某安全安全加固培訓(xùn)材料課件

中國移動安全安全加固培訓(xùn)材料2022/12/20中國移動安全安全加固培訓(xùn)材料中國移動安全安全加固培訓(xùn)材料2022/12/17中國移動安全1培訓(xùn)要求：該課程主要介紹系統(tǒng)通用的安全加固方案和方法培訓(xùn)對象：面向安全管理人員、安全技術(shù)人員、系統(tǒng)維護人員、共3類人員培訓(xùn)時間：1小時左右培訓(xùn)側(cè)重點：本教材側(cè)重點為安全技術(shù)人員和系統(tǒng)維護人員中國移動安全安全加固培訓(xùn)材料培訓(xùn)要求：中國移動安全安全加固培訓(xùn)材料2目錄理解安全加固Windows安全加固UNIX/Linux安全加固中國移動安全安全加固培訓(xùn)材料目錄理解安全加固中國移動安全安全加固培訓(xùn)材料3一、安全加固的概念風(fēng)險、脆弱性如何定義“安全”？硬件+軟件=預(yù)期的結(jié)果硬件+軟件≠預(yù)期的結(jié)果如何定義更全面的“安全”？人+硬件+軟件=預(yù)期的結(jié)果人+硬件+軟件≠預(yù)期的結(jié)果中國移動安全安全加固培訓(xùn)材料一、安全加固的概念風(fēng)險、脆弱性中國移動安全安全加固培訓(xùn)材料4二、安全加固的目標目標我們的目標是降低風(fēng)險中國移動安全安全加固培訓(xùn)材料二、安全加固的目標目標中國移動安全安全加固培訓(xùn)材料5三、安全加固對象對象所有可能產(chǎn)生脆弱性的東西中國移動安全安全加固培訓(xùn)材料三、安全加固對象對象中國移動安全安全加固培訓(xùn)材料6四、安全加固的原則加固原則風(fēng)險最大化不要忽視掃描報告和檢查結(jié)果中的任何一個細節(jié)，將任何潛在隱患以最大化的方式展現(xiàn)威脅最小化威脅難以被徹底消除，因為它是動態(tài)的，我們只能將其降低至可接受的程度中國移動安全安全加固培訓(xùn)材料四、安全加固的原則加固原則中國移動安全安全加固培訓(xùn)材料7五、安全加固的流程一般流程確認加固的要求（安全基線）安全檢查（手工檢查或者基線設(shè)備檢查）加固前的交流（和業(yè)務(wù)負責(zé)人交流）加固實施過程（重要系統(tǒng)需要先在備機上測試）加固完成及成果輸出（方便發(fā)生問題時回退）中國移動安全安全加固培訓(xùn)材料五、安全加固的流程一般流程中國移動安全安全加固培訓(xùn)材料8目錄理解安全加固Windows安全加固UNIX/Linux安全加固中國移動安全安全加固培訓(xùn)材料目錄理解安全加固中國移動安全安全加固培訓(xùn)材料9Windows通用安全加固方案補丁及防護軟件系統(tǒng)服務(wù)安全策略日志與審核策略用戶與文件系統(tǒng)安全增強中國移動安全安全加固培訓(xùn)材料Windows通用安全加固方案補丁及防護軟件中國移動安全安全10補丁檢查系統(tǒng)補丁安裝情況命令行執(zhí)行systeminfo,查看系統(tǒng)已經(jīng)安裝的補丁列表

補丁更新手動安裝：使用IE訪問，按提示安裝必要的activeX控件后，按提示安裝補丁開始–控制面板–自動更新，在自動更新面板中選中自動（建議）(U)，然后根據(jù)個人需求設(shè)置升級時間中國移動安全安全加固培訓(xùn)材料補丁檢查系統(tǒng)補丁安裝情況中國移動安全安全加固培訓(xùn)材料11防護軟件安裝殺毒軟件并保持病毒庫更新

