《网络空间安全导论》 课件 21-系统安全01-操作系统安全 01-Windows安全配置、02-linux安全配置

Windows安全配置理解windows安全配置维度掌握Windows安全配置的方法教学目标Windows安全配置简介Windows账户配置Windows本地配置Windows防火墙配置Windows高级审核策略配置目录通常在Windows安全配置中有两类对象一类是WindowsServer，如winserver2012、winserver2016、winserver2019等一类是WindowsClient，如win7、win8、win10等在Windows安全配置中，如果组织有条件，对WindowsClient的安全配置

我们可以借助微软的活动目录来实现自动化。而对WindowsServer通常为保障服务器稳定运行，我们倾向于的是手动配置。本文我们以WindowsServer2012

R2为例，进行加固讲解Windows安全配置简介Windows安全配置方法通常我们使用组策略对windows进行安全配置组策略中的安全配置与注册表也可以对应，但注册表可读性较差。组策略有详细的说明，所以我们通常使用组策略在windows客户端系统中，HOME版本是没有组策略的的功能。打开组策略的方法是右键开始-->运行-->gpedit.mscWIN+R-->gpedit.mscWindows安全配置简介Windows不论什么版本，进行安全配置均包含以下两个常用维度账户策略密码策略账户锁定策略本地策略审计策略用户权限策略安全选项Windows安全配置简介除了上述常用的配置，还会包含以下两个维度防火墙策略域配置文件私有网络配置文件高级审计策略账户登录账户管理详细跟踪登录/注销对象访问策略更改Windows安全配置简介密码策略强制密码历史，建议设置为24个密码最长使用期限，建议设置60天密码最短使用期限，建议设置为1天或更多密码长度最小值，建议设置为14密码必需符合复杂性要求，建议设置为启用用可还原的加密码来存储密码，建议设置为禁用Windows安全配置-账户策略密码策略配置Windows安全配置-账户策略密码策略配置重点理解选项--密码最短使用期限密码最短使用期限，表示用户更改密码后，多少天内能再次更改密码。此项设置主要是配合强制密码历史使用。如果没有设置密码最短使用期限，用户则可以循环选择密码，直到获得期望的旧密码。Windows安全配置-账户策略账户锁定策略账户锁定阈值，建议设置为10次或更少账户锁定时间，建议设置为15分钟或更多重置账户锁定计数器，建议设置为15分钟或更多Windows安全配置-账户策略用户权限分配作为受信任的呼叫方访问凭据管理器，建议设置为空。默认为空从网络访问此计算机，建议设置为Administrator,AuthenticatedUsers,ENTERPRISEDOMAINCONTROLLERS（域控设置）以操作系统方式执行，建议设置为空，默认为空将工作站添加到域，建议设置为Administrators为进程调整内存配额，建议设置为Administrators,LOCALSERVICE,NETWORKSERVICE允许本地登录，建议设置为Administrators允许通过远程桌面服务登录，建议设置为Administrators,RemoteDesktopUsers(客户端设置)Windows安全配置-本地策略用户权限分配备份文件和目录，建议设置为Administrators更改系统时间，建议设置为Administrators,LOCALSERVICE更改时区，建议设置为Administrators,LOCALSERVICE创建页面文件，建议设置为Administrators创建一个信息对象，建议设置为空创建全局对象，建议设置为Administrators,LOCALSERVICE,NETWORKSERVICE,SERVICE创建永久共享对象，建议设置为空创建符号链接，建议设置为AdministratorsWindows安全配置-本地策略用户权限分配调试程序，建议设置为Administrators拒绝从网络访问这台计算机，建议设置为Guests,本地的administrators中的其它用户或组。拒绝作为批处理作业登录，建议设置为Guest拒绝以服务身份登录，建议设置为Guest拒绝本地登录，建议设置为Guest拒绝通过远程桌面服务登录，建议设置为Guest和需要的本地用户信任计算机和用户账户可以执行委派，建议设置为空，域控设置为Administrators从远程系统强制关机，建议设置为AdministratorsWindows安全配置-本地策略用户权限分配生成安全审核，建议设置为LOCALSERVICE,NETWORKSERVICE身份验证后模拟客户端，建议设置为Administrators,LOCALSERVICE,NETWORKSERVICE,SERVICE提高计划优先级，建议设置为Administrators加载和卸载设备驱动程序，建议设置为Administrators锁定内存页，建议设置为空管理审核和安全日志，建议设置为Administrators，默认符合修改固件环境值，建议设置为Administrators，默认符合执行卷维护任务，建议设置为Administrators，默认符合配置文件单一进程，建议设置为Administrators，默认符合Windows安全配置-本地策略用户权限分配还原文件和目录，建议设置为Administrators