CIWSecurity_第三部分_系统安全技术与实践.ppt

1、欢迎参加 CIW v5 安全分析师 认证培训,嘉为IT培训学院（广州深圳）,第三部分 系统安全技术与实践,内容单元,第12单元：身份验证与帐号安全 第13单元：系统管理与数据访问安全 第14单元：系统主机加固 第15单元：审计日志与安全监控,第12单元 身份验证与帐号安全,内容提要,Windows身份验证与帐号安全 Linux身份验证与帐号安全,1. Windows身份验证与帐号安全,1) 认证概述 2) 认证的“证明”选择 3) 强化用户登录 4) 加强网络认证 5) 加强计算机和服务的认证过程,1）认证概述,最小权限（Least Privilege）：提供用户完成要执行的任务所需的最小的权

2、限,User,Resource,2）认证的“证明”选择,3）强化用户登录,登录类型 本地登录 域登录 远程登录 匿名登录 强化帐号 禁用Guest帐号 限制组成员,强化帐号策略,密码策略： 密码最长存留期 密码最短存留期 密码最短长度 密码历史/唯一性 密码必须符合复杂性要求 用可逆加密保存密码（启用时降低安全性） 帐号锁定策略： N次失败登录尝试后锁定 帐号锁定持续时间 N分钟后清除失败登录次数,强化用户登录权限,从网络访问计算机（Access Computers from the Network） 本地登录（Log On Locally） 作为批作业登录 （Log On as a Batc

3、h Job） 作为服务帐号登录（Log On as a Service） 允许通过终端服务登录（Allow Logon Through Terminal Services） 拒绝从网络访问此计算机（Deny Access to This Computers from the Network） 拒绝作为批作业登录（Deny Logon as a Batch Job） 拒绝作为服务帐号登录（Deny Logon as a Service） 拒绝本地登录（Deny Logon Locally） 拒绝通过终端服务登录（Deny Logon Through Terminal Services）,安全选项

4、,帐号：限制本地帐号使用空白密码登录控制台（启动） 域控制器：拒绝机器帐号密码的更改（禁止） 域成员：禁止机器帐号密码的更改（禁止） 域成员：最长机器帐号密码存留期 交互式登录：不显示登录界面的最后一个用户（启动） 交互式登录：高速缓冲区内存储的前几次登录的登录数（设为1） 交互式登录：需要域控制器认证来解除锁定工作站（启动） 交互式登录：智能卡删除行为（强制离线） Microsoft Network Client:传送无加密网络密码给第三方SMB服务器（禁止） 网络接入：不允许为网络认证存储证书或者.NET密码（启动） 网络接入：本地帐号的共享和安全模式（典型） 故障恢复控制台：允许系统自动

5、管理级登录（禁止）,强化湿件,培训用户创建安全的密码 大写字母 小写字母 特殊字符 数字 使用Alt字符,禁止自动登录,注册表： HKLMSoftwareMicrosoftWindowsNT CurrentVersionWinlogon 值：AutoAdminLogon Data为0，表示禁止以管理员身份自动登录 Data为1，表示启用,限制匿名访问,使用net use命令检查服务器是否限制匿名登录： Net use servernameIPC$ “/User:” 用安全选项限制系统的匿名访问： 网络访问：允许匿名SID/名称转换（禁用） 网络访问：不允许SAM帐号的匿名枚举（启动） 网络访问

6、：不允许SAM帐号的匿名枚举和共享（启动） 网络访问：允许Everyone权限应用到匿名用户（禁用） 网络访问：以匿名形式访问的命名管道 网络访问：可以匿名访问的共享区,4）加强网络认证,NTLM认证协议如何工作,Domain Controller,Client,User Name, Domain,SecurityAccountsDatabase,1,当用户输入用户名和密码时，计算机发送登录凭证到密钥分发中心（KDC）。,KDC查询用户的主密钥（KA），它是基于用户的密码生成的。KDC创建两个条目，一个是会话密钥（SA）用于与用户共享，另一个是票据授权票据（TGT）。,Target Serve

