《等保體系建設(shè)》實驗指導(dǎo)書（模板）

1、實驗三等保體系建設(shè)一、實驗?zāi)康?、掌握Windows系統(tǒng)平安加固方法。2、掌握Linux系統(tǒng)平安加固方法。二、實驗環(huán)境Windows 系統(tǒng)(Windows Server 2008 R2)Linux 系統(tǒng)(CentOS )三、實驗內(nèi)容及實驗步驟1、Windows系統(tǒng)平安加固應(yīng)對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復(fù) 雜度要求并定期更換(1)設(shè)置密碼策略翻開本地平安策略。WIN+R翻開運行窗口，輸入secpol.msc ,選擇帳戶策略-密 碼策略,配置推薦如下：策略推薦密碼必須符合復(fù)雜性要求已啟用最短密碼長度8個字符密碼最短使用期限2天密碼最長使用期限42天強制密碼歷

2、史5個記住的密碼用可還原的加密來儲存密碼已禁用禁用自動登錄WIN+R翻開運行窗口，輸入netplwiz,勾選要使用本計算機，用 戶必須輸入用戶名和密碼禁止空口令遠程登錄 在本地平安策略中，選擇本地策略-平安選項，配置推 薦如下：策略推薦帳戶：使用空密碼的本地帳戶只允許進行控制臺登錄已啟用應(yīng)具有登錄失敗處理功能，配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當?shù)卿涍B接超時自動退出等相關(guān)措施設(shè)置賬戶鎖定策略在本地平安策略中，選擇帳戶策略-帳戶鎖定策略，帳戶鎖定策略推薦配置如下：策略推薦帳戶鎖定時間30分鐘帳戶鎖定閾值5次無效登錄重置帳戶鎖定計數(shù)器 30分鐘之后設(shè)置遠程登錄連接超時自動退出翻開本地組策略編輯

3、器。WIN+R翻開運行窗口，輸 入gpedit.msc選擇計算機配置-管理模板-Windows組件-遠程桌面服務(wù)-會話時 間限制，即設(shè)置保持空閑狀態(tài)（無用戶輸入）的最長時間，配置推薦如下：策略推薦設(shè)置活動但空閑的遠程桌面服務(wù)會話的時間限制已啟用，其中空閑會話限制為10分鐘當進行遠程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽禁用Telnet服務(wù)或刪除Telnet服務(wù)功能啟用遠程桌面服務(wù)在控制面板-系統(tǒng)和維護-系統(tǒng)中，選擇高級系統(tǒng)設(shè)置打 開系統(tǒng)屬性對話框，選擇遠程，配置為只允許運行帶網(wǎng)絡(luò)級身份驗證的.設(shè)置RDP屬性 在開始-管理工具-終端服務(wù)-終端服務(wù)配置中修改連接屬性， 平安層選

4、擇RDP平安層，禁止使用協(xié)商。詳情RDP連接降級攻擊以及規(guī)避方法解析。應(yīng)重命名或刪除默認賬戶，修改默認賬戶的默認口令重命名Administrator賬戶和禁用Guest賬戶 在本地平安策略中，選擇本地 策略-平安選項，配置推薦如下：策略推薦帳戶：來賓帳戶狀態(tài)已禁用帳戶：重命名管理員帳戶新的管理員名字應(yīng)及時刪除或停用多余的、過期的賬戶，防止共享賬戶的存在及時刪除或停用多余的、過期的賬戶。做到定期檢查賬戶列表不同用戶采用不同賬戶登錄系統(tǒng)應(yīng)進行角色劃分，并授予管理用戶所需的小權(quán)限，實現(xiàn)管理用戶的權(quán)限別離根據(jù)業(yè)務(wù)需求，設(shè)定不同的用戶和用戶組，例如管理員用戶、數(shù)據(jù)庫用戶，審 計用戶等應(yīng)對登錄的用戶分配賬

5、戶和權(quán)限從遠程系統(tǒng)強制關(guān)機只分配給Administrators組關(guān)閉系統(tǒng)只分配給Administrators組設(shè)置本地登錄賬戶設(shè)置網(wǎng)絡(luò)訪問賬戶取得文件或其它對象的所有權(quán)只分配給Administrators組管理審核和平安日志只分配給Administrators組、審計用戶應(yīng)啟用平安審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要平安 事件進行審計設(shè)置審核策略在本地平安策略中，選擇本地策田”審核策略，酉覆審核策略，配置推 薦如下：審核策略推薦審核策略更改成功、失敗審核登錄事件成功、失敗審核對象訪問成功、失敗審核進程跟蹤失敗審核目錄服務(wù)訪問 失敗審核特權(quán)使用成功、失敗審核系統(tǒng)事件成功、失敗審核

