系统安全加固技术(精品).ppt

系统安全加固技术系统安全加固技术计算机系蔡灿民v系统的安全加固安全加固：通过配置目录权限，系统安全策略，协议栈加强，系统服务和访问控制加固您的系统，整体提高服务器的安全性。WINDOWS篇-补丁检查及安装v补丁安装的原则：新安装或者重新安装Windows操作系统，必须安装最新的ServicePack补丁集（以下示例若无特别说明，均是以Windows2003操作系统为例。截止到2009年4月Windows2003最新补丁集为SP2，WindowsXP最新补丁集为SP3，WindowsVista最新补丁集为SP1）。必须及时安装与安全相关的Hotfixes补丁。WINDOWS篇-补丁检查及安装更新补丁前，要求先在测试系统上对补丁进行可用性和兼容性验证。最新的安全补丁发布与升级步骤，请参照微软网站的公告，具体网址链接为：http:/ 0 个密码记住 5个密码密码最长期限42 天90 天密码最短期限0 天0 天最短密码长度0 个字符8 个字符密码必须符合复杂性要求禁用启用为域中所有用户使用可还原的加密来储存密码禁用禁用“密码策略”的设置步骤v落不明进入“控制面板/管理工具/本地安全策略”，在“帐户策略密码策略”。WINDOWS篇-密码复杂性配置要求v在“密码策略”中启用“密码必须符合复杂性要求”选项后，系统将强制要求密码的设置具备一定的强壮度，要求密码密码必须符合下列最低要求:v不能包含用户的账户名，不能包含用户姓名中超过两个连续字符的部分v至少有六个字符长v包含以下四类字符中的三类字符:v英文大写字母(A到Z)v英文小写字母(a到z)v10个基本数字(0到9)v非字母数字字符(例如!、$、#、%)WINDOWS篇-账号安全控制要求v“帐户锁定策略”配置要求v有效的账号锁定策略有助于防止针对账号的暴力破解。策略策略默默认设置置安全安全设置置帐户锁定时间未定义20 分钟帐户锁定阈值0次无效登录5 次无效登录复位帐户锁定计数器未定义20 分钟之后v账号锁定配置具体操作：进入“控制面板/管理工具/本地安全策略”，在“帐户策略帐户锁定策略”。系统内置账号管理要求vWindows系统中内置账号，包括Administrator和guest。对于管理员账号，要求更改缺省帐户名称（如图所示），对隶属于Administrators组的账号要严格监控；要求禁用guest（来宾）账号，以防止攻击者通过利用已知的用户名破坏远程服务器。其它账号管理要求v临时的测试帐户和过期的无用帐户应该在3个工作日内及时删除。v注：测试帐户和无用帐户不是系统默认安装时生成的，是系统操作过程中人为新增的帐户，从系统安全加固的角度来看，此类帐户应该及时删除。WINDOWS篇-文件系统、注册表权限控制标准v目录保护配置要求v文件保护配置要求v注册表保护配置要求WINDOWS篇-目录保护配置要求v要求按照下表内容对受保护的目录权限进行设置。对于多个帐户使用一台主机，要求根据具体情况对重要的文件目录进行账户权限的设置。v注：其中%SystemRoot%定义了Windows系统文件所在的路径和文件夹名，%SystemDrive%定义了包含%systemroot%的驱动器。保保护的目的目录基准基准权限限%systemdrive%Administrators：完全控制System：完全控制Authenticated Users：读取和执行、列出文件夹内容、读取%SystemRoot%Repair%SystemRoot%Security%SystemRoot%Temp%SystemRoot%system32Config%SystemRoot%system32LogfilesAdministrators：完全控制Creator/Owner：完全控制System：完全控制%systemdrive%InetpubAdministrators：完全控制System：完全控制Everyone：读取和执行、列出文件夹内容、读取文件保护配置要求文件保护配置要求v对系统的敏感文件的权限进行修改，以避免文件被恶意用户读取或执行。文件文件基准基准权限限%SystemDrive%Boot.iniAdministrators：完全控制System：完全控制%SystemDrive%NAdministrators：完全控制System：完全控制%SystemDrive%NtldrAdministrators：完全控制System：完全控制%SystemDrive%Io.sysAdministrators：完全控制System：完全控制%SystemDrive%Autoexec.batAdministrators：完全控制System：完全控制Authenticated Users：读取和执行、列出文件夹内容、读取%SystemRoot%system32 Administrators：完全控制注册表保护配置要求注册表保护配置要求v建议将以下注册表键值的权限配置为：Administrators和system完全控制，everyone只读。