企业系统巡检报告巡检

《企业系统巡检报告巡检》由会员分享，可在线阅读，更多相关《企业系统巡检报告巡检（29页珍藏版）》请在装配图网上搜索。

1、-文档信息：文档名称级别商密文档版本编号文档管理编号管理人制作人制作日期复审人复审日期扩散围客户()版本纪录：版本编号*修改状态变更人变更日期*修改状态：C创立，A增加，M修改，D删除说明：本文档中出现的任何文字表达、文档格式、插图、照片、方法、代码等容，除由特别注明，均属于北方互联所有，受到有关产权及法保护。任何个人、机构未经北方互联的书面授权许可，不得以任何方式复制或引用本文档的任何片断。. z-目录31.巡检目的32.巡检围与工具32.1.巡检围32.2.巡检使用工具与资源32.3.巡检时间33.巡检相关定义34.巡检参与人员35.巡检数据结果分析3巡检数据结果分析35.1.1.Wind

2、ows Server系统整体运行状态35.1.2.Windows Server巡检指标合规状态35.2.Windows Server各分项指标运行情况35.2.1.系统账户35.2.2.系统审计策略35.2.3.本地平安策略35.2.4.系统效劳设置35.2.5.系统拒绝效劳攻击35.2.6.系统特定文件夹权限35.2.7.系统特定注册表设置35.2.8.系统防病毒35.2.9.系统补丁管理35.2.10.网络平安35.2.11.数据加密35.2.12.数据备份35.2.13.系统性能35.2.14.系统日志35.3.SQL Server总体运行情况35.3.1.SQL Server整体运行状

3、态35.3.2.SQL Server巡检指标合规状态35.4.SQL Server各分项指标运行情况35.4.1.日志检查35.4.2.备份/恢复35.4.3.平安性检查35.4.4.平安性检查35.4.5.资源保护35.4.6.数据加密36.WINDOWS SERVER 状态分析36.1.系统管理分析36.1.1.系统账户36.1.1.1.账户锁定时间36.1.1.2.账户锁定閥值36.1.1.3.账户密码永不过期36.1.1.4.账户密码复杂度36.1.1.5.账户最小密码长度36.1.1.6.账户密码最长使用周期36.1.1.7.强制密码历史36.1.1.8.账户密码管理36.1.2.审

4、计策略36.1.2.1.没有配置审核策略更改事件36.1.2.2.审核登录事件配置不完整36.1.2.3.没有配置审核对象访问36.1.2.4.没有配置审核特权使用36.1.2.5.没有配置审核系统事件36.1.2.6.审核登录事件配置不完整36.1.3.本地平安策略配置36.1.3.1.未配置关机：去除虚拟存页面文件36.1.3.2.未配置交互式登录：不显示上次的用户名36.1.3.3.交互式登录：可被缓存的前次登录个数在域控制器不可用的情况下36.1.3.4.：重命名系统管理员账户36.1.4.系统效劳设置36.1.5.系统拒绝效劳攻击36.1.5.1.未配置系统拒绝效劳攻击注册表值36.

5、1.6.特定文件夹权限36.1.7.系统特定注册表设置36.1.7.1.未配置特定注册表设置36.2.系统平安管理分析36.2.1.系统防病毒36.2.1.1.未部署防病毒软件36.2.1.2.防病毒软件未更新36.2.2.系统补丁管理36.2.2.1.不具备补丁安装测试环境36.2.3.网络平安36.3.数据平安分析36.3.1.数据加密36.3.2.数据备份36.4.系统运维分析36.4.1.系统性能36.4.1.1.系统分区可用磁盘空间36.4.2.系统日志36.4.2.1.平安日志最大占用空间缺乏37.SQL SERVER 状态分析37.1.日志检查37.1.1.日志检查37.2.备份

6、/恢复37.2.1.备份/恢复37.3.平安性检查37.3.1.平安性检查错误！未定义书签。7.4.用户管理37.4.1.用户管理37.4.1.1.存在BUILTIN/administrators账户37.4.1.2.存在SQLDebugger账户37.4.1.3.存在GUEST账户错误！未定义书签。7.5.资源保护37.5.1.资源保护37.6.数据加密37.6.1.数据加密38.总结建议38.1.问题改进建议38.1.1.系统账号管理38.1.2.系统审计策略38.1.3.本地平安策略配置38.1.4.系统拒绝效劳攻击38.1.5.系统补丁管理38.1.6.系统日志管理3用户管理38.1.