7、r,Kerberos认证协议如何工作,KDC,User,为访问资源，客户端出示它的TGT和一个时间戳，并以会话密钥（SA）加密传输,KDC创建一对票据，一个用于客户端，一个用于客户端想要访问的资源服务器。两个票据都包含一个新的密钥（KAB）。,远程访问认证协议,Web服务器认证选择,集成Windows 认证,匿名访问,基本认证,摘要认证,什么是多因子认证?,客户端,客户端,域控制器,密码,智能卡、PIN码或是 生物特征密码,单因子认证,多因子认证,多因子认证的场景,多因子连接设备,多因子连接设备包括:,生物设备 手掌的生理结构 虹膜和视网膜 指纹 声音,令牌设备 智能卡 存储卡 硬件设备,生物

8、设备虽然提供了较高的安全性，但是价格昂贵并且无法完全精确,使用智能卡的相关组件,证书,Active Directory,公钥架构,智能卡,用户培训计划,智能卡读卡器,智能卡软件,CA 的要求,部署智能卡架构需要集成AD环境:,部署企业 CAs 部署颁发 CAs 创建信任的层级,智能卡证书模板,智能卡证书注册的方法,注册代理,证书的申请请求由信任的管理员执行 提供最高的安全性,自己注册,用于分发点用时 常用于证书的更新,实验步骤：使用智能卡登录,部署企业CA 安装证书服务：在DC上打开控制面板添加/删除程序添加/删除组件证书服务 配置证书服务：选择企业根CA，再做相关设置 配置证书颁发机构：证书

9、模板右键管理智能卡登录右键复制模板“安全”选项卡中赋予要使用智能卡登录用户“注册”权限，并允许导出私钥 安装智能卡驱动程序 在要使用智能卡登录的计算机以及证书服务器上安装好与智能卡相符合的驱动程序,实验步骤：使用智能卡登录(2),申请智能卡证书 登录客户端计算机，打开IE输入：http:/证书服务器IP/certsrv 证书请求高级证书请求建立与提交证书到CA证书模板，选择智能卡登录CSP中选择智能卡对应的驱动程序提交，并进行安装该证书，注意，在此过程中，智能卡已经接在USB上面 配置智能卡登录 配置AD域安全选项，设置强制智能卡登录及其他相关安全选项 测试智能卡登录,5）强化计算机和服务的认

10、证过程,为服务帐号制定强密码 不允许用户使用服务帐号登录 使用本地服务帐号 配置用户权限：Deny Access to This Computer from Network，拒绝服务帐号通过网络访问计算机 使用低特权的帐号作为服务帐号： Network Service帐号 Local Service帐号 强化计算机帐号 配置安全选项：域成员:禁止机器帐号密码的更改（禁止）,2. Linux身份验证与帐号安全,Linux基于文件系统的身份验证 Linux中PAM身份验证 Linux中根帐号安全,Linux基于文件系统的身份验证,用户信息文件：/etc/passwd 影子密码文件：/etc/sha

11、dow 用户组信息文件：/etc/group 组口令文件：/etc/gshadow,Linux可插入身份验证模块(PAM),PAM 允许将用户名和密码信息以多种不同的方式存储在多个不同的地方。 PAM 还支持不使用用户名和密码的多种身份验证方法（比如：视网膜扫描和智能卡等） 在使用 PAM 的系统上，需要用户身份验证的登录过程和所有实用程序必须被编译成使用 PAM 进行身份验证和授权。 随后，必须配置 PAM 以使其能够正确处理某个特定系统上所允许的不同身份验证方法,PAM配置文件格式,配置文件路径:/etc/pam.d/ PAM配置文件每一行由4组参数字段组成: 模块接口:控制标志:模块路径

12、:模块参数(可选) 模块接口：PAM模块所完成的身份验证工作的类型,有四种模块接口 account，auth，password，session 控制标志：定义了PAM模块将根据该接口的身份验证结果采取什么样的行动 optional，required，requisite，sufficient 模块路径：负责给出PAM模块的存放位置，通常包含路径与文件名，默认路径为/lib/security,PAM应用举例,要求用户使用高强度口令 auth required /lib/security/$ISA/pam_env.so auth sufficient /lib/security/$ISA/pam_u