防火墻對于防火墻軟件，建議屏蔽以下端口：TCP135TCP139TCP445中國移動安全安全加固培訓(xùn)材料防護軟件安裝殺毒軟件并保持病毒庫更新中國移動安全安全加固培訓(xùn)12Windows通用安全加固方案補丁及防護軟件系統(tǒng)服務(wù)安全策略日志與審核策略用戶與文件系統(tǒng)安全增強中國移動安全安全加固培訓(xùn)材料Windows通用安全加固方案補丁及防護軟件中國移動安全安全13系統(tǒng)服務(wù)查看系統(tǒng)服務(wù)執(zhí)行services.msc,檢查啟動類型為自動的服務(wù)關(guān)閉非必需的服務(wù)建議關(guān)閉一下服務(wù)：TaskScheduler/RemoteRegistry/SNMPService/PrintSpooler/Telnet/ComputerBrowser/Messenger/Alerter/DHCPClient關(guān)閉方法：雙擊需要關(guān)閉的服務(wù)，將啟動類型設(shè)置為禁用，點擊停止按鈕以停止當前正在運行的服務(wù)中國移動安全安全加固培訓(xùn)材料系統(tǒng)服務(wù)查看系統(tǒng)服務(wù)中國移動安全安全加固培訓(xùn)材料14SNMP服務(wù)修改SNMP的字符串為什么要修改SNMP的字符串？它會泄露什么？通過SNMP服務(wù)，遠程惡意用戶可以列舉本地的帳號、帳號組、運行的進程、安裝的補丁和軟件等敏感信息，禁用或修改SNMP配置可以有效防止遠程惡意用戶的這類行為。攻擊工具:snmputilwalk0public.1.3.6......中國移動安全安全加固培訓(xùn)材料SNMP服務(wù)修改SNMP的字符串中國移動安全安全加固培訓(xùn)材料15服務(wù)與進程SNMPService服務(wù)加固方法：為修改SNMP團體名限制遠程主機對SNMP的訪問中國移動安全安全加固培訓(xùn)材料服務(wù)與進程SNMPService服務(wù)加固方法：中國移動安全16關(guān)閉自動播放功能關(guān)閉所有驅(qū)動器的自動播放功能點擊開始→運行→輸入gpedit.msc，打開組策略編輯器，瀏覽到計算機配置→管理模板→系統(tǒng)，在右邊窗格中雙擊“關(guān)閉自動播放”，對話框中選擇所有驅(qū)動器，確定即可。

中國移動安全安全加固培訓(xùn)材料關(guān)閉自動播放功能關(guān)閉所有驅(qū)動器的自動播放功能中國移動安全安全17Windows通用安全加固方案補丁及防護軟件系統(tǒng)服務(wù)安全策略日志與審核策略用戶與文件系統(tǒng)安全增強中國移動安全安全加固培訓(xùn)材料Windows通用安全加固方案補丁及防護軟件中國移動安全安全18密碼策略密碼策略長度7≤Windows2000≤12714≥Windows9X≈0期限定期修改密碼復(fù)雜性Pyth0n&^!@大小寫數(shù)字特殊字符中國移動安全安全加固培訓(xùn)材料密碼策略密碼策略大小寫數(shù)字特殊字符中國移動安全安全加固培訓(xùn)材19密碼策略加固要點密碼策略:開始→運行→gpedit.msc計算機配置→Windows設(shè)置→安全設(shè)置→帳戶策略→帳戶鎖定策略->密碼策略”：帳戶鎖定策略中國移動安全安全加固培訓(xùn)材料密碼策略加固要點中國移動安全安全加固培訓(xùn)材料20用戶權(quán)利指派檢查用戶權(quán)限策略是否設(shè)置：

開始→運行→gpedit.msc計算機配置→Windows設(shè)置→安全設(shè)置→本地策略→用戶權(quán)利指派中國移動安全安全加固培訓(xùn)材料用戶權(quán)利指派檢查用戶權(quán)限策略是否設(shè)置：中國移動安全安全加固21本地安全策略配置檢查本地安全策略配置：

開始→運行→gpedit.msc計算機配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項中國移動安全安全加固培訓(xùn)材料本地安全策略配置檢查本地安全策略配置：中國移動安全安全加固22Windows通用安全加固方案補丁及防護軟件系統(tǒng)服務(wù)安全策略日志與審核策略用戶與文件系統(tǒng)安全增強中國移動安全安全加固培訓(xùn)材料Windows通用安全加固方案補丁及防護軟件中國移動安全安全23日志和審核策略審核了解Windows審核策略審核策略并不完整很多審核內(nèi)容默認未開啟只有在NTFS磁盤上才能開啟對象訪問審核,日志量較大步驟打開審核策略編輯審核對象的審核項中國移動安全安全加固培訓(xùn)材料日志和審核策略審核中國移動安全安全加固培訓(xùn)材料24日志和審核策略審核打開審核策略要做什么審核？要審核什么？位置：gpedit.msc–計算機配置–Windows設(shè)置–安全設(shè)置–審核設(shè)置中國移動安全安全加固培訓(xùn)材料日志和審核策略審核中國移動安全安全加固培訓(xùn)材料25日志和審核策略審核查看審核日志eventvwr（事件查看器）中國移動安全安全加固培訓(xùn)材料日志和審核策略審核中國移動安全安全加固培訓(xùn)材料26Windows通用安全加固方案補丁及防護軟件系統(tǒng)服務(wù)安全策略日志與審核策略用戶與文件系統(tǒng)安全增強中國移動安全安全加固培訓(xùn)材料Windows通用安全加固方案補丁及防護軟件中國移動安全安全27文件系統(tǒng)Windows文件系統(tǒng)FATFAT16FAT32NTFS將FAT卷轉(zhuǎn)換成NTFSconvertC:/FS:NTFS中國移動安全安全加固培訓(xùn)材料文件系統(tǒng)Windows文件系統(tǒng)中國移動安全安全加固培訓(xùn)材料28用戶用戶和組特殊的組Administrators、Guests、PowerUsers……

