操作系统安全加固.ppt

操作系统安全加固 张敏 四川讯修信息技术服务有限公司 培训简介 培训目的 该课程主要介绍系统通用的安全加固方案和方法培训对象 面向安全管理人员 安全技术人员 系统维护人员 共3类人员培训时间 60分钟培训重点 本教材侧重点为安全技术人员和系统维护人员 安全守则 著名信息安全的十大守则守则1 如果一个人能说服你同意他在你的电脑上运行他的程序 那么 这台电脑就不再属于你了 守则2 如果一个人能够改变你电脑上的操作系统 那么 这台电脑就不再属于你了 守则3 如果一个人能够不受限制的从物理上接触到你的电脑 那么 这台电脑就不再属于你了 守则4 如果你允许一个人能够上传他的程序到你的网站 那么 这个网站就不再属于你了 守则5 脆弱的口令能够轻而易举地击败非常牢固的安全系统 守则6 一台机器只有在它的管理员可信赖的时候才是安全的 守则7 加密过的数据只有在解密密钥安全的时候才是安全的 守则8 一个过期的病毒扫描器仅仅比根本没有病毒扫描器就好上那么一丁点 守则9 绝对的匿名是不可能实现的 无论是在真实的生活中还是在WEB上 守则10 技术不是万能的 加固环节 培训目录 理解安全加固Windows安全加固UNIX Linux安全加固 一 安全加固的概念 为什么要安全加固修补系统存在的漏洞弱点预防系统面临的威胁如何理解 安全 可用性保密性完整性如何实现 安全 管理 技术 预期的结果管理 技术 预期的结 二 安全加固的目标 目标我们的目标是降低风险到可以接受 三 安全加固对象 对象所有可能产生脆弱性的应用 四 安全加固的原则 加固原则业务影响最小化安全风险难以被彻底消除 因为它是动态的 我们在加固过程中坚持的最基本原则是业务系统的可用性 对业务系统影响最小化 风险发现最大化详细审查评估报告和漏洞扫描中的任何一个细节 将任何潜在的安全隐患以最大展现 列表 进行确认处理 五 安全加固的流程 加固流程确认加固目标 加固需求和要求 实施安全检查 手工检查和漏洞扫描检查 加固前的交流 和业务负责人系统管理员交流 加固实施过程 测试环境 备用机 非核心 核心主机 加固过程文件与成果输出 加固效果与过程记录文件 目录 理解安全加固Windows安全加固UNIX类安全加固 Windows通用安全加固方案 补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强 补丁 检查系统补丁安装情况命令行执行systeminfo 查看系统已经安装的补丁列表补丁更新手动安装 使用IE访问 按提示安装必要的activeX控件后 按提示安装补丁开始 控制面板 自动更新 在自动更新面板中选中自动 建议 U 然后根据个人需求设置升级时间内网与安全域环境 可以建立独立的WSUS服务器 防护软件 安装杀毒软件并保持病毒库更新守则8 一个过期的病毒扫描器仅仅比根本没有病毒扫描器就好上那么一丁点 防火墙对于防火墙 建议建立严格的访问控制策略 Windows通用安全加固方案 补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强 系统服务 查看系统服务执行services msc 检查启动类型为自动的服务最小化服务原则 建议关闭一下服务 TaskScheduler RemoteRegistry SNMPService PrintSpooler Telnet ComputerBrowser Messenger Alerter DHCPClient关闭方法 双击需要关闭的服务 将启动类型设置为禁用 点击停止按钮以停止当前正在运行的服务 SNMP服务 修改SNMP的字符串为什么要修改SNMP的字符串 它会泄露什么 通过SNMP服务 远程恶意用户可以列举本地的帐号 帐号组 运行的进程 安装的补丁和软件等敏感信息 禁用或修改 SNMP配置可以有效防止远程恶意用户的这类行为 攻击工具 snmputilwalk1 1 1 10public 1 3 6 服务与进程 SNMPService服务加固方法 为修改SNMP团体名限制远程主机对SNMP的访问 关闭自动播放功能 关闭所有驱动器的自动播放功能点击开始 运行 输入gpedit msc 打开组策略编辑器 浏览到计算机配置 管理模板 系统 在右边窗格中双击 关闭自动播放 对话框中选择所有驱动器 确定即可 Windows通用安全加固方案 补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强 密码策略 密码策略长度7 Windows2003 1277 windows2008 127期限定期修改密码复杂性ChinaMobile NO 1 大小写 数字 特殊字符 密码策略 加固要点密码策略 开始 运行 gpedit msc计算机配置 Windows设置 安全设置 帐户策略 帐户锁定策略 密码策略 帐户锁定策略 用户权利指派 检查用户权限策略是否设置 开始 运行 gpedit msc计算机配置 Windows设置 安全设置 本地策略 用户权利指派 本地安全策略配置 检查本地安全策略配置 开始 运行 gpedit msc计算机配置 Windows设置 安全设置 本地策略 安全选项 Windows通用安全加固方案 补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强 日志和审核策略 审核了解Windows审核策略审核策略并不完整很多审核内容默认未开启只有在NTFS磁盘上才能开启对象访问审核 日志量较大 考虑性能 步骤打开审核策略编辑审核对象的审核项 日志和审核策略 审核打开审核策略要做什么审核 要审核什么 位置 gpedit msc 计算机配置 Windows设置 安全设置 审核设置 1 2 日志和审核策略 审核查看审核日志eventvwr 事件查看器 Windows通用安全加固方案 补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强 文件系统 Windows文件系统FATFAT16FAT32NTFS将FAT卷转换成NTFSconvertC FS NTFS 用户 用户和组特殊的组Administrators Guests PowerUsers 可通过netlocalgroup命令打印特殊的用户Administrator Guest可通过netuser命令打印隐藏帐号netuserhide password add 用户 