搜索
客户至上工匠精神—讲师:吴晓平安全加固简介概述安全加固答疑交流安全加固分类详解安全加固实施流程安全加固实施流程p1p2p3p4p5Chapter.1简介概述•解决目标系统在安全评估中发现的技术性安全问题•对系统性能进行优化配置,杜绝系统配置不当而出现的弱点安全加固1简介•安全加固:是对信息系统中的主机系统(包含运行在主机上的各种软件系统)与网络设备的脆弱性进行分析并修补。另外,安全加固同时包括了对主机系统的身份鉴别与认证、访问控制和审计跟踪策略的增强。目的安全加固1原则修补加固内容不能影响目标系统所承载的业务运行修补加固不能严重影响目标系统的自身性能修补加固操作不能影响与目标系统以及与之相连的其它系统的安全性,也不能造成性能的明显下降。Chapter.2分类详解安全加固1Windows安全加固边界物理安全加固Web安全加固Linux安全加固安全加固Windows加固1账户及密码策略本地安全策略注册表安全补丁升级和病毒查杀SYN防护攻击禁用不必要的服务和组件Windows加固Windows加固1密码策略加固最小长度及修改时间密码中不得包含易猜测字符、数字密码策略满足复杂度需求必须包含大小字母、数字和特殊符号中三种或以上如常用单词(iloveu)、常用数字(520、12345678)、个人生日日期或者名字缩写最小长度为8位,且从安全的角度,建议使用一段时间后修改密码,且新密码不得为使用过的密码Windows加固1•设定账户锁定时间:30分钟•设定账户锁定阈值:5次•重置账户锁定计数器:30分钟之后账户锁定策略•禁用guest账户•更改administrator管理员默认名无用账户禁用及默认名更改账户策略加固账户策略加固Windows加固1开启审核策略1禁用自动播放3•防止病毒木马程序利用自动播放进行自动运行开启屏幕保护2•等待10分钟•在恢复显示登录屏幕禁用本地共享4禁用本地默认共享:如C盘、D盘本地安全策略加固•审核策略•审核登录•审核对象访问•审核目录•审核进程•审核特权•审核系统事件•审核账户管理HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersWindows加固添加文本添加文本添加文本标题通过注册表,用户可以轻易地添加、删除、修改windows系统内的软件配置信息或硬件驱动程序,这不仅方便了用户对系统软硬件的工作状态进行实时的调整。与此同时注册表也成为入侵者攻击的目标,通过注册表种植木马、修改软件信息,甚至删除、停用或改变硬件的工作状态。1注册表策略加固Windows加固Windows加固1注册表策略加固=》彻底隐藏文件及文件夹•注册表策略加固=》系统启动项•活动子项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run•添加开机自启动字符串:tiquan=设置自启动文件:tiquan.batWindows加固1Windows加固1系统组件系统服务•wscript.shell•远程桌面共享•ApplicationLayerGatewayService•应用程序管理禁用不必要的系统组件及服务Windows加固1防SYN洪水攻击防御手段关闭不必要的服务限制同时打开的SYN半连接数目缩短SYN半连接超时时间及时更新系统补丁通过注册表启动SYN攻击保护HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters找到SYNATTACKPROTECT键值项(没有的话新建即可),把默认的数值由“1”改为“2”,启动SYN攻击保护,从而实现抵御DoS攻击。Windows加固1补丁升级和病毒查杀账户及密码策略网络系统服务系统安全设置认证授权Linux加固Linux安全加固Linux加固1Linux加固11.备份密码策略文件2.编辑密码策略文件3.配置密码策略项cp/etc/login/defs/etc/login/defs.savevi/etc/login.defsPASS_MAX_DAYS90(密码不过期的最多天数)PASS_MIN_DAYS0(密码修改之间的最小天数)PASS_MIN_LEN8(密码的最小长度)PASS_WARN_AGE7(密码失效前多少天开始告知用户)密码策略Linux加固1锁定系统中不必要的系统用户和组1锁定之前备份/etc/passwd和/etc/shadow2锁定用户:admlpsyncnewsuucpgamesftprpcrpcusernfsnobdymailnullgdm3检查是否锁定成功:more/etc/passwd如:lp:!