1、系統安全加固系統安全加固 -2-培訓要求：培訓要求：該課程主要介紹系統通用的安全加固方案和方法該課程主要介紹系統通用的安全加固方案和方法培訓對象：培訓對象：面向安全管理人員、安全技術人員、系統維護人員、面向安全管理人員、安全技術人員、系統維護人員、共共3 3類人員類人員培訓時間培訓時間：1 1小時左右小時左右培訓側重點：培訓側重點：本教材側重點為安全技術人員和系統維護人員本教材側重點為安全技術人員和系統維護人員-3-目目 錄錄 理解安全加固理解安全加固 Windows安全加固安全加固 UNIX/Linux安全加固安全加固-4-一、安全加固的概念一、安全加固的概念 風險、脆弱性風險、脆弱性 如何

2、定義如何定義 “安全安全”？ 硬件硬件 + 軟件軟件 = 預期的結果預期的結果 硬件硬件 + 軟件軟件 預期的結果預期的結果 如何定義更全面的如何定義更全面的“安全安全”？ 人人 + 硬件硬件 + 軟件軟件 = 預期的結果預期的結果 人人 + 硬件硬件 + 軟件軟件 預期的結果預期的結果-5-二、安全加固的目標二、安全加固的目標n目標目標 我們的目標是降低風險-6-三、安全加固對象三、安全加固對象n對象對象 所有可能產生脆弱性的東西-7-四、安全加固的原則四、安全加固的原則n加固原則加固原則 風險最大化 不要忽視掃描報告和檢查結果中的任何一個細節，將任何潛在隱患以最大化的方式展現 威脅最小化

3、威脅難以被徹底消除，因為它是動態的，我們只能將其降低至可接受的程度-8-五、安全加固的流程五、安全加固的流程n一般流程一般流程 確認加固的要求（安全基線） 安全檢查（手工檢查或者基線設備檢查） 加固前的交流（和業務負責人交流） 加固實施過程（重要系統需要先在備機上測試） 加固完成及成果輸出（方便發生問題時回退）-9-目目 錄錄 理解安全加固理解安全加固 Windows安全加固安全加固 UNIX/Linux安全加固安全加固-10-WindowsWindows通用安全加固方案通用安全加固方案n補丁及防護軟件補丁及防護軟件n系統服務系統服務n安全策略安全策略 n日志與審核策略日志與審核策略n用戶與文

4、件系統用戶與文件系統n安全增強安全增強-11-補丁補丁 檢查系統補丁安裝情況檢查系統補丁安裝情況命令行執行命令行執行systeminfosysteminfo, ,查看系統已經安裝的補丁列表查看系統已經安裝的補丁列表 補丁更新補丁更新 手動安裝：使用手動安裝：使用IE訪問，按提示安裝必要的訪問，按提示安裝必要的activeX控件后，按提示控件后，按提示安裝補丁安裝補丁 開始開始 控制面板控制面板 自動更新，在自動更新面板中選中自動（建議）自動更新，在自動更新面板中選中自動（建議）(U)，然后根據個人需求設置升級時間，然后根據個人需求設置升級時間-12-防護軟件防護軟件 安裝殺毒軟件并保持病毒庫更

5、新安裝殺毒軟件并保持病毒庫更新 防火墻防火墻 對于防火墻軟件，建議屏蔽以下端口：對于防火墻軟件，建議屏蔽以下端口： TCP 135 TCP 139 TCP 445 -13-WindowsWindows通用安全加固方案通用安全加固方案n補丁及防護軟件補丁及防護軟件n系統服務系統服務n安全策略安全策略 n日志與審核策略日志與審核策略n用戶與文件系統用戶與文件系統n安全增強安全增強-14-系統服務系統服務 查看系統服務查看系統服務 執行執行services.msc,檢查啟動類型為自動的服務檢查啟動類型為自動的服務 關閉非必需的服務關閉非必需的服務 建議關閉一下服務：建議關閉一下服務：Task Sch

