某安全安全加固培訓(xùn)材料課件

1、中國移動安全安全加固培訓(xùn)材料2022/7/27中國移動安全安全加固培訓(xùn)材料培訓(xùn)要求：該課程主要介紹系統(tǒng)通用的安全加固方案和方法培訓(xùn)對象：面向安全管理人員、安全技術(shù)人員、系統(tǒng)維護人員、共3類人員培訓(xùn)時間：1小時左右培訓(xùn)側(cè)重點：本教材側(cè)重點為安全技術(shù)人員和系統(tǒng)維護人員中國移動安全安全加固培訓(xùn)材料目 錄理解安全加固Windows安全加固UNIX/Linux安全加固中國移動安全安全加固培訓(xùn)材料一、安全加固的概念風(fēng)險、脆弱性如何定義 “安全”？硬件 + 軟件 = 預(yù)期的結(jié)果硬件 + 軟件 預(yù)期的結(jié)果如何定義更全面的“安全”？人 + 硬件 + 軟件 = 預(yù)期的結(jié)果人 + 硬件 + 軟件 預(yù)期的結(jié)果中國移動

2、安全安全加固培訓(xùn)材料二、安全加固的目標(biāo)目標(biāo)我們的目標(biāo)是降低風(fēng)險中國移動安全安全加固培訓(xùn)材料三、安全加固對象對象所有可能產(chǎn)生脆弱性的東西中國移動安全安全加固培訓(xùn)材料四、安全加固的原則加固原則風(fēng)險最大化不要忽視掃描報告和檢查結(jié)果中的任何一個細節(jié)，將任何潛在隱患以最大化的方式展現(xiàn)威脅最小化威脅難以被徹底消除，因為它是動態(tài)的，我們只能將其降低至可接受的程度中國移動安全安全加固培訓(xùn)材料五、安全加固的流程一般流程確認加固的要求（安全基線）安全檢查（手工檢查或者基線設(shè)備檢查）加固前的交流（和業(yè)務(wù)負責(zé)人交流）加固實施過程（重要系統(tǒng)需要先在備機上測試）加固完成及成果輸出（方便發(fā)生問題時回退）中國移動安全安全加固

3、培訓(xùn)材料目 錄理解安全加固Windows安全加固UNIX/Linux安全加固中國移動安全安全加固培訓(xùn)材料Windows通用安全加固方案補丁及防護軟件系統(tǒng)服務(wù)安全策略 日志與審核策略用戶與文件系統(tǒng)安全增強中國移動安全安全加固培訓(xùn)材料補丁檢查系統(tǒng)補丁安裝情況命令行執(zhí)行systeminfo,查看系統(tǒng)已經(jīng)安裝的補丁列表 補丁更新手動安裝：使用IE訪問，按提示安裝必要的activeX控件后，按提示安裝補丁 開始 控制面板 自動更新，在自動更新面板中選中自動（建議）(U)，然后根據(jù)個人需求設(shè)置升級時間中國移動安全安全加固培訓(xùn)材料防護軟件安裝殺毒軟件并保持病毒庫更新 防火墻對于防火墻軟件，建議屏蔽以下端口：

4、 TCP 135 TCP 139 TCP 445 中國移動安全安全加固培訓(xùn)材料Windows通用安全加固方案補丁及防護軟件系統(tǒng)服務(wù)安全策略 日志與審核策略用戶與文件系統(tǒng)安全增強中國移動安全安全加固培訓(xùn)材料系統(tǒng)服務(wù)查看系統(tǒng)服務(wù)執(zhí)行services.msc,檢查啟動類型為自動的服務(wù) 關(guān)閉非必需的服務(wù)建議關(guān)閉一下服務(wù)：Task Scheduler/Remote Registry /SNMP Service/Print Spooler /Telnet /Computer Browser/Messenger/Alerter/ DHCP Client 關(guān)閉方法：雙擊需要關(guān)閉的服務(wù)，將啟動類型設(shè)置為禁用，點

5、擊停止按鈕以停止當(dāng)前正在運行的服務(wù) 中國移動安全安全加固培訓(xùn)材料SNMP服務(wù)修改SNMP的字符串為什么要修改SNMP的字符串？它會泄露什么？通過 SNMP服務(wù)，遠程惡意用戶可以列舉本地的帳號、帳號組、運行的進程、安裝的補丁和軟件等敏感信息，禁用或修改 SNMP配置可以有效防止遠程惡意用戶的這類行為。攻擊工具: snmputil walk 0 public .1.3.6. .中國移動安全安全加固培訓(xùn)材料服務(wù)與進程SNMP Service服務(wù)加固方法：為修改 SNMP 團體名限制遠程主機對 SNMP 的訪問 中國移動安全安全加固培訓(xùn)材料關(guān)閉自動播放功能關(guān)閉所有驅(qū)動器的自動播放功能 點擊開始運行輸入