关闭系统，建议设置为Administrators取得文件或其他对象所有权，建议设置为Administrators，默认设置Windows安全配置-本地策略账户：账户：管理员账户状态，建议设置为禁用账户：阻止Microsoft账户，建议设置为用户不能添加Microsoft账户或使用该账户登录账户：来宾账户状态，建议设置为已禁用，默认设置账户：使用空密码的本地账户只通话进行控制台登录，建议设置为启用，默认设置账户：重命令系统管理员账户，建议重命名为非administrator账户：重命名来宾账户，建议重命名为非GuestWindows安全配置-安全设置Windows安全配置-安全设置审核：审核：如果无法记录安全审计则立即关闭系统，建议设置为禁用，默认设置审核：强制审核策略子类别设置，建议设置为启用Windows安全配置-安全设置设备：设备：允许对可移动媒体进行格式化并弹出，建议设置为Administrators设备：防止用户安装打印机驱动程序，建议设置为已启用，默认设置Windows安全配置-安全设置交互式登录交互式登录：不显示最后的用户名，建议设置已启用交互式登录：无须按Ctrl+Alt+Del，建议设置已禁用，默认设置交互式登录：计算机不活动限制，建议设置为900，不要设成0。可以理解为锁屏。交互式登录：试图登录的用户的消息文本，不要表现出任何信息，可以为空交互式登录：试图登录的用户的消息标题，不要表现出任何信息，可以为空交互式登录：之前登录到缓存的次数，建议设为4或更少交互式登录：提示用户在过期之前更改密码，建议5到14天交互式登录：需要域控制器身份验证以对工作站进行解锁，建议设置为启用Windows安全配置-安全设置Windows安全配置-安全设置交互式登录Microsoft网络客户端Microsoft网络客户端:对通信进行数字签名（始终），建议设置为已启用Microsoft网络客户端:对通信进行数字签名（如果服务器允许），建议设置为已启用，默认设置Microsoft网络客户端:将未加密的密码发送到第三方SMB服务器，建议设置为已禁用，默认设置Windows安全配置-安全设置Microsoft网络服务器Microsoft网络服务器：暂停会话前所需空间的时间数量，建议设置15或更少Microsoft网络服务器：对通信进行数字签名（始终），建议设置为已启用Microsoft网络服务器：对通信进行数字签名（如果客户端允许），建议设置为已启用Microsoft网络服务器：登录时间过期后断开与客户端的连接，建议设置为已启用，默认设置Microsoft网络服务器：服务器SPN目标名称验证级别，建议设置为由客户端提供时接受或更高Windows安全配置-安全设置网络访问：网络访问：不允许SAM和共享的匿名枚举，建议设置为已启用网络访问：不允许存储网络身份验证的密码和凭据，建议设置为已启用网络访问：可匿名访问的共享，建议根据实际情况设置网络访问：可远程访问的注册表路径，建议设置为System\CurrentControlSet\Control\ProductOptionsSystem\CurrentControlSet\Control\ServerApplicationsSoftware\Microsoft\WindowsNT\CurrentVersionWindows安全配置-安全设置网络访问：可远程访问的注册表路径和子路径，建议设置为System\CurrentControlSet\Control\Print\PrintersSystem\CurrentControlSet\Services\EventlogSoftware\Microsoft\OLAPServerSoftware\Microsoft\WindowsNT\CurrentVersion\PrintSoftware\Microsoft\WindowsNT\CurrentVersion\WindowsSystem\CurrentControlSet\Control\ContentIndexSystem\CurrentControlSet\Control\TerminalServerSystem\CurrentControlSet\Control\TerminalServer\UserConfigSystem\CurrentControlSet\Control\TerminalServer\DefaultUserConfigurationSoftware\Microsoft\WindowsNT\CurrentVersion\PerflibSystem\CurrentControlSet\Services\SysmonLogWindows安全配置-安全设置网络访问：网络访问：网络访问：不允许SAM和共享的匿名枚举，建议设置为已启用网络访问：不允许存储网络身份验证的密码和凭据，建议设置为已启用网络访问：可匿名访问的共享，建议根据实际情况设置网络访问：可远程访问的注册表路径，建议设置为System\CurrentControlSet\Control\ProductOptionsSystem\CurrentControlSet\Control\ServerApplicationsSoftware\Microsoft\WindowsNT\CurrentVersionWindows安全配置-安全设置网络安全网络安全：允许本地系统将计算机标识用于NTLM，建议设置为已启用网络安全：允许LocalSystemNULL会话回退，建议设置为已禁用网络安