系统安全评估和加固服务部雷强目录系统评估理论基础系统评估流程及手段系统评估工具及成果系统安全加固系统评估理论基础什么是安全风险评估?通过工具扫描、人工检查、人工问询等多样化方式,找出被评估系统的弱点情况、面临的威胁情况,并结合资产等级情况等,分析系统存在的安全风险并进行风险管理资产评估(影响分析)风险分析威胁评估脆弱性评估风险管理评估遵循标准和规范信息安全管理标准BS7799信息安全管理指南ISO13335信息安全通用准则ISO15408系统安全工程能力成熟模型SSE-CMM中国移动安全配置规范………………系统评估流程及手段评估流程安全扫描手工检查人工问询问卷调查渗透测试安全评估手段从哪些方面进行评估?系统层安全:该层的安全问题来自网络运行的操作系统:UNIX系列、Linux系列、WindowsNT系列以及专用操作系统等。安全性问题表现在两方面:一是操作系统本身的不安全因素,主要包括身份认证、访问控制、系统漏洞等;二是操作系统的安全配置存在问题。网络层安全:该层的安全问题主要指网络信息的安全性,包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性、远程接入、域名系统、路由系统的安全,入侵检测的手段等。应用层安全:该层的安全考虑网络对用户提供服务所采用的应用软件和数据的安全性,包括:数据库软件、Web服务、电子邮件系统、域名系统、交换与路由系统、防火墙及应用网管系统、业务应用软件以及其它网络服务系统等。物理安全安全管理系统评估工具及成果评估工具漏洞扫描工具–RSAS–天境–Nessus–X-scan………………基线扫描工具–BVS–…………评估成果系统评估输出报告–安全评估实施方案–安全评估报告–安全评估整改方案–…………附属报告–漏洞扫描报告–基线扫描报告–问卷调查报告–…………系统安全加固理解安全加固Windows安全加固UNIX/Linux安全加固一、安全加固的目标目标–我们的目标是降低风险二、安全加固对象对象–所有可能产生脆弱性的东西三、安全加固的原则加固原则–风险最大化‐不要忽视扫描报告和检查结果中的任何一个细节,将任何潜在隐患以最大化的方式展现–威胁最小化‐威胁难以被彻底消除,因为它是动态的,我们只能将其降低至可接受的程度四、安全加固的流程一般流程–确认加固的要求(安全基线)–加固前的交流(和业务负责人交流)–加固实施(重要系统需要先在备机上测试)–加固后验证及成果输出(方便发生问题时回退)Windows通用安全加固方案补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强补丁检查系统补丁安装情况–命令行执行systeminfo,查看系统已经安装的补丁列表补丁更新–手动安装:使用IE访问,按提示安装必要的activeX控件后,按提示安装补丁–开始–控制面板–自动更新,在自动更新面板中选中自动(建议)(U),然后根据个人需求设置升级时间防护软件安装杀毒软件并保持病毒库更新防火墙–对于防火墙软件,建议屏蔽以下端口:TCP135TCP139TCP445Windows通用安全加固方案补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强系统服务查看系统服务–执行services.msc,检查启动类型为自动的服务关闭非必需的服务–建议关闭一下服务:TaskScheduler/RemoteRegistry/SNMPService/PrintSpooler/Telnet/ComputerBrowser/Messenger/Alerter/DHCPClient–关闭方法:双击需要关闭的服务,将启动类型设置为禁用,点击停止按钮以停止当前正在运行的服务SNMP服务修改SNMP的字符串–为什么要修改SNMP的字符串?它会泄露什么?–通过SNMP服务,远程恶意用户可以列举本地的帐号、帐号组、运行的进程、安装的补丁和软件等敏感信息,禁用或修改SNMP配置可以有效防止远程恶意用户的这类行为。–攻击工具:snmputilwalk1.1.1.10public.1.3.6......服务与进程SNMPService服务加固方法:–为修改SNMP团体名–限制远程主机对SNMP的访问关闭自动播放功能关闭所有驱动器的自动播放功能点击开始→运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统,在右边窗格中双击“关闭自动播放”,对话框中选择所有驱动器,确定即可。Windows通用安全加固方案补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强密码策略密码策略–长度7≤Windows2000≤12714≥Windows9X≈0–期限定期修改密码–复杂性Pyth0n&^!@大小写数字特殊字符密码策略加固要点–密码策略:开始→运行→gpedit.msc计算机配置→Windows设置→安全设置→帐户策略→帐户锁定策略-密码策略”:–帐户锁定策略用户权利指派检查用户权限策略是否设置:开始→运行→gpedit.msc计算机配置→Windows设置→安全设置→本地策略→用户权利指派本地安全策略配置检查本地安全策略配置:开始→运行→gpedit.msc计算机配置→Windows设置→安全设置→本地策略→安全选项Windows通用安全加固方案补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强日志和审核策略审核–了解Windows审核策略审核策略并不完整很多审核内容默认未开启只有在NTFS磁盘上才能开启对象访问审核,日志量较大–步骤打开审核策略编辑审核对象的审核项日志和审核策略审核–打开审核策略要做什么审核?要审核什么?