怎么做公司门户网站网站建设费的摊销年限

当前位置： 首页 > news >正文

怎么做公司门户网站,网站建设费的摊销年限,wordpress加百度一下,安阳招聘网君衍. 一、Windows加固1、配置简介2、账户配置3、本地配置4、安全设置 二、Linux加固1、配置简介2、网络配置3、日志和审计配置4、访问认证和授权配置5、系统运维配置 一、Windows加固 1、配置简介 通常在Windows安全配置中有两类对象 一类是Windows Server#xff0c;如win … 君衍. 一、Windows加固1、配置简介2、账户配置3、本地配置4、安全设置 二、Linux加固1、配置简介2、网络配置3、日志和审计配置4、访问认证和授权配置5、系统运维配置 一、Windows加固 1、配置简介 通常在Windows安全配置中有两类对象 一类是Windows Server如win server 2012 、win server 2016、win server 2019 等一类是Windows Client如win 7、 win 8 、win 10等 在Windows安全配置中如果组织有条件对Windows Client的安全配置我们可以借助微软的活动目录来实现自动化。 而对Windows Server 通常为保障服务器稳定运行我们倾向于的是手动配置。 以Windows Server 2012 R2为例进行加固讲解
Windows安全配置方法 通常我们使用组策略对windows进行安全配置组策略中的安全配置与注册表也可以对应但注册表可读性较差。组策略 有详细的说明所以我们通常使用组策略在windows客户端系统中HOME版本是没有组策略的的功能。打开组策略的方法是 右键开始–运行–gpedit.msc WINR –gpedit.mscWindows 不论什么版本进行安全配置均包含以下两个常用维度 账户策略密码策略账户锁定策略本地策略审计策略用户权限策略安全选项 除了上述常用的配置还会包含以下两个维度 防火墙策略域配置文件私有网络配置文件高级审计策略账户登录账户管理详细跟踪登录/注销对象访问策略更改 2、账户配置 密码策略 强制密码历史建议设置为24个密码最长使用期限建议设置60天密码最短使用期限建议设置为1天或更多密码长度最小值建议设置为14密码必需符合复杂性要求建议设置为启用用可还原的加密码来存储密码建议设置为禁用 账户锁定策略 账户锁定阈值建议设置为10次或更少账户锁定时间建议设置为15分钟或更多重置账户锁定计数器建议设置为15分钟或更多 3、本地配置 用户权限分配 作为受信任的呼叫方访问凭据管理器建议设置为空。默认为空从网络访问此计算机建议设置为Administrator,Authenticated Users,ENTERPRISE DOMAIN CONTROLLERS域控设置以操作系统方式执行建议设置为空默认为空将工作站添加到域建议设置为Administrators为进程调整内存配额建议设置为Administrators, LOCAL SERVICE, NETWORK SERVICE允许本地登录建议设置为Administrators允许通过远程桌面服务登录建议设置为Administrators, Remote Desktop Users(客户端设置)备份文件和目录建议设置为Administrators更改系统时间建议设置为Administrators, LOCAL SERVICE更改时区建议设置为Administrators, LOCAL SERVICE创建页面文件建议设置为Administrators创建一个信息对象建议设置为空创建全局对象建议设置为Administrators, LOCAL SERVICE, NETWORK SERVICE,SERVICE创建永久共享对象建议设置为空创建符号链接建议设置为Administrators调试程序建议设置为Administrators拒绝从网络访问这台计算机建议设置为Guests, 本地的administrators中的其它用户或组。拒绝作为批处理作业登录建议设置为Guest拒绝以服务身份登录建议设置为Guest拒绝本地登录建议设置为Guest拒绝通过远程桌面服务登录建议设置为Guest和需要的本地用户信任计算机和用户账户可以执行委派建议设置为空域控设置为Administrators从远程系统强制关机建议设置为Administrators生成安全审核建议设置为LOCAL SERVICE, NETWORK