可通過netlocalgroup命令打印特殊的用戶Administrator、Guest可通過netuser命令打印隱藏帳號netuserhide$password/add中國移動安全安全加固培訓(xùn)材料用戶用戶和組中國移動安全安全加固培訓(xùn)材料29用戶加固要點檢查用戶克隆隱藏清除用戶未使用的未知的鎖定用戶GuestSUPPORT_XXXXX中國移動安全安全加固培訓(xùn)材料用戶加固要點中國移動安全安全加固培訓(xùn)材料30設(shè)置重要文件權(quán)限權(quán)限前提（關(guān)鍵字）NTFSAdministrators中國移動安全安全加固培訓(xùn)材料設(shè)置重要文件權(quán)限權(quán)限中國移動安全安全加固培訓(xùn)材料31設(shè)置重要文件權(quán)限權(quán)限ACL（訪問控制列表）包含了用戶帳戶和訪問對象之間許可關(guān)系由四個權(quán)限項組成的權(quán)限項集（即，ACL）中國移動安全安全加固培訓(xùn)材料設(shè)置重要文件權(quán)限權(quán)限由四個權(quán)限項組成的權(quán)限項集（即，ACL）32設(shè)置重要文件權(quán)限權(quán)限ACE（訪問控制項）ACL中包含ACE訪問控制條目中國移動安全安全加固培訓(xùn)材料設(shè)置重要文件權(quán)限權(quán)限中國移動安全安全加固培訓(xùn)材料33設(shè)置重要文件權(quán)限加密和壓縮中國移動安全安全加固培訓(xùn)材料設(shè)置重要文件權(quán)限加密和壓縮中國移動安全安全加固培訓(xùn)材料34設(shè)置重要文件權(quán)限審核編輯審核對象的審核項中國移動安全安全加固培訓(xùn)材料設(shè)置重要文件權(quán)限審核中國移動安全安全加固培訓(xùn)材料35設(shè)置重要文件權(quán)限加固要點目錄及文件的權(quán)限查找具有everyone的權(quán)限項重要對象的審核策略@echooffdir/s/b>>all.txtfor/f%%iin(all.txt)docacls%%i|find"Everyone"中國移動安全安全加固培訓(xùn)材料設(shè)置重要文件權(quán)限加固要點@echooff中國移動安全安全加36Windows通用安全加固方案補丁及防護軟件系統(tǒng)服務(wù)安全策略日志與審核策略用戶與文件系統(tǒng)安全增強中國移動安全安全加固培訓(xùn)材料Windows通用安全加固方案補丁及防護軟件中國移動安全安全37安全增強刪除匿名用戶空連接注冊表如下鍵值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa將restrictanonymous的值設(shè)置為1，若該值不存在，可以自己創(chuàng)建，類型為REG_DWORD，修改完成后重新啟動系統(tǒng)生效刪除默認共享注冊表如下鍵值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters將Autoshareserver設(shè)置為0，若不存在，可創(chuàng)建，類型為REG_DWORD修改完成后重新啟動系統(tǒng)生效

中國移動安全安全加固培訓(xùn)材料安全增強刪除匿名用戶空連接中國移動安全安全加固培訓(xùn)材料38目錄理解安全加固Windows安全加固UNIX/Linux安全加固中國移動安全安全加固培訓(xùn)材料目錄理解安全加固中國移動安全安全加固培訓(xùn)材料39UNIX/Linux通用安全加固方案帳號文件權(quán)限服務(wù)日志審計系統(tǒng)狀態(tài)中國移動安全安全加固培訓(xùn)材料UNIX/Linux通用安全加固方案帳號中國移動安全安全加固40帳號安全帳號/etc/login.defs，檢查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE檢查是否存在除root外UID=0的用戶檢查是否存在弱口令鎖定不使用的帳戶(passwd–lusername)檢查root用戶環(huán)境變量設(shè)置帳號超時注銷(vi/etc/profile增加TMOUT=600)

中國移動安全安全加固培訓(xùn)材料帳號安全帳號中國移動安全安全加固培訓(xùn)材料41帳號安全限制root遠程登錄/etc/ssh/sshd_config:PermitRootLoginno/etc/securetty文件中配置：CONSOLE=/dev/tty01中國移動安全安全加固培訓(xùn)材料帳號安全限制root遠程登錄中國移動安全安全加固培訓(xùn)材料42UNIX/Linux通用安全加固方案帳號文件權(quán)限服務(wù)日志審計系統(tǒng)狀態(tài)中國移動安全安全加固培訓(xùn)材料UNIX/Linux通用安全加固方案帳號中國移動安全安全加固43umask檢查是否包含umask值more/etc/profilemore/etc/csh.loginmore/etc/csh.cshrcmore/etc/bashrc