全：允许对此计算机的PKU2U身份验证请求使用联机标识，建议设置为已禁用网络安全：配置Kerberos允许的加密类型，建议设置AES128_HMAC_SHA1,AES256_HMAC_SHA1,将来的加密类型网络安全：在超过登录时间后强制注销，建议设置为已启用网络安全：LNA管理器身份验证级别，建议设置为仅发送NTLMv2响应，拒绝LM和NTLMWindows安全配置-安全设置用户账户控制用户账户控制：用于内置管理员账户的管理员批准模式，建议设置已启用用户账户控制：管理员批准模式中管理员的提升权限提示的行为，建议设置为在安全桌面上提示凭据用户账户控制：标准用户的提升提示行为，建议设置为，自动拒绝提升请求用户账户控制：允许UIAccess应用程序在不使用安全桌面的情况下提升权限，建议设置为已启用Windows安全配置-安全设置用户账户控制Windows安全配置-安全设置高级防火墙配置Windows安全配置-安全设置高级防火墙配置Windows安全配置-安全设置Windows安全配置-安全设置高级防火墙配置高级审核策略配置--账户登录审核凭据验证，建议设置成功和失败Windows安全配置-安全设置高级审核策略配置--账户管理审核应用程序组管理，建议审核成功和失败审核安全组管理，建议审核成功审核用户账户管理，建议审核成功和失败Windows安全配置-安全设置高级审核策略配置--详细跟踪审核进程创建，建议审核成功高级审核策略配置--登录/注销审核账户锁定，建议设置失败审核注销，建议设置成功审核登录，建议成功和失败审核其他登录/注销失败，建议成功和失败审核特殊登录，建议成功Windows安全配置-安全设置高级审核策略配置--对象访问审核详细的文件共享，建议失败审核文件共享，建议成功和失败审核其他对象访问事件，建议成功和失败审核可移动存储，建议成功和失败Windows安全配置-安全设置高级审核策略配置--策略更改Windows安全配置-安全设置高级审核策略配置--特权使用Windows安全配置-安全设置高级审核策略配置--系统Windows安全配置-安全设置学习Windows的安全基线配置，理解Windows安全设置。总结Linux安全配置理解Linux安全配置维度掌握Linux安全配置的方法教学目标Linux安全配置简介Linux的网络配置Linux的日志和审计配置Linux的访问认证和授权配置Linux的系统运维配置目录Linux种类较多，常见的有Redhat、Ubuntu、Centos、SUSE等根据不同版本，其安全配置都不太相同，主要体现在以下三点配置文件所存放的路径操作系统的命令操作系统自身的安全特性或工具本小节，我们以Centos7为例，进行安全配置讲解，其它版本Linux可能存在安全配置方式不同，但整体配置的维度和原则是一致的。Linux安全配置简介Centos安全配置维度安装配置（默认配置即可）服务配置（默认配置即可）网络配置日志和审计访问、授权和认证系统运维Linux安全配置简介Centos安全配置原则最小安全（最小安装、最小权限）不影响业务可用（安全与业务的矛盾）职责分离审计记录因为Centos安全配置较多，本文仅列举部分典型代表，更多具体配置，可以参照相关国内或国际标准，如等保、CIS等。Linux安全配置简介禁用不使用的网络协议禁用IPv6,，执行以下命令sysctl-wnet.ipv6.conf.all.disable_ipv6=1sysctl-wnet.ipv6.conf.default.disable_ipv6=1sysctl-wnet.ipv6.route.flush=1

查看配置是否生效sysctlnet.ipv6.conf.all.disable_ipv6Linux安全配置--网络配置禁用不使用的无线设备，因为Linux作为服务器工作时，无需使用无线查看无线设备iwlist查看当前连接iplinkshowupLinux安全配置--网络配置关闭网络连接iplinkset<interface>down

这里以本地环回口lo为例，进行关闭Linux安全配置--网络配置当Linux作为独立主机使用时，配置网络关闭IP转发，默认即关闭查看IP转发配置sysctlnet.ipv4.ip_forward关闭IP转发sysctl-wnet.ipv4.ip_forware=0Linux安全配置--网络配置关闭数据包重定向查看重定向设置sysctlnet.ipv4.conf.all.send_redirects关闭重定向设置sysctl-wnet.ipv4.conf.all.send_redirects=0Linux安全配置--网络配置开启TCPSYN

Cookies功能TCPSYN功能某种程度上可以防止TCP的SYNDDOS攻击。查看TCPSYNCookies功能sysctlnet.ipv4.tcp_syncookies开启TCPSYNCookies功能sysctl-wnet.ipv4.tcp_syncookies=1Linux安全配置--网络配置防火墙配置在Centos较新的版本中，引入了nftables内核取代传统netfilter内核通常nftables和netfilter只用安装一种即可。