某安全安全加固培训材料课件

1、中国移动安全安全加固培训材料2022/7/27中国移动安全安全加固培训材料培训要求：该课程主要介绍系统通用的安全加固方案和方法培训对象：面向安全管理人员、安全技术人员、系统维护人员、共3类人员培训时间：1小时左右培训侧重点：本教材侧重点为安全技术人员和系统维护人员中国移动安全安全加固培训材料目 录理解安全加固Windows安全加固UNIX/Linux安全加固中国移动安全安全加固培训材料一、安全加固的概念风险、脆弱性如何定义 “安全”？硬件 + 软件 = 预期的结果硬件 + 软件 预期的结果如何定义更全面的“安全”？人 + 硬件 + 软件 = 预期的结果人 + 硬件 + 软件 预期的结果中国移动

2、安全安全加固培训材料二、安全加固的目标目标我们的目标是降低风险中国移动安全安全加固培训材料三、安全加固对象对象所有可能产生脆弱性的东西中国移动安全安全加固培训材料四、安全加固的原则加固原则风险最大化不要忽视扫描报告和检查结果中的任何一个细节，将任何潜在隐患以最大化的方式展现威胁最小化威胁难以被彻底消除，因为它是动态的，我们只能将其降低至可接受的程度中国移动安全安全加固培训材料五、安全加固的流程一般流程确认加固的要求（安全基线）安全检查（手工检查或者基线设备检查）加固前的交流（和业务负责人交流）加固实施过程（重要系统需要先在备机上测试）加固完成及成果输出（方便发生问题时回退）中国移动安全安全加固

3、培训材料目 录理解安全加固Windows安全加固UNIX/Linux安全加固中国移动安全安全加固培训材料Windows通用安全加固方案补丁及防护软件系统服务安全策略 日志与审核策略用户与文件系统安全增强中国移动安全安全加固培训材料补丁检查系统补丁安装情况命令行执行systeminfo,查看系统已经安装的补丁列表 补丁更新手动安装：使用IE访问，按提示安装必要的activeX控件后，按提示安装补丁 开始 控制面板 自动更新，在自动更新面板中选中自动（建议）(U)，然后根据个人需求设置升级时间中国移动安全安全加固培训材料防护软件安装杀毒软件并保持病毒库更新 防火墙对于防火墙软件，建议屏蔽以下端口：

4、 TCP 135 TCP 139 TCP 445 中国移动安全安全加固培训材料Windows通用安全加固方案补丁及防护软件系统服务安全策略 日志与审核策略用户与文件系统安全增强中国移动安全安全加固培训材料系统服务查看系统服务执行services.msc,检查启动类型为自动的服务 关闭非必需的服务建议关闭一下服务：Task Scheduler/Remote Registry /SNMP Service/Print Spooler /Telnet /Computer Browser/Messenger/Alerter/ DHCP Client 关闭方法：双击需要关闭的服务，将启动类型设置为禁用，点

5、击停止按钮以停止当前正在运行的服务 中国移动安全安全加固培训材料SNMP服务修改SNMP的字符串为什么要修改SNMP的字符串？它会泄露什么？通过 SNMP服务，远程恶意用户可以列举本地的帐号、帐号组、运行的进程、安装的补丁和软件等敏感信息，禁用或修改 SNMP配置可以有效防止远程恶意用户的这类行为。攻击工具: snmputil walk 0 public .1.3.6. .中国移动安全安全加固培训材料服务与进程SNMP Service服务加固方法：为修改 SNMP 团体名限制远程主机对 SNMP 的访问 中国移动安全安全加固培训材料关闭自动播放功能关闭所有驱动器的自动播放功能 点击开始运行输入

