《麒麟软件操作系统勒索病毒防护指引》

1 2 3 3 3 3 4 5 5 5 声明-本指引版权属于工业和信息化部网络安全威胁和漏洞信息共享平台信创政务产品安全漏洞专业转载、引用或其他方式使用本指引内容的，应注明“来源：工业和信息化部网络安全威胁和漏洞信息享本指引中所列举的配置参数为麒麟操作系统初始状态下的安全参考。在实际使用过程中，用应在充分考虑部署环境、相关应用软件的基础上做好严格的功能、性能、可靠性和兼容性测试。参编单位工业和信息化部网络安全威胁和漏洞信息共享平台信创政务产品安全 前言《麒麟软件操作系统勒索病毒防护指引》（以下简称“防护指引”）是工业和信息化部网络安全威胁和漏洞信息共享平台信创政务产品安全漏洞专业库发布的技术手册。防护指引旨在提高网络安全防护意识，提升网络安全防护水平，应对网络安全事件。本防护指引是在总结麒麟软件操作系统应对勒索病毒的基础上，通过研究分析形成的，可为麒麟软件操工业和信息化部网络安全威胁和漏洞信息共享平台信创政务产品安全漏洞专业库是在工业和信息化部网漏洞收集平台和其他发现漏洞的组织或个人，收集并上报信创产品安全漏洞。信创政务产品安全漏洞专业库1勒索病毒介绍勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网站挂马的形式进行传播，该病毒性劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行2攻击原理和攻击路径分析），货币以换取解密密钥。有形成网络攻击的突破口。此外，参照勒索病毒典型传播方式，攻击者同样可利用网站挂马、钓鱼病毒植入◈扩大感染范围：攻击者在已经入侵内部网络的情况下，通过实施内部鱼叉协议等方式在攻击目标内部网络横向移动，或利用勒索病毒本身蠕虫的功能，进一步扩大勒索病毒感实施勒索◈加载勒索信息：攻击者通过加载勒索信息，胁迫攻击目标支付勒索赎金。3加固措施dbus-fi.w1.wpa_supplicant1.servicedbus-org.freedesktop.resolve1.servicedbus-org.freedesktop.timesync1.servicee2scrub_reap.servicefinalrd.servicegetty@.servicegrub-initrd-fallback.serviceipsec.servicekylin-activation-check.servicekylin-display-switch.servicekylin-software-properties.servicekylin-support-kirin.servicekylin-update-manager-system.servicekysec-init.servicekyseclogd.servicelm-sensors.servicenetwork-manager.servicenetworking.serviceNetworkManager-dispatcher.serviceNetworkManager-wait-online.serviceNetworkManager.servicepppd-dns.servicersync.servicersyslog.servicestrongswan-starter.serviceswapon.servicersyslog.servicesystemd-pstore.servicesystemd-resolved.servicesystemd-timesyncd.serviceudisks2.serviceukui-group-manager.serviceukui-media-control-mute-led.serviceukui-power-policy.servicewpa_supplicant.service 通过设置密码复杂度可以有效防止用户设置简单的密#no_similar_check编辑/etc/pam.d/common-auth，找到pam_unix.so所在行，查看是否存在“deny”、“unlock_time”密码有效期设置可以修改配置文件进行加固，也可以通过图形界面加固，建议用户使用图形界面进行加◈检查SSH服务是否必须，如不必须则建议关闭SSH服拷贝客户端id_rsa.pub的内容到服务器某个用户家目录下.ssh目录下的authorized_keys的文件中。在步骤2中，如果用户家目录下没有.ssh目录，就需要创建.ssh目录，同时还需要创建autho-rized_keys，创建完成之后把客户端id_rsa.pub的内容追加到authorized_keys文件中。 开启Kysec安全管控可以有效阻止非法程序执行、联网和非法设备接入系统，对非法进入系统的勒索病毒也可以有效控制。该功能可通过命令加固或 66打开安全中心，在右上角主菜单中点击“设置”，然后在“病毒防护”中的“实时防护”里开启“文件实时防护”，如下图： 理员）具有隐藏能力；另一方面支持一箱一密功能，用户可以根据文件特性◈如果存在防病毒服务器，统一下发病毒查杀策略，当发现无法查 检查当前系统是否存在无用账户、可疑账户，及时对异常账户进行禁用或者删除。修改检查方法中所提的项，数值为-1时代表至少需要相应字符一位、数值为-2时代表至少需要相应通过之前的命令只可更改当前已存在的账户的密码有效期，为了保障以后新建立的账户也可遵循相应密even_deny_root为root账户登录达到失败次数也 dbus-fi.w1.wpa_supplicant1.servicedbus-org.freedesktop.miracle.wifidbus_location.servicee2scrub_reap.servicefinalrd.servicekeyboard-setup.serviceksc-defender-init.servicekylin-activation-check.servicekylin-daq.servicekylin-fix-boot-grub.servicekylin-source-update-timer.servicekylin-system-updater.servicekylin-unattended-upgrades.servicekysdk-systime.servicekysec-init.servicekysec-sync-daemon.servicekysec-sync-early.servicekysec-sync-record.servicekyseclogd.servicelm-sensors.servicelvm2-monitor.servicemiracast_source_uibcctl.servicemiracle-wifid.servicenetwork-manager.servicenetworking.serviceNetworkManager-dispatcher.serviceNetworkManager.serviceoddjobd.serviceopen-vm-tools.serviceopenvpn.serviceOptiDaemon.servicepppd-dns.servicepulseaudio-adapt-conf.serviceqaxsafed.servicersync.servicersyslog.serviceselinux.serviceserviceavserver.servicesetvtrgb.servicesmartd.servicewpa_supplicant.serviceKysec是麒麟自研的一套安全管控软件，其中SP1及SP2提供 防火墙可以有效地管控应用程序、端口、协议联网