《等保體系建設(shè)》實(shí)驗(yàn)指導(dǎo)書（模板）

1、實(shí)驗(yàn)三等保體系建設(shè)一、實(shí)驗(yàn)?zāi)康?、掌握Windows系統(tǒng)平安加固方法。2、掌握Linux系統(tǒng)平安加固方法。二、實(shí)驗(yàn)環(huán)境Windows 系統(tǒng)(Windows Server 2008 R2)Linux 系統(tǒng)(CentOS )三、實(shí)驗(yàn)內(nèi)容及實(shí)驗(yàn)步驟1、Windows系統(tǒng)平安加固應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性，身份鑒別信息具有復(fù) 雜度要求并定期更換(1)設(shè)置密碼策略翻開本地平安策略。WIN+R翻開運(yùn)行窗口，輸入secpol.msc ,選擇帳戶策略-密 碼策略,配置推薦如下：策略推薦密碼必須符合復(fù)雜性要求已啟用最短密碼長度8個(gè)字符密碼最短使用期限2天密碼最長使用期限42天強(qiáng)制密碼歷

2、史5個(gè)記住的密碼用可還原的加密來儲(chǔ)存密碼已禁用禁用自動(dòng)登錄WIN+R翻開運(yùn)行窗口，輸入netplwiz,勾選要使用本計(jì)算機(jī)，用 戶必須輸入用戶名和密碼禁止空口令遠(yuǎn)程登錄 在本地平安策略中，選擇本地策略-平安選項(xiàng)，配置推 薦如下：策略推薦帳戶：使用空密碼的本地帳戶只允許進(jìn)行控制臺(tái)登錄已啟用應(yīng)具有登錄失敗處理功能，配置并啟用結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出等相關(guān)措施設(shè)置賬戶鎖定策略在本地平安策略中，選擇帳戶策略-帳戶鎖定策略，帳戶鎖定策略推薦配置如下：策略推薦帳戶鎖定時(shí)間30分鐘帳戶鎖定閾值5次無效登錄重置帳戶鎖定計(jì)數(shù)器 30分鐘之后設(shè)置遠(yuǎn)程登錄連接超時(shí)自動(dòng)退出翻開本地組策略編輯

3、器。WIN+R翻開運(yùn)行窗口，輸 入gpedit.msc選擇計(jì)算機(jī)配置-管理模板-Windows組件-遠(yuǎn)程桌面服務(wù)-會(huì)話時(shí) 間限制，即設(shè)置保持空閑狀態(tài)（無用戶輸入）的最長時(shí)間，配置推薦如下：策略推薦設(shè)置活動(dòng)但空閑的遠(yuǎn)程桌面服務(wù)會(huì)話的時(shí)間限制已啟用，其中空閑會(huì)話限制為10分鐘當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽禁用Telnet服務(wù)或刪除Telnet服務(wù)功能啟用遠(yuǎn)程桌面服務(wù)在控制面板-系統(tǒng)和維護(hù)-系統(tǒng)中，選擇高級(jí)系統(tǒng)設(shè)置打 開系統(tǒng)屬性對(duì)話框，選擇遠(yuǎn)程，配置為只允許運(yùn)行帶網(wǎng)絡(luò)級(jí)身份驗(yàn)證的.設(shè)置RDP屬性 在開始-管理工具-終端服務(wù)-終端服務(wù)配置中修改連接屬性， 平安層選

4、擇RDP平安層，禁止使用協(xié)商。詳情RDP連接降級(jí)攻擊以及規(guī)避方法解析。應(yīng)重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令重命名Administrator賬戶和禁用Guest賬戶 在本地平安策略中，選擇本地 策略-平安選項(xiàng)，配置推薦如下：策略推薦帳戶：來賓帳戶狀態(tài)已禁用帳戶：重命名管理員帳戶新的管理員名字應(yīng)及時(shí)刪除或停用多余的、過期的賬戶，防止共享賬戶的存在及時(shí)刪除或停用多余的、過期的賬戶。做到定期檢查賬戶列表不同用戶采用不同賬戶登錄系統(tǒng)應(yīng)進(jìn)行角色劃分，并授予管理用戶所需的小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限別離根據(jù)業(yè)務(wù)需求，設(shè)定不同的用戶和用戶組，例如管理員用戶、數(shù)據(jù)庫用戶，審 計(jì)用戶等應(yīng)對(duì)登錄的用戶分配賬

