从前慢现在也慢

这个屌丝很懒，什么也没留下！

热门标签

第九节Windows等保测评服务器配置修改_未设置x-download-options响应头

作者：从前慢现在也慢 | 2024-08-15 09:19:08

踩

未设置x-download-options响应头

5.1.tomcat禁用3DES和DES算法：

5.2.nginx禁用3DES和DES算法：

6.终端服务未使用网络级别身份验证 (NLA)

7.Microsoft Windows远程桌面协议服务程序密钥泄露漏洞(CVE-2005-1794)

8.响应头安全漏洞

8.1 未设置Strict-Transport-Security响应头

8.2 未设置X-Download-Options响应头

8.3 未设置X-Permitted-Cross-Domain-Policies响应头

8.4 未设置Referrer-Policy响应头

8.5 未设置X-XSS-Protection响应头

8.6 点击劫持:无X-Frame-Options头信息

8.7 未设置X-Content-Type-Options响应头

编辑

9.完整nginx.conf文件内容：

1.服务器密码限制

等保测评检测问题：未对身份鉴别信息复杂度进行检查，未强制要求定期更换口令。

解决方法：

Win+R键打开运行，输入 secpol.msc，打开本地安全策略

打开“计算机管理”

打开cmd面板，输入compmgmt.msc，打开

将密码永不过期设置为不勾选

2.服务远程管理

等保测评检测问题：未采用加密措施等安全方式对系统进行远程管理；

解决方法：

Win+R键打开运行，输入 gpedit.msc，打开本地组策略编辑器

【计算机配置】—【管理模板】—【windows组件】—【远程桌面服务】—【远程桌面会话主机】—【安全】

双击“设置客户端连接加密级别”选项，配置为已启动，加密级别配置为“客户端兼容”

双击“远程（RDP）连接要求使用指定的安全层”选项，配置为已启动，安全层配置为“协商”

3.开启日志功能

等保测评检测问题：未开启日志功能，无法对审计记录进行保护

解决方法：

Win+R键打开运行，输入 secpol.msc，打开本地安全策略

Win+R键打开运行，输入“eventvwr”，打开事件查看器

应用程序、安全、设置、系统分别进行设置

4.清除身份鉴别信息

等保测评检测问题：未及时清除身份鉴别信息或身份鉴别信息释放或清除机制存在安全隐患

解决方法：

Win+R键打开运行，输入 secpol.msc，打开本地安全策略

5.SSL/TLS协议信息泄露

等保测评检测问题： SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】

解决方法：

Win+R键打开运行，输入 gpedit.msc，打开本地策略编辑器

将下面密码替换到：SSL密码套件中

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA,WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA

5.1.tomcat禁用3DES和DES算法：

在tomcat/conf/server.xml中找到端口配置，添加Ciphers=""，此处添加支持的算法，不支持的算法请勿加入其中！如下：

Ciphers="TLS_DHE_RSA_WITH_AES_128_CBC_SHA ,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"

重新启动Tomcat

5.2.nginx禁用3DES和DES算法：

在nginx/conf/nginx.conf文件中添加如下：


ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
	#只允许TLS协议
 
	ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
	#加密套件,这里用了CloudFlares Internet facing SSL cipher configuration

6.终端服务未使用网络级别身份验证 (NLA)

等保测评检测问题：

解决方法：

（1）选择【我的电脑】右键选择【属性】，打开系统和安全设置

（2）选择【远程设置】

（3）勾选【允许远程连接此计算机】【仅允许运行使用网络级别身份验证的远程桌面的计算机连接(建议)】

7.Microsoft Windows远程桌面协议服务程序密钥泄露漏洞(CVE-2005-1794)