6、 gpedit.msc，打開組策略編輯器， 瀏覽到計算機配置管理模板系統(tǒng)，在右邊窗格中雙擊“關(guān)閉自動播放”，對話框中選擇所有驅(qū)動器，確定即可。 中國移動安全安全加固培訓(xùn)材料Windows通用安全加固方案補丁及防護軟件系統(tǒng)服務(wù)安全策略 日志與審核策略用戶與文件系統(tǒng)安全增強中國移動安全安全加固培訓(xùn)材料密碼策略密碼策略長度7 Windows 2000 12714 Windows 9X 0期限定期修改密碼復(fù)雜性Pyth0n&!大小寫數(shù)字特殊字符中國移動安全安全加固培訓(xùn)材料密碼策略加固要點密碼策略: 開始 運行 gpedit.msc 計算機配置 Windows 設(shè)置 安全設(shè)置 帳戶策略 帳戶鎖定策略-密

7、碼策略”： 帳戶鎖定策略中國移動安全安全加固培訓(xùn)材料用戶權(quán)利指派檢查用戶權(quán)限策略是否設(shè)置： 開始 運行 gpedit.msc 計算機配置 Windows 設(shè)置 安全設(shè)置 本地策略 用戶權(quán)利指派中國移動安全安全加固培訓(xùn)材料本地安全策略配置檢查本地安全策略配置： 開始 運行 gpedit.msc 計算機配置 Windows 設(shè)置 安全設(shè)置 本地策略 安全選項中國移動安全安全加固培訓(xùn)材料Windows通用安全加固方案補丁及防護軟件系統(tǒng)服務(wù)安全策略 日志與審核策略用戶與文件系統(tǒng)安全增強中國移動安全安全加固培訓(xùn)材料日志和審核策略審核了解Windows審核策略審核策略并不完整很多審核內(nèi)容默認未開啟只有在

8、NTFS 磁盤上才能開啟對象訪問審核,日志量較大步驟打開審核策略編輯審核對象的審核項中國移動安全安全加固培訓(xùn)材料日志和審核策略審核打開審核策略要做什么審核？要審核什么？位置：gpedit.msc 計算機配置 Windows設(shè)置 安全設(shè)置 審核設(shè)置中國移動安全安全加固培訓(xùn)材料日志和審核策略審核查看審核日志eventvwr（事件查看器）中國移動安全安全加固培訓(xùn)材料Windows通用安全加固方案補丁及防護軟件系統(tǒng)服務(wù)安全策略 日志與審核策略用戶與文件系統(tǒng)安全增強中國移動安全安全加固培訓(xùn)材料文件系統(tǒng)Windows文件系統(tǒng)FATFAT 16FAT 32NTFS將 FAT 卷轉(zhuǎn)換成 NTFSconvert

9、 C: /FS:NTFS 中國移動安全安全加固培訓(xùn)材料用戶用戶和組特殊的組Administrators、Guests、Power Users 可通過net localgroup命令打印特殊的用戶Administrator、Guest可通過net user命令打印隱藏帳號net user hide$ password /add中國移動安全安全加固培訓(xùn)材料用戶加固要點檢查用戶克隆隱藏清除用戶未使用的未知的鎖定用戶GuestSUPPORT_XXXXX中國移動安全安全加固培訓(xùn)材料設(shè)置重要文件權(quán)限權(quán)限前提（關(guān)鍵字）NTFSAdministrators中國移動安全安全加固培訓(xùn)材料設(shè)置重要文件權(quán)限權(quán)限ACL

10、 （訪問控制列表）包含了用戶帳戶和訪問對象之間許可關(guān)系由四個權(quán)限項組成的權(quán)限項集（即，ACL）中國移動安全安全加固培訓(xùn)材料設(shè)置重要文件權(quán)限權(quán)限ACE （訪問控制項）ACL中包含ACE訪問控制條目中國移動安全安全加固培訓(xùn)材料設(shè)置重要文件權(quán)限加密和壓縮中國移動安全安全加固培訓(xùn)材料設(shè)置重要文件權(quán)限審核編輯審核對象的審核項中國移動安全安全加固培訓(xùn)材料設(shè)置重要文件權(quán)限加固要點目錄及文件的權(quán)限查找具有everyone的權(quán)限項重要對象的審核策略echo offdir/s/b all.txtfor /f %i in (all.txt) do cacls %i | find Everyone中國移動安全安全加固

11、培訓(xùn)材料Windows通用安全加固方案補丁及防護軟件系統(tǒng)服務(wù)安全策略 日志與審核策略用戶與文件系統(tǒng)安全增強中國移動安全安全加固培訓(xùn)材料安全增強刪除匿名用戶空連接注冊表如下鍵值：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa 將 restrictanonymous 的值設(shè)置為 1，若該值不存在，可以自己創(chuàng)建，類型為 REG_DWORD，修改完成后重新啟動系統(tǒng)生效刪除默認共享注冊表如下鍵值： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters 將 Au