13、nix.so likeauth nullok auth required /lib/security/$ISA/pam_deny.so account required /lib/security/$ISA/pam_unix.so password required pam_passwdqc.so enforce=user ask_oldauthok=update chkck_oldauthok + password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 + password required /lib

14、/security/$ISA/pam_deny.so session required /lib/security/$ISA/pam_limits.so session required /lib/security/$ISA/pam_unix.so,Linux下根用户安全,禁止根存取权限 限制根存取权限 su 命令 sudo 命令,禁止根存取权限,禁用根 Shell 在 /etc/passwd 文件中把根帐号的 shell 设置为 /sbin/nologin 禁用根登录 echo /etc/securetty 禁用根的 SSH 登录 /etc/ssh/sshd_config 中# Permit

15、RootLogin yes 改为PermitRootLogin no,限制根存取权限,限制使用su命令用户 1、usermod G wheel , 2、在文本编辑器中打开 su（/etc/pam.d/su）的 PAM 配置文件，删除以下行的注释符号 #： auth required /lib/security/pam_wheel.so use_uid,su 命令,作用 ：su的作用是变更为其它使用者的身份，超级用户除外，需要键入该使用者的密码 主要参数： -l ， -login：加了这个参数之后，就好像是重新登陆为该使用者一样，大部分环境变量（例如HOME、SHELL和USER等）都是以该使用

16、者（USER）为主，并且工作目录也会改变。如果没有指定USER，缺省情况是root。 -m， -p ，-preserve-environment：执行su时不改变环境变数。 -c command：变更账号为USER的使用者，并执行指令（command）后再变回原来使用者。 如：su -c df root,sudo 命令,作用 ：是一种以限制配置文件中的命令为基础，在有限时间内给用户使用，并且记录到日志中的命令，权限是所有用户 格式 sudo -bhHpV -s -u 指令 sudo -klv 主要参数 -b：在后台执行命令。 -H：将HOME环境变量设为新身份的HOME环境变量。 -k：结束密

17、码的有效期，即下次将需要输入密码。 -l：列出当前用户可以使用的命令。 -p：改变询问密码的提示符号。 -s ：执行指定的Shell。 -u ：以指定的用户为新身份，不使用时默认为root。,激发个人潜能 燃点企业动力,第13单元 系统管理与数据访问安全,内容提要,Windows下的系统管理与数据访问安全 Linux下的系统管理与数据访问安全,1. Windows下的系统管理与数据访问安全,1）委托和控制管理权限 2）定义安全管理措施 3）使用DACLs保护数据 4）使用EFS保护数据,1）委托和控制管理权限,最小权限（Least Privilege）：提供用户完成要执行的任务所需的最小的权限

18、,User,Resource,使用预定义的用户和管理员角色,服务器和客户机的管理员角色 Administrators Backup Operators Debugger Users Power Users Users Guests HelpServiceGroup Network Configuration Operator Performance Log Users Performance Monitor Users Pre-Windows Comptatible Access Remote Desktop Users Replicator Windows Authorization Acc

19、ess Group,Windows域计算机的管理员角色 Administrators Account Operators Backup Operators Server Operators Print Operators Domain Admin Domain Users Domain Guests Enterprise Admins Schema Admins DHCP Administrators DHCP Users DNS Administrators Group Policy Creator Owners,为Windows AD定义附加的角色,定义技术控制,在森林根域创建专门的OU以

20、放置服务管理员角色 在适当的域组织单元内创建子OU以管理数据管理员角色 确保组策略的管理安全（Group Policy Creator Owners Group） 使用“授权控制向导”实施自定义管理角色 编辑dssec.dat以解除某些被过滤的权限（7为锁定，0为解锁） 用ACL编辑器和adsiedit.msc创建自定义角色,2）定义安全管理措施,保护管理工作站 保护管理员登录 保护管理通信 额外安全措施,保护管理工作站,对于高风险的管理采用专用的管理工作站 对于高风险的管理考虑隔离区域，如根CA服务器 根据风险等级选择相应的物理安全措施 BIOS密码 需要Syskey Windows启动密码

