安全加固PP方法

客户至上工匠精神安全加固—讲师：吴晓平安全加固简介概述安全加固答疑交流安全加固分类详解安全加固实施流程安全加固实施流程p1p2p3p4p5Chapter.1简介概述解决目标系统在安全评估中发现的技术性安全问题对系统性能进行优化配置，杜绝系统配置不当而出现的弱点安全加固1简介安全加固：是对信息系统中的主机系统（包含运行在主机上的各种软件系统）与网络设备的脆弱性进行分析并修补。另外，安全加固同时包括了对主机系统的身份鉴别与认证、访问控制和审计跟踪策略的增强。目的安全加固1原则修补加固内容不能影响目标系统所承载的业务运行修补加固不能严重影响目标系统的自身性能修补加固操作不能影响与目标系统以及与之相连的其它系统的安全

性，也不能造成性能的明显下降。Chapter.2分类详解安全加固1Windows安全加固边界物理安全加固Web安全加固Linux安全加固安全加固Windows加固1账户及密码策略本地安全策略注册表安全补丁升级和病毒查杀SYN防护攻击禁用不必要的服务和组件Windows加固Windows加固1密码策略加固最小长度及修改时间密码中不得包含易猜测字符、数字密码策略满足复杂度需求必须包含大小字母、数字和特殊符号中三种或以上如常用单词（iloveu）、常用数字（520、12345678）、个人生日日期或者名字缩写最小长度为8位，且从安全的角度，建议使用一段时间后修改密码，且新密码不得为使用过的密码Windows加固1设定账户锁定时间：30分钟设定账户锁定阈值：5次重置账户锁定计数器：30分钟之后账户锁定策略禁用guest账户更改administrator管理员默认名无用账户禁用及默认名更改账户策略加固账户策略加固Windows加固1开启审核策略1禁用自动播放3防止病毒木马程序利用自动播放进行自动运行开启屏幕保护2等待10分钟在恢复显示登录屏幕禁用本地共享4禁用本地默认共享:如C盘、D盘本地安全策略加固审核策略审核登录审核对象访问审核目录审核进程审核特权审核系统事件审核账户管理HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersWindows加固添加文本添加文本添加文本添加文本添加文本添加文本添加文本添加文本添加文本标题通过注册表，用户可以轻易地添加、删除、修改windows系统内的软件配置信息或硬件驱动程序，这不仅方便了用户对系统软硬件的工作状态进行实时的调整。与此同时注册表也成为入侵者攻击的目标，通过注册表种植木马、修改软件信息，甚至删除、停用或改变硬件的工作状态。1注册表策略加固Windows加固Windows加固1注册表策略加固=》彻底隐藏文件及文件夹注册表策略加固=》系统启动项活动子项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run添加开机自启动字符串：tiquan=>设置自启动文件：tiquan.bat

Windows加固1Windows加固1系统服务wscript.shell远程桌面共享Application

Layer

Gateway

Service

应用程序管理禁用不必要的系统组件及服务Windows加固1防SYN洪水攻击防御手段关闭不必要的服务限制同时打开的SYN半连接数目缩短SYN半连接超时时间及时更新系统补丁通过注册表启动SYN攻击保护HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters找到SYNATTACKPROTECT键值项（没有的话新建即可），把默认的数值由“1”改为“2”，启动SYN攻击保护，从而实现抵御DoS攻击。Windows加固1补丁升级和病毒查杀账户及密码策略

网络系统服务系统安全设置认证授权Linux加固Linux安全加固Linux加固1Linux加固11.备份密码策略文件2.编辑密码策略文件3.配置密码策略项cp/etc/login/defs/etc/login/defs.savevi/etc/login.defsPASS_MAX_DAYS90(密码不过期的最多天数)PASS_MIN_DAYS0(密码修改之间的最小天数）PASS_MIN_LEN8

(密码的最小长度)PASS_WARN_AGE7(密码失效前多少天开始告知用户)密码策略Linux加固1用户账户策略1网络系统服务禁用不必要的服务启用审计服务Linux加固1更改默认服务端口（22改为1024以上的高端口）2禁止root用户远程登录SSH345使用特定的白名单IP、用户，拒绝之外的非法IP、用户使用DSA公钥认证登录，不使用密码认证使用iptbales技巧来设定SSH锁定时间1SSH服务加固Linux加固拷贝~/.ssh/id_dsa.pub中的内容到‘服务器1’的~/.ssh/authorized_keys文件中

~$chmod600~/.ssh/authorized_keysLinux加固1限制控制台的使用1系统关闭Ping回应2/etc/securetty文件3禁止IP源路径路由4/etc/host.conf文件5日志系统安全6资源限制7系统安全配置echo

1

>

/proc/sys/net/ipv4/icmp_echo_ignore_allLinux加固1找出系统中所有含"s"位的程序,把不必要得"s"位去掉,或者把根本不用的直接删除

[root@ayazero/]#chattr+i/etc/passwd[root@ayazero/]#chattr+i/etc/shadow[root@ayazero/]#chattr+i/etc/gshadow[root@ayazero/]#chattr+i/etc/group[root@ayazero/]#chattr+i/etc/inetd.conf[root@ayazero/]#chattr+i/etc/httpd.conf

[root@ayazero/]#find/-nouser-o-nogroup

把重要文件加上不可改变属性

找出系统中没有属主的文件root@ayazero/]#find/-typef\(-perm-04000-o-perm-02000\)-execls-lg{}\;[root@ayazero/]#chmoda-sfilename

认证授权Web安全加固1常见web安全漏洞对应加固防御手段

A1——过滤危险注入字符

A2——设置严谨的会话认证管理

A3——输入清除过滤，输出编码转义

A4——验证对象，防止未授权对象访问

A5——启用合理安全的配置

A6——加密敏感信息，屏蔽错误提示

A7——严格把控访问控制权限

A8——使用token表单及表单参数隐藏

A10——避免使用重定向和转发

A9——选用安全最新稳定版本的组件Web安全加固1跨站脚本（XSS）实例用户Web程序攻击者1.用户登录3.用户打开攻击者的URL4.Web程序对攻击者的JS做出回应5.用户浏览器向攻击者发送用户会话信息2.攻击者将URL发送给用户6.攻击者劫持用户会话漏洞原理OWASPESAPI编码库对用户输入数据进行合法性验证为COOKIE设置HttpOnly标记防御边界物理安全加固1物理隔离网闸入侵检测系统防火墙访问控制恶意流量过滤ACL规则检测恶意攻击事件可联动防火墙多种控制功能专用硬件物理上隔离、阻断了具有潜在攻击Chapter.3实施流程加固实施流程1项目启动前期准备信息搜集与分析信息是否充分？加固计划制定审核通过？实施加固加固成功？效果检验项目验收未达到达到效果回退系统备份回退成功？灾难备份失败成功补充评估失败不充分通过Chapter.4风险规避风险规避1充分保障：系统加固之前，先对系统做完全备份加固时间选择：系统业务量最小，业务临时中断对外影响最小的时间段合理沟通：建立直接沟通的渠道，并在工程出现难题的过程中保持