7、8.局部效劳器得分较低、问题突出3. z-本次系统巡检的目的是对中海油的29台Windows效劳器及SQL数据库效劳器的平安性和可靠性进展一个全面的了解，发现潜在的风险，并提供推荐的解决方法，同时为我们的系统运维管理工作提供技术参考依据。1.1. 巡检围系统巡检的围依据：系统平安性、可靠性两条主线来展开，进展深入分析。l 巡检的容，定义如下：Windows Server系统管理系统账户n/a平安策略审计策略本地平安策略设置系统效劳设置系统拒绝效劳攻击资源访问控制系统特定文件夹权限系统特定注册表设置系统平安系统防病毒n/a系统补丁n/a网络平安n/a数据平安数据加密n/a数据备份n/a系统运维系

8、统性能n/a系统日志n/aSQL Server系统管理用户管理n/a备份/恢复n/a系统平安平安性检查n/a资源保护n/a数据平安数据加密n/a系统运维系统日志n/a系统性能n/al 巡检围定义如下：B2B接口应用系统WindowsMA*IMO-SAP接口应用效劳器10.63.0.40 WindowsSAP报表发布系统WindowsWBCR控管理系统WindowsWindowsWindowsWindows开展规划部文件效劳器Windows海外业务管理平台系统WindowsWindowsWindows、SQL开发生产数据库系统WindowsWindowsWindows、SQL审作业效劳器Wind

9、ows全面预算系统WindowsWindows、SQL生产操作费系统Windows生产工艺技术交流平台Windows、SQLWindows油气储量库Windows、SQL资金系统WindowsWindowsWindowsWindowsWindows总部报表系统Windows钻完井DPWindows钻完井GISWindows. z-1.2. 巡检使用工具与资源由于本次是手工检查，一些性能指标、平安性设置如口令检测无法执行。工具与形式l 手工检查所需资源l 运维工作报告及报表l 临时与权限1.3. 巡检时间我们按照问题的紧急程度和围将所发现的问题排列如下：n 紧急状态可能影响稳定性，平安性或者对系

10、统的性能产生严重影响的问题。应该在巡检后立即进展处理。n 一般问题问题还需要进一步关注，并不一定会立即对系统造成损害。运维人员应该经常检查这些问题，在必要时采取措施。本次巡检参与人员如下：. z-此次巡检数据的结果分析采用5分制评分标准，全部满足标准配置为5分，每台效劳器在每个巡检项里的得分=符合指标数/全部指标数*5。经过对巡检数据的分析，29台Windows Server效劳器和5台SQL Server效劳器整体状态如下：1.1. WINDOWSSERVER巡检数据结果分析1.1.1. WINDOWS SERVER系统整体运行状态从巡检的数据上看，所有系统总体运行状态良好，平安设置都符合标

11、准，局部效劳器在系统的策略配置中有不符合标准情况的现象，总体运行状态如以下图所示：总体运行状态中，除了B2B接口应用系统、SAP报表发布系统、资金系统得分低于4分外，其余系统都比较正常。扣分主要原因是系统账号和平安策略等方面不符合指标项较多。1.1.2. WINDOWS SERVER巡检指标合规状态从巡检指标的合规状态来看，整体上情况良好，但在系统账号、审计策略、本地平安策略、系统拒绝效劳攻击、系统补丁管理和系统日志六个方面得分较低。1.2. WINDOWS SERVER各分项指标运行情况1.2.1. 系统账户大多数效劳器在系统账号管理的各项巡检指标都无法满足平安性要求，锁定阈值、锁定时间、密

12、码过期时间、甚至有些效劳器在密码复杂度和最小密码长度上，都不符合推荐配置。而所有效劳器都没有相应的制度和文档来记录对账号和密码的变更。需引起足够的重视。1.2.2. 系统审计策略从图中可以看到目前效劳器中审计策略做的比较薄弱，建议按推荐配置进展配置，以备审计之用。1.2.3. 本地平安策略大局部效劳器以下四个指标的设置都不符合平安性要求：“关机：去除虚拟存页面文件、“交互式登录：不显示上次的用户名、“交互式登录：可被缓存的前次登录个数在域控制器不可用的情况下、“：重命名系统管理员账户。1.2.4. 系统效劳设置此配置选项所有效劳器都符合配置。1.2.5. 系统拒绝效劳攻击所有效劳器都没有设置注

13、册表项HKLMSYSTEMCurrentControlSetServicesTcpipPAameters SynAttackProtect，Value: 1。1.2.6. 系统特定文件夹权限所有效劳器数据平安设置均符合标准。1.2.7. 系统特定注册表设置除B2B接口应用效劳器的“系统特定注册表设置没有设置外，其余均按要求设置。1.2.8. 系统防病毒SAP报表发布系统未按公司要求部署杀毒软件，资金系统虽然部署了杀毒软件，但病毒库并没有升级到最新，需引起足够的重视。1.2.9. 系统补丁管理所有效劳器均没有补丁安装测试环境，需要建立此环境。1.2.10. 网络平安所有效劳器数据平安设置均符合标