6、 gpedit.msc，打开组策略编辑器， 浏览到计算机配置管理模板系统，在右边窗格中双击“关闭自动播放”，对话框中选择所有驱动器，确定即可。 中国移动安全安全加固培训材料Windows通用安全加固方案补丁及防护软件系统服务安全策略 日志与审核策略用户与文件系统安全增强中国移动安全安全加固培训材料密码策略密码策略长度7 Windows 2000 12714 Windows 9X 0期限定期修改密码复杂性Pyth0n&!大小写数字特殊字符中国移动安全安全加固培训材料密码策略加固要点密码策略: 开始 运行 gpedit.msc 计算机配置 Windows 设置 安全设置 帐户策略 帐户锁定策略-密

7、码策略”： 帐户锁定策略中国移动安全安全加固培训材料用户权利指派检查用户权限策略是否设置： 开始 运行 gpedit.msc 计算机配置 Windows 设置 安全设置 本地策略 用户权利指派中国移动安全安全加固培训材料本地安全策略配置检查本地安全策略配置： 开始 运行 gpedit.msc 计算机配置 Windows 设置 安全设置 本地策略 安全选项中国移动安全安全加固培训材料Windows通用安全加固方案补丁及防护软件系统服务安全策略 日志与审核策略用户与文件系统安全增强中国移动安全安全加固培训材料日志和审核策略审核了解Windows审核策略审核策略并不完整很多审核内容默认未开启只有在

8、NTFS 磁盘上才能开启对象访问审核,日志量较大步骤打开审核策略编辑审核对象的审核项中国移动安全安全加固培训材料日志和审核策略审核打开审核策略要做什么审核？要审核什么？位置：gpedit.msc 计算机配置 Windows设置 安全设置 审核设置中国移动安全安全加固培训材料日志和审核策略审核查看审核日志eventvwr（事件查看器）中国移动安全安全加固培训材料Windows通用安全加固方案补丁及防护软件系统服务安全策略 日志与审核策略用户与文件系统安全增强中国移动安全安全加固培训材料文件系统Windows文件系统FATFAT 16FAT 32NTFS将 FAT 卷转换成 NTFSconvert

9、 C: /FS:NTFS 中国移动安全安全加固培训材料用户用户和组特殊的组Administrators、Guests、Power Users 可通过net localgroup命令打印特殊的用户Administrator、Guest可通过net user命令打印隐藏帐号net user hide$ password /add中国移动安全安全加固培训材料用户加固要点检查用户克隆隐藏清除用户未使用的未知的锁定用户GuestSUPPORT_XXXXX中国移动安全安全加固培训材料设置重要文件权限权限前提（关键字）NTFSAdministrators中国移动安全安全加固培训材料设置重要文件权限权限ACL

10、 （访问控制列表）包含了用户帐户和访问对象之间许可关系由四个权限项组成的权限项集（即，ACL）中国移动安全安全加固培训材料设置重要文件权限权限ACE （访问控制项）ACL中包含ACE访问控制条目中国移动安全安全加固培训材料设置重要文件权限加密和压缩中国移动安全安全加固培训材料设置重要文件权限审核编辑审核对象的审核项中国移动安全安全加固培训材料设置重要文件权限加固要点目录及文件的权限查找具有everyone的权限项重要对象的审核策略echo offdir/s/b all.txtfor /f %i in (all.txt) do cacls %i | find Everyone中国移动安全安全加固

11、培训材料Windows通用安全加固方案补丁及防护软件系统服务安全策略 日志与审核策略用户与文件系统安全增强中国移动安全安全加固培训材料安全增强删除匿名用户空连接注册表如下键值：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa 将 restrictanonymous 的值设置为 1，若该值不存在，可以自己创建，类型为 REG_DWORD，修改完成后重新启动系统生效删除默认共享注册表如下键值： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters 将 Au