中國移動安全安全加固培訓(xùn)材料umask檢查是否包含umask值中國移動安全安全加固培44umaskumask[root@RHEL5home]#umask0022[root@RHEL5home]#touchfile1[root@RHEL5home]#ls-lfile1-rw-r--r--1rootroot0Jul2607:17file1(644)[root@RHEL5home]#umask0066[root@RHEL5home]#touchfile2[root@RHEL5home]#ls-lfile2-rw-------1rootroot0Jul2607:18file2(600)[root@RHEL5home]#umask0[root@RHEL5home]#umask0000[root@RHEL5home]#touchfile3[root@RHEL5home]#ls-lfile3-rw-rw-rw-1rootroot0Jul2607:25file3(666)中國移動安全安全加固培訓(xùn)材料umaskumask中國移動安全安全加固培訓(xùn)材料45文件權(quán)限文件權(quán)限ls–l[root@RHEL5home]#ls-ltotal44drwxr-xr-x2rootroot4096Jul2605:24apue-rw-r--r--1rootroot16069Jun3009:17cpro.tar.gzchmodchmodu+xfilechmod744file4000 SUID2000 SGID1000 粘住位0400 所有者可讀0200 所有者可寫0100 所有者可執(zhí)行0040 所在組可讀0020 所在組可寫0010 所在組可執(zhí)行0004 其他用戶可讀0002 其他用戶可寫0001 其他用戶可執(zhí)行______________________0744 結(jié)果中國移動安全安全加固培訓(xùn)材料文件權(quán)限文件權(quán)限4000 SUID中國移動安全安全加固培訓(xùn)材46文件權(quán)限檢查重要目錄和文件的權(quán)限設(shè)置ls–l/etc/rc.d/init.d/chmod-R750/etc/rc.d/init.d/*

查找系統(tǒng)中所有的SUID和SGID程序中國移動安全安全加固培訓(xùn)材料文件權(quán)限檢查重要目錄和文件的權(quán)限設(shè)置中國移動安全安全加固培訓(xùn)47UNIX/Linux通用安全加固方案帳號文件權(quán)限服務(wù)日志審計系統(tǒng)狀態(tài)中國移動安全安全加固培訓(xùn)材料UNIX/Linux通用安全加固方案帳號中國移動安全安全加固48系統(tǒng)服務(wù)守護進程與服務(wù)的區(qū)別守護進程進程的一種特殊狀態(tài)不綁定至任何Terminal父進程是init服務(wù)相對守護進程，“服務(wù)”的概念更為抽象為用戶提供一種功能的應(yīng)用可能包含一個或多個守護進程例服務(wù)名：SSHServer進程名：sshd中國移動安全安全加固培訓(xùn)材料系統(tǒng)服務(wù)守護進程與服務(wù)的區(qū)別中國移動安全安全加固培訓(xùn)材料49系統(tǒng)服務(wù)inetd一些輕量級的服務(wù)，由inetd集中處理已不能滿足現(xiàn)狀#inetd.confechostreamtcp6nowaitrootinternalechodgramudp6waitrootinternaldaytimestreamtcp6nowaitrootinternaldaytimedgramudp6waitrootinternal