14、准。1.2.11. 数据加密所有效劳器数据平安设置均符合标准。1.2.12. 数据备份所有效劳器数据平安设置均符合标准。1.2.13. 系统性能生产操作费系统的系统分区可用磁盘空间110MB/29.2G。1.2.14. 系统日志和审计策略相对应，所有效劳器的平安日志存储最大值都不符合标准得81m，而个别效劳器的日志存储只设置为默认的512k。1.3. SQL SERVER总体运行情况1.3.1. SQL SERVER整体运行状态5台SQL server数据看效劳器整体运行情况还不错，但也存在相当多的不合规项。1.3.2. SQL SERVER巡检指标合规状态SQL Server巡检六项指标中，

15、只有数据加密一项完全符合标准配置，其他五项指标都存在问题。1.4. SQL SERVER各分项指标运行情况1.4.1. 日志检查SQL Server日志检查各项指标中，Windows 应用程序日志文件的保存期限项不合规。所有系统的日志文件保存期限均没有进展设置。1.4.2. 备份/恢复SQL Server备份、恢复各项指标中备份数据文件的存放不合规指标。备份文件和SQL数据文件应放在不同盘符中，保证数据的平安。其中开发生产数据库、全面预算系统、生产工艺技术交流平台、油气储量库系统的备份文件和数据文件都放在同一盘符里。1.4.3. 平安性检查SQL Server平安性检查各项指标中用户ID平安项

16、没有满足指标。所有系统的sql账户均未进展分组管理。另外油气储量库存在任务以sa 运行。1.4.4. 平安性检查SQL Server用户管理检查各项指标总共有5项，其中有两项指标不合规，分别是BUILTIN/administrators和SQLDebugger账户应该删除处理。但所检查的sql server中均存在BUILTIN/administrators和SQLDebugger账户。1.4.5. 资源保护SQL Server资源保护各项指标只有一项，即系统登录名的默认数据库不应为master。但所检查系统的登录名默认数据库全为master。1.4.6. 数据加密SQL Server数据加密

17、各项指标正常。1.4.7. 系统性能SQL Server系统性能共三项指标，其中操作系统、数据库文件、日志文件、临时库文件的存放位置不满足要求的。现有数据库数据库文件和日志文件均放在同一盘符，对数据的读取速度有所影响。状态分析从系统管理、系统平安、数据平安、系统运维四个方面分析结果，并设定紧急状态和一般问题，文档将详细列出效劳器的实际配置与推荐配置存在的差异。说明：下表中的红色字体工程，说明实际值和推荐值不符，需要进展参数调整。1.4. 系统管理分析1.4.1. 系统账户l 大多数效劳器以下指标项不符合推荐值，如下：1锁定时间0分钟，被锁定，直到管理员进展解锁15分钟2账户锁定閥值5次无效登录

18、103账户密码永不过期设置密码有效期是4账户密码复杂度密码复杂度：- 大写字母、小写字母、数字和特殊字符四者中三者的组合- 不能包含用户名海油：至少包含一个数字和一个字母未启用5账户最小密码长度8 个字符海油：不应小于6位06账户密码最长使用周期90天0，未启用7账户强制密码历史4 个记住的密码248账户密码管理变更有详细的文档保存无1.4.1.1. 账户锁定时间 紧急程度: 紧急 说明：效劳器没有设置锁定时间 风险：如果没有对账户锁定时间进展设置，非法用户在过了设定时间后，可能会通过自动登录工具和密码猜解字典的方式破解用户密码。 建议：立即启用账户锁定策略，配置参数请参阅推荐值。1.4.1.

19、2. 账户锁定閥值 紧急程度: 紧急 说明：效劳器没有设置锁定策略 风险：如果没有设置锁定閥值，非法用户可能会通过自动登录工具和密码猜解字典的方式破解用户密码，启用了账户锁定閥值后，如果连续出现屡次无效登录，该账户将被自动锁定，这样可有效地阻断非法用户对密码的破解尝试。 建议：立即启用账户锁定閥值，配置参数请参阅推荐值。1.4.1.3. 账户密码永不过期 紧急程度: 紧急 说明：效劳器没有设置密码有效期 风险：如果没有设置密码有效期，非法用户可能会通过自动登录工具和密码猜解字典的方式破解用户密码，启用了账户密码有效期后，定期对账号密码进展更改，可有效地阻断非法用户对密码的破解尝试。 建议：立即