SERVICE身份验证后模拟客户端建议设置为Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE提高计划优先级建议设置为Administrators加载和卸载设备驱动程序建议设置为Administrators锁定内存页建议设置为空管理审核和安全日志建议设置为Administrators默认符合修改固件环境值建议设置为Administrators默认符合执行卷维护任务建议设置为Administrators默认符合配置文件单一进程建议设置为Administrators默认符合还原文件和目录建议设置为Administrators关闭系统建议设置为Administrators取得文件或其他对象所有权建议设置为Administrators默认设置 4、安全设置 1、账户 账户管理员账户状态建议设置为禁用账户阻止Microsoft账户建议设置为用户不能添加Microsoft账户或使用 该账户登录账户来宾账户状态建议设置为已禁用默认设置账户使用空密码的本地账户只通话进行控制台登录建议设置为启用默认 设置账户重命令系统管理员账户建议重命名为非administrator账户重命名来宾账户建议重命名为非Guest 2、审核 审核如果无法记录安全审计则立即关闭系统建议设置为禁用默认设置审核强制审核策略子类别设置建议设置为启用 3、设备 设备允许对可移动媒体进行格式化并弹出建议设置为Administrators设备防止用户安装打印机驱动程序建议设置为已启用默认设置 4、交互式登录 交互式登录不显示最后的用户名建议设置已启用交互式登录无须按CtrlAltDel建议设置已禁用默认设置交互式登录计算机不活动限制建议设置为900不要设成0。可以理解为 锁屏。交互式登录试图登录的用户的消息文本不要表现出任何信息可以为空交互式登录试图登录的用户的消息标题不要表现出任何信息可以为空交互式登录之前登录到缓存的次数建议设为4或更少交互式登录提示用户在过期之前更改密码建议5到14天交互式登录需要域控制器身份验证以对工作站进行解锁建议设置为启用 5、Microsoft网络客户端 Microsoft网络客户端:对通信进行数字签名始终建议设置为已启用Microsoft网络客户端:对通信进行数字签名如果服务器允许建议设置为已启用默认设置Microsoft网络客户端:将未加密的密码发送到第三方SMB服务器建议设置为已禁用默认设置 6、Microsoft网络服务器 Microsoft网络服务器暂停会话前所需空间的时间数量建议设置15或更少Microsoft网络服务器对通信进行数字签名始终建议设置为已启用Microsoft网络服务器对通信进行数字签名如果客户端允许建议设置 为已启用Microsoft网络服务器登录时间过期后断开与客户端的连接建议设置为已 启用默认设置Microsoft网络服务器服务器SPN目标名称验证级别建议设置为由客户端 提供时接受或更高 7、网络访问 网络访问不允许SAM和共享的匿名枚举建议设置为已启用 网络访问不允许存储网络身份验证的密码和凭据建议设置为已启用 网络访问可匿名访问的共享建议根据实际情况设置 网络访问可远程访问的注册表路径建议设置为 System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion网络访问 网络访问可远程访问的注册表路径和子路径建议设置为
System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAPServer Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex8、网络安全 网络安全允许本地系统将计算机标识用于NTLM建议设置为已启用网络安全允许LocalSystem NULL会话回退建议设置为已禁用网络安全允许对此计算机的PKU2U身份验证请求使用联机标识建议设置为已禁用网络安全配置Kerberos允许的加密类型建议设置 AES128_HMAC_SHA1, AES256_HMAC_SHA1, 将来的加密类型 网络安全在超过登录时间后强制注销建议设置为已启用网络安全LNA管理器身份验证级别建议设置为仅发送NTLMv2响应拒绝LM和NTLM 9、用户账户控制 用户账户控制用于内置管理员账户的管理员批准模式建议设置已启用用户账户控制管理员批准模式中管理员的提升权限提示的行为建议设置为 在安全桌面上提示凭据用户账户控制标准用户的提升提示行为建议设置为自动拒绝提升请求用户账户控制允许UIAccess应用程序在不使用安全桌面的情况下提升权限 建议设置为已启用 10、高级防火墙配置 11、高级审核策略配置–账户登录 审核凭据验证建议设置成功和失败 配置为 12、高级审核策略配置–账户管理 审核应用程序组管理建议审核成功和失败审核安全组管理建议审核成功审核用户账户管理建议审核成功和失败 13、高级审核策略配置–详细跟踪 审核进程创建建议审核成功 14、高级审核策略配置–登录/注销 审核账户锁定建议设置失败审核注销建议设置成功审核登录建议成功和失败审核其他登录/注销失败建议成功和失败审核特殊登录建议成功 15、高级审核策略配置–对象访问 审核详细的文件共享建议失败审核文件共享建议成功和失败审核其他对象访问事件建议成功和失败审核可移动存储建议成功和失败 16、高级审核策略配置–策略更改 17、高级审核策略配置–特权使用 18、高级审核策略配置–系统
