0.准备阶段常见的方法及工作指导.pdf

准备阶段常见的方法 一.主机和网络设备安全初始化快照 1、Windows 安全初始化快照  生成帐号快照；  生成进程快照；  生成服务快照；  生成自启动快照；  生成文件签名快照；  生成网络连接快照；  生成共享快照；  生成定时作业快照；  生成注册表快照；  保存所有快照到光盘内 2、Unix 安全初始化快照  获得所有 setuid 和 setgid 的文件列表；  获得所有的隐藏文件列表；  获得初始化进程列表；  获得开放的端口列表  获得开放的服务列表；  获得初始化 passwd 文件信息；  获得初始化 shadow 文件信息；  获得初始化的不能 ftp 登陆的用户信息；  获得初始化的用户组信息；  获得初始化的 /etc/hosts 文件信息；  获得初始化的/etc/default/login 文件信息；  获得/var/log 目录下的初始化文件列表信息；  获得/var/adm 目录下的初始化文件列表信息；  获得初始化计划任务列表文件；  获得初始化加载的内核模块列表；  获得初始化日志配置文件/etc/syslog.conf 信息；  获得初始化 md5 校验和信息；  保存所有快照到光盘内。 3、网络设备安全初始化快照  获取用户访问线路列表；  获取用户权限信息列表；  获取开放端口列表；  获取路由表；  获取访问控制列表；  获取路由器 CPU 状态；  保存所有信息到光盘内。 1 4 、数据库安全初始化快照  获取 Oracle 数据库用户信息；  获取 DEFAULT 概要文件信息；  获取数据库参数信息；  获取 Oracle 其他初始化参数信息；  保存所有信息到光盘内。 5、安全加固及系统备份 二. Windows 安全初始化快照 1、获取帐号信息： 说明：Windows 2000 Server 缺省安装后有五个帐号，其中两个帐号是 IIS 帐号，一个是安装 了终端服务的终端用户帐号，如果系统维护人员自己创建了帐号，也要记录在案。 操作方法：使用 net user 命令（Windows 系统自带）可以列举出系统当前帐号。 附加信息：Windows 2000 Server 缺省安装后的五个帐号名称： Administrator ：默认系统维护人员帐号 Guest ：来宾用户帐号 IUSR_机器名：IIS 来宾帐号 IWAM_机器名：启动 IIS 的进程帐号 TsInternetUser ：终端用户帐号 2、获取进程列表： 说明：系统维护人员应在系统安装配置完成后对系统进程做快照。 操作方法：通过使用 pslist 命令(第三方工具， 下载)，能够列举 当前进程建立快照。 使用 Widnows 任务管理器 （Windows 系统自带）也可以列举出当前进 程，但推荐使用 pslist 工具。 附加信息：请参见附录 1 察看 Windows 2000 Server 系统进程名及对应功能。 3、获取服务列表： 说明：系统维护人员应在系统安装配置完成后对系统服务做服务快照。 操作方法：使用 sc query state= all 命令格式（Windows 资源工具箱中的工具）可以列举出系 统当前服务信息。 附加信息：请参见附录 2 察看 Windows 2000 Server 系统服务。 4 、获取自启动程序信息： 说明：Windows 2000 Server 缺省安装后并无自启动项目。如果系统维护人员自己安装了某 些软件，比如Office，打印机等等，缺省情况下将