20、启用账户密码有效期，配置参数请参阅推荐值。1.4.1.4. 账户密码复杂度 紧急程度: 紧急 说明：效劳器没有设置密码复杂度 风险：如果没有设置密码复杂度，非法用户可能会通过自动登录工具和密码猜解字典的方式破解用户密码，启用了账户密码复杂度后，可有效地阻断非法用户对密码的破解尝试。 建议：立即启用账户密码复杂度，配置参数请参阅推荐值。1.4.1.5. 账户最小密码长度 紧急程度: 紧急 说明：效劳器没有设置账户最小密码长度 风险：如果没有设置最小密码长度，非法用户可能会通过自动登录工具和密码猜解字典的方式破解用户密码，启用了账户最小密码长度后，可有效地阻断非法用户对密码的破解尝试。 建议：立即

21、启用账户密码最小密码长度，配置参数请参阅推荐值。1.4.1.6. 账户密码最长使用周期 紧急程度: 紧急 说明：效劳器没有设置账户密码最长使用周期 风险：如果没有设置账户密码最长使用周期，非法用户可能会通过自动登录工具和密码猜解字典的方式破解用户密码，启用了账户密码最长使用周期后，可有效地阻断非法用户对密码的破解尝试。 建议：立即启用账户密码最小密码长度，配置参数请参阅推荐值。1.4.1.7. 强制密码历史 紧急程度: 紧急 说明：效劳器没有设置强制密码历史策略 风险：密码重用对于任何组织来说都是需要考虑的重要问题。许多用户都希望在很长时间以后使用或重用一样的密码。特定使用一样密码的时间越长，

22、攻击者能够通过暴力攻击确定密码的时机就越大。如果要求用户更改其密码，但却无法阻止他们使用旧密码，或允许他们持续重用少数几个密码，则会大大降低密码策略的有效性。 建议：立即启用强制密码历史策略，配置参数请参阅推荐值。1.4.1.8. 账户密码管理 紧急程度: 一般问题 说明：没有对效劳器各种账号和密码进展管理 风险：没有设立相关文档和管理制度，对效劳器各种账号和密码的变更进展记录和追踪，便不能有效的对账号和密码的使用情况进展审计，有使账号和密码的管理失控的危险。 建议：立即建立相关账号和密码的管理规定和详细的管理文档进展追踪。1.4.2. 审计策略l 系统审计策略出现的问题比较多，大局部效劳器的

23、审计策略未做任何配置或少量配置：登录事件成功&失败成功&失败成功账户管理成功&失败成功&失败无审核目录效劳访问失败失败无审核登录事件成功&失败成功&失败成功对象访问失败失败无审核策略变更成功&失败成功&失败无审核特权使用成功&失败成功&失败无审核过程追踪不需要设置不需要设置无审核系统事件失败失败无审核1.4.2.1. 没有配置审核策略更改事件 紧急程度: 一般问题 说明：没有配置审核策略更改事件 风险：如果配置了“审核策略更改设置，则可指定是否审核成功、审核失败或根本不审核此事件类型。成功审核会在对用户权限分配策略、审核策略或信任策略的更改成功时生成一个审核项。此审核信息对于记账十分有用，并可

24、帮助确定谁在域中或单台计算机上成功修改了策略。失败审核会在对用户权限分配策略、审核策略或信任策略的更改失败时生成一个审核项。 建议：立即启用审核策略更改，配置参数请参阅推荐值。1.4.2.2. 审核登录事件配置不完整 紧急程度: 一般问题 说明：没有配置审核登录事件的失败审核 风险：如果配置了“审核登录事件设置，则可指定是否审核成功、审核失败或根本不审核此事件类型。成功审核会在登录尝试成功时生成一个审核项。该审核项的信息对于记帐以及事件发生后的辩论十分有用，可用来确定哪个人成功登录到哪台计算机。失败审核会在登录尝试失败时生成一个审核项，该审核项对于入侵检测十分有用。但是，此配置还会创立一个潜在

25、DoS条件，因为攻击者可能会生成数百万个登录失败项，填满平安事件日志，并导致强制关闭效劳器。 建议：立即完善审核登录事件配置，配置参数请参阅推荐值。1.4.2.3. 没有配置审核对象访问 紧急程度: 一般问题 说明：没有配置审核登录事件的失败审核 风险：如果配置了“审核对象访问设置，则可指定是否审核成功、审核失败或根本不审核此事件类型。成功审核会在用户成功访问具有 SACL 的对象时生成一个审核项。失败审核会在用户尝试访问具有 SACL 的对象失败时生成一个审核项。 建议：立即配置审核对象访问，配置参数请参阅推荐值。1.4.2.4. 没有配置审核特权使用 紧急程度: 一般问题 说明：没有配置审

