企业培训_中国移动安全安全加固培训材料

系统安全加固 培训要求 该课程主要介绍系统通用的安全加固方案和方法培训对象 面向安全管理人员 安全技术人员 系统维护人员 共3类人员培训时间 1小时左右培训侧重点 本教材侧重点为安全技术人员和系统维护人员 目录 理解安全加固Windows安全加固UNIX Linux安全加固 一 安全加固的概念 风险 脆弱性如何定义 安全 硬件 软件 预期的结果硬件 软件 预期的结果如何定义更全面的 安全 人 硬件 软件 预期的结果人 硬件 软件 预期的结果 二 安全加固的目标 目标我们的目标是降低风险 三 安全加固对象 对象所有可能产生脆弱性的东西 四 安全加固的原则 加固原则风险最大化不要忽视扫描报告和检查结果中的任何一个细节 将任何潜在隐患以最大化的方式展现威胁最小化威胁难以被彻底消除 因为它是动态的 我们只能将其降低至可接受的程度 五 安全加固的流程 一般流程确认加固的要求 安全基线 安全检查 手工检查或者基线设备检查 加固前的交流 和业务负责人交流 加固实施过程 重要系统需要先在备机上测试 加固完成及成果输出 方便发生问题时回退 目录 理解安全加固Windows安全加固UNIX Linux安全加固 Windows通用安全加固方案 补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强 补丁 检查系统补丁安装情况命令行执行systeminfo 查看系统已经安装的补丁列表补丁更新手动安装 使用IE访问 按提示安装必要的activeX控件后 按提示安装补丁开始 控制面板 自动更新 在自动更新面板中选中自动 建议 U 然后根据个人需求设置升级时间 防护软件 安装杀毒软件并保持病毒库更新防火墙对于防火墙软件 建议屏蔽以下端口 TCP135TCP139TCP445 Windows通用安全加固方案 补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强 系统服务 查看系统服务执行services msc 检查启动类型为自动的服务关闭非必需的服务建议关闭一下服务 TaskScheduler RemoteRegistry SNMPService PrintSpooler Telnet ComputerBrowser Messenger Alerter DHCPClient关闭方法 双击需要关闭的服务 将启动类型设置为禁用 点击停止按钮以停止当前正在运行的服务 SNMP服务 修改SNMP的字符串为什么要修改SNMP的字符串 它会泄露什么 通过SNMP服务 远程恶意用户可以列举本地的帐号 帐号组 运行的进程 安装的补丁和软件等敏感信息 禁用或修改SNMP配置可以有效防止远程恶意用户的这类行为 攻击工具 snmputilwalk1 1 1 10public 1 3 6 服务与进程 SNMPService服务加固方法 为修改SNMP团体名限制远程主机对SNMP的访问 关闭自动播放功能 关闭所有驱动器的自动播放功能点击开始 运行 输入gpedit msc 打开组策略编辑器 浏览到计算机配置 管理模板 系统 在右边窗格中双击 关闭自动播放 对话框中选择所有驱动器 确定即可 Windows通用安全加固方案 补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强 密码策略 密码策略长度7 Windows2000 12714 Windows9X 0期限定期修改密码复杂性Pyth0n 大小写 数字 特殊字符 密码策略 加固要点密码策略 开始 运行 gpedit msc计算机配置 Windows设置 安全设置 帐户策略 帐户锁定策略 密码策略 帐户锁定策略 用户权利指派 检查用户权限策略是否设置 开始 运行 gpedit msc计算机配置 Windows设置 安全设置 本地策略 用户权利指派 本地安全策略配置 检查本地安全策略配置 开始 运行 gpedit msc计算机配置 Windows设置 安全设置 本地策略 安全选项 Windows通用安全加固方案 补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强 日志和审核策略 审核了解Windows审核策略审核策略并不完整很多审核内容默认未开启只有在NTFS磁盘上才能开启对象访问审核 日志量较大步骤打开审核策略编辑审核对象的审核项 日志和审核策略 审核打开审核策略要做什么审核 要审核什么 位置 gpedit msc 计算机配置 Windows设置 安全设置 审核设置 1 2 日志和审核策略 审核查看审核日志eventvwr 事件查看器 Windows通用安全加固方案 补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强 文件系统 Windows文件系统FATFAT16FAT32NTFS将FAT卷转换成NTFSconvertC FS NTFS 用户 用户和组特殊的组Administrators Guests PowerUsers 可通过netlocalgroup命令打印特殊的用户Administrator Guest可通过netuser命令打印隐藏帐号netuserhide password add 用户 加固要点检查用户克隆隐藏清除用户未使用的未知的锁定用户GuestSUPPORT XXXXX 设置重要文件权限 权限前提 关键字 NTFSAdministrators 设置重要文件权限 权限ACL 访问控制列表 包含了用户帐户和访问对象之间许可关系 由四个权限项组成的权限项集 即 ACL 设置重要文件权限 权限ACE 访问控制项 ACL中包含ACE访问控制条目 设置重要文件权限 加密和压缩 设置重要文件权限 审核编辑审核对象的审核项 1 2 3 设置重要文件权限 加固要点目录及文件的权限查找具有everyone的权限项重要对象的审核策略 