.1.1.2. 账户锁定閥值 紧急程度: 紧急 说明：服务器没有设置帐户锁定策略 风险：如果没有设置锁定閥值，非法用户可能会通过自动登录工具和密码猜解字典的方式破解用户密码，启用了账户锁定閥值后，如果连续出现多次无效登录，该账户将被自动锁定，这样可有效地阻断非法用户对密码的破解尝试。 建议：立即启用账户锁定閥值，配置参数请参阅推荐值。6.1.1.3. 账户密码永不过期 紧急程度: 紧急 说明：服务器没有设置帐户密码有效期 风险：如果没有设置密码有效期，非法用户可能会通过自动登录工具和密码猜解字典的方式破解用户密码，启用了账户密码有效期后，定期对账号密码进行

22、更改，可有效地阻断非法用户对密码的破解尝试。 建议：立即启用账户密码有效期，配置参数请参阅推荐值。6.1.1.4. 账户密码复杂度 紧急程度: 紧急 说明：服务器没有设置帐户密码复杂度 风险：如果没有设置密码复杂度，非法用户可能会通过自动登录工具和密码猜解字典的方式破解用户密码，启用了账户密码复杂度后，可有效地阻断非法用户对密码的破解尝试。 建议：立即启用账户密码复杂度，配置参数请参阅推荐值。6.1.1.5. 账户最小密码长度 紧急程度: 紧急 说明：服务器没有设置账户最小密码长度 风险：如果没有设置最小密码长度，非法用户可能会通过自动登录工具和密码猜解字典的方式破解用户密码，启用了账户最小密

23、码长度后，可有效地阻断非法用户对密码的破解尝试。 建议：立即启用账户密码最小密码长度，配置参数请参阅推荐值。6.1.1.6. 账户密码最长使用周期 紧急程度: 紧急 说明：服务器没有设置账户密码最长使用周期 风险：如果没有设置账户密码最长使用周期，非法用户可能会通过自动登录工具和密码猜解字典的方式破解用户密码，启用了账户密码最长使用周期后，可有效地阻断非法用户对密码的破解尝试。 建议：立即启用账户密码最小密码长度，配置参数请参阅推荐值。6.1.1.7. 强制密码历史 紧急程度: 紧急 说明：服务器没有设置强制密码历史策略 风险：密码重用对于任何组织来说都是需要考虑的重要问题。许多用户都希望在很

24、长时间以后使用或重用相同的帐户密码。特定帐户使用相同密码的时间越长，攻击者能够通过暴力攻击确定密码的机会就越大。如果要求用户更改其密码，但却无法阻止他们使用旧密码，或允许他们持续重用少数几个密码，则会大大降低密码策略的有效性。 建议：立即启用强制密码历史策略，配置参数请参阅推荐值。6.1.1.8. 账户密码管理 紧急程度: 一般问题 说明：没有对服务器各种账号和密码进行管理 风险：没有设立相关文档和管理制度，对服务器各种账号和密码的变更进行记录和追踪，便不能有效的对账号和密码的使用情况进行审计，有使账号和密码的管理失控的危险。 建议：立即建立相关账号和密码的管理规定和详细的管理文档进行追踪。6

25、.1.2. 审计策略l 系统审计策略出现的问题比较多，大部分服务器的审计策略未做任何配置或少量配置：系统值/参数推荐配置允许配置当前配置结果帐户登录事件成功&失败成功&失败成功账户管理成功&失败成功&失败无审核目录服务访问失败失败无审核登录事件成功&失败成功&失败成功对象访问失败失败无审核策略变更成功&失败成功&失败无审核特权使用成功&失败成功&失败无审核过程追踪不需要设置不需要设置无审核系统事件失败失败无审核6.1.2.1. 没有配置审核策略更改事件 紧急程度: 一般问题 说明：没有配置审核策略更改事件 风险：如果配置了“审核策略更改”设置，则可指定是否审核成功、审核失败或根本不审核此事件类