26、核特权使用 风险：如果配置了“审核特权使用设置，则可指定是否审核成功、审核失败或根本不审核此事件类型。成功审核会在成功行使用户权限时生成一个审核项。失败审核会在行使用户权限失败时生成一个审核项。失败审核会在行使用户权限失败时生成一个审核项。如果启用此策略设置，生成的事件数量可能会非常多，并且事件将难以排序。只有在已经方案好如何使用所生成的信息时，才应启用此设置。 建议：立即配置审核特权使用，配置参数请参阅推荐值。1.4.2.5. 没有配置审核系统事件 紧急程度: 一般问题 说明：没有配置审核系统事件 风险：如果配置了“审核系统事件设置，则可指定是否审核成功、审核失败或根本不审核此事件类型。成功

27、审核在事件执行成功时生成一个审核项。失败审核在事件失败时生成一个审核项。由于在为系统事件同时启用失败审核和成功审核时几乎不会记录附加事件，并且由于所有这类事件都非常重要，因此应在计算机上将此策略设置配置为“已启用。 建议：立即配置审核系统事件，配置参数请参阅推荐值。1.4.2.6. 审核登录事件配置不完整 紧急程度: 一般问题 说明：审核登录事件配置不完整 风险：此策略设置确定是否审核用户在不同计算机非记录事件和验证的计算机上登录或注销的每个实例，该审核项的信息对于记帐以及事件发生后的辩论十分有用，可用来确定哪个人成功登录到哪台计算机。失败审核会在登录尝试失败时生成一个审核项，该审核项对于入侵

28、检测十分有用。 建议：立即配置审核登录事件，配置参数请参阅推荐值。1.4.3. 本地平安策略配置l 所以效劳器中除了SAP报表发布效劳器符合标准配置外，其余所有效劳器的以下指标选项不符合标准配置：1关机：去除虚拟存页面文件已启用已禁用2交互式登录：不显示上次的用户名已启用已禁用3交互式登录：可被缓存的前次登录个数在域控制器不可用的情况下0104：重命名系统管理员账户除了Administrator 的其它名字Administrator1.4.3.1. 未配置关机：去除虚拟存页面文件 紧急程度:一般问题 说明：该平安设置决定在关闭系统时是否去除虚拟存页面文件 风险：虚拟存支持使用系统页面文件，将不

29、使用的存页交还给磁盘。在运行的系统上，该页面文件由操作系统以独占方式翻开，并得到很好的保护。不过，配置后允许启动到其他操作系统的系统可能要确保在本系统关闭时已完全去除系统页面文件。通过这种方法，可确保那些能直接访问页面文件的非授权用户，无法得到纳入该页面文件中的进程存所含敏感信息。 建议：立即配置关机：去除虚拟存页面文件策略，配置参数请参阅推荐值。1.4.3.2. 未配置交互式登录：不显示上次的用户名 紧急程度:一般问题 说明：该平安设置确定是否将最近一次登录到计算机的用户名显示在 Windows 登录屏幕中 风险：如果启用该策略，则最近一次成功登录的用户的名称将不显示在“登录到 Window

30、s对话框中。如果禁用该策略，则会显示最近一次登录的用户的名称，存在用户被攻击的风险。 建议：立即配置交互式登录：不显示上次的用户名策略，配置参数请参阅推荐值。1.4.3.3. 交互式登录：可被缓存的前次登录个数在域控制器不可用的情况下 紧急程度:一般问题 说明：此策略设置确定用户是否可使用缓存的信息登录到 Windows 域。此策略设置确定其登录信息在本地缓存的唯一用户的个数。如果将此设置配置为 0，则将禁用登录缓存。 风险：域的登录信息可在本地缓存，以便假设在后续登录中无法联系到域控制器，用户仍能登录。如果允许此功能，可能允许用户在其被禁用或删除之后，或者工作站无法联系到域控制器时进展登录。

31、 建议：立即配置“交互式登录：可被缓存的前次登录个数在域控制器不可用的情况下策略，配置参数请参阅推荐值。1.4.3.4. ：重命名系统管理员账户 紧急程度:一般问题 说明：此策略设置是否将系统管理员默认账号administrator改名 风险：如果不更改默认系统管理员账号administrator，将有管理员账号密码被恶意破解的风险，可能会通过自动登录工具和密码猜解字典的方式破解用户密码。 建议：立即更改administrator账号名并做好记录。1.4.4. 系统效劳设置l 所有效劳器在此项巡检的各指标项的配置都符合允许配置值。1.4.5. 系统拒绝效劳攻击l 所有效劳器在此项巡检的各指标项