12、toshareserver 设置为 0，若不存在，可创建，类型为 REG_DWORD修改完成后重新启动系统生效 中国移动安全安全加固培训材料目 录理解安全加固Windows安全加固UNIX/Linux安全加固中国移动安全安全加固培训材料UNIX/Linux通用安全加固方案帐号文件权限服务日志审计系统状态中国移动安全安全加固培训材料帐号安全帐号/etc/login.defs，检查 PASS_MAX_DAYS/PASS_MIN_LEN/ PASS_MIN_DAYS/PASS_WARN_AGE检查是否存在除root外UID = 0的用户检查是否存在弱口令锁定不使用的帐户(passwd l usern

13、ame)检查root用户环境变量设置帐号超时注销(vi /etc/profile增加TMOUT=600) 中国移动安全安全加固培训材料帐号安全限制root远程登录/etc/ssh/sshd_config : PermitRootLogin no/etc/securetty文件中配置： CONSOLE = /dev/tty01 中国移动安全安全加固培训材料UNIX/Linux通用安全加固方案帐号文件权限服务日志审计系统状态中国移动安全安全加固培训材料umask检查是否包含 umask 值 more /etc/profile more /etc/csh.login more /etc/csh.cs

14、hrc more /etc/bashrc 中国移动安全安全加固培训材料umaskumaskrootRHEL5 home# umask0022rootRHEL5 home# touch file1rootRHEL5 home# ls -l file1-rw-r-r- 1 root root 0 Jul 26 07:17 file1 (644)rootRHEL5 home# umask 0066rootRHEL5 home# touch file2rootRHEL5 home# ls -l file2-rw- 1 root root 0 Jul 26 07:18 file2 (600)rootRH

15、EL5 home# umask 0rootRHEL5 home# umask0000rootRHEL5 home# touch file3rootRHEL5 home# ls -l file3-rw-rw-rw- 1 root root 0 Jul 26 07:25 file3 (666)中国移动安全安全加固培训材料文件权限文件权限ls lrootRHEL5 home# ls -ltotal 44drwxr-xr-x 2 root root 4096 Jul 26 05:24 apue-rw-r-r- 1 root root 16069 Jun 30 09:17 cpro.tar.gzchmo

16、dchmod u+x filechmod 744 file4000SUID2000SGID1000粘住位0400所有者可读0200所有者可写0100所有者可执行0040所在组可读0020所在组可写0010所在组可执行0004其他用户可读0002其他用户可写0001其他用户可执行_0744结果中国移动安全安全加固培训材料文件权限检查重要目录和文件的权限设置 ls l /etc/rc.d/init.d/ chmod -R 750 /etc/rc.d/init.d/* 查找系统中所有的 SUID和 SGID 程序中国移动安全安全加固培训材料UNIX/Linux通用安全加固方案帐号文件权限服务日志审计

17、系统状态中国移动安全安全加固培训材料系统服务守护进程与服务的区别守护进程进程的一种特殊状态不绑定至任何Terminal父进程是init服务相对守护进程，“服务”的概念更为抽象为用户提供一种功能的应用可能包含一个或多个守护进程例服务名：SSH Server进程名：sshd中国移动安全安全加固培训材料系统服务inetd一些轻量级的服务，由inetd集中处理已不能满足现状# inetd.confecho stream tcp6 nowait root internalecho dgram udp6 wait root internaldaytime stream tcp6 nowait root i

18、nternaldaytime dgram udp6 wait root internal 中国移动安全安全加固培训材料系统服务加固要点服务 进程 端口 ipfwTCPWrapperlibwrap ; configure -with-libwrap=libwrap_pathhosts.allow ; hosts.deny停止不必要的inetd服务停止不必要的服务/etc/rc3.d/S88xxx stopmv /etc/rc3.d/S88xxx /etc/rc3.d/K88xxx 中国移动安全安全加固培训材料Snmp配置Snmp安全配置如果打开了SNMP协议，snmp团体字设置不能使用默认的团体字。查看配置文件/etc/snmp/snmpd.conf，应禁止使用public、private默认团体字，使用用户自定义的团体字。例如将以下设置中的public替换为用户自定义的团体字： com2sec notConfigU