…………

…………中國移動安全安全加固培訓(xùn)材料系統(tǒng)服務(wù)inetd中國移動安全安全加固培訓(xùn)材料50系統(tǒng)服務(wù)加固要點服務(wù)→進程→端口ipfwTCPWrapperlibwrap;configure--with-libwrap=libwrap_pathhosts.allow;hosts.deny停止不必要的inetd服務(wù)停止不必要的服務(wù)/etc/rc3.d/S88xxxstopmv/etc/rc3.d/S88xxx/etc/rc3.d/K88xxx中國移動安全安全加固培訓(xùn)材料系統(tǒng)服務(wù)加固要點中國移動安全安全加固培訓(xùn)材料51Snmp配置Snmp安全配置如果打開了SNMP協(xié)議，snmp團體字設(shè)置不能使用默認的團體字。查看配置文件/etc/snmp/snmpd.conf，應(yīng)禁止使用public、private默認團體字，使用用戶自定義的團體字。例如將以下設(shè)置中的public替換為用戶自定義的團體字：com2secnotConfigUserdefaultpublic如無必要，管理員應(yīng)禁止使用snmp服務(wù)中國移動安全安全加固培訓(xùn)材料Snmp配置Snmp安全配置中國移動安全安全加固培訓(xùn)材料52Openssh配置檢查系統(tǒng)openssh安全配置，禁止使用協(xié)議1和使用root直接登錄編輯sshd_config文件，設(shè)置：Protocol2StrictModesyesPermitRootLoginnoPrintLastLogyesPermitEmptyPasswordsno中國移動安全安全加固培訓(xùn)材料Openssh配置檢查系統(tǒng)openssh安全配置，禁止使用協(xié)53UNIX/Linux通用安全加固方案帳號文件權(quán)限服務(wù)日志審計系統(tǒng)狀態(tài)中國移動安全安全加固培訓(xùn)材料UNIX/Linux通用安全加固方案帳號中國移動安全安全加固54啟用syslog記錄所有日志配置文件：/etc/syslog.conf#vi/etc/syslog.confauthpriv.*/var/log/secure中國移動安全安全加固培訓(xùn)材料啟用syslog記錄所有日志中國移動安全安全加固培訓(xùn)材料55UNIX/Linux通用安全加固方案帳號文件權(quán)限服務(wù)日志審計系統(tǒng)狀態(tài)中國移動安全安全加固培訓(xùn)材料UNIX/Linux通用安全加固方案帳號中國移動安全安全加固56系統(tǒng)狀態(tài)內(nèi)核版本執(zhí)行命令uname-a發(fā)行版cat/proc/version系統(tǒng)coredump狀態(tài)執(zhí)行：more/etc/security/limits.conf磁盤分區(qū)剩余空間#df–kGrub密碼cat/etc/grub.conf|greppassword中國移動安全安全加固培訓(xùn)材料系統(tǒng)狀態(tài)內(nèi)核版本中國移動安全安全加固培訓(xùn)材料57演講完畢，謝謝聽講!再見，seeyouagain2022/12/20中國移動安全安全加固培訓(xùn)材料演講完畢，謝謝聽講!再見，seeyouagain202258中國移動安全安全加固培訓(xùn)材料2022/12/20中國移動安全安全加固培訓(xùn)材料中國移動安全安全加固培訓(xùn)材料2022/12/17中國移動安全59培訓(xùn)要求：該課程主要介紹系統(tǒng)通用的安全加固方案和方法培訓(xùn)對象：面向安全管理人員、安全技術(shù)人員、系統(tǒng)維護人員、共3類人員培訓(xùn)時間：1小時左右培訓(xùn)側(cè)重點：本教材側(cè)重點為安全技術(shù)人員和系統(tǒng)維護人員中國移動安全安全加固培訓(xùn)材料培訓(xùn)要求：中國移動安全安全加固培訓(xùn)材料60目錄理解安全加固Windows安全加固UNIX/Linux安全加固中國移動安全安全加固培訓(xùn)材料目錄理解安全加固中國移動安全安全加固培訓(xùn)材料61一、安全加固的概念風(fēng)險、脆弱性如何定義“安全”？硬件+軟件=預(yù)期的結(jié)果硬件+軟件≠預(yù)期的結(jié)果如何定義更全面的“安全”？人+硬件+軟件=預(yù)期的結(jié)果人+硬件+軟件≠預(yù)期的結(jié)果中國移動安全安全加固培訓(xùn)材料一、安全加固的概念風(fēng)險、脆弱性中國移動安全安全加固培訓(xùn)材料62二、安全加固的目標目標我們的目標是降低風(fēng)險中國移動安全安全加固培訓(xùn)材料二、安全加固的目標目標中國移動安全安全加固培訓(xùn)材料63三、安全加固對象對象所有可能產(chǎn)生脆弱性的東西中國移動安全安全加固培訓(xùn)材料三、安全加固對象對象中國移動安全安全加固培訓(xùn)材料64四、安全加固的原則加固原則風(fēng)險最大化不要忽視掃描報告和檢查結(jié)果中的任何一個細節(jié)，將任何潛在隱患以最大化的方式展現(xiàn)威脅最小化威脅難以被徹底消除，因為它是動態(tài)的，我們只能將其降低至可接受的程度中國移動安全安全加固培訓(xùn)材料四、安全加固的原則加固原則中國移動安全安全加固培訓(xùn)材料65五、安全加固的流程一般流程確認加固的要求（安全基線）安全檢查（手工檢查或者基線設(shè)備檢查）加固前的交流（和業(yè)務(wù)負責(zé)人交流）加固實施過程（重要系統(tǒng)需要先在備機上測試）加固完成及成果輸出（方便發(fā)生問題時回退）中國移動安全安全加固培訓(xùn)材料五、安全加固的流程一般流程中國移動安全安全加固培訓(xùn)材料66目錄理解安全加固Windows安全加固UNIX/Linux安全加固中國移動安全安全加固培訓(xùn)材料目錄理解安全加固中國移動安全安全加固培訓(xùn)材料67Windows通用安全加固方案補丁及防護軟件系統(tǒng)服務(wù)安全策略日志與審核策略用戶與文件系統(tǒng)安全增強中國移動安全安全加固培訓(xùn)材料Windows通用安全加固方案補丁及防護軟件中國移動安全安全68補丁檢查系統(tǒng)補丁安裝情況命令行執(zhí)行systeminfo,查看系統(tǒng)已經(jīng)安裝的補丁列表