32、的配置中，以下都不符合允许配置值。1HKLMSYSTEM CurrentControlSetServices TcpipPAameters(registry subkeyName: SynAttackProtectType: REG_DWORDValue: 1无1.4.5.1. 未配置系统拒绝效劳攻击注册表值 紧急程度: 一般问题 说明：该平安设置确定是否在注册表中设定相关键值是否防止系统拒绝效劳攻击。 风险：如果没有设置该策略，将有可能受到系统拒绝效劳攻击。 建议：立即配置特定注册表设置策略，配置参数请参阅推荐值。1.4.6. 特定文件夹权限l 所有效劳器在此项巡检的各指标项的配置都符合允许

33、配置值。1.4.7. 系统特定注册表设置l 除B2B接口应用效劳器不符合此标准外，其他效劳器都符合允许配置值：HKLMSYSTEM CurrentControlSetServices EventlogApplicationName: RestrictGuestAccessType: REG_DWORDValue: 1Name: RestrictGuestAccessType: REG_DWORDValue: 1无HKLMSYSTEM CurrentControlSetServices EventlogSecurityName: RestrictGuestAccessType: REG_DWOR

34、DValue: 1Name: RestrictGuestAccessType: REG_DWORDValue: 1无HKLMSYSTEM CurrentControlSetServices EventlogSystemName: RestrictGuestAccessType: REG_DWORDValue: 1Name: RestrictGuestAccessType: REG_DWORDValue: 1无HKLMSYSTEM CurrentControlSetServices EventlogDNS ServerName: RestrictGuestAccessType: REG_DWOR

35、DValue: 1Name: RestrictGuestAccessType: REG_DWORDValue: 1无1.4.7.1. 未配置特定注册表设置 紧急程度: 一般问题 说明：该平安设置确定是否在注册表中设定相关键值是否防止guest用户访问 风险：如果启用该策略，将制止guest用户访问访问相关效劳 建议：立即配置特定注册表设置策略，配置参数请参阅推荐值。1.5. 系统平安管理分析1.5.1. 系统防病毒l SAP报表发布效劳器没有正确部署企业版防病毒软件；l 资金系统的四台效劳器，其病毒库没有更新至巡检日。1防病毒软件的部署1效劳器部署率：100%2正确部署企业版防病毒软件无2防病

36、毒软件的更新1频率周期：每日定时更新2更新方式：从效劳器端更新3更新检查：通过效劳器控制台查看病毒码定义病毒库没有更新至：2021-1-251.5.1.1. 未部署防病毒软件 紧急程度: 紧急状态 说明：系统没有按要求部署企业版防病毒软件 风险：如果没有部署企业版防病毒软件，将给效劳器带来病毒侵袭的危险。 建议：立即部署企业版防病毒软件。1.5.1.2. 防病毒软件未更新 紧急程度: 紧急状态 说明：防病毒软件的病毒库定义没有升级到最新版本 风险：如果病毒库定义不升级到最新版本，将给效劳器带来病毒侵袭的危险 建议：立即将病毒库定义升级到最新版本。1.5.2. 系统补丁管理l 所有效劳器均不具备

37、补丁安装测试环境：补丁安装测试安装测试应满足：1具备补丁安装测试环境2具备补丁安装测试操作安装测试应满足：1具备补丁安装测试环境2具备补丁安装测试操作安装测试应满足：1具备补丁安装测试环境否2具备补丁安装测试操作有1.5.2.1. 不具备补丁安装测试环境 紧急程度: 一般问题 说明：具备补丁安装测试环境能检验补丁是否对生产环境中实际应用存在影响 风险：如果启用该策略，能检验补丁是否对生产环境中实际应用存在影响，防止打补丁造成额外的风险 建议：尽快具备补丁安装测试环境，配置参数请参阅推荐值。1.5.3. 网络平安l 所有效劳器在此项巡检的各指标项的配置都符合允许配置值。1.6. 数据平安分析1.

