操作系统安全加固

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

操作系统安全加固张敏四川讯修信息技术服务有限公司培训简介培训目的:该课程主要介绍系统通用的安全加固方案和方法培训对象:面向安全管理人员、安全技术人员、系统维护人员、共3类人员培训时间:60分钟培训重点:本教材侧重点为安全技术人员和系统维护人员安全守则著名信息安全的十大守则守则1:如果一个人能说服你同意他在你的电脑上运行他的程序,那么,这台电脑就不再属于你了;守则2:如果一个人能够改变你电脑上的操作系统,那么,这台电脑就不再属于你了;守则3:如果一个人能够不受限制的从物理上接触到你的电脑,那么,这台电脑就不再属于你了;守则4:如果你允许一个人能够上传他的程序到你的网站,那么,这个网站就不再属于你了;守则5:脆弱的口令能够轻而易举地击败非常牢固的安全系统;守则6:一台机器只有在它的管理员可信赖的时候才是安全的;守则7:加密过的数据只有在解密密钥安全的时候才是安全的;守则8:一个过期的病毒扫描器仅仅比根本没有病毒扫描器就好上那么一丁点;守则9:绝对的匿名是不可能实现的,无论是在真实的生活中还是在WEB上;守则10:技术不是万能的。加固环节培训目录理解安全加固•Windows安全加固•UNIX/Linux安全加固一、安全加固的概念•为什么要安全加固修补系统存在的漏洞弱点预防系统面临的威胁•如何理解“安全”?可用性保密性完整性•如何实现“安全”?管理+技术=预期的结果管理+技术≠预期的结二、安全加固的目标目标我们的目标是降低风险到可以接受三、安全加固对象对象所有可能产生脆弱性的应用四、安全加固的原则加固原则业务影响最小化安全风险难以被彻底消除,因为它是动态的,我们在加固过程中坚持的最基本原则是业务系统的可用性,对业务系统影响最小化。风险发现最大化详细审查评估报告和漏洞扫描中的任何一个细节,将任何潜在的安全隐患以最大展现,列表,进行确认处理。五、安全加固的流程加固流程确认加固目标(加固需求和要求)实施安全检查(手工检查和漏洞扫描检查)加固前的交流(和业务负责人系统管理员交流)加固实施过程(测试环境-备用机—非核心-核心主机)加固过程文件与成果输出(加固效果与过程记录文件)目录•理解安全加固Windows安全加固•UNIX类安全加固Windows通用安全加固方案补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强补丁•检查系统补丁安装情况–命令行执行systeminfo,查看系统已经安装的补丁列表•补丁更新手动安装:使用IE访问,按提示安装必要的activeX控件后,按提示安装补丁开始–控制面板–自动更新,在自动更新面板中选中自动(建议)(U),然后根据个人需求设置升级时间内网与安全域环境,可以建立独立的WSUS服务器防护软件•安装杀毒软件并保持病毒库更新–守则8:一个过期的病毒扫描器仅仅比根本没有病毒扫描器就好上那么一丁点;•防火墙–对于防火墙,建议建立严格的访问控制策略。Windows通用安全加固方案补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强系统服务•查看系统服务执行services.msc,检查启动类型为自动的服务最小化服务原则,建议关闭一下服务:–TaskScheduler/RemoteRegistry/SNMPService/–PrintSpooler/Telnet/ComputerBrowser/Messenger/–Alerter/DHCPClient关闭方法:双击需要关闭的服务,将启动类型设置为禁用,点击停止按钮以停止当前正在运行的服务SNMP服务•修改SNMP的字符串–为什么要修改SNMP的字符串?它会泄露什么?通过SNMP服务,远程恶意用户可以列举本地的帐号、帐号组、运行的进程、安装的补丁和软件等敏感信息,禁用或修改;SNMP配置可以有效防止远程恶意用户的这类行为。攻击工具:snmputilwalk1.1.1.10public.1.3.6......服务与进程•SNMPService服务加固方法:–为修改SNMP团体名–限制远程主机对SNMP的访问关闭自动播放功能•关闭所有驱动器的自动播放功能点击开始→运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统,在右边窗格中双击“关闭自动播放”,对话框中选择所有驱动器,确定即可。Windows通用安全加固方案补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强密码策略•密码策略长度•7≤Windows2003≤127•7≤windows2008≤127期限•定期修改密码复杂性•ChinaMobile_NO.1大小写数字特殊字符密码策略•加固要点–密码策略:–开始→运行→gpedit.msc–计算机配置→Windows设置→安全设置→帐户策略→帐户锁定策略-密码策略”:–帐户锁定策略用户权利指派•检查用户权限策略是否设置:开始→运行→gpedit.msc计算机配置→Windows设置→安全设置→本地策略→用户权利指派本地安全策略配置•检查本地安全策略配置:开始→运行→gpedit.msc计算机配置→Windows设置→安全设置→本地策略→安全选项Windows通用安全加固方案补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强日志和审核策略•审核了解Windows审核策略•审核策略并不完整•很多审核内容默认未开启•只有在NTFS磁盘上才能开启对象访问审核,日志量较大(考虑性能)步骤•打开审核策略•编辑审核对象的审核项日志和审核策略•审核–打开审核策略•要做什么审核?要审核什么?