通用应用系统安全加固方法Word格式文档下载.docx

通用应用系统安全加固方法Word格式文档下载.docx

《通用应用系统安全加固方法Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《通用应用系统安全加固方法Word格式文档下载.docx（67页珍藏版）》请在冰点文库上搜索。

3.3系统状况评估

对收集到的系统状况进行分析，并提出如何在加固过程中规避可能的风险。

3.4给出加固建议

根据3.3对系统状况的评估结果，给出相应的加固建议，并在加固建议中详细描述加固实施的计划，包括人员、时间、材料的安排及出现异常情况的处理方法。

给出可行性分析报告。

3.5加固建议实施

在实际的系统中实施加固之前，先要建立能够模拟真实系统的环境，在此环境中进行加固实施，如果没有发现问题，才允许按照3.4给出的加固实施计划对实际的系统实施加固。

4安全加固风险规避措施

在加固实施前对系统的所有信息（数据、软件等）进行一次全系统备份，并验证备份的有效性。

指定专人负责发生问题时的系统恢复。

加固实施过程中，详细记录每一个步骤的工作内容和结果。

5Windows2000操作系统安全加固实践

1补丁更新/系统升级

Windows操作系统存在数目不小的安全问题和漏洞，并且不断地被发现和被人利用；

所以由专人负责合法补丁的下载、记录、统计和管理工作、建立相应的补丁更新记录对系统的安全性是极其重要的。

实施步骤：

WindowsSP补丁包（如WIN2000的SP3）可以用独立的介质进行升级；

也可以使用WINDOWS2000的HOTFIX直接点击开始菜单的WindowsUpdate，到进行升级。

最好选择可以恢复系统的安装方式。

2修改系统根目录、系统目录权限

查看对各个重要的目录是否设置了访问控制列表。

对各个重要目录的访问控制列表的设置参考下表：

Path

ACLs

Admin

_istrator

CREATE

OWNER

Authentice

_tedUsers

SYSTEM

SYSTEMO

PERATORS

Others

%system

drive%\

F

R

N/A

drive%

\temp

%systemdrive%

\programfiles

root%

root%\repair

%systemroot％

\system32\config

L

root%\system32\spool

C

%systemroot%\profiles

%systemdrive%\boot.ini

%systemdrive%\

%systemdrive%\ntldr

%systemdrive%\autoexec.bat

%systemdrive%\config.sys

%systemroot%\poledit.exe

%systemroot%\regedit.exe

%systemroot%\system32\*.exe

注意：

重要目录不能对everyone开放，这样会带来很大的安全问题。

对于某一具体系统要具体问题具体分析，尤其要注意对于应用系统的影响。

3关闭不必要的服务

WIN2000系统

1、打开控制面板->

管理工具->

服务窗口

2、查看一些不必要的服务如Alerter、RemoteRegistryService、Messenger、TaskScheduler是否已启动

3、将服务停止，或将其启动类型由“自动”改为“手动”或者“禁用”。

要注意服务间的依存关系，不要影响正常应用服务的启用。

4删除不必要组件

WIN2000系统

①打开控制面板->

添加/删除程序窗口

②查看是否存在MicrosoftIndexServer,FrontPageServerExtension,Accessoriesandutilities等程序。

③如果不需要某项程序，打开控制面板->

添加/删除程序->

添加/删除WINDOWS组件将该组件卸载

不要删除正常应用的服务，以免影响正常应用

5删除inetpub目录下的IIS例子程序

IIS例子程序存在许多黑客熟知的漏洞，建议删除IIS例子程序。

①查看c:

\winnt\help\isshelp和winnt\system32\inetsrv\iisadmin、winnt\system32\inetsrv\iisadmpwd等目录是否存在。