21、 管理员登录需要的智能卡、令牌以及生物芯片 移除软驱、CD-ROM或其他移动设备 禁用USB、串口或其他BIOS上的通信端口 物理移除USB、串口或其他可能的端口 防止工作站被盗 设置警报,保护管理员登录,根据风险等级选择相应的管理员登录保护措施： 强制使用智能卡保护管理员登录 管理工作站登录限制 设置强密码策略 配置管理模式的终端服务总是提示登录密码 以普通身份进行日常工作，使用Runas完成管理职责,保护管理通信,根据风险等级选择相应的管理通信保护措施： 使用IPSec策略及要求所有数据加密 对于基于Web的管理使用SSL 对于远程管理使用VPN 对于网络设备使用带外连接 禁用管理模式的终

22、端服务 实施管理模式的终端服务通信加密,额外安全措施,根据风险等级选择相应的额外安全措施： 审查管理员的背景 监视和审计管理工作 减少管理员组的成员 制定策略确定哪些帐号有权要求更改管理,3）使用DACLs保护数据,在NTFS文件系统中，提供了DACL用于保护文件和数据 正确使用DACL有三个选项： Explicit allow，显式允许权限，ACE存在 Explicit deny，显式拒绝权限，ACE存在 Implicit deny ，隐式拒绝权限，ACE不存在,使用继承管理权限,权限继承是指从当前对象所在的对象层级以上的对象中继承的权限 ACE的优先顺序： 首先是非继承访问拒绝ACE 其次

23、是非继承访问允许ACE 再次是继承访问拒绝ACE 最后是继承访问允许ACE 在可能和必要时，通过阻止继承来保护文件夹权限不因继承而发生改变,基于用户角色分配权限,只给每个用户授予其工作所需的访问权限 确定每个角色对每个对象所需的权限 必要时创建额外的自定义Windows组来实现每个角色 给组而不是用户分配权限 在所需的组中添加用户帐号 阻止权限继承 正确使用应用（Apply to）,采用DACL进行职责分离,确定哪些地方需要进行职责分离，例如，应付帐款会计（Account Payable Clerks）和应收账款会计（Account Receivable Clerks）之间 确定某些人应该访问

24、，而其他人不应该访问的对象 为每个角色创建组，例如应付帐款会计组（Payables Clerks）和应收帐款会计组（Receivables Clerks） 给每个组针对他们应该访问的对象分配Allow权限 给每个组针对其他组应该访问的对象分配Deny Full Control权限,强化系统文件的DACL,严格定义和管理以下系统文件夹和子文件的DACL权限 C: WINNT或Windows %windir%inf %windir%system32 Documents and settingsall users, default user 使用“安全模板”管理系统文件和文件夹的权限设置,强化文件系

25、统共享,不需要时关闭文件和打印共享 删除驱动器根共享 HKLMSystemCurrentControlSetServicesLanManServer Parameters，设定AutoShareServer为0 强化共享权限，修改Everyone为特定用户组 防止非管理员创建共享 设置HKLMCurrentControlSetServicesLanManServerShares下的键值及其所有子键值权限为Everyone Read,保护打印机,只给打印机操作员（Print Operators）授予管理打印机和管理文件权限 只有已通过认证的身份的用户具有打印权限 对于敏感打印机，创建Window

26、s组进行管理和打印，并分别给这些组授予管理和打印权限，删除默认组及其权限 创建管理员子组，并将其添加到打印机操作员组中使其能够管理打印机,保护注册表项,限制远程注册表访问 修改HKLMSystemCurrentControlSetSecurePipeServers权限 强化注册表项权限，HKLMSoftwareMicrosoftWindowsCurrentVersion下的如下注册表项，应配置为Everyone Read，在安装软件前修改权限允许Write，安装完成后恢复 Run Run Once RunOnceEx AeDebug,保护服务,使用安全模板和组策略控制每项服务的启动和安全性设置

27、,4）使用EFS保护数据,EFS加密文件系统的介绍 在独立环境Windows XP中实现EFS 在域环境中规划和实现EFS 实现EFS文件共享 EFS的故障排错,EFS的介绍,EFS: 提供支持NTFS的文件级别的加密 保证敏感数据和机密数据更安全 使用唯一的一套公钥/私钥对系统 Windows XP and Windows Server 2003 EFS 特征 增加了用户授权的功能 脱机文件可以被加密 可以使用更安全的3DES算法 数据恢复代理是推荐的，而不是必须的,EFS的工作原理,当文件第一次被加密时，EFS在本地查询加密证书 EFS为加密文件生成一串随机的字符串 EFS使用用户证书的公

