操作系統(tǒng)安全加固.

1、操作系統(tǒng)安全加固操作系統(tǒng)安全加固 張敏張敏 四川訊修信息技術(shù)服務(wù)有限公司四川訊修信息技術(shù)服務(wù)有限公司 培訓(xùn)簡(jiǎn)介培訓(xùn)簡(jiǎn)介 培訓(xùn)目的： 該課程主要介紹系統(tǒng)通用的安全加固方案和方法 培訓(xùn)對(duì)象： 面向安全管理人員、安全技術(shù)人員、系統(tǒng)維護(hù)人員、 共3類人員 培訓(xùn)時(shí)間： 60分鐘 培訓(xùn)重點(diǎn)： 本教材側(cè)重點(diǎn)為安全技術(shù)人員和系統(tǒng)維護(hù)人員 安全守則安全守則 著名信息安全的十大守則著名信息安全的十大守則 守則守則1：如果一個(gè)人能說服你同意他在你的電腦上運(yùn)行他的程序：如果一個(gè)人能說服你同意他在你的電腦上運(yùn)行他的程序, 那么那么, 這臺(tái)電腦就這臺(tái)電腦就 不再屬于你了不再屬于你了; 守則守則2: 如果一個(gè)人能夠改變你電

2、腦上的操作系統(tǒng)如果一個(gè)人能夠改變你電腦上的操作系統(tǒng), 那么那么, 這臺(tái)電腦就不再屬于你了這臺(tái)電腦就不再屬于你了; 守則守則3: 如果一個(gè)人能夠不受限制的從物理上接觸到你的電腦如果一個(gè)人能夠不受限制的從物理上接觸到你的電腦, 那么那么, 這臺(tái)電腦就不這臺(tái)電腦就不 再屬于你了再屬于你了; 守則守則4: 如果你允許一個(gè)人能夠上傳他的程序到你的網(wǎng)站如果你允許一個(gè)人能夠上傳他的程序到你的網(wǎng)站, 那么那么, 這個(gè)網(wǎng)站就不再屬這個(gè)網(wǎng)站就不再屬 于你了于你了; 守則守則5: 脆弱的口令能夠輕而易舉地?fù)魯》浅＠喂痰陌踩到y(tǒng)脆弱的口令能夠輕而易舉地?fù)魯》浅＠喂痰陌踩到y(tǒng); 守則守則6: 一臺(tái)機(jī)器只有在它的管理員可

3、信賴的時(shí)候才是安全的一臺(tái)機(jī)器只有在它的管理員可信賴的時(shí)候才是安全的; 守則守則7: 加密過的數(shù)據(jù)只有在解密密鑰安全的時(shí)候才是安全的加密過的數(shù)據(jù)只有在解密密鑰安全的時(shí)候才是安全的; 守則守則8: 一個(gè)過期的病毒掃描器僅僅比根本沒有病毒掃描器就好上那么一丁點(diǎn)一個(gè)過期的病毒掃描器僅僅比根本沒有病毒掃描器就好上那么一丁點(diǎn); 守則守則9: 絕對(duì)的匿名是不可能實(shí)現(xiàn)的絕對(duì)的匿名是不可能實(shí)現(xiàn)的, 無論是在真實(shí)的生活中還是在無論是在真實(shí)的生活中還是在WEB上上; 守則守則10: 技術(shù)不是萬能的。技術(shù)不是萬能的。 加固環(huán)節(jié)加固環(huán)節(jié) 培訓(xùn)目錄培訓(xùn)目錄 理解安全加固理解安全加固 Windows安全加固安全加固 UNI