5、戶和權(quán)限從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī)只分配給Administrators組關(guān)閉系統(tǒng)只分配給Administrators組設(shè)置本地登錄賬戶設(shè)置網(wǎng)絡(luò)訪問賬戶取得文件或其它對(duì)象的所有權(quán)只分配給Administrators組管理審核和平安日志只分配給Administrators組、審計(jì)用戶應(yīng)啟用平安審計(jì)功能，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要平安 事件進(jìn)行審計(jì)設(shè)置審核策略在本地平安策略中，選擇本地策田”審核策略，酉覆審核策略，配置推 薦如下：審核策略推薦審核策略更改成功、失敗審核登錄事件成功、失敗審核對(duì)象訪問成功、失敗審核進(jìn)程跟蹤失敗審核目錄服務(wù)訪問 失敗審核特權(quán)使用成功、失敗審核系統(tǒng)事件成功、失敗審核

6、帳戶登錄事件成功、失敗審核帳戶管理成功、失敗應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，防止受到未預(yù)期的刪除、修改或覆蓋等設(shè)置日志大小和到達(dá)日志最大大小處理方法 根據(jù)磁盤大小設(shè)置日志大小， 推薦10M以上，并且選擇日志滿時(shí)將其存檔，不覆蓋事件應(yīng)遵循最小安裝的原那么，僅安裝需要的組件和應(yīng)用程序僅安裝需要的組件和應(yīng)用程序，刪除不需要的組件和應(yīng)用程序應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口關(guān)閉不需要的系統(tǒng)服務(wù)關(guān)閉默認(rèn)共享可以通過刪除默認(rèn)共享或直接關(guān)閉Server服務(wù)應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對(duì)通過網(wǎng)絡(luò)進(jìn)行管理的管理終端 進(jìn)行限制設(shè)置防火墻入站規(guī)那么（1）添加入站規(guī)那么在本地平安策略中，選擇高級(jí)平安防

7、火墻，添加入站規(guī)那么。默認(rèn)情況下，適用于所有的配置文件(域配置文件、專 用配置文件、公用配置文件)啟用防火墻需要在相應(yīng)的配置文件下啟用防火墻，并入站連接設(shè)置為阻止(2)設(shè)置IP平安策略應(yīng)能發(fā)現(xiàn)可能存在的漏洞，并在經(jīng)過充分測(cè)試評(píng)估后，及時(shí)修補(bǔ)漏洞安裝漏洞掃描工具，定期進(jìn)行漏洞掃描啟用系統(tǒng)更新設(shè)置系統(tǒng)更新方法為下載更新，但是讓我選擇是否安裝更新。在 生產(chǎn)系統(tǒng)匕防止使用自動(dòng)安裝更新，防止出現(xiàn)兼容性問題導(dǎo)致業(yè)務(wù)中斷。注意：在安 裝更新前，進(jìn)行兼容性測(cè)試。應(yīng)能夠檢測(cè)到對(duì)重要節(jié)點(diǎn)進(jìn)行入侵的行為，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警安裝主機(jī)入侵檢測(cè)軟件，適當(dāng)配置，并定期升級(jí)應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或采用可