28、钥加密这串随机数 EFS将加密的结果存储在文件的头部DDF的区域,EFS 限制,私钥丢失一定程度上意味数据的丢失 依赖于用户的密码 由于用户的公钥在加密的过程中要被访问，文件共享变得困难 不是安全的网络通信,EFS证书,在独立的计算机上，生成一张自签名的证书用于EFS 自签名证书的工作原理 将本地计算机当作一台根CA 即使是证书没有得到信任仍然可以用作EFS,数据加密选项,用户可以使用以下方法加密: Windows Explorer 加密命令行工具 所有的加密方法可以用于: 配置文件和文件夹的加密解密 仅加密文件夹或文件夹的子文件、子文件夹,数据恢复代理的介绍,数据恢复代理是一个用户帐户，该帐

29、户可以解密其他用户的加密文件 Windows Server 2003 and Windows XP 没有自动创建数据恢复代理 在独立的计算机上实现数据恢复代理步骤: 使用cipher工具创建DRA证书和密钥对 添加用户帐户作为DRA帐户 为了解密文件，添加DRA证书到本地证书存储中,重设本地密码对EFS的影响,如果本地密码重设，则用户无法解密任何的加密文件 在独立环境中使用EFS的用户应该创建密码重设盘 在重设密码后如何恢复数据: 用户登陆后重新设置回原来的密码 使用密码重设盘 导入用户私钥存档的副本,在域环境中实现EFS的好处,通过使用企业CA，在用户加密文件的时候，EFS证书可以实现自动颁

30、发 用户证书存储在本地和AD数据库中 在域中实现EFS的好处包括: 集中的管理数据恢复代理 集中的证书管理集中的EFS策略配置文件共享变得简单,在域环境中的EFS和证书服务,集成证书服务和EFS可以使得: 可扩展的和灵活的集中证书管理 多样化的为用户颁发证书的方法 通过自动颁发证书减少管理 迁移自签名证书到CA的证书,在域环境中实现数据恢复代理,安装第一台DC的管理员默认为域中的数据恢复代理 创建DRA策略以满足你企业中的需求: 添加或删除恢复代理 删除恢复策略 阻止用户使用EFS 为域级别或OU级别添加额外的恢复代理 EFS的恢复代理证书必须安装在需解密数据的计算机上,加密算法,实现EFS的

31、共享,EFS的共享能够实现的功能: 用户能够决定是否允许其他用户解密或查看文件 通过添加额外的用户解密文件增加了数据恢复的机会 增加了除共享权限和NTFS权限外控制文件访问的新方法 EFS文件共享只能对用户设置不能对组,加密文件的复制和移动,2.Linux下的系统管理与数据访问安全,Linux文件系统安全 Linux权限设置,Linux文件系统安全 文件格式,Linux下的文件格式 Linux对于文件的读取和写入，是以树状结构的方式维护的，Linux文件系统支持长文件名和目录名。所有的文件都有i-节点或连接点，它包含一个文件所有的统计和逻辑信息 Ls命令是最常用的UNIX命令，用来查看文件和目

32、录的权限 列出目前工作目录下所有名称是 s 开头的文档，愈新的排愈后面ls -ltr s* 一个用户、一个组 $ ls -l /bin/bash-rwxr-xr-x 1 root wheel 430540 Dec 23 18:27 /bin/bash在这个特殊的示例中，/bin/bash 可执行文件属于 root 用户，并且在 wheel 组中 理解“ls -l” $ ls -l /bin/bash-rwxr-xr-x 1 root wheel 430540 Dec 23 18:27 /bin/bash第一个字段 -rwxr-xr-x 包含该特殊文件的权限的符号表示。该字段中的首字符（-）指定