補丁更新手動安裝：使用IE訪問，按提示安裝必要的activeX控件后，按提示安裝補丁開始–控制面板–自動更新，在自動更新面板中選中自動（建議）(U)，然后根據(jù)個人需求設(shè)置升級時間中國移動安全安全加固培訓(xùn)材料補丁檢查系統(tǒng)補丁安裝情況中國移動安全安全加固培訓(xùn)材料69防護軟件安裝殺毒軟件并保持病毒庫更新

防火墻對于防火墻軟件，建議屏蔽以下端口：TCP135TCP139TCP445中國移動安全安全加固培訓(xùn)材料防護軟件安裝殺毒軟件并保持病毒庫更新中國移動安全安全加固培訓(xùn)70Windows通用安全加固方案補丁及防護軟件系統(tǒng)服務(wù)安全策略日志與審核策略用戶與文件系統(tǒng)安全增強中國移動安全安全加固培訓(xùn)材料Windows通用安全加固方案補丁及防護軟件中國移動安全安全71系統(tǒng)服務(wù)查看系統(tǒng)服務(wù)執(zhí)行services.msc,檢查啟動類型為自動的服務(wù)關(guān)閉非必需的服務(wù)建議關(guān)閉一下服務(wù)：TaskScheduler/RemoteRegistry/SNMPService/PrintSpooler/Telnet/ComputerBrowser/Messenger/Alerter/DHCPClient關(guān)閉方法：雙擊需要關(guān)閉的服務(wù)，將啟動類型設(shè)置為禁用，點擊停止按鈕以停止當前正在運行的服務(wù)中國移動安全安全加固培訓(xùn)材料系統(tǒng)服務(wù)查看系統(tǒng)服務(wù)中國移動安全安全加固培訓(xùn)材料72SNMP服務(wù)修改SNMP的字符串為什么要修改SNMP的字符串？它會泄露什么？通過SNMP服務(wù)，遠程惡意用戶可以列舉本地的帳號、帳號組、運行的進程、安裝的補丁和軟件等敏感信息，禁用或修改SNMP配置可以有效防止遠程惡意用戶的這類行為。攻擊工具:snmputilwalk0public.1.3.6......中國移動安全安全加固培訓(xùn)材料SNMP服務(wù)修改SNMP的字符串中國移動安全安全加固培訓(xùn)材料73服務(wù)與進程SNMPService服務(wù)加固方法：為修改SNMP團體名限制遠程主機對SNMP的訪問中國移動安全安全加固培訓(xùn)材料服務(wù)與進程SNMPService服務(wù)加固方法：中國移動安全74關(guān)閉自動播放功能關(guān)閉所有驅(qū)動器的自動播放功能點擊開始→運行→輸入gpedit.msc，打開組策略編輯器，瀏覽到計算機配置→管理模板→系統(tǒng)，在右邊窗格中雙擊“關(guān)閉自動播放”，對話框中選擇所有驅(qū)動器，確定即可。

中國移動安全安全加固培訓(xùn)材料關(guān)閉自動播放功能關(guān)閉所有驅(qū)動器的自動播放功能中國移動安全安全75Windows通用安全加固方案補丁及防護軟件系統(tǒng)服務(wù)安全策略日志與審核策略用戶與文件系統(tǒng)安全增強中國移動安全安全加固培訓(xùn)材料Windows通用安全加固方案補丁及防護軟件中國移動安全安全76密碼策略密碼策略長度7≤Windows2000≤12714≥Windows9X≈0期限定期修改密碼復(fù)雜性Pyth0n&^!@大小寫數(shù)字特殊字符中國移動安全安全加固培訓(xùn)材料密碼策略密碼策略大小寫數(shù)字特殊字符中國移動安全安全加固培訓(xùn)材77密碼策略加固要點密碼策略:開始→運行→gpedit.msc計算機配置→Windows設(shè)置→安全設(shè)置→帳戶策略→帳戶鎖定策略->密碼策略”：帳戶鎖定策略中國移動安全安全加固培訓(xùn)材料密碼策略加固要點中國移動安全安全加固培訓(xùn)材料78用戶權(quán)利指派檢查用戶權(quán)限策略是否設(shè)置：