基于netfilter，又有两种前端操作工具，即firewalld和iptables本节我们以netfilter+firewalld进行操作讲解Linux安全配置--网络配置防火墙配置确定安装了firewalld和iptables管理工具rpm-qfirewalldiptables安装firewalld和iptablesyuminstallfirewalldiptablesLinux安全配置--网络配置防火墙配置关闭iptables的服务管理（因为同时开启iptables与firewalld会冲突）查看iptables服务rpm-qiptables-services如果已安装，可以使用以下命令停止systemctlstopiptablesyumremoveiptables-servicesLinux安全配置--网络配置确保没有安装nftables查看安装nftables的状态rpm-qnftables如果安装，可以删除yumremovenftablesLinux安全配置--网络配置确保防火墙服务自动启动，并正在运行查看firewalld状态systemctlis-enabledfirewalld查看firewalld状态（第二种方式）firewall-cmd--stateLinux安全配置--网络配置开启firewalldsystemctlunmaskfirewalldsystemctlenablefirewalld开启防火墙，可能会导致网络中断，所以一定要分析清楚，当前网络连接与网络配置，再来开启防火墙Linux安全配置--网络配置确定防火墙区域配置默认firewalld会创建一个名为public的区域区域代表防火墙中的信任等级，每一个接口都应该属于区域查看当前区域，默认是publicfirewall-cmd--get-default-zoneLinux安全配置--网络配置防火墙默认区域配置设置默认区域为publicfirewall-cmd--set-default-zone=public查看当前活动的区域和接口firewall-cmd--get-active-zones设置接口到区域firewall-cmd--zone=public--change-interface=ens33Linux安全配置--网络配置查看当前允许的端口和服务firewall-cmd--list-all--zone=publicLinux安全配置--网络配置关闭不需要的端口和服务关闭端口firewall-cmd--remove-port=<port-number>/<port-type>如：firewall-cmd--remove-port=25/tcp关闭服务firewall-cmd--remove-service=<service>如：firewall-cmd--remove-service=smtpLinux安全配置--网络配置系统审核查看系统是否安装审核服务rpm-qauditaudit-libs如果没有安装，而进行安装yuminstallauditaudit-libsLinux安全配置--日志和审核系统审核查看审核服务是否开启systemctlis-enabledauditd查看服务状态systemctlstatusauditdLinux安全配置--日志和审计配置审计数据大小查看audit日志最大空间，默认单位为M如图，显示为8MLinux安全配置--日志和审计审计用户和用户组的操作查看当前用户和用户组相关的操作记录grepidentity/etc/audit/rules.d/*.rules当前没有任何相关配置配置记录如下：vi/etc/audit/rules.d/identity.rules加入右图内容同样，也可以输入其他命令路径Linux安全配置--日志和审计配置rsyslog日志rsyslog是取代syslog的新版本。rsyslog有一些优秀的特性，比如使用tcp连接，可以将日志存储到数据库，可以加密传输日志等。确保系统安装了rsyslogrpm-qrsyslog查看rsyslog服务状态systemctlis-enabledrsyslogLinux安全配置--日志和审计确保日志正常输入查看当前日志目录及日志权限，日志权限应该为600（仅root可读写）ls-l/var/logLinux安全配置--日志和审计查看日志归档处理Linux系统使用logrotate按定期或指定大小进行归档处理确保logrotate正常的处理syslog日志查看是否存在文件ls/etc/logrotate.d/syslogLinux安全配置--日志和审计查看计划任务的访问授权stat/etc/crontab如图展示了，仅root可以访问计划任务，且相关访问时间。同理还应检查文件dailyhourlymonthlyweeklyLinux安全配置--访问、认证和授权查看SSH配置文件权限因为SSH可以使用密钥直接登录，如果SSH配置文件权限限制不严格，则造成SSH提权检查/etc/ssh/sshd_config的权限Linux安全配置--访问、认证和授权配置允许通过SSH访问的用户使用以下命令查看当前允许SSH访问的用sshd-T|grep-E'^\s*(allow|deny)(users|groups)\s+\S+'如果输出为空，说明没有配置编辑文件/etc/ssh/sshd_config，配置仅允许sangfor用户访问在文件中加入以下行allowuserssangfor保存，退出，并重启SSH服务。验证生效。Linux安全配置--访问、认证和授权配置SSH验证失败次数查看SSH验证失败次数sshd-T|grepmaxauthtries默认为6次，建议改为4次或更低编辑SSH配置文件修改即可vi/etc/ssh/sshd_configLinux安全配置--访问、认证和授权禁止空密码登录