6、帳戶登錄事件成功、失敗審核帳戶管理成功、失敗應(yīng)對審計記錄進行保護，定期備份，防止受到未預(yù)期的刪除、修改或覆蓋等設(shè)置日志大小和到達日志最大大小處理方法 根據(jù)磁盤大小設(shè)置日志大小， 推薦10M以上，并且選擇日志滿時將其存檔，不覆蓋事件應(yīng)遵循最小安裝的原那么，僅安裝需要的組件和應(yīng)用程序僅安裝需要的組件和應(yīng)用程序，刪除不需要的組件和應(yīng)用程序應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認共享和高危端口關(guān)閉不需要的系統(tǒng)服務(wù)關(guān)閉默認共享可以通過刪除默認共享或直接關(guān)閉Server服務(wù)應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進行管理的管理終端 進行限制設(shè)置防火墻入站規(guī)那么（1）添加入站規(guī)那么在本地平安策略中，選擇高級平安防

7、火墻，添加入站規(guī)那么。默認情況下，適用于所有的配置文件(域配置文件、專 用配置文件、公用配置文件)啟用防火墻需要在相應(yīng)的配置文件下啟用防火墻，并入站連接設(shè)置為阻止(2)設(shè)置IP平安策略應(yīng)能發(fā)現(xiàn)可能存在的漏洞，并在經(jīng)過充分測試評估后，及時修補漏洞安裝漏洞掃描工具，定期進行漏洞掃描啟用系統(tǒng)更新設(shè)置系統(tǒng)更新方法為下載更新，但是讓我選擇是否安裝更新。在 生產(chǎn)系統(tǒng)匕防止使用自動安裝更新，防止出現(xiàn)兼容性問題導(dǎo)致業(yè)務(wù)中斷。注意：在安 裝更新前，進行兼容性測試。應(yīng)能夠檢測到對重要節(jié)點進行入侵的行為，并在發(fā)生嚴重入侵事件時提供報警安裝主機入侵檢測軟件，適當配置，并定期升級應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或采用可

8、信計算技術(shù)建立從系統(tǒng)到應(yīng) 用的信任鏈，實現(xiàn)系統(tǒng)運行過程中重要程序或文件完整性檢測，并在檢測到破 壞后進行恢復(fù)啟用Windows Defender?；虬惭b其他防病毒軟件，并定期更新病毒庫。應(yīng)限制單個用戶或進程對系統(tǒng)資源的最大使用限度使用windows系統(tǒng)資源管理器或者使用第三方工具2、Linux系統(tǒng)平安加固應(yīng)對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身 份鑒別信息具有復(fù)雜度要求并定期更換(1)設(shè)置密碼復(fù)雜度 在/etc/pam.d/system-auth文件中，配置密 碼必須包含數(shù)字、大寫字符、小寫字符、特殊字符，最小長度為8, 對root用戶有效，配置如下：password requ

9、isitepam_pwquality.so dcredit=-1ucredit=-1 lcredit=-1 ocredit=-1 minlen=8 enforce_for_root各字段的含義如下字段 含義推薦值Dcredit數(shù)字 -1Ucredit大寫字母 -1 TOC o 1-5 h z HYPERLINK l bookmark22 o Current Document Lcredit小寫字母-1 HYPERLINK l bookmark24 o Current Document Ocredit特殊字符-1 HYPERLINK l bookmark26 o Current Document

10、 Minlen最短長度8設(shè)置密碼定期更換 在/ect/login.defs文件配置，PASS_MAX_DAYS 90 最長使用天數(shù)90天PASS_MIN_DAYS 2密碼修改最短天數(shù)2PASS_MIN_LEN8 密碼最短長度8PASS_WARN_AGE 7 過期前7天提醒應(yīng)具看登錄失血處理功能，配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當?shù)卿涍B接超時自動退出等相關(guān)措施設(shè)置賬戶鎖定策略 在/etc/pam.d/system-auth文件中， 使用pam_tally2.so或pam_tally.so模塊。如登錄失敗5次，鎖定1800秒authrequiredpam_tally2.so deny=5ul

11、ock_time= 1800字段含義Deny嘗試登錄失敗次數(shù)Unlock_time 解鎖時間（秒）Event_deny_root 限制 root 用戶Root_unlock_tinie root 用戶解鎖時間（秒）（2）設(shè)置遠程登錄連接超時自動退出編輯/etc/profile文件，設(shè)置TMOUT參數(shù)TMOUT=600當進行遠程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸 過程中被竊聽使用SSH進行遠程管理應(yīng)及時刪除或停用多余的、過期的賬戶，防止共享賬戶的存在查看用戶列表rootlocalhost -# cat /etc/passwd root:x:0:0:root:/root:/bin/ba