位置:gpedit.msc–计算机配置–Windows设置–安全设置–审核设置12日志和审核策略审核–查看审核日志eventvwr(事件查看器)Windows通用安全加固方案补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强文件系统Windows文件系统–FATFAT16FAT32–NTFS将FAT卷转换成NTFS–convertC:/FS:NTFS用户用户和组–特殊的组Administrators、Guests、PowerUsers……可通过netlocalgroup命令打印–特殊的用户Administrator、Guest可通过netuser命令打印–隐藏帐号netuserhide$password/add用户加固要点–检查用户克隆隐藏–清除用户未使用的未知的–锁定用户GuestSUPPORT_XXXXX设置重要文件权限权限–前提(关键字)NTFSAdministrators设置重要文件权限权限–ACL(访问控制列表)包含了用户帐户和访问对象之间许可关系由四个权限项组成的权限项集(即,ACL)设置重要文件权限权限–ACE(访问控制项)ACL中包含ACE访问控制条目设置重要文件权限加密和压缩设置重要文件权限审核–编辑审核对象的审核项123设置重要文件权限加固要点–目录及文件的权限查找具有everyone的权限项–重要对象的审核策略@echooffdir/s/ball.txtfor/f%%iin(all.txt)docacls%%i|findEveryoneWindows通用安全加固方案补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强安全增强删除匿名用户空连接–注册表如下键值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa将restrictanonymous的值设置为1,若该值不存在,可以自己创建,类型为REG_DWORD,修改完成后重新启动系统生效删除默认共享–注册表如下键值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters将Autoshareserver设置为0,若不存在,可创建,类型为REG_DWORD修改完成后重新启动系统生效目录理解安全加固Windows安全加固UNIX/Linux安全加固UNIX/Linux通用安全加固方案帐号文件权限服务日志审计系统状态帐号安全帐号–/etc/login.defs,检查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE–检查是否存在除root外UID=0的用户–检查是否存在弱口令–锁定不使用的帐户(passwd–lusername)–检查root用户环境变量–设置帐号超时注销(vi/etc/profile增加TMOUT=600)帐号安全限制root远程登录–/etc/ssh/sshd_config:PermitRootLoginno–/etc/securetty文件中配置:CONSOLE=/dev/tty01UNIX/Linux通用安全加固方案帐号文件权限服务日志审计系统状态umask检查是否包含umask值more/etc/profilemore/etc/csh.loginmore/etc/csh.cshrcmore/etc/bashrcumaskumask[root@RHEL5home]#umask0022[root@RHEL5home]#touchfile1[root@RHEL5home]#ls-lfile1-rw-r--r--1rootroot0Jul2607:17file1(644)[root@RHEL5home]#umask0066[root@RHEL5home]#touchfile2[root@RHEL5home]#ls-lfile2-rw-------1rootroot0Jul2607:18file2(600)[root@RHEL5home]#umask0[root@RHEL5home]#umask0000[root@RHEL5home]#touchfile3[root@RHEL5home]#ls-lfile3-rw-rw-rw-1rootroot0Jul2607:25file3(666)文件权限文件权限–ls–l[root@RHEL5home]#ls-ltotal44drwxr-xr-x2rootroot4096Jul2605:24apue-rw-r--r--1rootroot16069Jun3009:17cpro.tar.gz–chmodchmodu+xfilechmod744file4000SUID2000SGID1000粘住位0400所有者可读0200所有者可写0100所有者可执行0040所在组可读0020所在组可写0010所在组可执行0004其他用户可读0002其他用户可写0001其他用户可执行______________________0744结果文件权限检查重要目录和文件的权限设置ls–l/etc/rc.d/init.d/chmod-R750/etc/rc.d/init.d/*查找系统中所有的SUID和SGID程序UNIX/Linux通用安全加固方案帐号文件权限服务日志审计系统状态系统服务inetd–一些轻量级的服务,由inetd集中处理–已不能满足现状#inetd.confechostreamtcp6nowaitrootinternalechodgramudp6waitrootinternaldaytimestreamtcp6nowaitrootinternaldaytimedgramudp6waitrootinternal……………………系统服务加固要点–服务→进程→端口ipfw–TCPWrapperlibwrap;configure-