33、该文件的类型，本例中它是一个常规文件,Linux文件系统安全 三元组,三个三元组 $ ls -l /bin/bash-rwxr-xr-x 1 root wheel 430540 Dec 23 18:27 /bin/bash该字段的其余部分由三个三元组字符组成。第一个三元字符组代表文件所有者的权限，第二个代表文件的组的权限，第三个代表所有其他用户的权限 我是谁？ 要查看用户标识，输入 whoami：# whoamiroot# su drobbins$ whoamidrobbins 我在哪一组？ $ groupsdrobbins wheel audio 改变用户和组所有权 # chown root

34、 /etc/passwd # chgrp wheel /etc/passwd,Linux文件系统安全 - 介绍 chmod,一个程序叫做 chmod，用来改变我们可以在 ls -l 清单中看到的 rwx 权限 $ chmod +x scriptfile.sh 如果我们想要除去一个文件的所有执行权限，我们应该这样做： $ chmod -x scriptfile.sh 用户组其他粒度 对于“用户”三元组使用 u，对于“组”三元组使用 g，对于“其他每个人”使用 o$ chmod go-w scriptfile.sh我们刚除去了组和所有其他用户的写权限，而保留“所有者”权限不动 重新设置权限 通过使

35、用 = 操作符，我们可以告诉 chmod 我们要指定权限和取消别的权限：$ chmod =rx scriptfile.sh$ chmod u=rx scriptfile.sh,Linux文件系统安全 - 介绍 chmod,数字模式 当您需要给一个文件指定所有权限时，数字权限语法特别有用，比如在下面的示例中：$ chmod 0755 scriptfile.sh$ ls -l scriptfile.sh-rwxr-xr-x 1 drobbins drobbins 0 Jan 9 17:44 scriptfile.sh在该示例中，我们使用了 0755 模式，它展开为一个完整的权限设置“-rwxr-x

36、r-x”。,Umask命令 您可以通过在命令行中输入 umask 来查看您当前的 umask 设置$ umask0022Linux 系统上，umask 的缺省值一般为 0022，它允许其他人读您的新文件（如果他们可以得到它们），但是不能进行修改。,Linux文件系统安全 - 介绍 suid 和 sgid,suid Linux 权限模型有两个专门的位，叫做“suid”和“sgid”。当设置了一个可执行程序的“suid”这一位时，它将代表可执行文件的所有者运行，而不是代表启动程序的人运行。 现在，回到 /etc/passwd 问题。如果看一看 passwd 可执行文件，我们可以看到它属于 root

37、 用户：$ ls -l /usr/bin/passwd-rwsr-xr-x 1 root wheel 17588 Sep 24 00:53 /usr/bin/passwd您还将注意到，这里有一个 s 取替了用户权限三元组中的一个 x。这表明，对于这个特殊程序，设置了 suid 和可执行位。由于这个原因，当 passwd 运行时，它将代表 root 用户执行（具有完全超级用户访问权），而不是代表运行它的用户运行。 suid/sgid 告诫说明 我们看到了suid怎样工作，sgid以同样的方式工作。它允许程序继承程序的组所有权，而不是当前用户的程序所有权。 改变 suid 和 sgid 设置和除去

38、 suid 与 sgid 位相当简单。这里，我们设置 suid 位：# chmod u+s /usr/bin/myapp此处，我们从一个目录除去 sgid 位。我们将看到 sgid 位怎样影响下面几屏中的目录：# chmod g-s /home/drobbins,Linux文件系统安全 - 权限和目录,目录和 sgid 如果启用了目录的“sgid”标志，在目录内创建的任何文件系统对象将继承目录的组。当您需要创建一个属于同一组的一组人使用的目录树时，这种特殊的功能很管用。只需要这样做# mkdir /home/groupspace# chgrp mygroup /home/groupspace#

39、 chmod g+s /home/groupspace现在，mygroup 组中的所有用户都可以在 /home/groupspace 内创建文件或目录，同样，他们也将自动地分配到 mygroup 的组所有权。 目录和删除 对于很多用户使用的目录来说，尤其是 /tmp 和 /var/tmp，这种行为可能会产生麻烦。因为任何人都可以写这些目录，任何人都可以删除或重命名任何其他人的文件 即使是不属于他们的！显然，当任何其他用户在任何时候都可以输入“rm -rf /tmp/*”并损坏每个人的文件时，很难把 /tmp 用于任何有意义的文件。 所幸，Linux 有叫做“粘滞位”（sticky bit）的东