12、toshareserver 設(shè)置為 0，若不存在，可創(chuàng)建，類型為 REG_DWORD修改完成后重新啟動系統(tǒng)生效 中國移動安全安全加固培訓(xùn)材料目 錄理解安全加固Windows安全加固UNIX/Linux安全加固中國移動安全安全加固培訓(xùn)材料UNIX/Linux通用安全加固方案帳號文件權(quán)限服務(wù)日志審計系統(tǒng)狀態(tài)中國移動安全安全加固培訓(xùn)材料帳號安全帳號/etc/login.defs，檢查 PASS_MAX_DAYS/PASS_MIN_LEN/ PASS_MIN_DAYS/PASS_WARN_AGE檢查是否存在除root外UID = 0的用戶檢查是否存在弱口令鎖定不使用的帳戶(passwd l usern

13、ame)檢查root用戶環(huán)境變量設(shè)置帳號超時注銷(vi /etc/profile增加TMOUT=600) 中國移動安全安全加固培訓(xùn)材料帳號安全限制root遠程登錄/etc/ssh/sshd_config : PermitRootLogin no/etc/securetty文件中配置： CONSOLE = /dev/tty01 中國移動安全安全加固培訓(xùn)材料UNIX/Linux通用安全加固方案帳號文件權(quán)限服務(wù)日志審計系統(tǒng)狀態(tài)中國移動安全安全加固培訓(xùn)材料umask檢查是否包含 umask 值 more /etc/profile more /etc/csh.login more /etc/csh.cs

14、hrc more /etc/bashrc 中國移動安全安全加固培訓(xùn)材料umaskumaskrootRHEL5 home# umask0022rootRHEL5 home# touch file1rootRHEL5 home# ls -l file1-rw-r-r- 1 root root 0 Jul 26 07:17 file1 (644)rootRHEL5 home# umask 0066rootRHEL5 home# touch file2rootRHEL5 home# ls -l file2-rw- 1 root root 0 Jul 26 07:18 file2 (600)rootRH

15、EL5 home# umask 0rootRHEL5 home# umask0000rootRHEL5 home# touch file3rootRHEL5 home# ls -l file3-rw-rw-rw- 1 root root 0 Jul 26 07:25 file3 (666)中國移動安全安全加固培訓(xùn)材料文件權(quán)限文件權(quán)限ls lrootRHEL5 home# ls -ltotal 44drwxr-xr-x 2 root root 4096 Jul 26 05:24 apue-rw-r-r- 1 root root 16069 Jun 30 09:17 cpro.tar.gzchmo

16、dchmod u+x filechmod 744 file4000SUID2000SGID1000粘住位0400所有者可讀0200所有者可寫0100所有者可執(zhí)行0040所在組可讀0020所在組可寫0010所在組可執(zhí)行0004其他用戶可讀0002其他用戶可寫0001其他用戶可執(zhí)行_0744結(jié)果中國移動安全安全加固培訓(xùn)材料文件權(quán)限檢查重要目錄和文件的權(quán)限設(shè)置 ls l /etc/rc.d/init.d/ chmod -R 750 /etc/rc.d/init.d/* 查找系統(tǒng)中所有的 SUID和 SGID 程序中國移動安全安全加固培訓(xùn)材料UNIX/Linux通用安全加固方案帳號文件權(quán)限服務(wù)日志審計

17、系統(tǒng)狀態(tài)中國移動安全安全加固培訓(xùn)材料系統(tǒng)服務(wù)守護進程與服務(wù)的區(qū)別守護進程進程的一種特殊狀態(tài)不綁定至任何Terminal父進程是init服務(wù)相對守護進程，“服務(wù)”的概念更為抽象為用戶提供一種功能的應(yīng)用可能包含一個或多個守護進程例服務(wù)名：SSH Server進程名：sshd中國移動安全安全加固培訓(xùn)材料系統(tǒng)服務(wù)inetd一些輕量級的服務(wù)，由inetd集中處理已不能滿足現(xiàn)狀# inetd.confecho stream tcp6 nowait root internalecho dgram udp6 wait root internaldaytime stream tcp6 nowait root i

18、nternaldaytime dgram udp6 wait root internal 中國移動安全安全加固培訓(xùn)材料系統(tǒng)服務(wù)加固要點服務(wù) 進程 端口 ipfwTCPWrapperlibwrap ; configure -with-libwrap=libwrap_pathhosts.allow ; hosts.deny停止不必要的inetd服務(wù)停止不必要的服務(wù)/etc/rc3.d/S88xxx stopmv /etc/rc3.d/S88xxx /etc/rc3.d/K88xxx 中國移動安全安全加固培訓(xùn)材料Snmp配置Snmp安全配置如果打開了SNMP協(xié)議，snmp團體字設(shè)置不能使用默認的團體字。查看配置文件/etc/snmp/snmpd.conf，應(yīng)禁止使用public、private默認團體字，使用用戶自定義的團體字。例如將以下設(shè)置中的public替換為用戶自定義的團體字： com2sec notConfigU