二、Linux加固 1、配置简介 Linux种类较多常见的有Redhat、Ubuntu、Centos、SUSE等根据不同版本其安全配置都不太相同主要体现在以下三点配置文件所存放的路径操作系统的命令操作系统自身的安全特性或工具 以Centos 7 为例进行安全配置讲解其它版本Linux可能 存在安全配置方式不同但整体配置的维度和原则是一致的。 Centos 安全配置维度 安装配置默认配置即可服务配置默认配置即可网络配置日志和审计访问、授权和认证系统运维 Centos 安全配置原则 最小安全最小安装、最小权限不影响业务可用安全与业务的矛盾职责分离审计记录 因为Centos安全配置较多本文仅列举部分典型代表更多具体配置可以参照 相关国内或国际标准如等保、CIS等。 2、网络配置 禁用不适用的网络协议禁用IPV6执行以下命令 sysctl -w net.ipv6.conf.all.disable_ipv61 sysctl -w net.ipv6.conf.default.disable_ipv61 sysctl -w net.ipv6.route.flush1//查看配置是否生效 sysctl net.ipv6.conf.all.disable_ipv6禁用不适用的无线设备因为Linux作为服务器工作时无需使用无线 查看无线设备
iw list查看当前连接 ip link show up关闭网络连接 ip link set lo down这里将环回口lo进行关闭
当Linux作为独立主机使用时配置网络关闭IP转发默认即关闭查看IP转发配置 sysctl net.ipv4.ip_forward关闭IP转发 sysctl -w net.ipv4.ip_forward0关闭数据包重定向查看重定向设置 sysctl net.ipv4.conf.all.send_redirects关闭重定向设置 sysctl -w net.ipv4.conf.all.send_redirects0开启TCP SYN Cookies功能TCP SYN功能某种程度上可以防止TCP的SYN DDOS攻击。查看TCP SYN Cookies功能 sysctl net.ipv4.tcp_syncookies开启TCP SYN Cookies功能 sysctl -w net.ipv4.tcp_syncookies1防火墙配置 在Centos 较新的版本中引入了nftables内核取代传统netfilter内核通常nftables和netfilter只用安装一种即可。基于netfilter又有两种前端操作工具即firewalld和iptables 以netfilterfirewalld进行操作讲解 防火墙配置确定安装了firewalld以及iptables管理工具 rpm -q firewalld iptables yum install firewalld iptables关闭iptables的服务管理因为同时开启iptables与firewalld会冲突查看iptables服务 rpm -q iptables-services如果已经安装可以使用以下命令 systemctl stop iptables yum remove iptables-services确保没有安装nftables查看安装nftables的状态 rpm -q nftables如果安装可以删除 yum remove nftables确保防火墙服务自动启动并正在运行查看firewalld状态 systemctl status firewalld firewall-cmd –state开启firewalld systemctl start firewalld systemctl enable firewalld开启防火墙可能会导致网络中断所以一定要分析清楚当前网络连接 与网络配置再来开启防火墙 确定防火墙区域配置 默认firewalld会创建一个名为public的区域 区域代表防火墙中的信任等级每一个接口都应该属于区域 查看当前区域默认是public
