服務(wù)器準(zhǔn)入安全基線 安全服務(wù)器接入地址

如何讓win更安全

“金無足赤,人無完人”任何事物都沒有十全十美的,微軟Windows 2003也是如此,照樣存在著系統(tǒng)漏洞、存在著不少安全隱患.不管是你用計算機欣賞音樂、上網(wǎng)沖浪、運行游戲,還是編寫文檔都不可避免的面臨著各種病毒的威脅,如何讓W(xué)indows Server 2003更加安全,成為廣大用戶十分關(guān)注的問題。 下面讓我們來討論如何讓W(xué)indows Server 2003更加安全。

目前創(chuàng)新互聯(lián)公司已為近1000家的企業(yè)提供了網(wǎng)站建設(shè)、域名、雅安服務(wù)器托管、網(wǎng)站托管、服務(wù)器托管、企業(yè)網(wǎng)站設(shè)計、大峪網(wǎng)站維護等服務(wù),公司將堅持客戶導(dǎo)向、應(yīng)用為本的策略,正道將秉承"和諧、參與、激情"的文化,與客戶和合作伙伴齊心協(xié)力一起成長,共同發(fā)展。

理解你的角色

理解服務(wù)器角色絕對是安全進程中不可或缺的一步。Windows Server可以被配置為多種角色,Windows Server 2003 可以作為域控制器、成員服務(wù)器、基礎(chǔ)設(shè)施服務(wù)器、文件服務(wù)器、打印服務(wù)器、IIS服務(wù)器、IAS服務(wù)器、終端服務(wù)器等等。一個服務(wù)器甚至可以被配置為上述角色的組合。

現(xiàn)在的問題是每種服務(wù)器角色都有相應(yīng)的安全需求。例如,如果你的服務(wù)器將作為IIS服務(wù)器,那么你將需要開啟IIS服務(wù)。然而,如果服務(wù)器將作為獨立的文件或者打印服務(wù)器,啟用IIS服務(wù)則會帶來巨大的安全隱患。

我之所以在這里談到這個的原因是我不能給你一套在每種情況下都適用的步驟。服務(wù)器的安全應(yīng)該隨著服務(wù)器角色和服務(wù)器環(huán)境的改變而改變。

因為有很多強化服務(wù)器的方法,所以我將以配置一個簡單但安全的文件服務(wù)器為例來論述配置服務(wù)器安全的可行性步驟。我將努力指出當(dāng)服務(wù)器角色改變時你將要做的。請諒解這并不是一個涵蓋每種角色服務(wù)器的完全指南。

物理安全

為了實現(xiàn)真正意義上的安全,你的服務(wù)器必須被放置在一個安全的位置。通常地,這意味著將將服務(wù)器放置在上了鎖的門后。物理安全是相當(dāng)重要的,因為現(xiàn)有的許多管理和災(zāi)難恢復(fù)工具同樣也可以被黑客利用。任何擁有這樣工具的人都能在物理接入到服務(wù)器的時候攻擊服務(wù)器。唯一能夠避免這種攻擊的方法是將服務(wù)器放置在安全的地點。對于任何角色的Windows Server 2003,這都是必要的。

創(chuàng)建基線

除了建立良好的物理安全以外,我能給你的最佳建議是,在配置一系列Windows Server 2003的時候,應(yīng)該確定你的安全需求策略,并立即部署和執(zhí)行這些策略 。

實現(xiàn)這一目的最好的方法是創(chuàng)建一個安全基線(security baseline)。安全基線是文檔和公認(rèn)安全設(shè)置的清單。在大多數(shù)情況下,你的基線會隨著服務(wù)器角色的不同而產(chǎn)生區(qū)別。因此你最好創(chuàng)建幾個不同的基線,以便將它們應(yīng)用到不同類型的服務(wù)器上。例如,你可以為文件服務(wù)器制定一個基線,為域控制器制定另一個基線,并為IAS服務(wù)器制定一個和前兩者都不同的基線。

windows 2003包含一個叫"安全配置與分析"的工具。這個工具讓你可以將服務(wù)器的當(dāng)前安全策略與模板文件中的基線安全策略相比較。你可以自行創(chuàng)建這些模板或是使用內(nèi)建的安全模板。