•位置:gpedit.msc–计算机配置–Windows设置–安全设置–审核设置12日志和审核策略•审核查看审核日志•eventvwr(事件查看器)Windows通用安全加固方案补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强文件系统•Windows文件系统–FAT•FAT16•FAT32–NTFS•将FAT卷转换成NTFS–convertC:/FS:NTFS用户•用户和组–特殊的组•Administrators、Guests、PowerUsers……•可通过netlocalgroup命令打印–特殊的用户•Administrator、Guest•可通过netuser命令打印–隐藏帐号•netuserhide$password/add用户•加固要点–检查用户•克隆•隐藏–清除用户•未使用的•未知的–锁定用户•Guest•SUPPORT_XXXXX设置重要文件权限•权限–前提(关键字)•NTFS•Administrators设置重要文件权限•权限–ACL(访问控制列表)•包含了用户帐户和访问对象之间许可关系由四个权限项组成的权限项集(即,ACL)设置重要文件权限•权限–ACE(访问控制项)•ACL中包含ACE•访问控制条目设置重要文件权限•加密和压缩设置重要文件权限•审核–编辑审核对象的审核项123设置重要文件权限•加固要点–目录及文件的权限•查找具有everyone的权限项–重要对象的审核策略@echooffdir/s/ball.txtfor/f%%iin(all.txt)docacls%%i|findEveryoneWindows通用安全加固方案补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强安全增强•删除匿名用户空连接–注册表如下键值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa将restrictanonymous的值设置为1,若该值不存在,可以自己创建,类型为REG_DWORD,修改完成后重新启动系统生效•删除默认共享–注册表如下键值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters将Autoshareserver设置为0,若不存在,可创建,类型为REG_DWORD修改完成后重新启动系统生效–目录•理解安全加固•Windows安全加固•UNIX/Linux安全加固UNIX/Linux通用安全加固方案帐号文件权限服务日志审计系统状态帐号安全帐号–/etc/login.defs,检查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE–检查是否存在除root外UID=0的用户–检查是否存在弱口令–锁定不使用的帐户(passwd–lusername)–检查root用户环境变量–设置帐号超时注销(vi/etc/profile增加TMOUT=180)帐号安全•限制root远程登录–/etc/ssh/sshd_config:–PermitRootLoginno–/etc/securetty文件中配置:–CONSOLE=/dev/tty01UNIX/Linux通用安全加固方案帐号文件权限服务日志审计系统状态umask•检查是否包含umask值more/etc/profilemore/etc/csh.loginmore/etc/csh.cshrcmore/etc/bashrcumask•umask–[root@RHEL5home]#umask–0022–[root@RHEL5home]#touchfile1–[root@RHEL5home]#ls-lfile1–-rw-r--r--1rootroot0Jul2607:17file1(644)–[root@RHEL5home]#umask0066–[root@RHEL5home]#touchfile2–[root@RHEL5home]#ls-lfile2–-rw-------1rootroot0Jul2607:18file2(600)–[root@RHEL5home]#umask0–[root@RHEL5home]#umask–0000–[root@RHEL5home]#touchfile3–[root@RHEL5home]#ls-lfile3–-rw-rw-rw-1rootroot0Jul2607:25file3(666)文件权限•文件权限–ls–l•[root@RHEL5home]#ls-l•total44•drwxr-xr-x2rootroot4096Jul2605:24apue•-rw-r--r--1rootroot16069Jun3009:17cpro.tar.gz–chmod•chmodu+xfile•chmod744file4000SUID2000SGID1000粘住位0400所有者可读0200所有者可写0100所有者可执行0040所在组可读0020所在组可写0010所在组可执行0004其他用户可读0002其他用户可写0001其他用户可执行______________________0744结果文件权限•检查重要目录和文件的权限设置ls–l/etc/rc.d/init.d/chmod-R750/etc/rc.d/init.d/*•查找系统中所有的SUID和SGID程序UNIX/Linux通用安全加固方案帐号文件权限服务日志审计系统状态系统服务•守护进程与服务的区别–守护进程•进程的一种特殊状态•不绑定至任何Terminal•父进程是init–服务•相对守护进程,“服务”的概念更为抽象•为用户提供一种功能的应用•可能包含一个或多个守护进程–例•服务名:SSHServer•进程名:sshd系统服务•inetd–一些轻量级的服务,由inetd集中处理–已不能满足现状•#inetd.conf•echostreamtcp6nowaitrootinternal•echodgramudp6waitrootinternal•daytimestreamtcp6nowaitr

1 / 60
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功