12、shbin:x:l: 1 :bin:/bin:/sbin/nologindaemon :x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologinlp:x:4:7:lp:/var/spool/lpd:/sbin/ nologinsync:x:5:0:sync:/sbin:/bin/sync#shutdown :x:6:0: shutdown:/sbin:/sbin/shutdownshutdown: x: 6:0: shutdown: /sbin: /bin/bashhalt:x:7:0:halt:/sbin:/sb

13、in/haltmail:x:8:12:mail:/var/spool/mail:/sbin/nologinoperators: 11:0:operator:/root:/sbin/nologingames:x: 12:100:games:/usr/games:/sbin/nologinftp:x: 14:50:FTP User:/var/ftp:/sbin/nologinnobody: x:99:99: Nobody :/:/sbin/nologin systemd-network:x: 192:192:systemd Network Manag尤其需要注意用戶的shell,哪些用戶可以登錄、

14、哪些不可以登錄，禁止 默認用戶登錄。我們在使用賬戶上，每一個用戶都有賬戶應(yīng)進行角色劃分，并授予管理用戶所需的小權(quán)限，實現(xiàn)管理用戶 的權(quán)限別離進行角色劃分，如系統(tǒng)管理員、數(shù)據(jù)庫管理員、審計管理員等。應(yīng)啟用平安審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要平安事件進行審計啟用審計功能systemctl start rsyslog設(shè)置日志范圍開啟后，默認記錄相關(guān)用戶登錄、系統(tǒng)事件等信 息，可以在/etc/rsyslog.conf確認*.info;mail.none;authpriv.none;cron.none/var/log/messagesThe authpriv file has res

15、tricted access.authpriv.*/var/log/secureLog all the mail messages in one place.mail.*-/var/log/maillog審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息默認符合應(yīng)對審計記錄進行保護，定期備份，防止受到未預(yù)期的刪除、修 改或覆蓋等設(shè)置修改審計記錄文件的權(quán)限r(nóng)ootlocalhost # Is -al /var/log/audit/總用量4804drwx. 2 root root 23 4 月 30 23:13 .drwxr-xr-x. 7 root root 40

16、96 5 月 6 03:49 .rw. 1 root root 2845691 5 月 6 10:51 audit.logrootlocalhost # Is -al /var/log/ HYPERLINK l bookmark8 o Current Document -rw.-rwr-r-.-rw.-rw.1 root1 root1 root1 rootroot root root root05293168 50 51625 5月 月 月 月6 03:49 boot.log6 10:51 lastlog6 03:49 maillog6 10:51 secure-rw-rw1 root roo

17、t6428 5 月 6 10:51 messages應(yīng)遵循最小安裝的原那么，僅安裝需要的組件和應(yīng)用程序查看安裝的組件和應(yīng)用程序，關(guān)閉不需要的組件和應(yīng)用程序查 看安裝組件信息yum info installed應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認共享和高危端口定期梳理系統(tǒng)服務(wù)，關(guān)閉不使用的系統(tǒng)服務(wù) 查看正在運行的服務(wù)systemctl -a | grep running,關(guān)閉危險的網(wǎng)絡(luò)服務(wù),如echo應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進行管理的 管理終端進行限制/etc/hosts.allow/etc/hosts.allow 中新增sshd:0/24sshd:*.*.*.*在/etc/hos

18、ts.deny 中新增sshd:ALL防火墻添加防火墻規(guī)那么firewall-cmd permanent zone=public add-rich-rule=rule family=ipv4 source address=*.*.*.*/24 port port=22 protocol=tcp acceptfirewall-cmd reload禁止root用戶遠程管理在/etc/ssh/sshd_config設(shè)置PermitRootLogin no注意：在設(shè)置之前需要添加其他用戶到sudoers應(yīng)能發(fā)現(xiàn)可能存在的漏洞，并在經(jīng)過充分測試評估后，及時修補漏 洞定期進行主機漏洞掃描，測試通過后，及時修補漏洞應(yīng)能夠檢測到對重要節(jié)點進行入侵的行為，并在發(fā)生嚴重入侵事件 時提供報警安裝了主機入侵檢測系統(tǒng)，并進行適當?shù)呐渲?.特征庫進行定期升級 3.嚴重入侵事件時提供報警, 應(yīng)采用免受惡意代碼攻擊的術(shù)措施或采用可信計算技術(shù)建立從 系統(tǒng)到應(yīng)用的信任鏈，實現(xiàn)系統(tǒng)運行過程中重要程序或文件完整性 檢測，并在檢測到破壞后進行恢復(fù)安裝防惡意代碼工具定期檢測文件是否受到破壞或未預(yù)期的修 改定期備份重要文件應(yīng)限制單個用戶或進程對系統(tǒng)資源的最大使用限度在/etc/security/limits.conf中做關(guān)于用戶的限制。如限制testl用戶的最大使用內(nèi)存testlhard as 512