安全模板是一系列基于文本的INF文件,被保存在%SYSTEMROOT%SECURITY|TEMPLATES 文件夾下。檢查或更改這些個體模板最簡單的方法是使用管理控制臺(MMC)。

要打開這個控制 臺,在RUN提示下輸入MMC命令,在控制臺加載后,選擇添加/刪除管理單元屬性命令,Windows就會顯示添加/刪除管理單元列表。點擊"添加"按鈕,你將會看到所有可用管理單元的列表。選擇安全模板管理單元,接著依次點擊添加,關(guān)閉和確認(rèn)按鈕。

在安全模板管理單元加載后,你就可以察看每一個安全模板了。在遍歷控制臺樹的時候,你會發(fā)現(xiàn)每個模板都模仿組策略的結(jié)構(gòu)。模板名反映出每個模板的用途。例如,HISECDC模板就是一個高安全性的域控制器模板。

如果你正在安全配置一個文件服務(wù)器,我建議你從SECUREWS模板開始。在審查所有的模板設(shè)置時,你會發(fā)現(xiàn)盡管模板能被用來讓服務(wù)器更加安全,但是不一定能滿足你的需求。某些安全設(shè)置可能過于嚴(yán)格或過于松散。我建議你修改現(xiàn)有的設(shè)置,或是創(chuàng)建一個全新的策略。通過在控制臺中右擊C:WINDOWSSecurityTemplates文件夾并在目標(biāo)菜單中選擇新建模板命令,你就可以輕輕松松地創(chuàng)建一個新的模板。

在創(chuàng)建了符合需求的模板后,回到添加/刪除管理單元屬性面板,并添加一個安全配置與分析的管理單元。在這個管理單元加載后,右擊"安全配置與分析"容器,接著在結(jié)果菜單中選擇"打開數(shù)據(jù)庫"命令,點擊"打開"按鈕,你可以使用你提供的名稱來創(chuàng)建必要的數(shù)據(jù)庫。

接下來,右擊"安全配置與分析"容器并在快捷菜單中選擇"導(dǎo)入模板"命令。你將會看到所有可用模板的列表。選擇包含你安全策略設(shè)置的模板并點擊打開。在模板被導(dǎo)入后,再次右擊"安全配置與分析"容器并在快捷菜單中選擇"現(xiàn)在就分析計算機"命令。Windows將會提示你寫入錯誤日志的.位置,鍵入文件路徑并點擊"確定"。

在這樣的情況下,Windows將比較服務(wù)器現(xiàn)有安全設(shè)置和模板文件里的設(shè)置。你可以通過"安全配置與分析控制臺"看到比較結(jié)果。每一條組策略設(shè)置顯示現(xiàn)有的設(shè)置和模板設(shè)置。

在你可以檢查差異列表的時候,就是執(zhí)行基于模板安全策略的時候了。右擊"安全配置與分析"容器并從快捷菜單中選擇"現(xiàn)在就配置計算機"命令。這一工具將會立即修改你計算機的安全策略,從而匹配模板策略。

組策略實際上是層次化的。組策略可以被應(yīng)用到本地計算機級別、站點級別、域級別和OU級別。當(dāng)你實現(xiàn)基于模板的安全之時,你正在在修改計算機級別的組策略。其他的組策略不會受到直接影響,盡管最終策略可能會反映變化,由于計算機策略設(shè)置被更高級別的策略所繼承。

修改內(nèi)建的用戶賬號

多年以來,微軟一直在強調(diào)最好重命名Administrator賬號并禁用Guest賬號,從而實現(xiàn)更高的安全。在Windows Server 2003中,Guest 賬號是缺省禁用的,但是重命名Administrator賬號仍然是必要的,因為黑客往往會從Administrator賬號入手開始進攻。

有很多工具通過檢查賬號的SID來尋找賬號的真實名稱。不幸的是,你不能改變用戶的SID,也就是說基本上沒有防止這種工具來檢測Administrator賬號真實名稱的辦法。即便如此,我還是鼓勵每個人重命名Administrator 賬號并修改賬號的描述信息,有兩個原因:

首先,誑橢械男率摯贍懿恢?勒飫喙ぞ叩拇嬖諢蛘卟換崾褂盟?恰F浯危?孛?鸄dministrator賬號為一個獨特的名稱讓你能更方便的監(jiān)控黑客對此賬號的進攻。