開始→運行→gpedit.msc計算機配置→Windows設(shè)置→安全設(shè)置→本地策略→用戶權(quán)利指派中國移動安全安全加固培訓(xùn)材料用戶權(quán)利指派檢查用戶權(quán)限策略是否設(shè)置：中國移動安全安全加固79本地安全策略配置檢查本地安全策略配置：

開始→運行→gpedit.msc計算機配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項中國移動安全安全加固培訓(xùn)材料本地安全策略配置檢查本地安全策略配置：中國移動安全安全加固80Windows通用安全加固方案補丁及防護軟件系統(tǒng)服務(wù)安全策略日志與審核策略用戶與文件系統(tǒng)安全增強中國移動安全安全加固培訓(xùn)材料Windows通用安全加固方案補丁及防護軟件中國移動安全安全81日志和審核策略審核了解Windows審核策略審核策略并不完整很多審核內(nèi)容默認未開啟只有在NTFS磁盤上才能開啟對象訪問審核,日志量較大步驟打開審核策略編輯審核對象的審核項中國移動安全安全加固培訓(xùn)材料日志和審核策略審核中國移動安全安全加固培訓(xùn)材料82日志和審核策略審核打開審核策略要做什么審核？要審核什么？位置：gpedit.msc–計算機配置–Windows設(shè)置–安全設(shè)置–審核設(shè)置中國移動安全安全加固培訓(xùn)材料日志和審核策略審核中國移動安全安全加固培訓(xùn)材料83日志和審核策略審核查看審核日志eventvwr（事件查看器）中國移動安全安全加固培訓(xùn)材料日志和審核策略審核中國移動安全安全加固培訓(xùn)材料84Windows通用安全加固方案補丁及防護軟件系統(tǒng)服務(wù)安全策略日志與審核策略用戶與文件系統(tǒng)安全增強中國移動安全安全加固培訓(xùn)材料Windows通用安全加固方案補丁及防護軟件中國移動安全安全85文件系統(tǒng)Windows文件系統(tǒng)FATFAT16FAT32NTFS將FAT卷轉(zhuǎn)換成NTFSconvertC:/FS:NTFS中國移動安全安全加固培訓(xùn)材料文件系統(tǒng)Windows文件系統(tǒng)中國移動安全安全加固培訓(xùn)材料86用戶用戶和組特殊的組Administrators、Guests、PowerUsers……

可通過netlocalgroup命令打印特殊的用戶Administrator、Guest可通過netuser命令打印隱藏帳號netuserhide$password/add中國移動安全安全加固培訓(xùn)材料用戶用戶和組中國移動安全安全加固培訓(xùn)材料87用戶加固要點檢查用戶克隆隱藏清除用戶未使用的未知的鎖定用戶GuestSUPPORT_XXXXX中國移動安全安全加固培訓(xùn)材料用戶加固要點中國移動安全安全加固培訓(xùn)材料88設(shè)置重要文件權(quán)限權(quán)限前提（關(guān)鍵字）NTFSAdministrators中國移動安全安全加固培訓(xùn)材料設(shè)置重要文件權(quán)限權(quán)限中國移動安全安全加固培訓(xùn)材料89設(shè)置重要文件權(quán)限權(quán)限ACL（訪問控制列表）包含了用戶帳戶和訪問對象之間許可關(guān)系由四個權(quán)限項組成的權(quán)限項集（即，ACL）中國移動安全安全加固培訓(xùn)材料設(shè)置重要文件權(quán)限權(quán)限由四個權(quán)限項組成的權(quán)限項集（即，ACL）90設(shè)置重要文件權(quán)限權(quán)限ACE（訪問控制項）ACL中包含ACE訪問控制條目中國移動安全安全加固培訓(xùn)材料設(shè)置重要文件權(quán)限權(quán)限中國移動安全安全加固培訓(xùn)材料91設(shè)置重要文件權(quán)限加密和壓縮中國移動安全安全加固培訓(xùn)材料設(shè)置重要文件權(quán)限加密和壓縮中國移動安全安全加固培訓(xùn)材料92設(shè)置重要文件權(quán)限審核編輯審核對象的審核項中國移動安全安全加固培訓(xùn)材料設(shè)置重要文件權(quán)限審核中國移動安全安全加固培訓(xùn)材料93設(shè)置重要文件權(quán)限加固要點目錄及文件的權(quán)限查找具有everyone的權(quán)限項重要對象的審核策略@echooffdir/s/b>>all.txtfor/f%%iin(all.txt)docacls%%i|find"Everyone"中國移動安全安全加固培訓(xùn)材料設(shè)置重要文件權(quán)限加固要點@echooff中國移動安全安全加94Windows通用安全加固方案補丁及防護軟件系統(tǒng)服務(wù)安全策略日志與審核策略用戶與文件系統(tǒng)安全增強中國移動安全安全加固培訓(xùn)材料Windows通用安全加固方案補丁及防護軟件中國移動安全安全95安全增強刪除匿名用戶空連接注冊表如下鍵值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa將restrictanonymous的值設(shè)置為1，若該值不存在，可以自己創(chuàng)建，類型為REG_DWORD，修改完成后重新啟動系統(tǒng)生效刪除默認共享注冊表如下鍵值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters將Autoshareserver設(shè)置為0，若不存在，可創(chuàng)建，類型為REG_DWORD修改完成后重新啟動系統(tǒng)生效