8、信計(jì)算技術(shù)建立從系統(tǒng)到應(yīng) 用的信任鏈，實(shí)現(xiàn)系統(tǒng)運(yùn)行過程中重要程序或文件完整性檢測(cè)，并在檢測(cè)到破 壞后進(jìn)行恢復(fù)啟用Windows Defender。或安裝其他防病毒軟件，并定期更新病毒庫。應(yīng)限制單個(gè)用戶或進(jìn)程對(duì)系統(tǒng)資源的最大使用限度使用windows系統(tǒng)資源管理器或者使用第三方工具2、Linux系統(tǒng)平安加固應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性，身 份鑒別信息具有復(fù)雜度要求并定期更換(1)設(shè)置密碼復(fù)雜度 在/etc/pam.d/system-auth文件中，配置密 碼必須包含數(shù)字、大寫字符、小寫字符、特殊字符，最小長度為8, 對(duì)root用戶有效，配置如下：password requ

9、isitepam_pwquality.so dcredit=-1ucredit=-1 lcredit=-1 ocredit=-1 minlen=8 enforce_for_root各字段的含義如下字段 含義推薦值Dcredit數(shù)字 -1Ucredit大寫字母 -1 TOC o 1-5 h z HYPERLINK l bookmark22 o Current Document Lcredit小寫字母-1 HYPERLINK l bookmark24 o Current Document Ocredit特殊字符-1 HYPERLINK l bookmark26 o Current Document

10、 Minlen最短長度8設(shè)置密碼定期更換 在/ect/login.defs文件配置，PASS_MAX_DAYS 90 最長使用天數(shù)90天PASS_MIN_DAYS 2密碼修改最短天數(shù)2PASS_MIN_LEN8 密碼最短長度8PASS_WARN_AGE 7 過期前7天提醒應(yīng)具看登錄失血處理功能，配置并啟用結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出等相關(guān)措施設(shè)置賬戶鎖定策略 在/etc/pam.d/system-auth文件中， 使用pam_tally2.so或pam_tally.so模塊。如登錄失敗5次，鎖定1800秒authrequiredpam_tally2.so deny=5ul

11、ock_time= 1800字段含義Deny嘗試登錄失敗次數(shù)Unlock_time 解鎖時(shí)間（秒）Event_deny_root 限制 root 用戶Root_unlock_tinie root 用戶解鎖時(shí)間（秒）（2）設(shè)置遠(yuǎn)程登錄連接超時(shí)自動(dòng)退出編輯/etc/profile文件，設(shè)置TMOUT參數(shù)TMOUT=600當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸 過程中被竊聽使用SSH進(jìn)行遠(yuǎn)程管理應(yīng)及時(shí)刪除或停用多余的、過期的賬戶，防止共享賬戶的存在查看用戶列表rootlocalhost -# cat /etc/passwd root:x:0:0:root:/root:/bin/ba

12、shbin:x:l: 1 :bin:/bin:/sbin/nologindaemon :x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologinlp:x:4:7:lp:/var/spool/lpd:/sbin/ nologinsync:x:5:0:sync:/sbin:/bin/sync#shutdown :x:6:0: shutdown:/sbin:/sbin/shutdownshutdown: x: 6:0: shutdown: /sbin: /bin/bashhalt:x:7:0:halt:/sbin:/sb

13、in/haltmail:x:8:12:mail:/var/spool/mail:/sbin/nologinoperators: 11:0:operator:/root:/sbin/nologingames:x: 12:100:games:/usr/games:/sbin/nologinftp:x: 14:50:FTP User:/var/ftp:/sbin/nologinnobody: x:99:99: Nobody :/:/sbin/nologin systemd-network:x: 192:192:systemd Network Manag尤其需要注意用戶的shell,哪些用戶可以登錄、

14、哪些不可以登錄，禁止 默認(rèn)用戶登錄。我們?cè)谑褂觅~戶上，每一個(gè)用戶都有賬戶應(yīng)進(jìn)行角色劃分，并授予管理用戶所需的小權(quán)限，實(shí)現(xiàn)管理用戶 的權(quán)限別離進(jìn)行角色劃分，如系統(tǒng)管理員、數(shù)據(jù)庫管理員、審計(jì)管理員等。應(yīng)啟用平安審計(jì)功能，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要平安事件進(jìn)行審計(jì)啟用審計(jì)功能systemctl start rsyslog設(shè)置日志范圍開啟后，默認(rèn)記錄相關(guān)用戶登錄、系統(tǒng)事件等信 息，可以在/etc/rsyslog.conf確認(rèn)*.info;mail.none;authpriv.none;cron.none/var/log/messagesThe authpriv file has res

