整改操作示例

整改操作示例《物理安全》设备标签/防盗火灾报警/温湿度计(加湿器控制)/空调漏水报警/出入登记/机房检查登记/UPS/精密空调维护记录《网络安全》边界防范（防火墙）/入侵防范（IPS）/网络访问控制（上网行为管理）（管理地址限制、口令密码策略、库更新、HTTPS和SSH访问、防御功能开启）Cisco设备类设备名称/口令账号加密/管理地址限制/审计日志开启/（1）配置设备名称Switch#configureterminalSwitch(config)#hostnameSW1（2）配置特权密码SW1(config)#enablesecretlevel150admin@123（0密文；5明文）（3）配置加密SSH#ipdomain-namecisco.com#cryptokeygeneratersa(非对称秘钥)#usernameadminprivilege15secret0cisco(secret是MD5加密)#ipsshversion2#ipsshtime-out60#ipsshauthenication-retries5#linevty04#transportinputssh#loginlocal（4）配置ACL，对登陆地址进行限制#access-list90remarkhostsallowedtosshin(低版本可能不支持，可以不配)#access-list90permithost192.168.1.5然后在linevty04中配access-class90in（5）配置ACL限制端口连接（远程桌面3389/SSH22/telnet23）（例如只允许主机172.16.10.10访问172.16.14.10的3389端口）#access-list101permittcphost172.16.10.10host172.16.14.10eq3389#access-list101denytcpanyhost172.16.14.10eq3389#access-list101permitipanyany然后在交换机和服务器172.16.14.10的互联接口（虚拟接口或者三层路由口）进行应用：#interfacevlan11#ipaccess-group101outH3C设备类（1）配置设备名称Switchsystem-view[Switch]sysnameSW2Switch(config)#hostnameSW1（2）配置console登陆密码，及断开时间[SW1]user-interfaceconsole0[SW1-ui-console0]authentication-modepassword[SW1-ui-console0]setauthenticationpasswordcipheradmin@123[SW1-ui-console0]idle-timeout3（3）配置加密SSHSW1system[SW1]sshserverenable[SW1]local-userbbb[SW1-luser-bbb]authorization-attributelevel3[SW1-luser-bbb]passwordcipheradmin@12345[SW1-luser-bbb]service-typessh[SW1-luser-bbb]quit[SW1]user-interfacevty04[SW1-ui-vty0-4]authentication-modescheme[SW1-ui-vty0-4]idle-timeout3[SW1-ui-vty0-4]quit[SW1]sshuserbbbservice-typestelnetauthentication-typepassword[SW1]public-keylocalcreatersa（4）配置ACL，对登陆地址进行限制[SW1]aclnumber2000[SW1-acl-basic-2000]rulepermitsource192.168.1.50[SW1-acl-basic-2000]quit[SW1]user-interface04[SW1-ui-vty0-4]acl2000inbound[SW1-ui-vty0-4]quit（5）配置ACL限制端口连接（远程桌面3389/SSH22/telnet23）[RT1]aclnum3000#rulepermittcpsource1.1.1.10destination2.2.2.10destination-porteq22#ruledenytcpdestination2.2.2.10destination-porteq22#rulepermitipsourceanydestinationany然后在交换机和服务器172.16.14.10的互联接口（虚拟接口或者三层路由口）进行应用：#firewallpacket-filter3000outbound《操作系统安全》审计/口令长度复杂度和更新周期登陆/失败次数限制/不必要端口/共享服务/日志备份/管理地址限制/3389默认端口/补丁更新systeminfo/默认共享/屏保/Administrator重命名/系统日志保存大小设置修改3389默认端口[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]修改PortNamber值；[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\TenninalServer\WinStations\RDP-Tcp]修改PortNumber的值；需要重启才能生效关闭服务printspooler/remoteregistry/Telnet/TaskScheuler/Serevr/Messager/TerminalServices/TCP/IPNetBIOSHelper关闭端口139端口：NetBIOSFileandPrintSharing通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows文件和打印机共享和SAMBA。