通用应用系统安全加固方法Word格式文档下载.docx

1、3.3系统状况评估对收集到的系统状况进行分析，并提出如何在加固过程中规避可能的风险。3.4给出加固建议根据3.3对系统状况的评估结果，给出相应的加固建议，并在加固建议中详细描述加固实施的计划，包括人员、时间、材料的安排及出现异常情况的处理方法。给出可行性分析报告。3.5加固建议实施在实际的系统中实施加固之前，先要建立能够模拟真实系统的环境，在此环境中进行加固实施，如果没有发现问题，才允许按照3.4给出的加固实施计划对实际的系统实施加固。4安全加固风险规避措施在加固实施前对系统的所有信息（数据、软件等）进行一次全系统备份，并验证备份的有效性。指定专人负责发生问题时的系统恢复。加固实施过程中，详细

2、记录每一个步骤的工作内容和结果。5 Windows 2000操作系统安全加固实践1补丁更新/系统升级Windows操作系统存在数目不小的安全问题和漏洞，并且不断地被发现和被人利用；所以由专人负责合法补丁的下载、记录、统计和管理工作、建立相应的补丁更新记录对系统的安全性是极其重要的。实施步骤：Windows SP补丁包（如WIN2000的SP3）可以用独立的介质进行升级；也可以使用WINDOWS 2000的HOTFIX直接点击开始菜单的Windows Update，到 进行升级。最好选择可以恢复系统的安装方式。2修改系统根目录、系统目录权限查看对各个重要的目录是否设置了访问控制列表。对各个重要目

3、录的访问控制列表的设置参考下表：PathACLsAdmin_istratorCREATEOWNERAuthentice_ted UsersSYSTEMSYSTEMOPERATORSOthers%systemdrive%FRN/Adrive%temp%systemdrive%program filesroot%root%repair%systemrootsystem32configLroot%system32spoolC%systemroot%profiles%systemdrive%boot.ini%systemdrive%systemdrive%ntldr%systemdrive%autoe

4、xec.bat%systemdrive%config.sys%systemroot%poledit.exe%systemroot%regedit.exe%systemroot%system32*.exe注意：重要目录不能对everyone开放，这样会带来很大的安全问题。对于某一具体系统要具体问题具体分析，尤其要注意对于应用系统的影响。3关闭不必要的服务 WIN2000系统1、打开 控制面板-管理工具-服务窗口2、查看一些不必要的服务如Alerter、Remote Registry Service、Messenger、Task Scheduler是否已启动3、将服务停止，或将其启动类型由“自动”

5、改为“手动”或者“禁用”。要注意服务间的依存关系，不要影响正常应用服务的启用。4删除不必要组件WIN2000系统 打开 控制面板-添加/删除程序窗口 查看是否存在Microsoft Index Server, FrontPage Server Extension, Accessories and utilities等程序。 如果不需要某项程序，打开 控制面板-添加/删除程序-添加/删除WINDOWS组件将该组件卸载不要删除正常应用的服务，以免影响正常应用5删除inetpub 目录下的IIS例子程序IIS例子程序存在许多黑客熟知的漏洞，建议删除IIS例子程序。 查看c:winnthelpissh

6、elp和winntsystem32inetsrv iisadmin 、winntsystem32inetsrviisadmpwd等目录是否存在。 删除IIS例子程序。6禁止缺省的Web站点IIS默认的管理WEB站点存在许多黑客熟知的漏洞，建议删除或者停止默认的管理WEB站点。 打开 控制面板 管理工具 Internet服务管理器 查看IIS的默认的管理WEB站点是否没有删除、应用WEB站点的主目录是否在操作系统所在的分区上。 删除IIS的默认管理WEB站点，也可以将它停止。将WEB主目录放置在单独的分区上，不要放置在操作系统分区上。7优化TCP/IP 查看网上邻居-属性-本地连接-TCP/IP

7、协议-高级TCP/IP设置中的选项，是否对TCP/IP筛选做了设置。 启用TCP/IP筛选器，根据业务需要将全部允许改为只允许指定端口可以访问。对于公用服务器不适宜做这样的设置，可以按业务类型限制端口，以免影响业务的正常进行。8重要命令访问权限控制1 检测%systemroot%system32目录下的下列文件，确认其是否具有合适的访问权限。xcopy.exewscript.execscript.exenet.exeftp.exetelnet.exearp.exeedlin.exeping.exeroute.exeat.exefinger.exeposix.exersh.exeatsvc.ex