firewall-cmd –get-default-zone防火墙默认区域配置设置默认区域为public firewall-cmd –set-default-zonepublic查看当前活动的区域和接口 firewall-cmd –get-active-zones设置接口到区域 firewall-cmd –zonepublic –change-interfaceens33查看当前允许的端口和服务 firewall-cmd –list-all –zonepublic关闭不需要的端口与服务关闭端口 firewall-cmd –remove-portport-number/port-type如firewall-cmd –remove-port25/tcp 关闭服务 firewall-cmd –remove-serviceservice如firewall-cmd –remove-servicesmtp 系统审核 查看系统是否安装审核服务
rpm -q audit audit-libs如果没有安装而进行安装 yum install audit audit-libs查看审核服务是否开启 systemctl status auditdsystemctl is-enabled auditd3、日志和审计配置 配置审计数据大小查看audit日志最大空间默认单位为M如图显示为8M cat /etc/audit/auditd.conf | grep max审计用户和用户组的操作查看当前用户和用户组相关的操作记录 grep identity /etc/audit/rules.d/.rules当前没有任何相关配置配置记录如下 vi /etc/sudit/rules.d/identity.rules配置rsyslog日志rsyslog是取代syslog的新版本。rsyslog有一些优秀的特性比如使用tcp连接可以将日志存储到数据库可以加密传输日志等。确保系统安装了rsyslog rpm -q rsyslog查看rsyslog服务状态 systemctl is-enabled rsyslog确保日志正常输入查看当前日志目录及日志权限日志权限应该为600仅root可读写 ls -l /var/log查看日志归档处理Linux系统使用logrotate按定期或指定大小进行归档处理确保logrotate正常处理syslog日志 查看是否存在文件ls /etc/logrotate.d/syslog 4、访问认证和授权配置 查看计划任务的访问授权 stat /etc/crontab如图展示了仅root可以访问计划任务且相关访问时间。 同理还应检查文件daily hourly monthly weekly
查看SSH配置文件权限因为SSH可以使用密钥直接登录如果SSH配置文件权限限制不严格则造成SSH提权检查/etc/ssh/sshd_config的权限 配置允许通过SSH访问的用户 使用以上命令查看当前允许SSH访问的用户 sshd -T | grep -E ^\s(allow|deny)(users|groups)\s\S如果输出为空说明没有配置编辑文件/etc/ssh/sshd_config配置仅允许fox用户访问在文件中加入以下行allowusers fox保存退出重启SSH生效 配置SSH验证失败次数 查看SSH验证失败次数 sshd -T | grep maxauthtries 默认为6次建议改为4次或更低 编辑SSH配置我呢见修改即可 vi /etc/ssh/sshd_config 禁止空密码登录SSH sshd -T | grep permitemptypasswords 查看SSH支持的加密方式确保不要出现如des md5这类已经不再安全的算法 sshd -T | grep ciphers PAM模块配置 PAMPluggable Authentication Modules是Linux中的认证管理模块所有认证相关可由PAM处理。 密码要求 由/etc/security/pwquality.conf管理minlen 14最小密码长度mincalss 4 密码复杂度分别是是大写字母、小写字母、数字、符号 用户账户和环境 查看密码过期时间建立设为60加图为99999显然不合适 查看用户的过期时间 grep -E ^[^:]:[^!*] /etc/shadow | cut -d: -f1,5 修改用户过期时间 方法一编辑默认文件中的PASS_MAX_DAYS值 vi /etc/login.defs 方法二 chage –maxdays 365 user 比如chage –maxdays 365 fox 查看密码最小天数原理同windows密码最小天数建议设为1 提示密码过期时间建议设置为7或更多 自动禁用账号建议设置为30天或更少当用户指定时间没有使用时自动禁用用户查看 配置方法 useradd -D -f 305、系统运维配置 检查文件/etc/passwd的权限应为644,同理应检查/etc/group检查文件/etc/shadow的权限应为0,同理应检查/etc/shadow