第九节Windows等保测评服务器配置修改

已于 2023-11-17 13:07:16 修改
阅读量1.6k 收藏 25
点赞数 17
分类专栏: 12等保安全windows 文章标签: 服务器 运维
于 2023-11-03 11:56:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zjltianxin/article/details/134200202
版权

目录

1.服务器密码限制

2.服务远程管理

3.开启日志功能

4.清除身份鉴别信息

5.SSL/TLS协议信息泄露

5.1.tomcat禁用3DES和DES算法:

5.2.nginx禁用3DES和DES算法:

6.终端服务未使用网络级别身份验证 (NLA)

7.Microsoft Windows远程桌面协议服务程序密钥泄露漏洞(CVE-2005-1794)

8.响应头安全漏洞

8.1 未设置Strict-Transport-Security响应头

8.2 未设置X-Download-Options响应头

8.3 未设置X-Permitted-Cross-Domain-Policies响应头

8.4 未设置Referrer-Policy响应头

8.5 未设置X-XSS-Protection响应头

8.6 点击劫持:无X-Frame-Options头信息

8.7 未设置X-Content-Type-Options响应头

​编辑

9.完整nginx.conf文件内容:

1.服务器密码限制

等保测评检测问题:未对身份鉴别信息复杂度进行检查,未强制要求定期更换口令。

解决方法:

Win+R键打开运行,输入 secpol.msc,打开本地安全策略

打开“计算机管理”

打开cmd面板,输入compmgmt.msc,打开

将密码永不过期设置为不勾选

2.服务远程管理

等保测评检测问题:未采用加密措施等安全方式对系统进行远程管理;

解决方法:

Win+R键打开运行,输入 gpedit.msc,打开本地组策略编辑器

【计算机配置】【管理模板】windows组件】【远程桌面服务】【远程桌面会话主机】【安全】

双击“设置客户端连接加密级别”选项,配置为已启动,加密级别配置为“客户端兼容”

双击“远程(RDP)连接要求使用指定的安全层”选项,配置为已启动,安全层配置为“协商”

3.开启日志功能

等保测评检测问题:未开启日志功能,无法对审计记录进行保护

解决方法:

Win+R键打开运行,输入 secpol.msc,打开本地安全策略

Win+R键打开运行,输入“eventvwr”,打开事件查看器

应用程序、安全、设置、系统分别进行设置

4.清除身份鉴别信息

等保测评检测问题:未及时清除身份鉴别信息或身份鉴别信息释放或清除机制存在安全隐患

解决方法:

Win+R键打开运行,输入 secpol.msc,打开本地安全策略

5.SSL/TLS协议信息泄露

等保测评检测问题: SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】

解决方法:

Win+R键打开运行,输入 gpedit.msc,打开本地策略编辑器

将下面密码替换到:SSL密码套件中

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA,WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA

5.1.tomcat禁用3DES和DES算法:

在tomcat/conf/server.xml中找到端口配置,添加Ciphers="",此处添加支持的算法,不支持的算法请勿加入其中!如下:

Ciphers="TLS_DHE_RSA_WITH_AES_128_CBC_SHA ,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"

重新启动Tomcat

5.2.nginx禁用3DES和DES算法:

在nginx/conf/nginx.conf文件中添加如下:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
	#只允许TLS协议
 
	ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
	#加密套件,这里用了CloudFlares Internet facing SSL cipher configuration

6.终端服务未使用网络级别身份验证 (NLA)

等保测评检测问题:

解决方法:

1)选择【我的电脑】右键选择【属性】,打开系统和安全设置

2)选择【远程设置】

3勾选【允许远程连接此计算机】【仅允许运行使用网络级别身份验证的远程桌面的计算机连接(建议)】

7.Microsoft Windows远程桌面协议服务程序密钥泄露漏洞(CVE-2005-1794)

等保测评检测问题:

解决方法:

1)选择【我的电脑】右键选择【属性】,打开系统和安全设置

2)【高级系统设置】

2)设置如下,如已操作过【远程设置】无需再次操作

8.响应头安全漏洞

等保测评检测问题:

