《等保体系建设》实验指导书（模板）

1、实验三等保体系建设一、实验目的1、掌握Windows系统平安加固方法。2、掌握Linux系统平安加固方法。二、实验环境Windows 系统(Windows Server 2008 R2)Linux 系统(CentOS )三、实验内容及实验步骤1、Windows系统平安加固应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复 杂度要求并定期更换(1)设置密码策略翻开本地平安策略。WIN+R翻开运行窗口，输入secpol.msc ,选择帐户策略-密 码策略,配置推荐如下：策略推荐密码必须符合复杂性要求已启用最短密码长度8个字符密码最短使用期限2天密码最长使用期限42天强制密码历

2、史5个记住的密码用可还原的加密来储存密码已禁用禁用自动登录WIN+R翻开运行窗口，输入netplwiz,勾选要使用本计算机，用 户必须输入用户名和密码禁止空口令远程登录 在本地平安策略中，选择本地策略-平安选项，配置推 荐如下：策略推荐帐户：使用空密码的本地帐户只允许进行控制台登录已启用应具有登录失败处理功能，配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施设置账户锁定策略在本地平安策略中，选择帐户策略-帐户锁定策略，帐户锁定策略推荐配置如下：策略推荐帐户锁定时间30分钟帐户锁定阈值5次无效登录重置帐户锁定计数器 30分钟之后设置远程登录连接超时自动退出翻开本地组策略编辑

3、器。WIN+R翻开运行窗口，输 入gpedit.msc选择计算机配置-管理模板-Windows组件-远程桌面服务-会话时 间限制，即设置保持空闲状态（无用户输入）的最长时间，配置推荐如下：策略推荐设置活动但空闲的远程桌面服务会话的时间限制已启用，其中空闲会话限制为10分钟当进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听禁用Telnet服务或删除Telnet服务功能启用远程桌面服务在控制面板-系统和维护-系统中，选择高级系统设置打 开系统属性对话框，选择远程，配置为只允许运行带网络级身份验证的.设置RDP属性 在开始-管理工具-终端服务-终端服务配置中修改连接属性， 平安层选

4、择RDP平安层，禁止使用协商。详情RDP连接降级攻击以及规避方法解析。应重命名或删除默认账户，修改默认账户的默认口令重命名Administrator账户和禁用Guest账户 在本地平安策略中，选择本地 策略-平安选项，配置推荐如下：策略推荐帐户：来宾帐户状态已禁用帐户：重命名管理员帐户新的管理员名字应及时删除或停用多余的、过期的账户，防止共享账户的存在及时删除或停用多余的、过期的账户。做到定期检查账户列表不同用户采用不同账户登录系统应进行角色划分，并授予管理用户所需的小权限，实现管理用户的权限别离根据业务需求，设定不同的用户和用户组，例如管理员用户、数据库用户，审 计用户等应对登录的用户分配账

5、户和权限从远程系统强制关机只分配给Administrators组关闭系统只分配给Administrators组设置本地登录账户设置网络访问账户取得文件或其它对象的所有权只分配给Administrators组管理审核和平安日志只分配给Administrators组、审计用户应启用平安审计功能，审计覆盖到每个用户，对重要的用户行为和重要平安 事件进行审计设置审核策略在本地平安策略中，选择本地策田”审核策略，酉覆审核策略，配置推 荐如下：审核策略推荐审核策略更改成功、失败审核登录事件成功、失败审核对象访问成功、失败审核进程跟踪失败审核目录服务访问 失败审核特权使用成功、失败审核系统事件成功、失败审核

6、帐户登录事件成功、失败审核帐户管理成功、失败应对审计记录进行保护，定期备份，防止受到未预期的删除、修改或覆盖等设置日志大小和到达日志最大大小处理方法 根据磁盘大小设置日志大小， 推荐10M以上，并且选择日志满时将其存档，不覆盖事件应遵循最小安装的原那么，仅安装需要的组件和应用程序仅安装需要的组件和应用程序，删除不需要的组件和应用程序应关闭不需要的系统服务、默认共享和高危端口关闭不需要的系统服务关闭默认共享可以通过删除默认共享或直接关闭Server服务应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端 进行限制设置防火墙入站规那么（1）添加入站规那么在本地平安策略中，选择高级平安防

7、火墙，添加入站规那么。默认情况下，适用于所有的配置文件(域配置文件、专 用配置文件、公用配置文件)启用防火墙需要在相应的配置文件下启用防火墙，并入站连接设置为阻止(2)设置IP平安策略应能发现可能存在的漏洞，并在经过充分测试评估后，及时修补漏洞安装漏洞扫描工具，定期进行漏洞扫描启用系统更新设置系统更新方法为下载更新，但是让我选择是否安装更新。在 生产系统匕防止使用自动安装更新，防止出现兼容性问题导致业务中断。注意：在安 装更新前，进行兼容性测试。应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警安装主机入侵检测软件，适当配置，并定期升级应采用免受恶意代码攻击的技术措施或采用可

8、信计算技术建立从系统到应 用的信任链，实现系统运行过程中重要程序或文件完整性检测，并在检测到破 坏后进行恢复启用Windows Defender。或安装其他防病毒软件，并定期更新病毒库。应限制单个用户或进程对系统资源的最大使用限度使用windows系统资源管理器或者使用第三方工具2、Linux系统平安加固应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身 份鉴别信息具有复杂度要求并定期更换(1)设置密码复杂度 在/etc/pam.d/system-auth文件中，配置密 码必须包含数字、大写字符、小写字符、特殊字符，最小长度为8, 对root用户有效，配置如下：password requ