8、eqbasic.exerunonce.exesyskey.execacls.exeipconfig.exercp.exesecfixup.exenbtstat.exerdisk.exedebug.exeregedt32.exeregedit.exenetstat.exetracert.exenslookup.exerexec.execmd.exe 创建称为 CommonTools 的目录，然后将下列文件放在这一目录下，并对它们设置相应的 ACL 权限以便只有管理员对这些文件拥有全部权限。确认只有管理员或者管理员指定的用户才具有对这些文件的完全访问权限。9设置密码策略 WIN2000系统： 运行

9、secpol.msc命令 打开“本地安全设置”对话框，依次展开“帐户策略密码策略” 查看是否具有设置 密码策略，密码历史不小于5次、密码长度大于7位、最短存留期大于5天、最长存留期小于90天、必须启用密码复杂性要求；10 添加安全审核 运行中输入secpol.msc命令 打开“本地安全设置”对话框，依次展开“本地策略审核策略”，是否具有审核策略； 修改审核策略如下i.审核策略更改 成功, 失败ii.审核登录事件 成功, 失败iii.审核对象访问 成功, 失败iv.审核过程追踪 失败v.审核目录服务访问 失败vi.审核特权使用 成功, 失败vii.审核系统事件 成功, 失败viii.审核帐户登录

10、事件 成功, 失败ix.审核帐户管理 成功, 失败11将超级管理员改名实施步骤 运行输入secpol.msc，然后回车 打开“本地安全设置”对话框，依次展开“本地策略安全选项 ” 在重命名系统管理员帐户里修改超级管理员名称。建议再添加一个普通的administrator用户以迷惑入侵者。重命名系统管理员帐户后，administrator将没有超级管理员权限，牢记修改后的超级管理员用户名。12 禁止缺省共享、空连接，管理共享 具体实施步骤： 用命令“net share driver$ /delete，”删除默认共享，并修改注册表取消默认共享和空连接 打开注册表编辑器。REGEDITHKEY_LO

11、CAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters在右边建立一个名为AutoShareServer的DWORD键。值为0。如果你安装的是个人专业版的就建立一个名为AutoShareWks的DWORD键。值为0 禁止空连接：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters的KeepAliveTime设置（推荐/双字节）为300000（5分钟）。打开默认共享可以方便管理，但会带来安全问题。13修补IIS系统的unicode/ida/idq等重

12、要漏洞 升级IIS最新的安全补丁可以解决unicode漏洞。 删除扩展名为.ida/idq/.htw/.cer/ .cdx/ .htr/ .idc/ .shtm/ .shtml/ .stm/ .printer的脚本映射。unicode、.ida/idq漏洞是IIS的主要漏洞，应该予以修补。14 修改SNMP的community的值 在计算机管理，在控制台树中，单击“服务和应用程序-服务”， 在详细信息窗格中，单击“SNMP 服务”， 在“操作”菜单上，单击“属性”。 缺省的SNMP口令（communitystrings）被设为public和private。如果你不是绝对需要SNMP，关掉它。在

13、必要的情况下可以添加其他团体和主机名；通过单击项，然后单击“编辑”可以对项进行改动，通过单击“删除”可以删除选定项；如果更改已有的 SNMP 设置，更改将立即生效，SNMP 服务不需要重新启动以使设置生效。15启动屏幕保护 打开桌面属性，是否打开屏幕保护。 启动屏幕保护，屏保时间要设定（重要系统2分钟，一般系统10分钟），启动密码保护。养成离开机器即锁定屏幕的良好习惯，防止本地攻击者直接控制你的系统。16 禁用TCP/IP上的NetBios接口 双击Internet 协议 （TCP/IP），点击“高级”打开WINS选项卡。 取消对启用LMHOSTS查询的选择，然后选择禁用TCP/IP上的Net

14、BIOS。停止掉TCP/IP NetBIOS Helper这个服务。17禁止guest帐号和一些无用帐号对所有卷的访问权限 查看系统或者别的重要分区的属性，是否everyone具有安全控制权限。 将everyone可以执行的权限分配删除，合理分配用户的权限。有的目录在进行权限分配后会影响系统的正常运行，在进行权限时一定要慎重。18设置日志记录计算机管理 窗口 查看 系统工具-事件查看器 里面的属性 将日志文件的大小改为30MB（根据系统空间情况），覆盖周期从7天改为30天6 Solaris操作系统安全加固实践1补丁更新由SUN发布的Solaris系统补丁对于系统运行的安全性有非常重要的意义。建

15、议由专人负责补丁的下载、记录、统计和管理工作，建立相应的补丁更新记录。1.1 以root身份登陆系统# su root；1.2 设置许可模式# umask 022；1.3 创建“patch”的目录，并确保“patch”目录所在的文件系统中有足够的磁盘空间。# mkdir /var/tmp/patch# cd /var/tmp/patch1.4 采用匿名的方式登陆到sunsolve（）站。下载对应的操作系统版本的PatchReport文件，根据PatchReport文件下载对应的补丁文件，补丁文件包括Recommended补丁和独立补丁。解压大补丁包#unzip 7*Recommended.zi