4、X/Linux安全加固安全加固 一、安全加固的概念一、安全加固的概念 為什么要安全加固為什么要安全加固 l修補(bǔ)系統(tǒng)存在的漏洞弱點(diǎn) l預(yù)防系統(tǒng)面臨的威脅 如何理解 “安全”？ l可用性 l保密性 l完整性 如何實(shí)現(xiàn)“安全”？ l管理 + 技術(shù) = 預(yù)期的結(jié)果 l管理 + 技術(shù) 預(yù)期的結(jié) 二、安全加固的目標(biāo)二、安全加固的目標(biāo) n目標(biāo)目標(biāo) 我們的目標(biāo)是降低風(fēng)險(xiǎn)到可以接受我們的目標(biāo)是降低風(fēng)險(xiǎn)到可以接受 三、安全加固對(duì)象三、安全加固對(duì)象 n對(duì)象對(duì)象 所有可能產(chǎn)生脆弱性的應(yīng)用所有可能產(chǎn)生脆弱性的應(yīng)用 四、安全加固的原則四、安全加固的原則 n加固原則加固原則 業(yè)務(wù)影響最小化業(yè)務(wù)影響最小化 安全風(fēng)險(xiǎn)難以被徹底

5、消除，因?yàn)樗莿?dòng)態(tài)的，我們?cè)诩影踩L(fēng)險(xiǎn)難以被徹底消除，因?yàn)樗莿?dòng)態(tài)的，我們?cè)诩?固過程中堅(jiān)持的最基本原則是業(yè)務(wù)系統(tǒng)的可用性，對(duì)固過程中堅(jiān)持的最基本原則是業(yè)務(wù)系統(tǒng)的可用性，對(duì) 業(yè)務(wù)系統(tǒng)影響最小化。業(yè)務(wù)系統(tǒng)影響最小化。 風(fēng)險(xiǎn)發(fā)現(xiàn)最大化風(fēng)險(xiǎn)發(fā)現(xiàn)最大化 詳細(xì)審查評(píng)估報(bào)告和漏洞掃描中的任何一個(gè)細(xì)節(jié)，將任詳細(xì)審查評(píng)估報(bào)告和漏洞掃描中的任何一個(gè)細(xì)節(jié)，將任 何潛在的安全隱患以最大展現(xiàn)，列表，進(jìn)行確認(rèn)處理何潛在的安全隱患以最大展現(xiàn)，列表，進(jìn)行確認(rèn)處理 。 五、安全加固的流程五、安全加固的流程 n加固流程加固流程 確認(rèn)加固目標(biāo)（加固需求和要求） 實(shí)施安全檢查（手工檢查和漏洞掃描檢查） 加固前的交流（和業(yè)務(wù)負(fù)責(zé)人系

6、統(tǒng)管理員交流） 加固實(shí)施過程（測(cè)試環(huán)境-備用機(jī)非核心-核心主 機(jī)） 加固過程文件與成果輸出（加固效果與過程記錄文件） 目目 錄錄 理解安全加固理解安全加固 Windows安全加固安全加固 UNIX類安全加固類安全加固 Windows通用安全加固方案通用安全加固方案 補(bǔ)丁及防護(hù)軟件補(bǔ)丁及防護(hù)軟件 系統(tǒng)服務(wù)系統(tǒng)服務(wù) 安全策略安全策略 日志與審核策略日志與審核策略 用戶與文件系統(tǒng)用戶與文件系統(tǒng) 安全增強(qiáng)安全增強(qiáng) 補(bǔ)丁補(bǔ)丁 檢查系統(tǒng)補(bǔ)丁安裝情況檢查系統(tǒng)補(bǔ)丁安裝情況 命令行執(zhí)行systeminfo,查看系統(tǒng)已經(jīng)安裝的補(bǔ)丁列表 補(bǔ)丁更新補(bǔ)丁更新 手動(dòng)安裝：使用IE訪問http:/，按提示安裝 必要的act