15、tricted access.authpriv.*/var/log/secureLog all the mail messages in one place.mail.*-/var/log/maillog審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息默認(rèn)符合應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，防止受到未預(yù)期的刪除、修 改或覆蓋等設(shè)置修改審計(jì)記錄文件的權(quán)限r(nóng)ootlocalhost # Is -al /var/log/audit/總用量4804drwx. 2 root root 23 4 月 30 23:13 .drwxr-xr-x. 7 root root 40

16、96 5 月 6 03:49 .rw. 1 root root 2845691 5 月 6 10:51 audit.logrootlocalhost # Is -al /var/log/ HYPERLINK l bookmark8 o Current Document -rw.-rwr-r-.-rw.-rw.1 root1 root1 root1 rootroot root root root05293168 50 51625 5月 月 月 月6 03:49 boot.log6 10:51 lastlog6 03:49 maillog6 10:51 secure-rw-rw1 root roo

17、t6428 5 月 6 10:51 messages應(yīng)遵循最小安裝的原那么，僅安裝需要的組件和應(yīng)用程序查看安裝的組件和應(yīng)用程序，關(guān)閉不需要的組件和應(yīng)用程序查 看安裝組件信息yum info installed應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口定期梳理系統(tǒng)服務(wù)，關(guān)閉不使用的系統(tǒng)服務(wù) 查看正在運(yùn)行的服務(wù)systemctl -a | grep running,關(guān)閉危險(xiǎn)的網(wǎng)絡(luò)服務(wù),如echo應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對(duì)通過網(wǎng)絡(luò)進(jìn)行管理的 管理終端進(jìn)行限制/etc/hosts.allow/etc/hosts.allow 中新增sshd:0/24sshd:*.*.*.*在/etc/hos

18、ts.deny 中新增sshd:ALL防火墻添加防火墻規(guī)那么firewall-cmd permanent zone=public add-rich-rule=rule family=ipv4 source address=*.*.*.*/24 port port=22 protocol=tcp acceptfirewall-cmd reload禁止root用戶遠(yuǎn)程管理在/etc/ssh/sshd_config設(shè)置PermitRootLogin no注意：在設(shè)置之前需要添加其他用戶到sudoers應(yīng)能發(fā)現(xiàn)可能存在的漏洞，并在經(jīng)過充分測(cè)試評(píng)估后，及時(shí)修補(bǔ)漏 洞定期進(jìn)行主機(jī)漏洞掃描，測(cè)試通過后，及時(shí)修補(bǔ)漏洞應(yīng)能夠檢測(cè)到對(duì)重要節(jié)點(diǎn)進(jìn)行入侵的行為，并在發(fā)生嚴(yán)重入侵事件 時(shí)提供報(bào)警安裝了主機(jī)入侵檢測(cè)系統(tǒng)，并進(jìn)行適當(dāng)?shù)呐渲?.特征庫進(jìn)行定期升級(jí) 3.嚴(yán)重入侵事件時(shí)提供報(bào)警, 應(yīng)采用免受惡意代碼攻擊的術(shù)措施或采用可信計(jì)算技術(shù)建立從 系統(tǒng)到應(yīng)用的信任鏈，實(shí)現(xiàn)系統(tǒng)運(yùn)行過程中重要程序或文件完整性 檢測(cè)，并在檢測(cè)到破壞后進(jìn)行恢復(fù)安裝防惡意代碼工具定期檢測(cè)文件是否受到破壞或未預(yù)期的修 改定期備份重要文件應(yīng)限制單個(gè)用戶或進(jìn)程對(duì)系統(tǒng)資源的最大使用限度在/etc/security/limits.conf中做關(guān)于用戶的限制。如限制testl用戶的最大使用內(nèi)存testlhard as 512