8.1 未设置Strict-Transport-Security响应头

8.2 未设置X-Download-Options响应头

8.3 未设置X-Permitted-Cross-Domain-Policies响应头

8.4 未设置Referrer-Policy响应头

8.5 未设置X-XSS-Protection响应头

8.6 点击劫持:无X-Frame-Options头信息

8.7 未设置X-Content-Type-Options响应头

解决方法:

nginx.conf配置文件中添加如下配置:

     # 相关安全漏洞响应头    
     # 检测到目标 X-Content-Type-Options响应头缺失 这个暂时不开启,不然部分banner无法使用    
     #add_header X-Content-Type-Options "nosniff";    
     # 检测到目标 Content-Security-Policy响应头缺失  这个暂时不开启,不然会导致Cesium无法使用    
     #add_header Content-Security-Policy "default-src 'self' http: https://* data: blob: 'unsafe-eval' 'unsafe-inline';child-src 'none' " always; 

      # 相关安全漏洞响应头    
      # 检测到目标 X-XSS-Protection响应头缺失    
      add_header X-XSS-Protection "1; mode=block";    
      # 检测到目标 Referrer-Policy响应头缺失    
      add_header Referrer-Policy "no-referrer-when-downgrade" always;    
      # 检测到目标 X-Permitted-Cross-Domain-Policies响应头缺失    
      add_header X-Permitted-Cross-Domain-Policies none;    
      # 检测到目标 X-Download-Options响应头缺失    
      add_header X-Download-Options noopen;    
      # 检测到目标 Strict-Transport-Security响应头缺失    
      add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
     #点击劫持:X-Frame-Options未配置
     add_header X-Frame-Options SAMEORIGIN;
     #检测到目标 X-Content-Type-Options响应头缺失  开启后部分banner无法使用  不影像我们系统使用 可开启   
     add_header X-Content-Type-Options "nosniff";

配置后重新nginx即可

如果配置后出现如下问题Cesium无法使用,nginx不配置Content-Security-Policy即可,不影响漏扫,上面配置是已注释掉Content-Security-Policy的,可直接复制使用

9.完整nginx.conf文件内容:


#user  nobody;
worker_processes  1;

#error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;

#pid        logs/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       mime.types;
    default_type  application/octet-stream;

     server {
        listen 8080  ssl;
        server_name  www.aaa.cn;

	client_max_body_size 300m;         #主要是这个参数,限制了上传文件大大小

	ssl_certificate          www.aaa.cn_bundle.pem;
        ssl_certificate_key      www.aaa.cn.key;


	ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
	#只允许TLS协议
 
	ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
	#加密套件,这里用了CloudFlares Internet facing SSL cipher configuration
 
	ssl_prefer_server_ciphers on;
	#由服务器协商最佳的加密算法

      # 相关安全漏洞响应头    
      # 检测到目标 X-XSS-Protection响应头缺失    
      add_header X-XSS-Protection "1; mode=block";    
      # 检测到目标 Referrer-Policy响应头缺失    
      add_header Referrer-Policy "no-referrer-when-downgrade" always;    
      # 检测到目标 X-Permitted-Cross-Domain-Policies响应头缺失    
      add_header X-Permitted-Cross-Domain-Policies none;    
      # 检测到目标 X-Download-Options响应头缺失    
      add_header X-Download-Options noopen;    
      # 检测到目标 Strict-Transport-Security响应头缺失    
      add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
      #点击劫持:X-Frame-Options未配置
      add_header X-Frame-Options SAMEORIGIN;


        location /ak_hwrl {
            proxy_pass http://192.168.100.10:8012;
        }

        location /sys-api { 
            proxy_pass http://192.168.100.10:9999;
        }
	 
	location /manage-api { 
	    proxy_pass http://192.168.100.10:9999;
	}


	location /hangjingsoft { 
	    proxy_pass http://192.168.100.10:8012;
	}

	location /excel { 
	    proxy_pass http://192.168.100.10:8012;
	}

	location /ryjl { 
	    proxy_pass http://192.168.100.10:8012;
	}

	location /ueditor { 
	    proxy_pass http://192.168.100.10:8012;
	}
        
	location / {
            root   html;
            index  index.html index.htm;
        }