中國移動安全安全加固培訓(xùn)材料安全增強刪除匿名用戶空連接中國移動安全安全加固培訓(xùn)材料96目錄理解安全加固Windows安全加固UNIX/Linux安全加固中國移動安全安全加固培訓(xùn)材料目錄理解安全加固中國移動安全安全加固培訓(xùn)材料97UNIX/Linux通用安全加固方案帳號文件權(quán)限服務(wù)日志審計系統(tǒng)狀態(tài)中國移動安全安全加固培訓(xùn)材料UNIX/Linux通用安全加固方案帳號中國移動安全安全加固98帳號安全帳號/etc/login.defs，檢查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE檢查是否存在除root外UID=0的用戶檢查是否存在弱口令鎖定不使用的帳戶(passwd–lusername)檢查root用戶環(huán)境變量設(shè)置帳號超時注銷(vi/etc/profile增加TMOUT=600)

中國移動安全安全加固培訓(xùn)材料帳號安全帳號中國移動安全安全加固培訓(xùn)材料99帳號安全限制root遠程登錄/etc/ssh/sshd_config:PermitRootLoginno/etc/securetty文件中配置：CONSOLE=/dev/tty01中國移動安全安全加固培訓(xùn)材料帳號安全限制root遠程登錄中國移動安全安全加固培訓(xùn)材料100UNIX/Linux通用安全加固方案帳號文件權(quán)限服務(wù)日志審計系統(tǒng)狀態(tài)中國移動安全安全加固培訓(xùn)材料UNIX/Linux通用安全加固方案帳號中國移動安全安全加固101umask檢查是否包含umask值more/etc/profilemore/etc/csh.loginmore/etc/csh.cshrcmore/etc/bashrc

中國移動安全安全加固培訓(xùn)材料umask檢查是否包含umask值中國移動安全安全加固培102umaskumask[root@RHEL5home]#umask0022[root@RHEL5home]#touchfile1[root@RHEL5home]#ls-lfile1-rw-r--r--1rootroot0Jul2607:17file1(644)[root@RHEL5home]#umask0066[root@RHEL5home]#touchfile2[root@RHEL5home]#ls-lfile2-rw-------1rootroot0Jul2607:18file2(600)[root@RHEL5home]#umask0[root@RHEL5home]#umask0000[root@RHEL5home]#touchfile3[root@RHEL5home]#ls-lfile3-rw-rw-rw-1rootroot0Jul2607:25file3(666)中國移動安全安全加固培訓(xùn)材料umaskumask中國移動安全安全加固培訓(xùn)材料103文件權(quán)限文件權(quán)限ls–l[root@RHEL5home]#ls-ltotal44drwxr-xr-x2rootroot4096Jul2605:24apue-rw-r--r--1rootroot16069Jun3009:17cpro.tar.gzchmodchmodu+xfilechmod744file4000 SUID2000 SGID1000 粘住位0400 所有者可讀0200 所有者可寫0100 所有者可執(zhí)行0040 所在組可讀0020 所在組可寫0010 所在組可執(zhí)行0004 其他用戶可讀0002 其他用戶可寫0001 其他用戶可執(zhí)行______________________0744 結(jié)果中國移動安全安全加固培訓(xùn)材料文件權(quán)限文件權(quán)限4000 SUID中國移動安全安全加固培訓(xùn)材104文件權(quán)限檢查重要目錄和文件的權(quán)限設(shè)置ls–l/etc/rc.d/init.d/chmod-R750/etc/rc.d/init.d/*

查找系統(tǒng)中所有的SUID和SGID程序中國移動安全安全加固培訓(xùn)材料文件權(quán)限檢查重要目錄和文件的權(quán)限設(shè)置中國移動安全安全加固培訓(xùn)105UNIX/Linux通用安全加固方案帳號文件權(quán)限服務(wù)日志審計系統(tǒng)狀態(tài)中國移動安全安全加固培訓(xùn)材料UNIX/Linux通用安全加固方案帳號中國移動安全安全加固106系統(tǒng)服務(wù)守護進程與服務(wù)的區(qū)別守護進程進程的一種特殊狀態(tài)不綁定至任何Terminal父進程是init服務(wù)相對守護進程，“服務(wù)