系统评估和加固培训材料

系统安全评估和加固服务部雷强目录系统评估理论基础系统评估流程及手段系统评估工具及成果系统安全加固系统评估理论基础什么是安全风险评估？通过工具扫描、人工检查、人工问询等多样化方式，找出被评估系统的弱点情况、面临的威胁情况，并结合资产等级情况等，分析系统存在的安全风险并进行风险管理资产评估（影响分析）风险分析威胁评估脆弱性评估风险管理评估遵循标准和规范信息安全管理标准BS7799信息安全管理指南ISO13335信息安全通用准则ISO15408系统安全工程能力成熟模型SSE-CMM中国移动安全配置规范………………系统评估流程及手段评估流程安全扫描手工检查人工问询问卷调查渗透测试安全评估手段从哪些方面进行评估？系统层安全：该层的安全问题来自网络运行的操作系统：UNIX系列、Linux系列、WindowsNT系列以及专用操作系统等。安全性问题表现在两方面：一是操作系统本身的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是操作系统的安全配置存在问题。网络层安全：该层的安全问题主要指网络信息的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的保密与完整性、远程接入、域名系统、路由系统的安全，入侵检测的手段等。应用层安全：该层的安全考虑网络对用户提供服务所采用的应用软件和数据的安全性，包括：数据库软件、Web服务、电子邮件系统、域名系统、交换与路由系统、防火墙及应用网管系统、业务应用软件以及其它网络服务系统等。物理安全安全管理系统评估工具及成果评估工具漏洞扫描工具–RSAS–天境–Nessus–X-scan………………基线扫描工具–BVS–…………评估成果系统评估输出报告–安全评估实施方案–安全评估报告–安全评估整改方案–…………附属报告–漏洞扫描报告–基线扫描报告–问卷调查报告–…………系统安全加固理解安全加固Windows安全加固UNIX/Linux安全加固一、安全加固的目标目标–我们的目标是降低风险二、安全加固对象对象–所有可能产生脆弱性的东西三、安全加固的原则加固原则–风险最大化‐不要忽视扫描报告和检查结果中的任何一个细节，将任何潜在隐患以最大化的方式展现–威胁最小化‐威胁难以被彻底消除，因为它是动态的，我们只能将其降低至可接受的程度四、安全加固的流程一般流程–确认加固的要求（安全基线）–加固前的交流（和业务负责人交流）–加固实施（重要系统需要先在备机上测试）–加固后验证及成果输出（方便发生问题时回退）Windows通用安全加固方案补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强补丁检查系统补丁安装情况–命令行执行systeminfo,查看系统已经安装的补丁列表补丁更新–手动安装：使用IE访问，按提示安装必要的activeX控件后，按提示安装补丁–开始–控制面板–自动更新，在自动更新面板中选中自动（建议）(U)，然后根据个人需求设置升级时间防护软件安装杀毒软件并保持病毒库更新防火墙–对于防火墙软件，建议屏蔽以下端口：TCP135TCP139TCP445Windows通用安全加固方案补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强系统服务查看系统服务–执行services.msc,检查启动类型为自动的服务关闭非必需的服务–建议关闭一下服务：TaskScheduler/RemoteRegistry/SNMPService/PrintSpooler/Telnet/ComputerBrowser/Messenger/Alerter/DHCPClient–关闭方法：双击需要关闭的服务，将启动类型设置为禁用，点击停止按钮以停止当前正在运行的服务SNMP服务修改SNMP的字符串–为什么要修改SNMP的字符串？它会泄露什么？–通过SNMP服务，远程恶意用户可以列举本地的帐号、帐号组、运行的进程、安装的补丁和软件等敏感信息，禁用或修改SNMP配置可以有效防止远程恶意用户的这类行为。–攻击工具:snmputilwalk1.1.1.10public.1.3.6......服务与进程SNMPService服务加固方法：–为修改SNMP团体名–限制远程主机对SNMP的访问关闭自动播放功能关闭所有驱动器的自动播放功能点击开始→运行→输入gpedit.msc，打开组策略编辑器，浏览到计算机配置→管理模板→系统，在右边窗格中双击“关闭自动播放”，对话框中选择所有驱动器，确定即可。Windows通用安全加固方案补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强密码策略密码策略–长度7≤Windows2000≤12714≥Windows9X≈0–期限定期修改密码–复杂性Pyth0n&^!@大小写数字特殊字符密码策略加固要点–密码策略:开始→运行→gpedit.msc计算机配置→Windows设置→安全设置→帐户策略→帐户锁定策略-密码策略”：–帐户锁定策略用户权利指派检查用户权限策略是否设置：开始→运行→gpedit.msc计算机配置→Windows设置→安全设置→本地策略→用户权利指派本地安全策略配置检查本地安全策略配置：开始→运行→gpedit.msc计算机配置→Windows设置→安全设置→本地策略→安全选项Windows通用安全加固方案补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强日志和审核策略审核–了解Windows审核策略审核策略并不完整很多审核内容默认未开启只有在NTFS磁盘上才能开启对象访问审核,日志量较大–步骤打开审核策略编辑审核对象的审核项日志和审核策略审核–打开审核策略要做什么审核？要审核什么？