    }
}

akglobe
关注
  • 17
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
3389远程桌面漏洞检测工具.zip
05-29
最新CVE-2019-0708poc ,懂得来,不懂得就别来了,360火神团队写的poc,亲测好用,用于自建,无损检测
网站安全响应缺失和php配置漏洞
春秋一阕任琦行
09-10 5174
最近给学校做网站,被查出各种响应缺失的 低危漏洞 和 一些配置漏洞,还有一些需要https的配置。。。。。 php.ini 中修改 expose_php off // php彩蛋信息泄露 session.cookie_httponly=true // cookie没有设置httponly属性 PHP 配置 header("X-Frame-Options:SAMEO...
【已解决】IIS环境检测到网站存在响应缺失、禁用Options方法、解决跨域攻击等不安全
最新发布
A_991128a的博客
06-04 625
环境下的网站存在响应缺失漏洞如下1、检测到目标X-Content-Type-Options响应缺失2、检测到目标X-XSS-Protection响应缺失3、检测到目标Content-Security-Policy响应缺失 IIS设置4、检测到目标X-Permitted-Cross-Domain-Policies响应缺失 重新配置IIS5、检测到目标Strict-Transport-Security响应缺失 重新配置IIS。
提高安全性而在HTTP响应中可以使用的各种响应字段
weixin_33858485的博客
05-05 389
本文介绍在Web服务器做出响应时,为了提高安全性而在HTTP响应中可以使用的各种响应字段。由于部分浏览器中有可能对某些字段或选项不提供支持,所以在使用这些字段时请先确认客户端环境。 X-Frame-Options响应中用于控制是否在浏览器中显示frame或iframe中指定的页面,主要用来防止Clickjacking(点击劫持)攻击。 X-Frame-Options: SAMEOR...
检测到目标Referrer-Policy响应缺失
lxyoucan的博客
07-14 3543
Web 服务器对于 HTTP 请求的响应中缺少 Referrer-Policy,这将导致浏览器提供的安全特性失效。当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息。
Microsoft Windows远程桌面协议中间人攻击漏洞(CVE-2005-1794)解决方案
热门推荐
安全小白的博客
06-12 4万+
Microsoft Windows远程桌面协议中间人攻击漏洞(CVE-2005-1794)解决方案1.系统版本:windows server 2003 2.漏洞:CVE-2005-1794 3.修复方案: 漏洞介绍: Microsoft Windows远程桌面协议用于连接Windows终端服务。 Windows远程桌面协议客户端没有验证会话的服务器公共密钥,远程攻击者可以利用这个漏洞通过Man
配置类安全问题学习小结
dayouzi的博客
09-06 6623
此文主要是针对扫描器常见的一些配置性漏洞的概述及如何修复的一些建议。
等保2.0测评 linux服务器加固 基本安全配置手册.docx
12-25
等保2.0测评 Linux 服务器加固基本安全配置手册 Linux 服务器加固是等保2.0测评的重要组成部分,本手册提供了基本的安全配置手册,旨在帮助管理员快速实现 Linux 服务器的加固。下面是该手册中涵盖的知识点: 一、...
等保2.0 测评 linux服务器加固 基本安全配置手册 -.pdf
03-04
等保2.0 测评 linux服务器加固 基本安全配置手册 -.pdf
windows服务器保测评作业指导书
06-10
Windows 服务器保测评作业指导书 在 Windows 服务器保测评作业指导书中,总共分为四个部分:身份鉴别、访问控制、安全审计和入侵防范。下面是对每个部分的详细解释: 一、身份鉴别(安全通用要求) 身份鉴别是...
等保2.0windows测评指导书、结果记录
11-04
等保2.0windows测评指导书、结果记录 等保2.0windows测评指导书、结果记录
等保测评-华为、华三、锐捷路由、交换设备配置
08-04
等保测评相关路由、交换机设备配置
部分绿盟低风险错误解决办法:
yjfkeifk的博客
06-11 3369