另一個技巧適用于成員服務(wù)器。成員服務(wù)器有他們自己的內(nèi)建本地管理員賬號,完全獨立于域中的管理 員賬號。你可以配置每個成員服務(wù)器使用不同的用戶名和密碼。如果某人猜測出你的本地用戶名和密碼,你肯定不希望他用相同的賬號侵犯其他的服務(wù)器。當(dāng)然,如果你擁有良好的物理安全,誰也不能使用本地賬號取得你服務(wù)器的權(quán)限。

服務(wù)賬號

Windows Server 2003在某種程度上最小化服務(wù)賬號的需求。即便如此,一些第三方的應(yīng)用程序仍然堅持傳統(tǒng)的服務(wù)賬號。如果可能的話,盡量使用本地賬號而不是域賬號作為服務(wù)賬號,因為如果某人物理上獲得了服務(wù)器的訪問權(quán)限,他可能會轉(zhuǎn)儲服務(wù)器的LSA機密,并泄露密碼。如果你使用域密碼,森林中的任何計算機都可以通過此密碼獲得域訪問權(quán)限。而如果使用本地賬戶,密碼只能在本地計算機上使用,不會給域帶來任何威脅。

系統(tǒng)服務(wù)

一個基本原則告訴我們,在系統(tǒng)上運行的代碼越多,包含漏洞的可能性就越大。你需要關(guān)注的一個重要安全策略是減少運行在你服務(wù)器上的代碼。這么做能在減少安全隱患的同時增強服務(wù)器的性能。

在Windows 2000中,缺省運行的服務(wù)有很多,但是有很大一部分服務(wù)在大多數(shù)環(huán)境中并派不上用場。事實上,windows 2000的缺省安裝甚至包含了完全操作的IIS服務(wù)器。而在Windows Server 2003中,微軟關(guān)閉了大多數(shù)不是絕對必要的服務(wù)。即使如此,還是有一些有爭議的服務(wù)缺省運行。

其中一個服務(wù)是分布式文件系統(tǒng)(DFS)服務(wù)。DFS服務(wù)起初被設(shè)計簡化用戶的工作。DFS允許管理員創(chuàng)建一個邏輯的區(qū)域,包含多個服務(wù)器或分區(qū)的資源。對于用戶,所有這些分布式的資源存在于一個單一的文件夾中。

我個人很喜歡DFS,尤其因為它的容錯和可伸縮特性。然而,如果你不準(zhǔn)備使用DFS,你需要讓用戶了解文件的確切路徑。在某些環(huán)境下,這可能意味著更強的安全性。在我看來,DFS的利大于弊。

另一個這樣的服務(wù)是文件復(fù)制服務(wù)(FRS)。FRS被用來在服務(wù)器之間復(fù)制數(shù)據(jù)。它在域控制器上是強制的服務(wù),因為它能夠保持SYSVOL文件夾的同步。對于成員服務(wù)器來說,這個服務(wù)不是必須的,除非運行DFS。

如果你的文件服務(wù)器既不是域控制器,也不使用DFS,我建議你禁用FRS服務(wù)。這么做會減少黑客在多個服務(wù)器間復(fù)制惡意文件的可能性。

另一個需要注意的服務(wù)是Print Spooler服務(wù)(PSS)。該服務(wù)管理所有的本地和網(wǎng)絡(luò)打印請求,并在這些請求下控制所有的打印工作。所有的打印操作都離不開這個服務(wù),它也是缺省被啟用的。

不是每個服務(wù)器都需要打印功能。除非服務(wù)器的角色是打印服務(wù)器,你應(yīng)該禁用這個服務(wù)。畢竟,專用文件服務(wù)器要打印服務(wù)有什么用呢?通常地,沒有人會在服務(wù)器控制臺工作,因此應(yīng)該沒有必要開啟本地或網(wǎng)絡(luò)打印。

我相信通常在災(zāi)難恢復(fù)操作過程中,打印錯誤消息或是事件日志都是十分必要的。然而,我依然建議在非打印服務(wù)器上簡單的關(guān)閉這一服務(wù)。