38、6.1. 数据加密l 所有效劳器在此项巡检的各指标项的配置都符合允许配置值。1.6.2. 数据备份l 所有效劳器在此项巡检的各指标项的配置都符合允许配置值。1.7. 系统运维分析1.7.1. 系统性能l 生产操作费系统的系统分区可用磁盘空间110MB/29.2G。磁盘容量系统分区可用磁盘空间 500MB系统分区可用磁盘空间 500MB1. 生产操作费系统的系统分区可用磁盘空间110MB/29.2G。1.7.1.1. 系统分区可用磁盘空间 紧急程度: 紧急状态 说明：系统分区可用磁盘空间500MB 风险：如果系统分区可用磁盘空间低于500MB，一旦磁盘空间耗尽将带来系统停机的风险。 建议：尽快解

39、决磁盘空间缺乏的问题，配置参数请参阅推荐值。1.7.2. 系统日志l 所有效劳器的平安日志存储最大值都不符合标准得81m，而个别效劳器的日志存储只设置为默认的512k。日志文件管理- 应用程序日志最大值16MB- 平安日志最大值81MB- 系统日志最大值16MB)- 应用程序日志最大值16MB- 平安日志最大值81MB- 系统日志最大值16MB)应用程序日志最大值512KB平安日志最大值512KB系统日志最大值512KB)1.7.2.1. 平安日志最大占用空间缺乏 紧急程度: 一般问题 说明：平安日志最大占用空间配置参数值过低 风险：由于开启了相关的系统审核，在平安日志里面会产生大量的审核记录

40、，而这些审核记录对于中海油的审计工作来说又是至关重要的，所以平安日志空间过低，会导致审核记录的不完整较旧日期的数据会被覆盖掉，造成对出现的平安事件效劳器被攻击缺乏足够的分析判断依据。 建议：立即修改平安日志最大占用空间，配置参数请参阅推荐值。状态分析从日志检查、备份/恢复、平安性检查、用户管理、资源保护和数据加密六个方面分析结果，并设定紧急状态和一般问题，文档将详细列出效劳器的实际配置与推荐配置存在的差异。说明：下表中的红色字体工程，说明实际值和推荐值不符，需要进展参数调整。1.8. 日志检查1.8.1. 日志检查l 各效劳器在以下几个指标存在不符合项：Windows 应用程序日志文件保存期6

41、0天Windows应用日志属性，查看保存期限无设置1.8.1.1. WINDOWS 应用程序日志文件保存期未设置 紧急程度: 一般问题 说明：Windows应用日志属性，查看保存期限 风险：未设保存期，可能日志过小或过大，导致日志文件信息不全面或不可用。 建议：设置保存期为60天，配置参数请参阅推荐值。1.9. 备份/恢复1.9.1. 备份/恢复l 各效劳器在以下几个指标存在不符合项：备份数据文件存放备份文件与SQL数据文件不能在同一台机器的同一个物理磁盘上检查备份方案的输出路径或咨询DBASQL数据文件与备份文件放在同一盘符；1.9.1.1. 备份文件和数据文件存放于同一盘符 紧急程度: 紧

42、急状态 说明：检查备份方案的输出路径或咨询DBA 风险：备份文件和数据文件存放在同一盘符，假设该盘符不可用，导致所有数据文件均丧失。 建议：备份文件和数据文件应存放在不同盘符，配置参数请参阅推荐值。1.10. 平安性检查1.10.1. 平安性检查l 各效劳器在以下几个指标存在不符合项：用户 ID 平安使用用户组或数据库角色来应用权限，而不是单个用户 ID类似Windows中账户参加组，通过组进展管理(无)无任务job以sa 运行不允许，使用其他账户运行SQL实例-管理-SQL Agent-作业,翻开作业查看执行账户是否为SA存在sa账户运行任务job1.10.1.1. 未使用用户组管理数据库账

43、户 紧急程度: 一般问题 说明：类似Windows中账户参加组，通过组进展管理 风险：通过单个用户 ID来管理数据库账户，将给系统带来管理混乱的风险。 建议：使用用户组或数据库角色来管理数据库账户，配置参数请参阅推荐值。1.10.1.2. 任务JOB以SA 运行 紧急程度: 一般问题 说明：SQL实例-管理-SQL Agent-作业,翻开作业查看执行账户是否为SA 风险：假设以sa账号来运行job，将给系统带来被攻击的风险。 建议：改用其他账户来运行job，配置参数请参阅推荐值。1.11. 用户管理1.11.1. 用户管理l 各效劳器在以下几个指标存在不符合项：BUILTIN/administ

44、rators删除SQL实例-平安性-登陆，查看是否存在存在SQLDebugger (安装SQL 2000 SP3过程中创立的账户)删除Windows账户存在1.11.1.1. 存在BUILTIN/ADMINISTRATORS账户 紧急程度: 紧急状态 说明：SQL实例-平安性-登陆，查看是否存在 风险：如果存在BUILTIN/ADMINISTRATORS，将给系统带来被攻击的风险。 建议：删除BUILTIN/ADMINISTRATORS，配置参数请参阅推荐值。1.11.1.2. 存在SQLDEBUGGER账户 紧急程度: 一般问题 说明：安装SQL 2000 SP3过程中创立的账户 风险：如果