40、西。当给 /tmp 设置了粘滞位（用 chmod +t），唯一能够删除或重命名 /tmp 中文件的是该目录的所有者（通常是 root 用户）、文件的所有者或 root 用户。事实上，所有 Linux 分发包都缺省地启用了 /tmp 的粘滞位，而您还可以发现粘滞位在其它情况下也很管用。,Linux文件系统安全 - 难以理解的第一位,我们最后来看一看数字模式的难以理解的第一位数。您可以看到，这个第一位数用来设置 sticky、suid 和 sgid 位：,激发个人潜能 燃点企业动力,第14单元 系统主机加固,内容提要,Windows系统的主机加固 Linux系统的主机加固,1.Windows系统的

41、主机加固,1.1 Windows安全基线介绍 1.2 实现服务器的安全模板 1.3 使用安全配置向导保护服务器安全 1.4 规划和配置客户端计算机安全基线 1.5 软件更新的介绍 1.6 安装Windows的软件更新服务,1.1 Windows安全基线介绍,安全基线的概念与元素 核心服务器安全实践 预定义的安全模板介绍 Windows 2003安全指南模板介绍 额外的安全模板 Windows Server 2003 SP1的安全技术,安全基线的概念和元素,安全基线:,是为指定的计算机所有相关设置的具体描述,安全基线的基本元素:,服务和应用程序的设置 配置操作系统组件 权限和权利的分配 管理过程

42、,核心服务器安全实践,应用最近的service pack和所有可利用的安全模板 使用组策略加强服务器安全 使用MBSA工具扫描服务器安全配置限制对服务器的物理和网络访问,预定义安全模板,Windows 2003安全指南模板介绍,应用基于角色增强的安全模板,Bastion Host,Infrastructure Server,File Server,IIS Server,IAS Server,Certificate Services,Print Server,应用角色服务器的安全基线模板,应用域的安全模板,The Windows Server 2003 安全指南包括以下实践和模板:,应用域控制器

43、的安全模板,1.2 实现服务器的安全模板,规划服务器安全基线的实现 设计基于角色的OU层级架构 部署安全模板的方法 在域环境中使用组策略部署安全模板 针对独立计算机部署安全模板,规划服务器安全基线的实现,为每个角色创建模板,创建OU架构支持安全基线,考虑多操作系统的需求,仅按需授权,使用组策略应用模板,监视基线,部署安全模板的方法,1.3 使用安全配置向导保护服务器安全,安全配置向导的介绍 安全配置向导的组件 应用安全配置向导策略配置多台计算机 选择安全配置向导或安全模板的指导,安全配置向导的介绍,SCW 提供了减少服务器受到危险的指导,关闭了不必要的服务和IIS的Web扩展功能 组织了不使用

44、的端口和留给IPSec使用的安全端口 减少了协议的暴露 (LDAP, NTLM, SMB) 配置了审核设置,SCW 支持:,回滚 分析 远程配置 支持命令行 与AD集成 策略编辑,安全配置向导组件,为以下任务使用 SCW 用户接口:,创建新的安全策略编辑一条已经存在的由SCW生成的安全策略 应用存在的由SCW生成的安全策略 回滚到最近应用的SCW策略,使用SCWCmd实现下列任务:,分析和配置多个服务器 通过HTML的格式查看分析结果 回滚SCW策略 将SCW生成的策略转换成组策略支持的文件,应用安全配置向导策略到多台计算机,多个相同特性的服务器组可以通过下列的配置实现:,为一个服务器组创建一

45、条策略 把相同特性的服务器放在同一个OU中 为相同的平台创建策略 通过SCWCmd /p:PolicyFile /i:MachineList配置多台服务器,选择安全配置向导或安全模板的指导,通过组策略应用的安全策略优先级高于SCW策略文件 AD默认的层级继承规则和连接顺序决定了GPO的优先级 冲突时，SCW配置的安全策略优先级高于那些通过XML定义的.inf安全模板 所有模板按照排列的顺序由高到低定义优先级,1.4 规划和配置客户端计算机安全基线,客户端计算机安全基线介绍 客户端计算机应用程序安全保护 Windows防火墙,客户端计算机安全基线和额外安全设置,额外的安全设置包括:,配置取决于服