信不信由你,PSS是最危險的Windows組件之一。有不計其數(shù)的木馬更換其可執(zhí)行文件。這類攻擊的動機是因為它是統(tǒng)級的服務(wù),因此擁有很高的特權(quán)。因此任何侵入它的木馬能夠獲得這些高級別的特權(quán)。為了防止此類攻擊,還是關(guān)掉這個服務(wù)吧。

Windows Server 2003作為Microsoft 最新推出的服務(wù)器操作系統(tǒng),相比Windows 2000/XP系統(tǒng)來說,各方面的功能確實得到了增強,尤其在安全方面,總體感覺做的還算不錯.但如果你曾經(jīng)配置過Windows NT Server或是windows 2000 Server,你也許發(fā)現(xiàn)這些微軟的產(chǎn)品缺省并不是最安全的。但是,你學(xué)習(xí)了本教程后,你可以讓你的windows 2003系統(tǒng)變得更安全.

華三交換機基線配置

H3C交換機安全配置基線H3C交換機安全配置基線(Version 1.0)2012年12月1 引言 (1)2 適用范圍 (1)3 縮略語 (1)4 安全基線要求項命名規(guī)則 (2)5 文檔使用說明 (2)6 注意事項 (3)7 安全配置要求 (3)7.1 賬號管理 (3)7.1.1 運維賬號共享管理 (3)7.1.2 刪除與工作無關(guān)賬號 (3)7.2 口令管理 (4)7.2.1 靜態(tài)口令加密 (4)7.2.2 靜態(tài)口令運維管理 (4)7.3 認(rèn)證管理 (5)7.3.1 RADIUS認(rèn)證(可選) (5)7.4 日志審計 (6)7.4.1 RADIUS記賬(可選) (6)7.4.2 啟用信息中心 (6)7.4.3 遠程日志功能 (7)7.4.4 日志記錄時間準(zhǔn)確性 (7)7.5 協(xié)議安全 (7)7.5.1 BPDU防護 (8)7.5.2 根防護 (8)7.5.3 VRRP認(rèn)證 (8)7.6 網(wǎng)絡(luò)管理 (9)7.6.1 SNMP協(xié)議版本 (9)7.6.2 修改SNMP默認(rèn)密碼 (9)7.6.3 SNMP通信安全(可選) (10)7.7 設(shè)備管理 (10)7.7.1 交換機帶內(nèi)管理方式 (10)7.7.2 交換機帶內(nèi)管理通信 (11)7.7.3 交換機帶內(nèi)管理超時 (11)7.7.4 交換機帶內(nèi)管理驗證 (12)7.7.5 交換機帶內(nèi)管理用戶級別 (12)7.7.6 交換機帶外管理超時 (13)7.7.7 交換機帶外管理驗證 (13)7.8 端口安全 (13)7.8.1 使能端口安全 (13)7.8.2 端口MAC地址數(shù) (14)7.8.3 交換機VLAN劃分 (14)7.9 其它 (15)7.9.1 交換機登錄BANNER管理 (15)7.9.2 交換機空閑端口管理 (15)7.9.3 禁用版權(quán)信息顯示 (16)附錄A 安全基線配置項應(yīng)用統(tǒng)計表 (17)附錄B 安全基線配置項應(yīng)用問題記錄表 (19)

附錄C 中國石油NTP服務(wù)器列表 (20)1 引言本文檔規(guī)定了中國石油使用的H3C系列交換機應(yīng)當(dāng)遵循的交換機安全性設(shè)置標(biāo)準(zhǔn),是中國石油安全基線文檔之一。本文檔旨在對信息系統(tǒng)的安全配置審計、加固操作起到指導(dǎo)性作用。本文檔主要起草人:靖小偉、楊志賢、張志偉、滕征岑、裴志宏、劉磊、葉銘、王勇、吳強。2 適用范圍本文檔適用于中國石油使用的H3C系列交換機,明確了H3C系列交換機在安全配置方面的基本要求,可作為編制設(shè)備入網(wǎng)測試、安全驗收、安全檢查規(guī)范等文檔的參考。3 縮略語TCP Transmission Control Protocol 傳輸控制協(xié)議UDP User Datagram Protocol 用戶數(shù)據(jù)報協(xié)議SNMP Simple Network Management Protocol 簡單網(wǎng)絡(luò)管理協(xié)議ARP Address Resolution Protocol 地址解析協(xié)議VLAN Virtual LAN 虛擬局域網(wǎng)STP Spanning Tree Protocol 生成樹協(xié)議RSTP Rapid Spanning Tree Protocol 快速生成樹協(xié)議MSTP Multiple Spanning Tree Protocol 多生成樹協(xié)議BPDU Bridge Protocol Data Unit 橋接協(xié)議數(shù)據(jù)單元VRRP Virtual Router Redundancy Protocol 虛擬路由器冗余協(xié)議NTP Network Time Protocol 網(wǎng)絡(luò)時間協(xié)議AAA Authentication,Authorization,Accounting 認(rèn)證,授權(quán),記賬GCC General Computer Controls 信息系統(tǒng)總體控制SBL Security Base Line 安全基線4 安全基線要求項命名規(guī)則安全基線要求項是安全基線的最小單位,每一個安全基線要求項對應(yīng)一個基本的可執(zhí)行