45、存在SQLDebugger账号，将给系统带来被攻击的风险。 建议：删除SQLDebugger账号，配置参数请参阅推荐值。1.12. 资源保护1.12.1. 资源保护l 各效劳器在以下几个指标存在不符合项:SQL登录的默认数据库设置Master 数据库不应该作为默认的登录数据库SQL实例-平安性-登陆，翻开用户属性查看默认DBMaster为默认登录数据库1.12.1.1. SQL登录的默认数据库设置为MASTER 紧急程度: 一般问题 说明：SQL实例-平安性-登陆，翻开用户属性查看默认DB 风险：Master 数据库作为默认的登录数据库，将给系统带来被攻击的风险。 建议：Master 数据库不

46、应该作为默认的登录数据库，配置参数请参阅推荐值。1.13. 数据加密1.13.1. 数据加密l 所有效劳器在此项巡检的各指标项的配置都符合允许配置值。1.14. 系统性能1.14.1. 系统性能l 各效劳器在以下几个指标存在不符合项:操作系统、数据库文件、日志文件、临时库文件的存放位置操作系统、用户库文件、用户库日志文件、临时库应该尽量分别放在不同的物理磁盘上查看数据库属性中的数据库文件和日志文件是否在其他非C:下数据文件、日志文件、临时文件存放在同一盘符1.14.1.1. 文件存放在同一盘符 紧急程度: 一般问题 说明：查看数据库属性中的数据库文件和日志文件是否在其他非C:下 风险：数据文件

47、、日志文件放在同一物理盘符，将导致系统的读写速度降低。 建议：操作系统、用户库文件、用户库日志文件、临时库应该尽量分别放在不同的物理磁盘上，配置参数请参阅推荐值。通过巡检分析我们可以看到，29台windows系统和5台SQL Server当前在平安性方面还需要一步改进，可靠性与上次巡检相比较，改进较大，目前能够符合要求，特别是在备份方面工作，网络平安做的较好。比较严重的问题集中在系统账号管理、系统审计策略、本地平安策略配置、系统拒绝效劳攻击、系统防病毒、系统补丁管理、系统性能、系统日志、SQL用户管理九个方面，配置参数需要按照平安标准进展调整。另外，B2B接口应用系统、SAP接口应用系统、SA

48、P报表发布系统、审作业系统、资金系统五个系统的问题比较突出，各项指标都存在较多问题，拉低了各项评分。1.15. 问题改进建议1.15.1. 系统账号管理1. 建立和完善账号和密码管理制度；2. 建立和完善账号和密码变更记录；3. 严格执行涉及账号和密码的各项平安策略；4. 培养防风险的意识。1.15.2. 系统审计策略1. 根据企业实际情况和需求，改进和完善审计策略配置；2. 培养防风险的意识。1.15.3. 本地平安策略配置1. 改进和完善本地策略配置；2. 严格执行本地策略中平安相关配置；3. 培养防风险的意识。1.15.4. 系统拒绝效劳攻击1. 立即配置特定注册表设置策略。1.15.5

49、. 系统防病毒1. 尽快按公司要求部署防病毒软件；2. 尽快按公司要求更新防病毒软件的病毒库定义以及升级策略。1.15.6. 系统补丁管理1. 尽快建立补丁安装测试环境；2. 制定补丁安装失败后的回滚机制。1.15.7. 系统性能1. 尽快解决系统分区磁盘缺乏的问题。1.15.8. 系统日志1. 尽快根据审计策略挑高相关日志的存储大小。1.15.9. SQL日志检查1. Windows应用日志属性，查看保存期限，设置保存期为60天1.15.10. SQL备份/恢复1. 备份文件和数据文件应存放在不同盘符1.15.11. SQL平安性检查1. 使用用户组或数据库角色来管理数据库账户；2. 改用其他账户来运行job。1.15.12. SQL用户管理1. 立即删除不必要的账号。1.15.13. SQL资源保护1. 将Master 数据库设为非默认的登录数据库1.15.14. SQL系统性能1. 操作系统、用户库文件、用户库日志文件、临时库应该尽量分别放在不同的物理磁盘上1.15.15. 局部效劳器得分较低、问题突出1. 对各系统管理员重申系统运维规；2. 严格执行系统运维规；3. 对问题突出效劳器限期整改。附注：请确认在本次巡检过程中在各系统建立的巡检账号已经删除或禁用。. z