7、iveX控件后，按提示安裝補(bǔ)丁 開始 控制面板 自動(dòng)更新，在自動(dòng)更新面板中選中自動(dòng)（建 議）(U)，然后根據(jù)個(gè)人需求設(shè)置升級(jí)時(shí)間 內(nèi)網(wǎng)與安全域環(huán)境，可以建立獨(dú)立的WSUS服務(wù)器 防護(hù)軟件防護(hù)軟件 安裝殺毒軟件并保持病毒庫更新 守則8: 一個(gè)過期的病毒掃描器僅僅比根本沒有病毒掃描器就好上那么一丁點(diǎn); 防火墻 對(duì)于防火墻，建議建立嚴(yán)格的訪問控制策略。 Windows通用安全加固方案通用安全加固方案 n補(bǔ)丁及防護(hù)軟件補(bǔ)丁及防護(hù)軟件 系統(tǒng)服務(wù)系統(tǒng)服務(wù) n安全策略安全策略 n日志與審核策略日志與審核策略 n用戶與文件系統(tǒng)用戶與文件系統(tǒng) n安全增強(qiáng)安全增強(qiáng) 系統(tǒng)服務(wù)系統(tǒng)服務(wù) 查看系統(tǒng)服務(wù)查看系統(tǒng)服務(wù) 執(zhí)行

8、services.msc,檢查啟動(dòng)類型為自動(dòng)的服務(wù) 最小化服務(wù)原則，建議關(guān)閉一下服務(wù)： Task Scheduler/Remote Registry /SNMP Service/ Print Spooler /Telnet /Computer Browser/Messenger/ Alerter/ DHCP Client 關(guān)閉方法：雙擊需要關(guān)閉的服務(wù)，將啟動(dòng)類型設(shè)置為禁用，點(diǎn)擊 停止按鈕以停止當(dāng)前正在運(yùn)行的服務(wù) SNMP服務(wù)服務(wù) 修改修改SNMP的字符串的字符串 為什么要修改SNMP的字符串？它會(huì)泄露什么？ 通過 SNMP服務(wù)，遠(yuǎn)程惡意用戶可以列舉本地的帳號(hào)、帳號(hào)組、 運(yùn)行的進(jìn)程、安裝的補(bǔ)丁和

9、軟件等敏感信息，禁用或修改；SNMP 配置可以有效防止遠(yuǎn)程惡意用戶的這類行為。 攻擊工具: snmputil walk 0 public .1.3.6. . 服務(wù)與進(jìn)程服務(wù)與進(jìn)程 SNMP Service服務(wù)加固方法：服務(wù)加固方法： 為修改 SNMP 團(tuán)體名 限制遠(yuǎn)程主機(jī)對(duì) SNMP 的訪問 關(guān)閉自動(dòng)播放功能關(guān)閉自動(dòng)播放功能 關(guān)閉所有驅(qū)動(dòng)器的自動(dòng)播放功能關(guān)閉所有驅(qū)動(dòng)器的自動(dòng)播放功能 點(diǎn)擊開始點(diǎn)擊開始運(yùn)行運(yùn)行輸入輸入 gpedit.msc，打開組策略編輯器，打開組策略編輯器， 瀏覽到計(jì)算機(jī)配置瀏覽到計(jì)算機(jī)配置管理模板管理模板系統(tǒng)，在右邊窗格中雙擊系統(tǒng)，在右邊窗格中雙擊“關(guān)閉自關(guān)閉自

10、 動(dòng)播放動(dòng)播放”，對(duì)話框中選擇所有驅(qū)動(dòng)器，確定即可。，對(duì)話框中選擇所有驅(qū)動(dòng)器，確定即可。 Windows通用安全加固方案通用安全加固方案 n補(bǔ)丁及防護(hù)軟件補(bǔ)丁及防護(hù)軟件 n系統(tǒng)服務(wù)系統(tǒng)服務(wù) 安全策略安全策略 n日志與審核策略日志與審核策略 n用戶與文件系統(tǒng)用戶與文件系統(tǒng) n安全增強(qiáng)安全增強(qiáng) 密碼策略密碼策略 密碼策略密碼策略 長(zhǎng)度 7 Windows 2003 127 7 windows2008 127 期限 定期修改密碼 復(fù)雜性 ChinaMobile_NO.1 大小寫大小寫數(shù)字?jǐn)?shù)字特殊字符特殊字符 密碼策略密碼策略 加固要點(diǎn)加固要點(diǎn) 密碼策略: 開始 運(yùn)行 gpedit.msc 計(jì)算機(jī)配置