26、型。成功审核会在对用户权限分配策略、审核策略或信任策略的更改成功时生成一个审核项。此审核信息对于记账十分有用，并可帮助确定谁在域中或单台计算机上成功修改了策略。失败审核会在对用户权限分配策略、审核策略或信任策略的更改失败时生成一个审核项。 建议：立即启用审核策略更改，配置参数请参阅推荐值。6.1.2.2. 审核登录事件配置不完整 紧急程度: 一般问题 说明：没有配置审核登录事件的失败审核 风险：如果配置了“审核登录事件”设置，则可指定是否审核成功、审核失败或根本不审核此事件类型。成功审核会在登录尝试成功时生成一个审核项。该审核项的信息对于记帐以及事件发生后的辩论十分有用，可用来确定哪个人成功登

27、录到哪台计算机。失败审核会在登录尝试失败时生成一个审核项，该审核项对于入侵检测十分有用。但是，此配置还会创建一个潜在DoS条件，因为攻击者可能会生成数百万个登录失败项，填满安全事件日志，并导致强制关闭服务器。 建议：立即完善审核登录事件配置，配置参数请参阅推荐值。6.1.2.3. 没有配置审核对象访问 紧急程度: 一般问题 说明：没有配置审核登录事件的失败审核 风险：如果配置了“审核对象访问”设置，则可指定是否审核成功、审核失败或根本不审核此事件类型。成功审核会在用户成功访问具有 SACL 的对象时生成一个审核项。失败审核会在用户尝试访问具有 SACL 的对象失败时生成一个审核项。 建议：立即

28、配置审核对象访问，配置参数请参阅推荐值。6.1.2.4. 没有配置审核特权使用 紧急程度: 一般问题 说明：没有配置审核特权使用 风险：如果配置了“审核特权使用”设置，则可指定是否审核成功、审核失败或根本不审核此事件类型。成功审核会在成功行使用户权限时生成一个审核项。失败审核会在行使用户权限失败时生成一个审核项。失败审核会在行使用户权限失败时生成一个审核项。如果启用此策略设置，生成的事件数量可能会非常多，并且事件将难以排序。只有在已经计划好如何使用所生成的信息时，才应启用此设置。 建议：立即配置审核特权使用，配置参数请参阅推荐值。6.1.2.5. 没有配置审核系统事件 紧急程度: 一般问题 说

29、明：没有配置审核系统事件 风险：如果配置了“审核系统事件”设置，则可指定是否审核成功、审核失败或根本不审核此事件类型。成功审核在事件执行成功时生成一个审核项。失败审核在事件失败时生成一个审核项。由于在为系统事件同时启用失败审核和成功审核时几乎不会记录附加事件，并且由于所有这类事件都非常重要，因此应在计算机上将此策略设置配置为“已启用”。 建议：立即配置审核系统事件，配置参数请参阅推荐值。6.1.2.6. 审核帐户登录事件配置不完整 紧急程度: 一般问题 说明：审核帐户登录事件配置不完整 风险：此策略设置确定是否审核用户在不同计算机（非记录事件和验证帐户的计算机）上登录或注销的每个实例，该审核项

30、的信息对于记帐以及事件发生后的辩论十分有用，可用来确定哪个人成功登录到哪台计算机。失败审核会在帐户登录尝试失败时生成一个审核项，该审核项对于入侵检测十分有用。 建议：立即配置审核帐户登录事件，配置参数请参阅推荐值。6.1.3. 本地安全策略配置l 所以服务器中除了SAP报表发布服务器符合标准配置外，其余所有服务器的以下指标选项不符合标准配置：序号检查项推荐值实际值1关机：清除虚拟内存页面文件已启用已禁用2交互式登录：不显示上次的用户名已启用已禁用3交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况下）0104帐户：重命名系统管理员账户除了Administrator 的其它名字Admin

31、istrator6.1.3.1. 未配置关机：清除虚拟内存页面文件 紧急程度:一般问题 说明：该安全设置决定在关闭系统时是否清除虚拟内存页面文件 风险：虚拟内存支持使用系统页面文件，将不使用的内存页交还给磁盘。在运行的系统上，该页面文件由操作系统以独占方式打开，并得到很好的保护。不过，配置后允许启动到其他操作系统的系统可能要确保在本系统关闭时已完全清除系统页面文件。通过这种方法，可确保那些能直接访问页面文件的非授权用户，无法得到纳入该页面文件中的进程内存所含敏感信息。 建议：立即配置关机：清除虚拟内存页面文件策略，配置参数请参阅推荐值。6.1.3.2. 未配置交互式登录：不显示上次的用户名 紧