加固要点检查用户克隆隐藏清除用户未使用的未知的锁定用户GuestSUPPORT XXXXX 设置重要文件权限 权限前提 关键字 NTFSAdministrators 设置重要文件权限 权限ACL 访问控制列表 包含了用户帐户和访问对象之间许可关系 由四个权限项组成的权限项集 即 ACL 设置重要文件权限 权限ACE 访问控制项 ACL中包含ACE访问控制条目 设置重要文件权限 加密和压缩 设置重要文件权限 审核编辑审核对象的审核项 1 2 3 设置重要文件权限 加固要点目录及文件的权限查找具有everyone的权限项重要对象的审核策略 echooffdir s b all txtfor f iin all txt docacls i find Everyone Windows通用安全加固方案 补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强 安全增强 删除匿名用户空连接注册表如下键值 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Control Lsa将restrictanonymous的值设置为1 若该值不存在 可以自己创建 类型为REG DWORD 修改完成后重新启动系统生效删除默认共享注册表如下键值 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services lanmanserver parameters将Autoshareserver设置为0 若不存在 可创建 类型为REG DWORD修改完成后重新启动系统生效 目录 理解安全加固Windows安全加固UNIX Linux安全加固 UNIX Linux通用安全加固方案 帐号文件权限服务日志审计系统状态 帐号安全 帐号 etc login defs 检查PASS MAX DAYS PASS MIN LEN PASS MIN DAYS PASS WARN AGE检查是否存在除root外UID 0的用户检查是否存在弱口令锁定不使用的帐户 passwd lusername 检查root用户环境变量设置帐号超时注销 vi etc profile增加TMOUT 180 帐号安全 限制root远程登录 etc ssh sshd config PermitRootLoginno etc securetty文件中配置 CONSOLE dev tty01 UNIX Linux通用安全加固方案 帐号文件权限服务日志审计系统状态 umask 检查是否包含umask值more etc profilemore etc csh loginmore etc csh cshrcmore etc bashrc umask umask root RHEL5home umask0022 root RHEL5home touchfile1 root RHEL5home ls lfile1 rw r r 1rootroot0Jul2607 17file1 644 root RHEL5home umask0066 root RHEL5home touchfile2 root RHEL5home ls lfile2 rw 1rootroot0Jul2607 18file2 600 root RHEL5home umask0 root RHEL5home umask0000 root RHEL5home touchfile3 root RHEL5home ls lfile3 rw rw rw 1rootroot0Jul2607 25file3 666 文件权限 文件权限ls l root RHEL5home ls ltotal44drwxr xr x2rootroot4096Jul2605 24apue rw r r 1rootroot16069Jun3009 17cpro tar gzchmodchmodu xfilechmod744file 4000SUID2000SGID1000粘住位0400所有者可读0200所有者可写0100所有者可执行0040所在组可读0020所在组可写0010所在组可执行0004其他用户可读0002其他用户可写0001其他用户可执行 0744结果 文件权限 检查重要目录和文件的权限设置ls l etc rc d init d chmod R750 etc rc d init d 查找系统中所有的SUID和SGID程序 UNIX Linux通用安全加固方案 帐号文件权限服务日志审计系统状态 系统服务 守护进程与服务的区别守护进程进程的一种特殊状态不绑定至任何Terminal父进程是init服务相对守护进程 服务 的概念更为抽象为用户提供一种功能的应用可能包含一个或多个守护进程例服务名 SSHServer进程名 sshd 系统服务 inetd一些轻量级的服务 由inetd集中处理已不能满足现状 inetd confechostreamtcp6nowaitrootinternalechodgramudp6waitrootinternaldaytimestreamtcp6nowaitrootinternaldaytimedgramudp6waitrootinternal 系统服务 加固要点服务 进程 端口ipfwTCPWrapperlibwrap configure with libwrap libwrap pathhosts allow hosts deny停止不必要的inetd服务停止不必要的服务 etc rc3 d S88xxxstopmv etc rc3 d S88xxx etc rc3 d K88xxx Snmp配置 Snmp安全配置如果打开了SNMP协议 snmp团体字设置不能使用默认的团体字 查看配置文件 etc snmp snmpd conf 应禁止使用public private默认团体字 使用用户自定义的团体字 例如将以下设置中的public替换为用户自定义的团体字 com2secnotConfigUserdefaultpublic如无必要 管理员应禁止使用snmp服务 Openssh配置 检查系统openssh安全配置 禁止使用协议1和使用root直接登录编辑sshd config文件 设置 Protocol2StrictModesyesPermitRootLoginnoPrintLastLogyesPermitEmptyPasswordsno UNIX