使用绿盟进行安全检测,经常会出现: 检测到目标X-Content-Type-Options响应缺失   检测到目标X-XSS-Protection响应缺失   检测到目标Content-Security-Policy响应缺失   检测到目标Strict-Transport-Security响应缺失   检测到目标Referrer-Policy响应缺失   检测到目标X-Permitted-Cross-Domain-Policies响应缺失   检测到目标X-Download-Options响应
安全渗透测试解决方法以及使用nginx进行解决
qq_45621643的博客
12-07 2075
线上安全环境维护
web安全:x-content-type-options设置
qq_27195727的博客
01-05 4483
如果服务器发送响应 “X-Content-Type-Options: nosniff”,则 script 和 styleSheet 元素会拒绝包含错误的 MIME 类型的响应。这是一种安全功能,有助于防止基于 MIME 类型混淆的攻击。 简单理解为:通过设置"X-Content-Type-Options: nosniff"响应,对 script 和 styleSheet 在执行是通过MIME 类型来过滤掉不安全的文件 服务器发送含有 “X-Content-Type-Options: nosniff”
微软远程桌面服务远程代码执行漏洞
securitypaper的博客
11-03 2147
2019 年年末,高危漏洞 PoC、EXP 的公开发布数量明显减少。北京时间 5 月 15 日,微软官方发布了 5 月安全更新补丁,此次更新共修复了 82 个漏洞,其中 Windows 操作系统远程桌面服务漏洞(CVE-2019-0708)威胁程度较高,攻击者可通过 RDP 协议向目 标发送恶意构造请求,实现远程代码执行,甚至可利用此漏洞实现蠕虫式攻击。在 19 年处理的安全事件中,弱口令事件占比 22%,钓鱼邮件相关事件占比 7%,配置不当事件占比 3%, 与人和管理相关的事件合计占总数的 1/3,
响应缺失、禁用Options方法、解决跨域
m0_37642477的博客
09-02 7215
web安全响应
CVE-2005-1794
Jian Sun_的博客
08-04 1379
应用即可,实验发现并不需要重启服务或操作系统。
关于nginx HTTP安全响应问题
liwan09的博客
04-20 8759
攻击者利用透明的、不可见的iframe,覆盖在一个网页上,此时用户在不知情的情况下点击了这个透明的iframe页面。X-Content-Type-Options 响应相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改,这就禁用了客户端的 MIME 类型嗅探行为。web浏览器在响应中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。
centos三级等保评测表
09-14
CentOS三级等保评测表是由中国信息安全测评中心(CCSS)编制的一份评估表格,用于评估CentOS操作系统在信息安全等级保护中的安全性能。 评测表中包含了多个方面的内容,如安全需求、技术要求、测试方法和结果等。具体包括硬件环境安全、操作系统安全、网络安全、应用软件安全和安全管理等方面。 在硬件环境安全中,评测表要求评估CentOS系统是否合规的部署在安全的硬件环境中,包括服务器机房的防护措施、服务器硬件配置和安全设备等。 操作系统安全方面,评测表要求评估CentOS系统在访问控制、身份认证、系统日志和审计等方面的安全性能,以及漏洞管理和安全更新的能力。 评测表还关注网络安全方面,要求评估CentOS系统在网络拓扑、网络传输机制、远程访问和网络隔离等方面的安全性能。 在应用软件安全方面,评测表要求评估CentOS系统运行的应用软件是否有漏洞和可以进行恶意攻击,以及对应用软件的安全配置和控制。 最后,评测表中还强调了安全管理方面的评估,包括安全策略和规范制定、安全事件管理和应急响应能力的评估等。 通过对CentOS三级等保评测表的评估,可以检验CentOS操作系统在信息安全方面是否符合国家的等级保护要求,为用户提供一个安全可靠的操作系统环境。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

akglobe

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值