32、急程度:一般问题 说明：该安全设置确定是否将最近一次登录到计算机的用户名显示在 Windows 登录屏幕中 风险：如果启用该策略，则最近一次成功登录的用户的名称将不显示在“登录到 Windows”对话框中。如果禁用该策略，则会显示最近一次登录的用户的名称，存在用户被攻击的风险。 建议：立即配置交互式登录：不显示上次的用户名策略，配置参数请参阅推荐值。6.1.3.3. 交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况下） 紧急程度:一般问题 说明：此策略设置确定用户是否可使用缓存的帐户信息登录到 Windows 域。此策略设置确定其登录信息在本地缓存的唯一用户的个数。如果将此设置配置为

33、 0，则将禁用登录缓存。 风险：域帐户的登录信息可在本地缓存，以便若在后续登录中无法联系到域控制器，用户仍能登录。如果允许此功能，可能允许用户在其帐户被禁用或删除之后，或者工作站无法联系到域控制器时进行登录。 建议：立即配置“交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况下）”策略，配置参数请参阅推荐值。6.1.3.4. 帐户：重命名系统管理员账户 紧急程度:一般问题 说明：此策略设置是否将系统管理员默认账号administrator改名 风险：如果不更改默认系统管理员账号administrator，将有管理员账号密码被恶意破解的风险，可能会通过自动登录工具和密码猜解字典的方式破解

34、用户密码。 建议：立即更改administrator账号名并做好记录。6.1.4. 系统服务设置l 所有服务器在此项巡检的各指标项的配置都符合允许配置值。6.1.5. 系统拒绝服务攻击l 所有服务器在此项巡检的各指标项的配置中，以下都不符合允许配置值。序号检查项推荐值实际值1HKLMSYSTEM CurrentControlSetServices TcpipPAameters(registry subkey）Name: SynAttackProtectType: REG_DWORDValue: 1无6.1.5.1. 未配置系统拒绝服务攻击注册表值 紧急程度: 一般问题 说明：该安全设置确定是否

35、在注册表中设定相关键值是否防止系统拒绝服务攻击。 风险：如果没有设置该策略，将有可能受到系统拒绝服务攻击。 建议：立即配置特定注册表设置策略，配置参数请参阅推荐值。6.1.6. 特定文件夹权限l 所有服务器在此项巡检的各指标项的配置都符合允许配置值。6.1.7. 系统特定注册表设置l 除B2B接口应用服务器不符合此标准外，其他服务器都符合允许配置值：系统特定注册表设置推荐配置允许配置当前配置HKLMSYSTEM CurrentControlSetServices EventlogApplicationName: RestrictGuestAccessType: REG_DWORDValue:

36、1Name: RestrictGuestAccessType: REG_DWORDValue: 1无HKLMSYSTEM CurrentControlSetServices EventlogSecurityName: RestrictGuestAccessType: REG_DWORDValue: 1Name: RestrictGuestAccessType: REG_DWORDValue: 1无HKLMSYSTEM CurrentControlSetServices EventlogSystemName: RestrictGuestAccessType: REG_DWORDValue: 1N

37、ame: RestrictGuestAccessType: REG_DWORDValue: 1无HKLMSYSTEM CurrentControlSetServices EventlogDNS ServerName: RestrictGuestAccessType: REG_DWORDValue: 1Name: RestrictGuestAccessType: REG_DWORDValue: 1无6.1.7.1. 未配置特定注册表设置 紧急程度: 一般问题 说明：该安全设置确定是否在注册表中设定相关键值是否防止guest用户访问 风险：如果启用该策略，将禁止guest用户访问访问相关服务 建议

38、：立即配置特定注册表设置策略，配置参数请参阅推荐值。6.2. 系统安全管理分析6.2.1. 系统防病毒l SAP报表发布服务器没有正确部署企业版防病毒软件；l 资金系统的四台服务器，其病毒库没有更新至巡检日。序号检查项推荐值实际值1防病毒软件的部署1）服务器部署率：100%2）正确部署企业版防病毒软件无2防病毒软件的更新1）频率周期：每日定时更新2）更新方式：从服务器端更新3）更新检查：通过服务器控制台查看病毒码定义病毒库没有更新至：2010-1-256.2.1.1. 未部署防病毒软件 紧急程度: 紧急状态 说明：系统没有按要求部署企业版防病毒软件 风险：如果没有部署企业版防病毒软件，将给服务