的安全規(guī)范明細,安全基線要求項命名規(guī)則為“安全基線–一級分類–二級分類–類型編號–明細編號”,如SBL-Switch-H3C-01-01,代表“安全基線–交換機– H3C –賬號類–運維賬號共享管理“。5 文檔使用說明1 隨著信息技術(shù)發(fā)展,路由器與交換機在功能上逐漸融合,具有共同點,部分路由器上配有交換板卡,可以實現(xiàn)服務(wù)器與終端計算機接入;部分交換機配有路由引擎,可以實現(xiàn)路由功能。雖然兩者具有一定共同點,但從路由器與交換機在生產(chǎn)環(huán)境中的應(yīng)用定位出發(fā),本系列文檔分為路由器安全基線(側(cè)重于路由協(xié)議等)和交換機安全基線(側(cè)重于局域網(wǎng)交換與端口安全等)。2 H3C交換機可以通過命令行、Web、NMS等多種方式管理,本文檔中涉及的操作,均在命令行下完成。3 命令行中需要用戶定義的名稱與數(shù)值,文檔中均以標(biāo)出,用戶根據(jù)需要自行定義。例如local-user ,表示創(chuàng)建賬號名稱為name1的本地用戶,password cipher password1,表示本地用戶name1的密碼為passowrd1。4 由于各信息系統(tǒng)對于H3C系列交換機的要求不盡相同,因此對于第7章安全配置要求中的安全基線要求項,各信息系統(tǒng)根據(jù)實際情況選擇性進行配置,并填寫附錄A《安全基線配置項應(yīng)用統(tǒng)計表》。5 在第7章安全配置要求中,部分安全基線要求項提供了閾值,如“交換機帶內(nèi)管理設(shè)置登錄超時,超時時間不宜設(shè)置過長,參考值為5分鐘?!?,此閾值為參考值,通過借鑒GCC、中國石油企標(biāo)、國內(nèi)外大型企業(yè)信息安全最佳實踐等資料得出。各信息系統(tǒng)如因業(yè)務(wù)需求無法應(yīng)用此閾值,在附錄A《安全基線配置項應(yīng)用統(tǒng)計表》的備注項進行說明。6 注意事項由于H3C系列交換機普遍應(yīng)用于重要生產(chǎn)環(huán)境,對于本文檔中安全基線要求項,實施前需要在測試環(huán)境進行驗證后應(yīng)用。在應(yīng)用安全基線配置項的過程中,如遇到技術(shù)性問題,填寫附錄B《安全基線配置項應(yīng)用問題記錄表》。在應(yīng)用安全基線配置前需要備份交換機的配置文件,以便出現(xiàn)故障時進行