在配置前，必须首先测试注册表键值权限更改对服务器应用可能产生的影响。vHKEY_LOCAL_MACHINESoftwareClassesregfileshellopencommandvHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogonvHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionPerflibvHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurePipeServerswinregvHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsavHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunvHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOncevHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceExWINDOWS篇-网络与服务配置标准网络协议安装要求网络协议安装要求v要求只运行安装TCP/IP网络协议，不允许安装IPX，AppleTalk等其他的网络协议。如果存在其他协议，在本地连接属性里，将其他协议卸载或者不选择。v注：如要安装其它协议再添加。服务管理配置标准vWindows缺省安装会创建很多默认服务，并配置为在系统启动时运行。实际运行环境中并不需要运行所有服务，而任何多余的服务都存在受攻击的风险，因此要求禁用不必要的服务。v建议禁用下列的不必要服务：服服务服服务功能功能实现Alerter通知所选用户和计算机有关系统管理级警报Indexing Service负责索引磁盘上的文档和文档属性,并且在一个目录中保存信息,使得你在以后可以搜索ClipBookClipBook支持ClipBook Viewer程序,该程序可以允许剪贴页被远程计算机上的ClipBook浏览.可以使得用户能够通过网络连接来剪切和粘贴文本和图形DHCP client通过注册和更新IP地址和DNS域名来管理网络配置DNS Server负责解答DNS域名查询Fax负责管理传真的发送和接收Messenger主机间发消息的程序，有漏洞建议关闭File Replication主机间文件复制的支持程序，不需要Help and Support Windows 系统的帮助服务TCP/IP NETBIOS Helper该服务允许在TCP/IP网络上进行NETBIOS通信NetMeeting Remote Desktop Sharing允许授权用户通过使用NetMeeting来远程访问你的Windows桌面Remote Registry使得经过授权的管理员能够对位于远程主机上的注册表项目进行操作,对于一些功能,例如远程性能监视,是需要Remote RegistryInternet Connection Sharing将某计算机的Internet联机与其他一些计算机进行共享Simple TCP/IP这个服务是作为基本的TCP/IP服务而运行,打开了TCP端口7,9,13,17,19 Telephony提供电话和基于IP地语音连接.Trivial FTP DaemonTftp不经验证简单ftp服务Telnet远程登录必须禁止Terminal Services如果不需要远程桌面服务，必须禁止License Logging 认证服务相关，一般不需要Print spooler如果不需要打印文档，必须关闭Wireless Configuration一般服务器不需要无线设置Net Logon域账号登录用，如果没有域，必须关闭v下列服务是可能用到的服务，应根据具体运行环境确认是否需要开启这些服务：vSMTP服务vFTP服务vIISadmin服务vWEB服务器的管理服务，一般服务器上不必启用。vWWW服务vSNMP服务vSNMP，是网络管理协议，在不需要通过SNMP进行网管的情况下，可禁用该服务。vTerminal远程桌面服务v如果启用了远程桌面管理服务，要求做以下安全配置。1、通过外部防火墙软件限制对3389端口的访问，只允许一定范围内的IP访问此机器的3389端口；2、限制或者指定通过远程桌面可以登录的用户名称，限制通过远程桌面可以登录的用户名称WINDOWS篇-安全选项配置标准v具体设置方法为：“控制面板/管理工具/本地安全策略”，在“本地策略安全选项”中安全安全选项注注释安全安全设置置LAN Manager身份验证级别确定网络登录时将使用哪个质询/响应身份验证协议。该选项会影响客户端使用的身份验证协议的级别、协商的会话安全级别，以及服务器所接受的身份验证级别。发送LM&NTLM响应，如果已协商，使用NTLMv2安全会话不允许SAM帐户和共享的匿名枚举确定匿名连接到计算机应具有的其他权限。已启用如果无法记录安全审计则立即关闭系统确定当系统无法记录安全事件时是否关闭系统。