6、eduler/Remote Registry /SNMP Service/Print Spooler /Telnet /Computer Browser/Messenger/Alerter/ DHCP Client 關閉方法：雙擊需要關閉的服務，將啟動類型設置為禁用，點擊停關閉方法：雙擊需要關閉的服務，將啟動類型設置為禁用，點擊停止按鈕以停止當前正在運行的服務止按鈕以停止當前正在運行的服務 -15-SNMPSNMP服務服務 修改修改SNMP的字符串的字符串 為什么要修改為什么要修改SNMP的字符串？它會泄露什么？的字符串？它會泄露什么？ 通過通過 SNMP服務，遠程惡意用戶可以列舉本地的帳號、

7、帳號組、服務，遠程惡意用戶可以列舉本地的帳號、帳號組、運行的進程、安裝的補丁和軟件等敏感信息，禁用或修改運行的進程、安裝的補丁和軟件等敏感信息，禁用或修改 SNMP配置可以有效防止遠程惡意用戶的這類行為。配置可以有效防止遠程惡意用戶的這類行為。 攻擊工具攻擊工具: snmputil walk 1.1.1.10 public .1.3.6. .-16-服務與進程服務與進程 SNMP ServiceSNMP Service服務加固方法：服務加固方法：為修改為修改 SNMP SNMP 團體名團體名限制遠程主機對限制遠程主機對 SNMP SNMP 的訪問的訪問 -17-關閉自動播放功能關閉自動播放功能

8、 關閉所有驅動器的自動播放功能關閉所有驅動器的自動播放功能 點擊開始運行輸入 gpedit.msc，打開組策略編輯器， 瀏覽到計算機配置管理模板系統，在右邊窗格中雙擊“關閉自動播放”，對話框中選擇所有驅動器，確定即可。 -18-WindowsWindows通用安全加固方案通用安全加固方案n補丁及防護軟件補丁及防護軟件n系統服務系統服務n安全策略安全策略 n日志與審核策略日志與審核策略n用戶與文件系統用戶與文件系統n安全增強安全增強-19-密碼策略密碼策略 密碼策略密碼策略 長度長度 7 Windows 2000 127 14 Windows 9X 0 期限期限 定期修改密碼定期修改密碼 復雜性

9、復雜性 Pyth0n&!大小寫大小寫數字數字特殊字符特殊字符-20-密碼策略密碼策略 加固要點加固要點 密碼策略密碼策略: 開始開始 運行運行 gpedit.msc 計算機配置計算機配置 Windows 設置設置 安全設置安全設置 帳戶策略帳戶策略 帳戶鎖定帳戶鎖定策略策略-密碼策略密碼策略”： 帳戶鎖定策略帳戶鎖定策略-21-用戶權利指派用戶權利指派 檢查用戶權限策略是否設置：檢查用戶權限策略是否設置： 開始 運行 gpedit.msc 計算機配置 Windows 設置 安全設置 本地策略 用戶權利指派-22-本地安全策略配置本地安全策略配置 檢查本地安全策略配置：檢查本地安全策略配

10、置： 開始 運行 gpedit.msc 計算機配置 Windows 設置 安全設置 本地策略 安全選項-23-WindowsWindows通用安全加固方案通用安全加固方案n補丁及防護軟件補丁及防護軟件n系統服務系統服務n安全策略安全策略 n日志與審核策略日志與審核策略n用戶與文件系統用戶與文件系統n安全增強安全增強-24-日志和審核策略日志和審核策略 審核審核 了解了解Windows審核策略審核策略 審核策略并不完整審核策略并不完整 很多審核內容默認未開啟很多審核內容默認未開啟 只有只有在在 NTFS 磁盤上才能開啟對象訪問審核磁盤上才能開啟對象訪問審核,日志量較日志量較大大 步驟步驟 打開審

11、核策略打開審核策略 編輯審核對象的審核項編輯審核對象的審核項-25-日志和審核策略日志和審核策略 審核審核 打開審核策略打開審核策略 要做什么審核？要審核什么？要做什么審核？要審核什么？ 位置：位置：gpedit.msc 計算機配置計算機配置 Windows設置設置 安全設置安全設置 審核設置審核設置-26-日志和審核策略日志和審核策略 審核審核 查看審核日志查看審核日志 eventvwr（事件查看器）（事件查看器）-27-WindowsWindows通用安全加固方案通用安全加固方案n補丁及防護軟件補丁及防護軟件n系統服務系統服務n安全策略安全策略 n日志與審核策略日志與審核策略n用戶與文件系