46、务、审核策略、用户权限指派和桌面的安全级别,应用 .adm管理模板 使用SYSKEY 调节日志大小 设置计算机安全阻止未授权或不可识别的代码 重命名管理员和来宾帐户,客户端预定义安全模板,WindowsXP 安全模板,管理模板,使用管理模板控制客户端计算机的用户桌面环境,Windows XP 管理模板,Conf.adm Inetres.adm System.adm Wmplayer.adm Wuau.adm,安全模板和管理模板的区别,Windows防火墙,默认已安装,引导事件的安全,全局设置和恢复默认值,本子网的限制,支持命令行,Windows 防火墙例外列表,支持不允许例外,多配置文件,支持

47、RPC,支持无人值守安装,WINDOWS防火墙的配置选项,1.5 软件更新的介绍,补丁管理的好处 软件攻击时序 Microsoft 补丁严重级别 成功完成补丁更新的组件 补丁管理过程 补丁管理工具的介绍,更新管理的好处,有效的补丁管理的好处:,减少计算机宕机事件 减少成本 减少数据损失 加强财产的保护,软件攻击时序,Most attacks occur here,部署补丁和病毒爆发的时间变得紧急,微软安全补丁严重性级别,成功完成更新的组件,有效的处理,有效的操作,工具和技术,设计四个阶段的管理工程,产品、工具及自动化,员工清楚认识他们的角色和职责,补丁管理过程,补丁管理工具的介绍,1.6 安装

48、Windows的软件更新服务,WSUS的介绍 自动更新介绍 WSUS 的工作过程 WSUS 的部署场景 安装WSUS的需求 WSUS架构规划指南 实现WSUS的安装,自动更新,WSUS服务器,自动更新,LAN,WSUS的介绍,Microsoft Update Web Site,Internet,测试客户端,自动更新的介绍,自动更新是安装在客户端的软件:,用于联系 Microsoft Update 或 WSUS 下载或更新补丁,补丁管理的最佳实践,制定微软安全更新报告,设置测试环境测试需要分发的补丁,配置WSUS客户端存储补丁在本地数据库,配置WSUS维护Windows Update,确保只有管

49、理员能够控制自动更新服务,每次以部门为单位部署更新,使用计算机组引导配置,2. Linux下的主机加固,保护引导过程 保护服务和后台进程 保护本地文件系统 强制实行配额和限制 更新和添加安全补丁 Linux中防火墙技术,保护引导过程,保护 Linux 引导装载程序的主要原因： 防止进入单用户模式 如果攻击者能够引导入单用户模式，他就可以成为根用户。 防止进入 GRUB 控制台 如果机器使用 GRUB 作为引导装载程序，攻击者可以使用 GRUB 编辑界面来改变它的配置或使用 cat 命令来收集信息。 防止进入非安全的操作系统 如果它是双引导系统，攻击者可以在引导时选择操作系统，例如 DOS，它会

50、忽略存取控制和文件权限。,用口令保护 GRUB,/sbin/grub-md5-crypt 在主体的 timeout 行下添加以下行 password -md5 防止攻击者在双引导环境中引导不安全操作系统 不安全操作系统的 title 行，然后紧跟在下面添加一行 lock 如：title DOS lock 要为某个特定内核或操作系统创建不同的口令，在那个实例中添加一个 lock 行，再紧跟一行 password 如：title DOS lock password -md5 ,保护服务和后台进程,服务的安全配置的第一个步骤是，禁用所有不需要的服务 /etc/inittab 理解 /etc/inittab 中所有条目的功能，并禁用潜在不必要的服务，删除那个条目，或者在那一行的开头使用井号注释掉它。 /etc/init.d 中的引导脚本 /etc/init.d 中的引导脚本用来启动或者停止系统服务，要防止在特定的运行级中会启动某个服务，则删除运行级目录中指向相应引导脚本的链接，或者使用一个不做任何事情的虚脚本取代 /etc/init.d 中原来的引导脚本。 i