11、 Windows 設(shè)置 安全設(shè)置 帳戶策略 帳 戶鎖定策略-密碼策略”： 帳戶鎖定策略 用戶權(quán)利指派用戶權(quán)利指派 檢查用戶權(quán)限策略是否設(shè)置：檢查用戶權(quán)限策略是否設(shè)置： 開始開始 運(yùn)行運(yùn)行 gpedit.msc 計(jì)算機(jī)配置計(jì)算機(jī)配置 Windows 設(shè)置設(shè)置 安全設(shè)置安全設(shè)置 本地策略本地策略 用戶權(quán)利用戶權(quán)利 指派指派 本地安全策略配置本地安全策略配置 檢查本地安全策略配置：檢查本地安全策略配置： 開始開始 運(yùn)行運(yùn)行 gpedit.msc 計(jì)算機(jī)配置計(jì)算機(jī)配置 Windows 設(shè)置設(shè)置 安全設(shè)置安全設(shè)置 本地策略本地策略 安全選項(xiàng)安全選項(xiàng) Windows通用安全加固方案通用安全加固方案 n補(bǔ)丁

12、及防護(hù)軟件補(bǔ)丁及防護(hù)軟件 n系統(tǒng)服務(wù)系統(tǒng)服務(wù) n安全策略安全策略 日志與審核策略日志與審核策略 n用戶與文件系統(tǒng)用戶與文件系統(tǒng) n安全增強(qiáng)安全增強(qiáng) 日志和審核策略日志和審核策略 審核審核 n 了解Windows審核策略 審核策略并不完整 很多審核內(nèi)容默認(rèn)未開啟 只有在 NTFS 磁盤上才能開啟對(duì)象訪問審核,日志量較大(考慮性能) n 步驟 打開審核策略 編輯審核對(duì)象的審核項(xiàng) 日志和審核策略日志和審核策略 審核審核 打開審核策略 要做什么審核？要審核什么？ 位置：gpedit.msc 計(jì)算機(jī)配置 Windows設(shè)置 安全設(shè)置 審核設(shè)置 日志和審核策略日志和審核策略 審核審核 n 查看審核日志 e

13、ventvwr（事件查看器） Windows通用安全加固方案通用安全加固方案 n補(bǔ)丁及防護(hù)軟件補(bǔ)丁及防護(hù)軟件 n系統(tǒng)服務(wù)系統(tǒng)服務(wù) n安全策略安全策略 n日志與審核策略日志與審核策略 用戶與文件系統(tǒng)用戶與文件系統(tǒng) n安全增強(qiáng)安全增強(qiáng) 文件系統(tǒng)文件系統(tǒng) Windows文件系統(tǒng)文件系統(tǒng) FAT FAT 16 FAT 32 NTFS 將將 FAT 卷轉(zhuǎn)換成卷轉(zhuǎn)換成 NTFS convert C: /FS:NTFS 用戶用戶 用戶和組用戶和組 特殊的組 Administrators、Guests、Power Users 可通過net localgroup命令打印 特殊的用戶 Administrator、

14、Guest 可通過net user命令打印 隱藏帳號(hào) net user hide$ password /add 用戶用戶 加固要點(diǎn)加固要點(diǎn) 檢查用戶 克隆 隱藏 清除用戶 未使用的 未知的 鎖定用戶 Guest SUPPORT_XXXXX 設(shè)置重要文件權(quán)限設(shè)置重要文件權(quán)限 權(quán)限權(quán)限 前提（關(guān)鍵字） NTFS Administrators 設(shè)置重要文件權(quán)限設(shè)置重要文件權(quán)限 權(quán)限權(quán)限 ACL （訪問控制列表） 包含了用戶帳戶和訪問對(duì)象之間許可關(guān)系 由四個(gè)權(quán)限項(xiàng)組成的權(quán)限項(xiàng)集（即，由四個(gè)權(quán)限項(xiàng)組成的權(quán)限項(xiàng)集（即，ACL） 設(shè)置重要文件權(quán)限設(shè)置重要文件權(quán)限 權(quán)限權(quán)限 ACE （訪問控制項(xiàng)） ACL中包