等保测评检测问题：

解决方法：

（1）选择【我的电脑】右键选择【属性】，打开系统和安全设置

（2）【高级系统设置】

（2）设置如下，如已操作过【远程设置】无需再次操作

8.响应头安全漏洞

等保测评检测问题：

8.1 未设置Strict-Transport-Security响应头

8.2 未设置X-Download-Options响应头

8.3 未设置X-Permitted-Cross-Domain-Policies响应头

8.4 未设置Referrer-Policy响应头

8.5 未设置X-XSS-Protection响应头

8.6 点击劫持:无X-Frame-Options头信息

8.7 未设置X-Content-Type-Options响应头

解决方法：

在nginx.conf配置文件中添加如下配置：


     # 相关安全漏洞响应头    
     # 检测到目标 X-Content-Type-Options响应头缺失 这个暂时不开启，不然部分banner无法使用    
     #add_header X-Content-Type-Options "nosniff";    
     # 检测到目标 Content-Security-Policy响应头缺失  这个暂时不开启，不然会导致Cesium无法使用    
     #add_header Content-Security-Policy "default-src 'self' http: https://* data: blob: 'unsafe-eval' 'unsafe-inline';child-src 'none' " always; 
 
      # 相关安全漏洞响应头    
      # 检测到目标 X-XSS-Protection响应头缺失    
      add_header X-XSS-Protection "1; mode=block";    
      # 检测到目标 Referrer-Policy响应头缺失    
      add_header Referrer-Policy "no-referrer-when-downgrade" always;    
      # 检测到目标 X-Permitted-Cross-Domain-Policies响应头缺失    
      add_header X-Permitted-Cross-Domain-Policies none;    
      # 检测到目标 X-Download-Options响应头缺失    
      add_header X-Download-Options noopen;    
      # 检测到目标 Strict-Transport-Security响应头缺失    
      add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
     #点击劫持：X-Frame-Options未配置
     add_header X-Frame-Options SAMEORIGIN;
     #检测到目标 X-Content-Type-Options响应头缺失  开启后部分banner无法使用  不影像我们系统使用 可开启   
     add_header X-Content-Type-Options "nosniff";

配置后重新nginx即可

如果配置后出现如下问题Cesium无法使用，nginx不配置Content-Security-Policy即可，不影响漏扫，上面配置是已注释掉Content-Security-Policy的，可直接复制使用

9.完整nginx.conf文件内容：


 
#user  nobody;
worker_processes  1;
 
#error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;
 
#pid        logs/nginx.pid;
 
 
events {
    worker_connections  1024;
}
 
 
http {
    include       mime.types;
    default_type  application/octet-stream;
 
     server {
        listen 8080  ssl;
        server_name  www.aaa.cn;
 
	client_max_body_size 300m;         #主要是这个参数，限制了上传文件大大小
 
	ssl_certificate          www.aaa.cn_bundle.pem;
        ssl_certificate_key      www.aaa.cn.key;
 
 
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
	#只允许TLS协议
 
	ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
	#加密套件,这里用了CloudFlares Internet facing SSL cipher configuration
 
	ssl_prefer_server_ciphers on;
	#由服务器协商最佳的加密算法
 
      # 相关安全漏洞响应头    
      # 检测到目标 X-XSS-Protection响应头缺失    
      add_header X-XSS-Protection "1; mode=block";    
      # 检测到目标 Referrer-Policy响应头缺失    
      add_header Referrer-Policy "no-referrer-when-downgrade" always;    
      # 检测到目标 X-Permitted-Cross-Domain-Policies响应头缺失    
      add_header X-Permitted-Cross-Domain-Policies none;    
      # 检测到目标 X-Download-Options响应头缺失    
      add_header X-Download-Options noopen;    
      # 检测到目标 Strict-Transport-Security响应头缺失    
      add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
      #点击劫持：X-Frame-Options未配置
      add_header X-Frame-Options SAMEORIGIN;
 
 
        location /ak_hwrl {
            proxy_pass http://192.168.100.10:8012;
        }
 
        location /sys-api { 
            proxy_pass http://192.168.100.10:9999;
        }
	 
	location /manage-api { 
	    proxy_pass http://192.168.100.10:9999;
	}
 
 
	location /hangjingsoft { 
	    proxy_pass http://192.168.100.10:8012;
	}
 
	location /excel { 
	    proxy_pass http://192.168.100.10:8012;
	}
 
	location /ryjl { 
	    proxy_pass http://192.168.100.10:8012;
	}
 
	location /ueditor { 
	    proxy_pass http://192.168.100.10:8012;
	}
        
	location / {
            root   html;
            index  index.html index.htm;
        }
 
 
    }
}

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/从前慢现在也慢/article/detail/982955