9、isitepam_pwquality.so dcredit=-1ucredit=-1 lcredit=-1 ocredit=-1 minlen=8 enforce_for_root各字段的含义如下字段 含义推荐值Dcredit数字 -1Ucredit大写字母 -1 TOC o 1-5 h z HYPERLINK l bookmark22 o Current Document Lcredit小写字母-1 HYPERLINK l bookmark24 o Current Document Ocredit特殊字符-1 HYPERLINK l bookmark26 o Current Document

10、 Minlen最短长度8设置密码定期更换 在/ect/login.defs文件配置，PASS_MAX_DAYS 90 最长使用天数90天PASS_MIN_DAYS 2密码修改最短天数2PASS_MIN_LEN8 密码最短长度8PASS_WARN_AGE 7 过期前7天提醒应具看登录失血处理功能，配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施设置账户锁定策略 在/etc/pam.d/system-auth文件中， 使用pam_tally2.so或pam_tally.so模块。如登录失败5次，锁定1800秒authrequiredpam_tally2.so deny=5ul

11、ock_time= 1800字段含义Deny尝试登录失败次数Unlock_time 解锁时间（秒）Event_deny_root 限制 root 用户Root_unlock_tinie root 用户解锁时间（秒）（2）设置远程登录连接超时自动退出编辑/etc/profile文件，设置TMOUT参数TMOUT=600当进行远程管理时，应采取必要措施，防止鉴别信息在网络传输 过程中被窃听使用SSH进行远程管理应及时删除或停用多余的、过期的账户，防止共享账户的存在查看用户列表rootlocalhost -# cat /etc/passwd root:x:0:0:root:/root:/bin/ba

12、shbin:x:l: 1 :bin:/bin:/sbin/nologindaemon :x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologinlp:x:4:7:lp:/var/spool/lpd:/sbin/ nologinsync:x:5:0:sync:/sbin:/bin/sync#shutdown :x:6:0: shutdown:/sbin:/sbin/shutdownshutdown: x: 6:0: shutdown: /sbin: /bin/bashhalt:x:7:0:halt:/sbin:/sb

13、in/haltmail:x:8:12:mail:/var/spool/mail:/sbin/nologinoperators: 11:0:operator:/root:/sbin/nologingames:x: 12:100:games:/usr/games:/sbin/nologinftp:x: 14:50:FTP User:/var/ftp:/sbin/nologinnobody: x:99:99: Nobody :/:/sbin/nologin systemd-network:x: 192:192:systemd Network Manag尤其需要注意用户的shell,哪些用户可以登录、

14、哪些不可以登录，禁止 默认用户登录。我们在使用账户上，每一个用户都有账户应进行角色划分，并授予管理用户所需的小权限，实现管理用户 的权限别离进行角色划分，如系统管理员、数据库管理员、审计管理员等。应启用平安审计功能，审计覆盖到每个用户，对重要的用户行为和重要平安事件进行审计启用审计功能systemctl start rsyslog设置日志范围开启后，默认记录相关用户登录、系统事件等信 息，可以在/etc/rsyslog.conf确认*.info;mail.none;authpriv.none;cron.none/var/log/messagesThe authpriv file has res

15、tricted access.authpriv.*/var/log/secureLog all the mail messages in one place.mail.*-/var/log/maillog审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息默认符合应对审计记录进行保护，定期备份，防止受到未预期的删除、修 改或覆盖等设置修改审计记录文件的权限rootlocalhost # Is -al /var/log/audit/总用量4804drwx. 2 root root 23 4 月 30 23:13 .drwxr-xr-x. 7 root root 40

16、96 5 月 6 03:49 .rw. 1 root root 2845691 5 月 6 10:51 audit.logrootlocalhost # Is -al /var/log/ HYPERLINK l bookmark8 o Current Document -rw.-rwr-r-.-rw.-rw.1 root1 root1 root1 rootroot root root root05293168 50 51625 5月 月 月 月6 03:49 boot.log6 10:51 lastlog6 03:49 maillog6 10:51 secure-rw-rw1 root roo

17、t6428 5 月 6 10:51 messages应遵循最小安装的原那么，仅安装需要的组件和应用程序查看安装的组件和应用程序，关闭不需要的组件和应用程序查 看安装组件信息yum info installed应关闭不需要的系统服务、默认共享和高危端口定期梳理系统服务，关闭不使用的系统服务 查看正在运行的服务systemctl -a | grep running,关闭危险的网络服务,如echo应通过设定终端接入方式或网络地址范围对通过网络进行管理的 管理终端进行限制/etc/hosts.allow/etc/hosts.allow 中新增sshd:0/24sshd:*.*.*.*在/etc/hos

18、ts.deny 中新增sshd:ALL防火墙添加防火墙规那么firewall-cmd permanent zone=public add-rich-rule=rule family=ipv4 source address=*.*.*.*/24 port port=22 protocol=tcp acceptfirewall-cmd reload禁止root用户远程管理在/etc/ssh/sshd_config设置PermitRootLogin no注意：在设置之前需要添加其他用户到sudoers应能发现可能存在的漏洞，并在经过充分测试评估后，及时修补漏 洞定期进行主机漏洞扫描，测试通过后，及时修补漏洞应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件 时提供报警安装了主机入侵检测系统，并进行适当的配置2.特征库进行定期升级 3.严重入侵事件时提供报警, 应采用免受恶意代码攻击的术措施或采用可信计算技术建立从 系统到应用的信任链，实现系统运行过程中重要程序或文件完整性 检测，并在检测到破坏后进行恢复安装防恶意代码工具定期检测文件是否受到破坏或未预期的修 改定期备份重要文件应限制单个用户或进程对系统资源的最大使用限度在/etc/security/limits.conf中做关于用户的限制。如限制testl用户的最大使用内存testlhard as 512