位置：gpedit.msc–计算机配置–Windows设置–安全设置–审核设置12日志和审核策略审核–查看审核日志eventvwr（事件查看器）Windows通用安全加固方案补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强文件系统Windows文件系统–FATFAT16FAT32–NTFS将FAT卷转换成NTFS–convertC:/FS:NTFS用户用户和组–特殊的组Administrators、Guests、PowerUsers……可通过netlocalgroup命令打印–特殊的用户Administrator、Guest可通过netuser命令打印–隐藏帐号netuserhide$password/add用户加固要点–检查用户克隆隐藏–清除用户未使用的未知的–锁定用户GuestSUPPORT_XXXXX设置重要文件权限权限–前提（关键字）NTFSAdministrators设置重要文件权限权限–ACL（访问控制列表）包含了用户帐户和访问对象之间许可关系由四个权限项组成的权限项集（即，ACL）设置重要文件权限权限–ACE（访问控制项）ACL中包含ACE访问控制条目设置重要文件权限加密和压缩设置重要文件权限审核–编辑审核对象的审核项123设置重要文件权限加固要点–目录及文件的权限查找具有everyone的权限项–重要对象的审核策略@echooffdir/s/ball.txtfor/f%%iin(all.txt)docacls%%i|findEveryoneWindows通用安全加固方案补丁及防护软件系统服务安全策略日志与审核策略用户与文件系统安全增强安全增强删除匿名用户空连接–注册表如下键值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa将restrictanonymous的值设置为1，若该值不存在，可以自己创建，类型为REG_DWORD，修改完成后重新启动系统生效删除默认共享–注册表如下键值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters将Autoshareserver设置为0，若不存在，可创建，类型为REG_DWORD修改完成后重新启动系统生效目录理解安全加固Windows安全加固UNIX/Linux安全加固UNIX/Linux通用安全加固方案帐号文件权限服务日志审计系统状态帐号安全帐号–/etc/login.defs，检查PASS_MAX_DAYS/PASS_MIN_LEN/PASS_MIN_DAYS/PASS_WARN_AGE–检查是否存在除root外UID=0的用户–检查是否存在弱口令–锁定不使用的帐户(passwd–lusername)–检查root用户环境变量–设置帐号超时注销(vi/etc/profile增加TMOUT=600)帐号安全限制root远程登录–/etc/ssh/sshd_config:PermitRootLoginno–/etc/securetty文件中配置：CONSOLE=/dev/tty01UNIX/Linux通用安全加固方案帐号文件权限服务日志审计系统状态umask检查是否包含umask值more/etc/profilemore/etc/csh.loginmore/etc/csh.cshrcmore/etc/bashrcumaskumask[root@RHEL5home]#umask0022[root@RHEL5home]#touchfile1[root@RHEL5home]#ls-lfile1-rw-r--r--1rootroot0Jul2607:17file1(644)[root@RHEL5home]#umask0066[root@RHEL5home]#touchfile2[root@RHEL5home]#ls-lfile2-rw-------1rootroot0Jul2607:18file2(600)[root@RHEL5home]#umask0[root@RHEL5home]#umask0000[root@RHEL5home]#touchfile3[root@RHEL5home]#ls-lfile3-rw-rw-rw-1rootroot0Jul2607:25file3(666)文件权限文件权限–ls–l[root@RHEL5home]#ls-ltotal44drwxr-xr-x2rootroot4096Jul2605:24apue-rw-r--r--1rootroot16069Jun3009:17cpro.tar.gz–chmodchmodu+xfilechmod744file4000SUID2000SGID1000粘住位0400所有者可读0200所有者可写0100所有者可执行0040所在组可读0020所在组可写0010所在组可执行0004其他用户可读0002其他用户可写0001其他用户可执行______________________0744结果文件权限检查重要目录和文件的权限设置ls–l/etc/rc.d/init.d/chmod-R750/etc/rc.d/init.d/*查找系统中所有的SUID和SGID程序UNIX/Linux通用安全加固方案帐号文件权限服务日志审计系统状态系统服务inetd–一些轻量级的服务，由inetd集中处理–已不能满足现状#inetd.confechostreamtcp6nowaitrootinternalechodgramudp6waitrootinternaldaytimestreamtcp6nowaitrootinternaldaytimedgramudp6waitrootinternal……………………系统服务加固要点–服务→进程→端口ipfw–TCPWrapperlibwrap;configure-