②删除IIS例子程序。

6禁止缺省的Web站点

IIS默认的管理WEB站点存在许多黑客熟知的漏洞，建议删除或者停止默认的管理WEB站点。

①打开控制面板管理工具Internet服务管理器

②查看IIS的默认的管理WEB站点是否没有删除、应用WEB站点的主目录是否在操作系统所在的分区上。

③删除IIS的默认管理WEB站点，也可以将它停止。

将WEB主目录放置在单独的分区上，不要放置在操作系统分区上。

7优化TCP/IP

①查看网上邻居->

属性->

本地连接->

TCP/IP协议->

高级TCP/IP设置中的选项，是否对TCP/IP筛选做了设置。

②启用TCP/IP筛选器，根据业务需要将全部允许改为只允许指定端口可以访问。

对于公用服务器不适宜做这样的设置，可以按业务类型限制端口，以免影响业务的正常进行。

8重要命令访问权限控制

1检测%systemroot%\system32\目录下的下列文件，确认其是否具有合适的访问权限。

xcopy.exe

wscript.exe

cscript.exe

net.exe

ftp.exe

telnet.exe

arp.exe

edlin.exe

ping.exe

route.exe

at.exe

finger.exe

posix.exe

rsh.exe

atsvc.exe

qbasic.exe

runonce.exe

syskey.exe

cacls.exe

ipconfig.exe

rcp.exe

secfixup.exe

nbtstat.exe

rdisk.exe

debug.exe

regedt32.exe

regedit.exe

netstat.exe

tracert.exe

nslookup.exe

rexec.exe

cmd.exe

②创建称为\CommonTools的目录，然后将下列文件放在这一目录下，并对它们设置相应的ACL权限以便只有管理员对这些文件拥有全部权限。

确认只有管理员或者管理员指定的用户才具有对这些文件的完全访问权限。

9设置密码策略

WIN2000系统：

①运行secpol.msc命令

②打开“本地安全设置”对话框，依次展开“帐户策略－密码策略”

③查看是否具有设置

④密码策略，密码历史不小于5次、密码长度大于7位、最短存留期大于5天、最长存留期小于90天、必须启用密码复杂性要求；

10添加安全审核

①运行中输入secpol.msc命令

②打开“本地安全设置”对话框，依次展开“本地策略－审核策略”，是否具有审核策略；

③修改审核策略如下

i.审核策略更改成功,失败

ii.审核登录事件成功,失败

iii.审核对象访问成功,失败

iv.审核过程追踪失败

v.审核目录服务访问失败

vi.审核特权使用成功,失败

vii.审核系统事件成功,失败

viii.审核帐户登录事件成功,失败

ix.审核帐户管理成功,失败

11将超级管理员改名

实施步骤

①运行输入secpol.msc，然后回车

②打开“本地安全设置”对话框，依次展开“本地策略－安全选项”

③在重命名系统管理员帐户里修改超级管理员名称。

建议再添加一个普通的administrator用户以迷惑入侵者。

重命名系统管理员帐户后，administrator将没有超级管理员权限，牢记修改后的超级管理员用户名。

12禁止缺省共享、空连接，管理共享

具体实施步骤：

①用命令“netsharedriver$/delete，”删除默认共享，并修改注册表取消默认共享和空连接

②打开注册表编辑器。

REGEDIT

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters 

在右边建立一个名为AutoShareServer的DWORD键。

值为0。

如果你安装的是个人专业版的就建立一个名为AutoShareWks的DWORD键。

值为0

③禁止空连接：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters的KeepAliveTime设置（推荐/双字节）为300000（5分钟）。

打开默认共享可以方便管理，但会带来安全问题。

13修补IIS系统的unicode/ida/idq等重要漏洞

①升级IIS最新的安全补丁可以解决unicode漏洞。

②删除扩展名为.ida/idq/.htw/.cer/.cdx/.htr/.idc/.shtm/.shtml/.stm/.printer的脚本映射。

unicode、.ida/idq漏洞是IIS的主要漏洞，应该予以修补。

14修改SNMP的community的值

①在计算机管理，在控制台树中，单击“服务和应用程序->

服务”，

②在详细信息窗格中，单击“SNMP服务”，

③在“操作”菜单上，单击“属性”。

④缺省的SNMP口令（community 

strings）被设为"

public"

和"