39、器带来病毒侵袭的危险。 建议：立即部署企业版防病毒软件。6.2.1.2. 防病毒软件未更新 紧急程度: 紧急状态 说明：防病毒软件的病毒库定义没有升级到最新版本 风险：如果病毒库定义不升级到最新版本，将给服务器带来病毒侵袭的危险 建议：立即将病毒库定义升级到最新版本。6.2.2. 系统补丁管理l 所有服务器均不具备补丁安装测试环境：系统值/参数推荐配置允许配置当前配置结果补丁安装测试安装测试应满足：1）具备补丁安装测试环境2）具备补丁安装测试操作安装测试应满足：1）具备补丁安装测试环境2）具备补丁安装测试操作安装测试应满足：1）具备补丁安装测试环境（否）2）具备补丁安装测试操作（有）6.2.2

40、.1. 不具备补丁安装测试环境 紧急程度: 一般问题 说明：具备补丁安装测试环境能检验补丁是否对生产环境中实际应用存在影响 风险：如果启用该策略，能检验补丁是否对生产环境中实际应用存在影响，避免打补丁造成额外的风险 建议：尽快具备补丁安装测试环境，配置参数请参阅推荐值。6.2.3. 网络安全l 所有服务器在此项巡检的各指标项的配置都符合允许配置值。6.3. 数据安全分析6.3.1. 数据加密l 所有服务器在此项巡检的各指标项的配置都符合允许配置值。6.3.2. 数据备份l 所有服务器在此项巡检的各指标项的配置都符合允许配置值。6.4. 系统运维分析6.4.1. 系统性能l 生产操作费系统的系统

41、分区可用磁盘空间110MB/29.2G。系统值/参数推荐配置允许配置当前配置结果磁盘容量系统分区可用磁盘空间 500MB系统分区可用磁盘空间 500MB1. 生产操作费系统的系统分区可用磁盘空间110MB/29.2G。6.4.1.1. 系统分区可用磁盘空间 紧急程度: 紧急状态 说明：系统分区可用磁盘空间500MB 风险：如果系统分区可用磁盘空间低于500MB，一旦磁盘空间耗尽将带来系统停机的风险。 建议：尽快解决磁盘空间不足的问题，配置参数请参阅推荐值。6.4.2. 系统日志l 所有服务器的安全日志存储最大值都不符合标准得81m，而个别服务器的日志存储只设置为默认的512k。指标推荐配置允许

42、配置当前配置结果日志文件管理- 应用程序日志最大值（16MB）- 安全日志最大值（81MB）- 系统日志最大值（16MB)- 应用程序日志最大值（16MB）- 安全日志最大值（81MB）- 系统日志最大值（16MB)应用程序日志最大值（512KB）安全日志最大值（512KB）系统日志最大值（512KB)6.4.2.1. 安全日志最大占用空间不足 紧急程度: 一般问题 说明：安全日志最大占用空间配置参数值过低 风险：由于开启了相关的系统审核，在安全日志里面会产生大量的审核记录，而这些审核记录对于中海油的审计工作来说又是至关重要的，所以安全日志空间过低，会导致审核记录的不完整（较旧日期的数据会被覆

43、盖掉），造成对出现的安全事件（服务器被攻击）缺乏足够的分析判断依据。 建议：立即修改安全日志最大占用空间，配置参数请参阅推荐值。7. SQL SERVER 状态分析状态分析从日志检查、备份/恢复、安全性检查、用户管理、资源保护和数据加密六个方面分析结果，并设定紧急状态和一般问题，文档将详细列出服务器的实际配置与推荐配置存在的差异。说明：下表中的红色字体项目，说明实际值和推荐值不符，需要进行参数调整。7.1. 日志检查7.1.1. 日志检查l 各服务器在以下几个指标存在不符合项：系统值/参数推荐配置操作步骤当前配置结果Windows 应用程序日志文件保留期60天Windows应用日志属性，查看保留期限无设置7.1.1.1. WINDOWS 应用程序日志文件保留期未设置 紧急程度: 一般问