echooffdir s b all txtfor f iin all txt docacls i find Everyone Windows通用安全加固方案 补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强 安全增强 删除匿名用户空连接注册表如下键值 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Control Lsa将restrictanonymous的值设置为1 若该值不存在 可以自己创建 类型为REG DWORD 修改完成后重新启动系统生效删除默认共享注册表如下键值 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services lanmanserver parameters将Autoshareserver设置为0 若不存在 可创建 类型为REG DWORD修改完成后重新启动系统生效 目录 理解安全加固Windows安全加固UNIX Linux安全加固 UNIX Linux通用安全加固方案 帐号文件权限服务日志审计系统状态 帐号安全 帐号 etc login defs 检查PASS MAX DAYS PASS MIN LEN PASS MIN DAYS PASS WARN AGE检查是否存在除root外UID 0的用户检查是否存在弱口令锁定不使用的帐户 passwd lusername 检查root用户环境变量设置帐号超时注销 vi etc profile增加TMOUT 600 帐号安全 限制root远程登录 etc ssh sshd config PermitRootLoginno etc securetty文件中配置 CONSOLE dev tty01 UNIX Linux通用安全加固方案 帐号文件权限服务日志审计系统状态 umask 检查是否包含umask值more etc profilemore etc csh loginmore etc csh cshrcmore etc bashrc umask umask root RHEL5home umask0022 root RHEL5home touchfile1 root RHEL5home ls lfile1 rw r r 1rootroot0Jul2607 17file1 644 root RHEL5home umask0066 root RHEL5home touchfile2 root RHEL5home ls lfile2 rw 1rootroot0Jul2607 18file2 600 root RHEL5home umask0 root RHEL5home umask0000 root RHEL5home touchfile3 root RHEL5home ls lfile3 rw rw rw 1rootroot0Jul2607 25file3 666 文件权限 文件权限ls l root RHEL5home ls ltotal44drwxr xr x2rootroot4096Jul2605 24apue rw r r 1rootroot16069Jun3009 17cpro tar gzchmodchmodu xfilechmod744file 4000SUID2000SGID1000粘住位0400所有者可读0200所有者可写0100所有者可执行0040所在组可读0020所在组可写0010所在组可执行0004其他用户可读0002其他用户可写0001其他用户可执行 0744结果 文件权限 检查重要目录和文件的权限设置ls l etc rc d init d chmod R750 etc rc d init d 查找系统中所有的SUID和SGID程序 UNIX Linux通用安全加固方案 帐号文件权限服务日志审计系统状态 系统服务 守护进程与服务的区别守护进程进程的一种特殊状态不绑定至任何Terminal父进程是init服务相对守护进程 服务 的概念更为抽象为用户提供一种功能的应用可能包含一个或多个守护进程例服务名 SSHServer进程名 sshd 系统服务 inetd一些轻量级的服务 由inetd集中处理已不能满足现状 inetd confechostreamtcp6nowaitrootinternalechodgramudp6waitrootinternaldaytimestreamtcp6nowaitrootinternaldaytimedgramudp6waitrootinternal 系统服务 加固要点服务 进程 端口ipfwTCPWrapperlibwrap configure with libwrap libwrap pathhosts allow hosts deny停止不必要的inetd服务停止不必要的服务 etc rc3 d S88xxxstopmv etc rc3 d S88xxx etc rc3 d K88xxx Snmp配置 Snmp安全配置如果打开了SNMP协议 snmp团体字设置不能使用默认的团体字 查看配置文件 etc snmp snmpd conf 应禁止使用public private默认团体字 使用用户自定义的团体字 例如将以下设置中的public替换为用户自定义的团体字 com2secnotConfigUserdefaultpublic如无必要 管理员应禁止使用snmp服务 Openssh配置 检查系统openssh安全配置 禁止使用协议1和使用root直接登录编辑sshd config文件 设置 Protocol2StrictModesyesPermitRootLoginnoPrintLastLogyesPermitEmptyPasswordsno UNIX Linux通用安全加固方案 帐号文件权限服务日志审