15、含ACE 訪問控制條目 設(shè)置重要文件權(quán)限設(shè)置重要文件權(quán)限 加密和壓縮加密和壓縮 設(shè)置重要文件權(quán)限設(shè)置重要文件權(quán)限 審核審核 編輯審核對(duì)象的審核項(xiàng) 設(shè)置重要文件權(quán)限設(shè)置重要文件權(quán)限 加固要點(diǎn)加固要點(diǎn) 目錄及文件的權(quán)限 查找具有everyone的權(quán)限項(xiàng) 重要對(duì)象的審核策略 echo off dir/s/b all.txt for /f %i in (all.txt) do cacls %i | find Everyone Windows通用安全加固方案通用安全加固方案 n補(bǔ)丁及防護(hù)軟件補(bǔ)丁及防護(hù)軟件 n系統(tǒng)服務(wù)系統(tǒng)服務(wù) n安全策略安全策略 n日志與審核策略日志與審核策略 n用戶與文件系統(tǒng)用戶與文件

16、系統(tǒng) 安全增強(qiáng)安全增強(qiáng) 安全增強(qiáng)安全增強(qiáng) 刪除匿名用戶空連接刪除匿名用戶空連接 注冊(cè)表如下鍵值： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa 將 restrictanonymous 的值設(shè)置為 1，若該值不存在，可以自己創(chuàng)建，類 型為 REG_DWORD，修改完成后重新啟動(dòng)系統(tǒng)生效 刪除默認(rèn)共享刪除默認(rèn)共享 注冊(cè)表如下鍵值： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanm anserverparameters 將 Autoshareserver 設(shè)置為 0，若不存在，可創(chuàng) 建

17、，類型為 REG_DWORD修改完成后重新啟動(dòng)系統(tǒng)生效 目目 錄錄 理解安全加固理解安全加固 Windows安全加固安全加固 UNIX/Linux安全加固安全加固 UNIX/Linux通用安全加固方案通用安全加固方案 帳號(hào)帳號(hào) n文件權(quán)限文件權(quán)限 n服務(wù)服務(wù) n日志審計(jì)日志審計(jì) n系統(tǒng)狀態(tài)系統(tǒng)狀態(tài) 帳號(hào)安全帳號(hào)安全 n帳號(hào)帳號(hào) /etc/login.defs，檢查，檢查 PASS_MAX_DAYS/PASS_MIN_LEN/ PASS_MIN_DAYS/PASS_WARN_AGE 檢查是否存在除檢查是否存在除root外外UID = 0的用戶的用戶 檢查是否存在弱口令檢查是否存在弱口令 鎖定不使

18、用的帳戶鎖定不使用的帳戶(passwd l username) 檢查檢查root用戶環(huán)境變量用戶環(huán)境變量 設(shè)置設(shè)置帳號(hào)超時(shí)注銷帳號(hào)超時(shí)注銷(vivi /etc/profile/etc/profile增加增加TMOUT=180)TMOUT=180) 帳號(hào)安全帳號(hào)安全 限制限制root遠(yuǎn)程登錄遠(yuǎn)程登錄 /etc/ssh/sshd_config : PermitRootLogin no /etc/securetty文件中配置： CONSOLE = /dev/tty01 UNIX/Linux通用安全加固方案通用安全加固方案 n帳號(hào)帳號(hào) 文件權(quán)限文件權(quán)限 n服務(wù)服務(wù) n日志審計(jì)日志審計(jì) n系統(tǒng)狀態(tài)系統(tǒng)狀