12、統用戶與文件系統n安全增強安全增強-28-文件系統文件系統 Windows文件系統文件系統 FAT FAT 16 FAT 32 NTFS 將將 FAT 卷轉換成卷轉換成 NTFS convert C: /FS:NTFS -29-用戶用戶 用戶和組用戶和組 特殊的組特殊的組 Administrators、Guests、Power Users 可通過可通過net localgroup命令打印命令打印 特殊的用戶特殊的用戶 Administrator、Guest 可通過可通過net user命令打印命令打印 隱藏帳號隱藏帳號 net user hide$ password /add-30-用戶用戶

13、加固要點加固要點 檢查用戶檢查用戶 克隆克隆 隱藏隱藏 清除用戶清除用戶 未使用的未使用的 未知的未知的 鎖定用戶鎖定用戶 Guest SUPPORT_XXXXX-31-設置重要文件權限設置重要文件權限 權限權限 前提（關鍵字）前提（關鍵字） NTFS Administrators-32-設置重要文件權限設置重要文件權限 權限權限 ACL （訪問控制列表）（訪問控制列表） 包含了用戶帳戶和訪問對象之間許可關系包含了用戶帳戶和訪問對象之間許可關系由四個權限項組成的權限項集（即，由四個權限項組成的權限項集（即，ACL）-33-設置重要文件權限設置重要文件權限 權限權限 ACE （訪問控制項）（訪問

14、控制項） ACL中包含中包含ACE 訪問控制條目訪問控制條目-34-設置重要文件權限設置重要文件權限 加密和壓縮加密和壓縮-35-設置重要文件權限設置重要文件權限 審核審核 編輯審核對象的審核項編輯審核對象的審核項-36-設置重要文件權限設置重要文件權限 加固要點加固要點 目錄及文件的權限目錄及文件的權限 查找具有查找具有everyone的權限項的權限項 重要對象的審核策略重要對象的審核策略echo offdir/s/b all.txtfor /f %i in (all.txt) do cacls %i | find Everyone-37-WindowsWindows通用安全加固方案通用安全

15、加固方案n補丁及防護軟件補丁及防護軟件n系統服務系統服務n安全策略安全策略 n日志與審核策略日志與審核策略n用戶與文件系統用戶與文件系統n安全增強安全增強-38-安全增強安全增強 刪除匿名用戶空連接刪除匿名用戶空連接 注冊表如下鍵值：注冊表如下鍵值：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa 將將 restrictanonymous 的值設置為的值設置為 1，若該值不存在，可以自己創，若該值不存在，可以自己創建，類型為建，類型為 REG_DWORD，修改完成后重新啟動系統生效，修改完成后重新啟動系統生效 刪除默認共享刪除默認共享 注冊

16、表如下鍵值：注冊表如下鍵值： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters 將將 Autoshareserver 設置為設置為 0，若不存在，若不存在，可創建，類型為可創建，類型為 REG_DWORD修改完成后重新啟動系統生效修改完成后重新啟動系統生效 -39-目目 錄錄 理解安全加固理解安全加固 Windows安全加固安全加固 UNIX/Linux安全加固安全加固-40-UNIX/LinuxUNIX/Linux通用安全加固方案通用安全加固方案n帳號帳號n文件權限文件權限n服務服務n日志審計日志審

17、計n系統狀態系統狀態-41-帳號安全帳號安全n帳號帳號/etc/login.defs，檢查 PASS_MAX_DAYS/PASS_MIN_LEN/ PASS_MIN_DAYS/PASS_WARN_AGE檢查是否存在除root外UID = 0的用戶檢查是否存在弱口令鎖定不使用的帳戶(passwd l username)檢查root用戶環境變量設置帳號超時注銷(vi /etc/profile增加TMOUT=600) -42-帳號安全帳號安全 限制限制root遠程登錄遠程登錄 /etc/ssh/sshd_config : PermitRootLogin no /etc/securetty文件中配置：