回退。7 安全配置要求7.1 賬號管理7.1.1 運維賬號共享管理安全基線編號SBL-Switch- H3C-01-01安全基線名稱運維賬號共享安全基線要求項安全基線要求按照用戶分配賬號,避免不同用戶間共享運維賬號檢測操作參考[Switch]dis current | i local-user安全判定依據(jù)1)網(wǎng)絡(luò)管理員列出交換機運維人員名單;2)查看dis current | i local-user結(jié)果:local-userlocal-userlocal-user3)對比命令顯示結(jié)果與運維人員賬號名單,如果運維人員之間不存在共享運維賬號,表明符合安全要求?;€配置項重要度高中低操作風(fēng)險評估高中低7.1.2 刪除與工作無關(guān)賬號安全基線編號SBL- Switch- H3C-01-02安全基線名稱賬號整改安全基線要求項安全基線要求刪除與工作無關(guān)的賬號,提高系統(tǒng)賬號安全檢測操作參考[Switch]dis current | i local-user安全判定依據(jù)1)網(wǎng)絡(luò)管理員列出交換機運維人員的賬號名單;2)查看dis current | i local-user結(jié)果:local-userlocal-userlocal-user3)對比顯示結(jié)果與賬號名單,如果發(fā)現(xiàn)與運維無關(guān)的賬號,表明不符合安全要求。備注無關(guān)賬號主要指測試賬號、共享賬號、長期不用賬號(半年以上)等。基線配置項重要度高中低操作風(fēng)險評估高中低7.2 口令管理7.2.1 靜態(tài)口令加密安全基線編號SBL- Switch- H3C-02-01安全基線名稱靜態(tài)口令加密安全基線要求項安全基線要求1)配置本地用戶口令使用“cipher”關(guān)鍵字2)配置super口令使用“cipher”關(guān)鍵字檢測操作參考1)[Switch]dis current | b local-user2)[Switch]dis current | i super password

安全判定依據(jù)如果顯示“cipher”關(guān)鍵字,如:1)local-userpassword cipher 密文password2)super password level cipher 密文password 表明符合安全要求?;€配置項重要度高中低操作風(fēng)險評估高中低7.2.2 靜態(tài)口令運維管理安全基線編號SBL- Switch- H3C-02-02安全基線名稱靜態(tài)口令運維管理安全基線要求項安全基線要求1)采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備,口令最小長度不少于8個字符2)采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備,口令生存期最長為90天基線配置項重要度高中低7.3 認(rèn)證管理7.3.1 RADIUS認(rèn)證(可選)安全基線編號SBL- Switch- H3C-03-01安全基線名稱RADIUS認(rèn)證安全基線要求項安全基線要求配置RADIUS認(rèn)證,確認(rèn)遠程用戶身份,判斷訪問者是否為合法的網(wǎng)絡(luò)用戶檢測操作參考1)[Switch]dis current | b radius scheme 2)[Switch]dis current | b domain3)[Switch]dis current | b user-interface vty安全判定依據(jù)如果顯示類似:1)配置RADIUS方案radius schemeprimary authenticationkey authenticationuser-name-format without-domain2)配置域domainauthentication login radius-scheme local 3)配置本地用戶user-interface vty 0 4protocol inbound sshauthentication-mode scheme表明符合安全要求?;€配置項重要度高中低操作風(fēng)險評估高中低7.4 日志審計7.4.1 RADIUS記賬(可選)

安全基線編號SBL- Switch- H3C-04-01安全基線名稱RADIUS記賬安全基線要求項安全基線要求與記賬服務(wù)器配合,設(shè)備配置日志功能:1)對用戶登錄進行記錄,記錄內(nèi)容包括用戶登錄使用的賬號,登錄是否成功,登錄時間,以及遠程登錄時,用戶使用的IP地址;2)對用戶設(shè)備操作進行記錄,如賬號創(chuàng)建、刪除和權(quán)限修改,口令修改等,記錄需要包含用戶賬號,操作時間,操作內(nèi)容以及操作結(jié)果。檢測操作參考1)[Switch]dis current | b radius scheme2)[Switch]dis current | b domain安全判定依據(jù)如果顯示類似:1)配置RADIUS方案radius schemeprimary accountingkey accountinguser-name-format without-domain2)配置域domainaccounting login radius-scheme local 表明符合安全要求?;€配置項重要度高中低操作風(fēng)險評估高中低7.4.2 啟用信息中心安全基線編號SBL- Switch- H3C-04-02安全基線名稱信息中心啟用安全基線要求項安全基線要求啟用信息中心,記錄與設(shè)備相關(guān)的事件檢測操作參考[Switch]dis info-center安全判定依據(jù)如果顯示類似:Information Center: enabled 表明符合安全要求?;€配置項重要度高中低操作風(fēng)險評估高中低7.4.3 遠程日志功能安全基線編號SBL- Switch- H3C-04-03安全基線名稱遠程日志功能安全基線要求項安全基線要求配置遠程日志功能,使設(shè)備日志能通過遠程日志功能傳輸?shù)饺罩痉?wù)器檢測操作參考[Switch]dis current | i info-center loghost安全判定依據(jù)如果顯示類似:info-center loghost 表明符合安全要求。