19、態(tài) umask 檢查是否包含檢查是否包含 umask 值值 more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc umask umask rootRHEL5 home# umask 0022 rootRHEL5 home# touch file1 rootRHEL5 home# ls -l file1 -rw-r-r- 1 root root 0 Jul 26 07:17 file1 (644) rootRHEL5 home# umask 0066 rootRHEL5 home# touch fil

20、e2 rootRHEL5 home# ls -l file2 -rw- 1 root root 0 Jul 26 07:18 file2 (600) rootRHEL5 home# umask 0 rootRHEL5 home# umask 0000 rootRHEL5 home# touch file3 rootRHEL5 home# ls -l file3 -rw-rw-rw- 1 root root 0 Jul 26 07:25 file3 (666) 文件權(quán)限文件權(quán)限 文件權(quán)限文件權(quán)限 ls l rootRHEL5 home# ls -l total 44 drwxr-xr-x 2 r

21、oot root 4096 Jul 26 05:24 apue -rw-r-r- 1 root root 16069 Jun 30 09:17 cpro.tar.gz chmod chmod u+x file chmod 744 file 4000SUID 2000SGID 1000粘住位粘住位 0400所有者可讀所有者可讀 0200所有者可寫所有者可寫 0100所有者可執(zhí)行所有者可執(zhí)行 0040所在組可讀所在組可讀 0020所在組可寫所在組可寫 0010所在組可執(zhí)行所在組可執(zhí)行 0004其他用戶可讀其他用戶可讀 0002其他用戶可寫其他用戶可寫 0001其他用戶可執(zhí)行其他用戶可執(zhí)行 _ 07

22、44結(jié)果結(jié)果 文件權(quán)限文件權(quán)限 檢查重要目錄和文件的權(quán)限設(shè)置檢查重要目錄和文件的權(quán)限設(shè)置 ls l /etc/rc.d/init.d/ chmod -R 750 /etc/rc.d/init.d/* 查找系統(tǒng)中所有的查找系統(tǒng)中所有的 SUID和和 SGID 程序程序 UNIX/Linux通用安全加固方案通用安全加固方案 n帳號(hào)帳號(hào) n文件權(quán)限文件權(quán)限 服務(wù)服務(wù) n日志審計(jì)日志審計(jì) n系統(tǒng)狀態(tài)系統(tǒng)狀態(tài) 系統(tǒng)服務(wù)系統(tǒng)服務(wù) 守護(hù)進(jìn)程與服務(wù)的區(qū)別守護(hù)進(jìn)程與服務(wù)的區(qū)別 守護(hù)進(jìn)程 進(jìn)程的一種特殊狀態(tài) 不綁定至任何Terminal 父進(jìn)程是init 服務(wù) 相對(duì)守護(hù)進(jìn)程，“服務(wù)”的概念更為抽象 為用戶提供一種

23、功能的應(yīng)用 可能包含一個(gè)或多個(gè)守護(hù)進(jìn)程 例 服務(wù)名：SSH Server 進(jìn)程名：sshd 系統(tǒng)服務(wù)系統(tǒng)服務(wù) inetd 一些輕量級(jí)的服務(wù)，由inetd集中處理 已不能滿足現(xiàn)狀 # inetd.conf echo stream tcp6 nowait root internal echo dgram udp6 wait root internal daytime stream tcp6 nowait root internal daytime dgram udp6 wait root internal 系統(tǒng)服務(wù)系統(tǒng)服務(wù) 加固要點(diǎn)加固要點(diǎn) 服務(wù) 進(jìn)程 端口 ipfw TCPWrapper libwrap ; configure -with-libwrap=libwrap_path hosts.allow ; hosts.deny 停止不必要的inetd服務(wù) 停止不必要的服務(wù) /etc/rc3.d/S88xxx stop mv /etc/rc3.d/S88xxx /etc/rc3.d/K88xxx Snmp配置配置 Snmp安全配置安全配置 如果打