16、p1.5 重新启动计算机到Single（单用户）模式并安装所有补丁：关闭系统；#/usr/sbin/shutdown -y -g0 -i0；启动到单用户模式；ok boot s；输入root帐号的密码；加载所有的文件系统；#mountall；进入刚才解压补丁后的目录： #cd /var/tmp/patch/*.Recommended/；输入命令安装补丁：./install_cluster注：可以忽略安装过程中的出错信息。大部分出错信息是报告该Solaris主机系统上没有安装一个特定的软件或已经安装过某个补丁的信息。重新启动计算机；Solaris的补丁是系统安全中重要组成部分，通常情况下安装补丁

17、不会对系统造成任何不良的影响。安装过程中会出现若干安装错误提示，忽略不记。注意事项：在安装系统补丁的过程中不能够使系统断电或非正常安装完毕而重新启动系统，这样可能会造成系统不能正常启动的严重后果。2禁止危险的Remote网络服务2.1如果没有特别的需求，应该停止所有R系列服务。建议在/etc/inet/inetd.conf文件中注释掉检测内容栏所列的行 进入inetd.conf目录#cd /etc/inet 打开inetd.conf写权限#chmod u+w /etc/inet/inetd.conf 编辑inetd.conf#vi /etc/inet/inetd.conf在如下相应行首前加”#

18、”#login stream tcp nowait root /usr/sbin/in.rlogind in.rlogind#shell stream tcp nowait root /usr/sbin/in.rshd in.rshd#exec stream tcp nowait root /usr/sbin/in.rexecd in.rexecd#comsat dgram ucp wait root /usr/sbin/sat sat#talk dgram ucp wait root /usr/sbin/in.talkd in.talkd 关闭inetd.conf写权限#chmod u-w

19、/etc/inet/inetd.conf 重新启动inetd进程#ps ef | grep inetd，取得inetd对应的PID#kill HUP PID（PID为inetd进程号）如果管理员觉得有必要保留R系列服务，需要严格配置/etc/hosts.equiv，确保其为空，同时检测$HOME/.rhost文件，严禁出现像“”这样的配置行。 查看hosts.equiv文件内容，确保内容为空。#cat /etc/hosts.equiv 查找所有.rhost文件，保证文件内无“+“配置行#find / -name .rhost 在更改此文件前，需要作好备份工作：#cp -p /etc/inet/

20、inetd.conf /etc/ inetd.conf.backup如果系统不是绝对需要保留R系列服务的话，关闭了R系列服务不会对系统造成任何不良的影响。3 禁止无用的危险网络服务如果没有特别的需求，应该停止这些服务。建议在/etc/inet/inetd.conf文件中注释掉检测内容栏所列的行,此项配置在重新启动inetd进程后生效。#printer stream tcp nowait root /usr/lib/print/in.lpd in.lpd#finger stream tcp nowait nobody /usr/sbin/in.fingerd in.fingerd#uucp st

21、ream tcp nowait root /usr/sbin/in.uucpd in.uucpd#name dgram udp wait root /usr/sbin/in.tnamed in.tnamed 重新启动inetd进程：#kill HUP PID（PID为inetd进程号）。如果本机不需要提供邮件服务，屏蔽上述脚本；#mv /etc/rc2.d/S88sendmail /etc/rc2.d/s88sendmail如果确实需要提供邮件服务，考虑禁用Solaris自带的sendmail，换用其他更新结构的邮件系统，如：qmail、postfix等；升级前备份邮件系统资料。4设置关键文件

22、许可权限 修改inetd.conf文件权限#chmod 600 /etc/inet/inetd.conf5 telnet服务安全配置如果没有特别的需求，应该停止Telnet服务。#telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd如果实际应用需要，无法关闭telnetd，则应该加强如下内容： 系统中各个账号口令的强度，（严禁使用账号名，生日等作口令。）口令应该大小写结合、至少8位长度、包含特殊字符等； 使用ssh或ssh2代替、包括加密TCP/Telnet服务； 使用Tcp Wrapper限制可以使用本机Telnet服务的客户端IP，同时修改Banner，隐藏系统信息；如果系统不是绝对需要保留Telnet服务的话，关闭了Telnet服务不会对系统造成任何不良的影响。6 ftp服务安全配置如果没有特别的需求，应该停止Ftp服务。#chmod u+w /etc/inet/inetd.c