5

百度文庫VIP限時優(yōu)惠現(xiàn)在開通,立享6億+VIP內(nèi)容

立即獲取

H3C交換機安全配置基線

H3C交換機安全配置基線

H3C交換機安全配置基線(Version 1.0)

2012年12月

1 引言 (1)

2 適用范圍 (1)

3 縮略語 (1)

4 安全基線要求項命名規(guī)則 (2)

5 文檔使用說明 (2)

6 注意事項 (3)

7 安全配置要求 (3)

什么是網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)?有什么作用?

網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)是通過可視化和自動化實時檢測入網(wǎng)終端的合規(guī)性,對于不合規(guī)的終端給予最小化訪問權(quán)限,對于合規(guī)終端給予放行,并持續(xù)檢測。網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)推薦使用聯(lián)軟科技UniNAC網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng),其作用具體如下:

1、自動發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備、自動發(fā)現(xiàn)接入設(shè)備、自動發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)洌?/p>

2、自動發(fā)現(xiàn)接入設(shè)備的類型,包括:終端操作系統(tǒng)、受控類別、IoT設(shè)備類型;

3、自動發(fā)現(xiàn)設(shè)備的接入方式及接入位置,連接的交換機及其端口或無線熱點;

4、通過多維度的發(fā)現(xiàn)分析,實現(xiàn)網(wǎng)絡(luò)全面可視化。

5、對接入終端和用戶進行準(zhǔn)入控制,按其賬號、安全狀態(tài)、位置等屬性,進行安全檢查與認(rèn)證;

6、對通過安全檢查的接入設(shè)備,按賬戶或設(shè)備類別授予網(wǎng)絡(luò)訪問權(quán)限ACL/VLAN;

7、接入設(shè)備在使用網(wǎng)絡(luò)資源期間,持續(xù)監(jiān)控設(shè)備的安全狀態(tài),出現(xiàn)異常予以控制。

想要了解更多有關(guān)網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的相關(guān)信息,推薦咨詢聯(lián)軟科技。聯(lián)軟科技早在2004年就開始做網(wǎng)絡(luò)準(zhǔn)入控制,NAC產(chǎn)品的動態(tài)訪問控制思想,和零信任的核心思想是一致的。如聯(lián)軟科技UniEMM企業(yè)移動安全支撐平臺的架構(gòu)采用APN網(wǎng)關(guān),強調(diào)服務(wù)隱身和應(yīng)用層安全隧道;2019年聯(lián)軟科技推出SDP產(chǎn)品;2020年推出UEM的ZTNA零信任網(wǎng)絡(luò)訪問產(chǎn)品和方案。聯(lián)軟科技一直提供領(lǐng)先的數(shù)據(jù)防泄露、數(shù)字水印、多網(wǎng)文件安全傳輸?shù)确桨缚梢匀嫒诤系叫碌牧阈湃畏桨福瑸槠髽I(yè)提供更強大的縱深防御體系。

系統(tǒng)安全基線的意義是什么?

安全配置基線一方面是防范內(nèi)外部惡意攻擊的重要手段,也作為最基本的安全防護標(biāo)準(zhǔn),同時生產(chǎn)服務(wù)器安全基線的變化也是發(fā)現(xiàn)惡意攻擊/行為的重要手段,特別是當(dāng)各種主動防御設(shè)備(防火墻、防病毒軟件、入侵檢測系統(tǒng)等)均被繞過時,往往安全基線設(shè)置是否嚴(yán)格以及是否產(chǎn)生變化成為防范惡意攻擊的最后一道防線。

新聞標(biāo)題:服務(wù)器準(zhǔn)入安全基線 安全服務(wù)器接入地址
網(wǎng)頁地址:http://muchs.cn/article48/dohoshp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供商城網(wǎng)站全網(wǎng)營銷推廣、網(wǎng)站排名虛擬主機、外貿(mào)網(wǎng)站建設(shè)、自適應(yīng)網(wǎng)站

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

成都網(wǎng)站建設(shè)