关闭方法：“Internet协议（TCP/IP）属性”-“高级”-“WINS”-“NetBIOS设置”-选择“禁用TCP/IP上的”NetBIOS-“确定”。需要重启PC机。445端口：和139端口一起是IPC$入侵的主要通道，有了它我们可以在局域网中轻松访问各种共享文件夹或共享打印机，存在被利用后共享你的硬盘，甚至会在悄无声息中将你的硬盘格式化掉的风险。关闭方法：打开注册表“regedit”-“HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters”-选择“Parameters”-“新建”-“DWORD值”-命名为“SMBDeviceEnabled”-修改其值为0参考网址：通过“IP安全策略”来关闭端口：阻止所有IP段访问该端口，开放其它。通过“TCP/IP筛选器”来开放需要的端口：本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上，然后添加需要的端口，重新启动即可。通过“Windows防火墙”阻止特定端口：2008版本：开启防火墙，在入站内新建策略，阻断某个特定端口即可；2003版本：只开放特定端口（添加例外）修改默认共享C:\netshareC$/del“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\parameters”注册表项，“AutoShareServer”，将它的键值改为“0”，没有就新建一个。Administrator账户名重命名“本地安全策略”-“安全选项”-“账户-重命名系统管理员账户”（立即生效）系统日志保存大小设置“事件查看器”-“安全性属性”-“日志大小上限”-设置100032KBIP安全策略在“本地安全策略”中创建一个IP安全策略需要创建两个“IP筛选列表”，一个进行允许操作，一个进行阻止操作。PermitIP然后同时生效；特定IP（可以是单个IP，也可以是一个IP地址段192.169.1.0/24）的TCP任何端口到本机IP的3389端口做“允许”；DenyIP任何IP的TCP任何端口到本机IP的3389端口“阻止”；系统日志系统日志：“管理工具”-“事件查看器”，另外为就行。RDP-Tcp属性TSCC.MSC或“管理工具”-“终端服务器配置”（1）连接数设置：“网卡”，默认最多同时两个用户连接，如果想要使3个以上的用户同时使用远程桌面功能，则必须安装终端服务，（每个用户连接远程桌面后最小占用12MB左右的内存）（2）对连接自动超时限制管理：“会话”选项：“结束已断开的会话”和“空闲会话限制”设为5分钟。“达到会话限制或者连接被中断时”-“结束会话”。（3）“服务器设置”-限制每个用户只使用一个会话。linux操作系统屏保设置：system-preferences-screensaver，redhat系统屏保对root账户不进行锁定；密码安全策略：cat/etc/login.defscp-p/etc/login.defs/etc/login.defs_bakvi/etc/login.defswq!PASS_MAX_DAYS90#新建用户的密码最长使用天数PASS_MIN_DAYS0#新建用户的密码最短使用天数PASS_WARN_AGE7#新建用户的密码到期提前提醒天数PASS_MIN_LEN8#最小密码长度9账户锁定策略：vi/etc/pam.d/system-authauthrequiredpam_env.sohh加authrequiredpam_tally2.sodeny=5unlock_time=120管理地址限制：#ssh-Vopenssh（版本需要升级到6.4以上）方法一：#vi/etc/ssh/sshd_configAllowUsers*@10.138.*.*allowusersxxx@114.80.100.159（XXX为用户名）#servicesshdrestart加固方法（二）：vi/etc/hosts.allow————输入sshd:114.80.100.159:allowvi/etc/hosts.deny输入sshd:ALL最后sshd重启servicesshdrestart审计：以RedHatEnterpriseLinux5.4为例，所使用启动命令为（#serviceauditdstart）检查方法：#ps–aef|grepsyslog确认syslog是否启用，启用方法：#syslogd–m0#cat/etc/syslog.conf查看syslogd的配置，并确认日志文件是否存在系统日志(默认)/var/log/messagescron日志(默认)/var/log/cron安全日志(默认)/var/log/secure备份方法：#cp-p/etc/syslog.conf/etc/syslog.conf_bak《数据库安全》审计（操作日志备份）/账号强制密码策略/口令长度复杂度和更新周期/超时断开/登陆失败次数限制/补丁更新（版本是不是最新的）/数据库备份策略SQLServer数据库登录审计记录对服务器失败和成功的登录尝试。登录审计写到错误日志中。在对象资源管理器中右击SQLServer,选择“属性”,点击“安全”,设置登录审计“属性”。可以选择：无审计，只记录失败登录，只记录成功登录，以及失败和成功登录都记录。需要重启数据库才能生效。C2审计（不建议使用）你可以启用C2审计模