18、文件中配置： CONSOLE = /dev/tty01 -43-UNIX/LinuxUNIX/Linux通用安全加固方案通用安全加固方案n帳號帳號n文件權限文件權限n服務服務n日志審計日志審計n系統狀態系統狀態-44-umaskumask 檢查是否包含檢查是否包含 umask 值值 more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc -45-umaskumask umaskrootRHEL5 home# umask0022rootRHEL5 home# touch file1rootRHEL5 h

19、ome# ls -l file1-rw-r-r- 1 root root 0 Jul 26 07:17 file1 (644)rootRHEL5 home# umask 0066rootRHEL5 home# touch file2rootRHEL5 home# ls -l file2-rw- 1 root root 0 Jul 26 07:18 file2 (600)rootRHEL5 home# umask 0rootRHEL5 home# umask0000rootRHEL5 home# touch file3rootRHEL5 home# ls -l file3-rw-rw-rw- 1

20、 root root 0 Jul 26 07:25 file3 (666)-46-文件權限文件權限 文件權限文件權限 ls lrootRHEL5 home# ls -l total 44 drwxr-xr-x 2 root root 4096 Jul 26 05:24 apue -rw-r-r- 1 root root 16069 Jun 30 09:17 cpro.tar.gz chmod chmod u+x file chmod 744 file4000SUID2000SGID1000粘住位0400所有者可讀所有者可讀0200所有者可寫所有者可寫0100所有者可執行所有者可執行0040所在

21、組可讀所在組可讀0020所在組可寫0010所在組可執行0004其他用戶可讀其他用戶可讀0002其他用戶可寫0001其他用戶可執行_0744結果結果-47-文件權限文件權限 檢查重要目錄和文件的權限設置檢查重要目錄和文件的權限設置 ls l /etc/rc.d/init.d/ chmod -R 750 /etc/rc.d/init.d/* 查找系統中所有的查找系統中所有的 SUID和和 SGID 程序程序-48-UNIX/LinuxUNIX/Linux通用安全加固方案通用安全加固方案n帳號帳號n文件權限文件權限n服務服務n日志審計日志審計n系統狀態系統狀態-49-系統服務系統服務 守護進程與服務

22、的區別守護進程與服務的區別 守護進程守護進程 進程的一種特殊狀態進程的一種特殊狀態 不綁定至任何不綁定至任何Terminal 父進程是父進程是init 服務服務 相對守護進程，相對守護進程，“服務服務”的概念更為抽象的概念更為抽象 為用戶提供一種功能的應用為用戶提供一種功能的應用 可能包含一個或多個守護進程可能包含一個或多個守護進程 例例 服務名：服務名：SSH Server 進程名：進程名：sshd-50-系統服務系統服務 inetd 一些輕量級的服務，由一些輕量級的服務，由inetd集中處理集中處理 已不能滿足現狀已不能滿足現狀 # inetd.conf echo stream tcp6

23、nowait root internal echo dgram udp6 wait root internal daytime stream tcp6 nowait root internal daytime dgram udp6 wait root internal -51-系統服務系統服務 加固要點加固要點 服務服務 進程進程 端口端口 ipfw TCPWrapper libwrap ; configure -with-libwrap=libwrap_path hosts.allow ; hosts.deny 停止不必要的停止不必要的inetd服務服務 停止不必要的服務停止不必要的服務 /

24、etc/rc3.d/S88xxx stop mv /etc/rc3.d/S88xxx /etc/rc3.d/K88xxx -52-SnmpSnmp配置配置 Snmp安全配置如果打開了如果打開了SNMPSNMP協議，協議，snmpsnmp團體字設置不能使用默認的團體字團體字設置不能使用默認的團體字。查看配置文件查看配置文件/etc/snmp/snmpd.conf/etc/snmp/snmpd.conf，應禁止使用應禁止使用publicpublic、privateprivate默認團體字，使用用戶自定義的團體字默認團體字，使用用戶自定義的團體字。例如將以下設置中的例如將以下設置中的publicpublic替換為用戶自定義的團體字：替換為用