private。

如果你不是绝对需要SNMP，关掉它。

在必要的情况下可以添加其他团体和主机名；

通过单击项，然后单击“编辑”可以对项进行改动，通过单击“删除”可以删除选定项；

如果更改已有的SNMP设置，更改将立即生效，SNMP服务不需要重新启动以使设置生效。

15启动屏幕保护

①打开桌面属性，是否打开屏幕保护。

②启动屏幕保护，屏保时间要设定（重要系统2分钟，一般系统10分钟），启动密码保护。

养成离开机器即锁定屏幕的良好习惯，防止本地攻击者直接控制你的系统。

16禁用TCP/IP上的NetBios接口

①双击Internet协议（TCP/IP），点击“高级”打开WINS选项卡。

②取消对启用LMHOSTS查询的选择，然后选择禁用TCP/IP上的NetBIOS。

停止掉TCP/IPNetBIOSHelper这个服务。

17禁止guest帐号和一些无用帐号对所有卷的访问权限

①查看系统或者别的重要分区的属性，是否everyone具有安全控制权限。

②将everyone可以执行的权限分配删除，合理分配用户的权限。

有的目录在进行权限分配后会影响系统的正常运行，在进行权限时一定要慎重。

18设置日志记录

计算机管理窗口

②查看系统工具->

事件查看器里面的属性

③将日志文件的大小改为30MB（根据系统空间情况），覆盖周期从7天改为30天

6Solaris操作系统安全加固实践

1补丁更新

由SUN发布的Solaris系统补丁对于系统运行的安全性有非常重要的意义。

建议由专人负责补丁的下载、记录、统计和管理工作，建立相应的补丁更新记录。

1.1以root身份登陆系统

#su–root；

1.2设置许可模式

#umask022；

1.3创建“patch”的目录，并确保“patch”目录所在的文件系统中有足够的磁盘空间。

#mkdir/var/tmp/patch

#cd/var/tmp/patch

1.4采用匿名的方式登陆到sunsolve（）站。

下载对应的操作系统版本的PatchReport文件，根据PatchReport文件下载对应的补丁文件，补丁文件包括Recommended补丁和独立补丁。

解压大补丁包

#unzip7*Recommended.zip

1.5重新启动计算机到Single（单用户）模式并安装所有补丁：

关闭系统；

#/usr/sbin/shutdown-y-g0-i0；

启动到单用户模式；

okboot–s；

输入root帐号的密码；

加载所有的文件系统；

#mountall；

进入刚才解压补丁后的目录：

#cd/var/tmp/patch/*.Recommended/；

输入命令安装补丁：

./install_cluster

注：

可以忽略安装过程中的出错信息。

大部分出错信息是报告该Solaris主机系统上没有安装一个特定的软件或已经安装过某个补丁的信息。

重新启动计算机；

Solaris的补丁是系统安全中重要组成部分，通常情况下安装补丁不会对系统造成任何不良的影响。

安装过程中会出现若干安装错误提示，忽略不记。

注意事项：

在安装系统补丁的过程中不能够使系统断电或非正常安装完毕而重新启动系统，这样可能会造成系统不能正常启动的严重后果。

2禁止危险的Remote网络服务

2.1如果没有特别的需求，应该停止所有R系列服务。

建议在/etc/inet/inetd.conf文件中注释掉检测内容栏所列的行

①进入inetd.conf目录

#cd/etc/inet

②打开inetd.conf写权限

#chmodu+w/etc/inet/inetd.conf

③编辑inetd.conf

#vi/etc/inet/inetd.conf

在如下相应行首前加”#”

#loginstreamtcpnowaitroot/usr/sbin/in.rlogindin.rlogind

#shellstreamtcpnowaitroot/usr/sbin/in.rshdin.rshd

#execstreamtcpnowaitroot/usr/sbin/in.rexecdin.rexecd

#comsatdgramucpwaitroot/usr/sbin/satsat

#talkdgramucpwaitroot/usr/sbin/in.talkdin.talkd

④关闭inetd.conf写权限

#chmodu-w/etc/inet/inetd.conf

⑤重新启动inetd进程

#ps–ef|grepinetd，取得inetd对应的PID

#kill–HUPPID（PID为inetd进程号）

如果管理员觉得有必要保留R系列服务，需要严格配置/etc/hosts.equiv，确保其为空，同时检测$HOME/.rhost文件，严禁出现像“＋＋”这样的配置行。

①查看hosts.equiv文件内容，确保内容为空。

#cat/etc/hosts.equiv

②查找所有.rhost文件，保证文件内无“++“配置行

#find/-name.rhost

在更改此文件前，需要作好备份工作：

#cp-p/etc/inet/inetd.conf/etc/inetd.conf.backup

如果系统不是绝对需要保留R系列服务的话，关闭了R系列服务不会对系统造成任何不良的影响。

3禁止无用的危险网络服务

如果没有特别的需求，应该停止这些服务。

建议在/etc/inet/inetd.conf文件中注释掉检测内容栏所列的行,此项配置在重新启动inetd进程后生效。

#printerstreamtcpnowaitroot/usr/lib/print/in.lpdin.lpd

#fingerstreamtcpnowaitnobody/usr/sbin/in.fingerdin.fingerd

#uucpstreamtcpnowaitroot/usr/sbin/in.uucpdin.uucpd

#namedgramudpwaitroot/usr/sbin/in.tnamedin.tnamed

⑤重新启动inetd进程：

#kill–HUPPID（PID为inetd进程号）。

如果本机不需要提供邮件服务，屏蔽上述脚本；

#mv/etc/rc2.d/S88sendmail/etc/rc2.d/s88sendmail

如果确实需要提供邮件服务，考虑禁用Solaris自带的sendmail，换用其他更新结构的邮件系统，如：

qmail、postfix等；

升级前备份邮件系统资料。

4设置关键文件许可权限

①修改inetd.conf文件权限

#chmod600/etc/inet/inetd.conf

5telnet服务安全配置

如果没有特别的需求，应该停止Telnet服务。

#telnetstreamtcpnowaitroot/usr/sbin/in.telnetdin.telnetd

如果实际应用需要，无法关闭telnetd，则应该加强如下内容：

系统中各个账号口令的强度，（严禁使用账号名，生日等作口令。

）口令应该大小写结合、至少8位长度、包含特殊字符等；

使用ssh或ssh2代替、包括加密TCP/Telnet服务；

使用TcpWrapper限制可以使用本机Telnet服务的客户端IP，同时修改Banner，隐藏系统信息；

如果系统不是绝对需要保留Telnet服务的话，关闭了Telnet服务不会对系统造成任何不良的影响。

6ftp服务安全配置

如果没有特别的需求，应该停止Ftp服务。

#chmodu+w/etc/inet/inetd.c