已禁用不显示上次的用户名确定是否将上次登录到计算机的用户名显示在 Windows 登录画面中。已启用在关机时清理虚拟内存页面文件确定在关闭系统时是否清除虚拟内存页面文件。已启用在密码到期前提示用户更改密码确定提前多长时间（单位为天）警告用户其密码将过期。通过这种提前警告，用户可以有时间创建具有足够安全性的密码。14天WINDOWS篇-日志与审计配置标准v“审核策略”配置要求审核策略核策略默默认配置配置安全安全设置置审核策略更改无审核成功，失败审核登录事件成功成功，失败审核对象访问无审核失败审核过程追踪无审核无审核审核目录服务访问无审核失败审核特权使用无审核失败审核系统事件无审核成功，失败审核帐户登录事件成功成功，失败审核帐户管理无审核成功，失败v审核策略配置方法：v通过“控制面板/管理工具/本地安全策略”，在“本地策略审核策略”v注意：对日志文件最好要用第三方软件定期做备份工作，维护周期以本地日志量大小和增加速度为参考。v日志属性配置要求v调整Windows系统的各种日志属性，并对系统日志进行定期备份：日志日志类别安全安全设置置应用程序日志大小10240K当达到最大日志大小时不改写事件（手动清除日志）安全性日志大小10240K当达到最大日志大小时不改写事件（手动清除日志）系统日志大小10240K当达到最大日志大小时不改写事件（手动清除日志）WINDOWS篇-其它安全配置参考使用使用NTFS文件系统文件系统vNTFS文件系统比FAT和FAT32更强壮稳定，要求所有磁盘卷都使用NTFS文件系统。共享管理共享管理v要求停用所有不必要的文件共享，特别注意系统默认启用的隐含系统共享，如C$、D$、IPC$等。v关闭默认共享的方法有两种：在服务配置中禁用Server服务；通过注册表关闭默认共享：通过注册表关闭默认共享：v关闭C$、D$：在REGEDITHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters建立一个DWORD键，值为0；windows2003存在四个版本：标准版、企业版、数据中心版、Web版。如果安装的是标准版，键名为AutoShareWks；如果不是标准版，则DWORD键名为AutoShareServer。v关闭IPC$默认共享：在REGEDITHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa，将键名为restrictanonymous的值改为1。启用屏幕保护启用屏幕保护v要求设置带密码的屏幕保护，并将时间设定为不大于5分钟，使得系统在无人操作5分钟后自动启用屏幕保护，再次进入系统需要认证。禁止自动播放禁止自动播放v要求禁止自动播放的目的是防止U盘病毒等通过自动加载功能进行传播。设置方法为：在命令行运行gpedit.msc，进入组策略管理器，在计算机配置管理模板系统，找到右边的“关闭自动播放”，将此条目设置为启用。系统启动自动加载项系统启动自动加载项v使用C:WINDOWSPCHEALTHHELPCTRBinaries目录下的msconfig.exe软件检查系统启动加载项，将不必要的加载项清除。建议：首先确定每个加载项内容的用途，对于不需要自动启动的应用项目予以清除。附件一：可选安全工具v下表是微软系统的可选安全工具，供参考：工具名称工具名称发布厂商布厂商描述描述相关信息相关信息MBSA微软Windows系统安全基准评估工具工具下载地址：http:/ Reporter微软以服务方式运行在Windows平台上，可记录网络活动工具下载地址：http:/ Software Removal Tool微软恶意代码清除工具工具下载地址：http:/ /var/adm/errorlog*.alert /var/adm/alertlog*.cri /var/adm/critlogauth,authpriv.info /var/adm/authlogSyslog的配置文件/etc/rc.config.d/syslogdSYSLOGD_OPTS=“-DN”Syslogd不接收远程主机的日志v如果有条件的话将日志输出至专用日志服务器，或者至少输出至本地文件中。Linux篇-选装安全工具vTCPWrapper：该软件为大多数网络服务提供访问控制与日志记录的功能。相关信息ftp:/ftp.porcupine.org/pub/security/vTripwire：该工具为关键文件创建检验值数据库，当这些关键文件发生变化时，给root以提示信息。相关信息ftp:/coast.cs.purdue.edu/pub/tools/unix/ids/tripwire/vLsof：该工具报告进程打开的文件、进程侦听的端口等信息。相关信息ftp:/coast.cs.purdue.edu/pub/tools/unix/sysutils/lsof/vSSH：该工具为主机间远程通讯提供加密通道。用来代替rsh、rlogin、telnet等远程登录工具。相关信息http:/