*:13943:0:99999:7:::lp账户后面有!即为锁定4禁用无关的组:禁用无关的组(编辑:vi/etc/group)lpuucpgamesftprpcrpcusernfsnobodymailnullgdm在组前面#进行注释5用户账户策略1网络系统服务禁用不必要的服务启用审计服务Linux加固1更改默认服务端口(22改为1024以上的高端口)2禁止root用户远程登录SSH345使用特定的白名单IP、用户,拒绝之外的非法IP、用户使用DSA公钥认证登录,不使用密码认证使用iptbales技巧来设定SSH锁定时间1SSH服务加固Linux加固•拷贝~/.ssh/id_dsa.pub中的内容到‘服务器1’的~/.ssh/authorized_keys文件中•~$chmod600~/.ssh/authorized_keysLinux加固1限制控制台的使用1系统关闭Ping回应2/etc/securetty文件3禁止IP源路径路由4/etc/host.conf文件5日志系统安全6资源限制7系统安全配置echo1/proc/sys/net/ipv4/icmp_echo_ignore_allLinux加固1找出系统中所有含s位的程序,把不必要得s位去掉,或者把根本不用的直接删除[root@ayazero/]#chattr+i/etc/passwd[root@ayazero/]#chattr+i/etc/shadow[root@ayazero/]#chattr+i/etc/gshadow[root@ayazero/]#chattr+i/etc/group[root@ayazero/]#chattr+i/etc/inetd.conf[root@ayazero/]#chattr+i/etc/httpd.conf[root@ayazero/]#find/-nouser-o-nogroup把重要文件加上不可改变属性找出系统中没有属主的文件root@ayazero/]#find/-typef\(-perm-04000-o-perm-02000\)-execls-lg{}\;[root@ayazero/]#chmoda-sfilename认证授权Web安全加固1常见web安全漏洞对应加固防御手段A1——过滤危险注入字符A2——设置严谨的会话认证管理A3——输入清除过滤,输出编码转义A4——验证对象,防止未授权对象访问A5——启用合理安全的配置A6——加密敏感信息,屏蔽错误提示A7——严格把控访问控制权限A8——使用token表单及表单参数隐藏A10——避免使用重定向和转发A9——选用安全最新稳定版本的组件Web安全加固1跨站脚本(XSS)实例用户Web程序攻击者1.用户登录3.用户打开攻击者的URL4.Web程序对攻击者的JS做出回应漏洞原理OWASPESAPI编码库对用户输入数据进行合法性验证为COOKIE设置HttpOnly标记防御边界物理安全加固1物理隔离网闸入侵检测系统防火墙•访问控制•恶意流量过滤•ACL规则•检测恶意攻击事件•可联动防火墙•多种控制功能专用硬件•物理上隔离、阻断了具有潜在攻击Chapter.3实施流程加固实施流程1项目启动前期准备信息搜集与分析信息是否充分?加固计划制定审核通过?实施加固加固成功?效果检验项目验收未达到达到效果回退系统备份回退成功?灾难备份失败成功补充评估失败不充分通过Chapter.4风险规避风险规避1充分保障:系统加固之前,先对系统做完全备份加固时间选择:系统业务量最小,业务临时中断对外影响最小的时间段合理沟通:建立直接沟通的渠道,并在工程出现难题的过程中保持合理沟通。加固实施策略系统备份与恢复工程中合理沟通的保证风险规避112确定此次要加固的系统、系统重要等级、是否允许重启等制定详细加固策略在确保系统原配置已备份或记录的前期下,对系统进行加固操作安全加固注意事项3在确保系统可接受当前加固的前提下,对系统进行加固操作4监视系统加固过程,是否能正常工作5ThankYouChapter.5答疑交流ThankYou