系统安全加固

最新推荐文章于 2023-03-05 23:38:14 发布

xxegs

最新推荐文章于 2023-03-05 23:38:14 发布

阅读量460

点赞数

文章标签：网络 linux

本文链接：https://blog.csdn.net/m0_53933413/article/details/127401536

版权

系统加固：通过配置目录权限，系统安全策略，协议栈加强，系统服务和访问控制加固系统，提高服务器的安全性

windows加固

补丁检查及安装

新安装或者重新安装Windows操作系统，必须安装最新的Service Pack补丁集

必须及时安装与安全相关的Hotfixes补丁

更新补丁前，要求先在测试系统上对补丁进行可用性和兼容性验证

最新的安全补丁发布与升级步骤，请参照微软网站的公告，具体网址链接为：http://www.microsoft.com/china/technet/security/default.mspx

注意：微软对于不再支持得版本，主流支持服务改为扩展支持服务，微软将不再发布除安全更新外的软件更新

账号和口令安全

————————————————
版权声明：以下为CSDN博主「剁椒鱼头没剁椒」的原创文章
原文链接：https://blog.csdn.net/weixin_44268918/article/details/120834329

1.密码策略

位置：
开始——控制面板——管理工具——本地安全策略——账户策略——密码策略。
加固设置：
（1）开启密码复杂度
（2）密码长度最小值为8个字符
（3）密码最短使用期限30天
（4）密码最长使用期限90天
（5）强制密码历史5个

2. 账户锁定策略
位置：
开始——控制面板——管理工具——本地安全策略——账户策略——账号锁定策略。
加固设置：
（1）账户锁定时间30分钟
（2）账户锁定阈值5次
（3）重置账户锁定计算器10分钟

访问控制
1. 用户权限分配
位置：
开始——管理工具——本地安全策略——本地策略——用户权限分配。
加固设置：
（1）关闭系统——在本地安全设置中只保留一个administrator。
（2）允许通过远程桌面服务登录——在本地安全设置中只保留一个administrator或者设定自己想添加的用户。
（3）从远程系统强制关机——在本地安全设置中只保留一个administrator。
（4）取得文件或其他对象的所有权——在本地安全设置中只保留一个administrator。

2. 禁止未登录前关机
位置：
开始——管理工具——本地安全策略——本地策略——安全选项——关机：允许系统在未登录的情况下关闭。
加固设置：
（1）禁止未登录关机

3.重命名默认账户
位置：
开始——管理工具——计算机管理——系统工具——本地用户和组——用户。
加固设置：
（1）重命名默认账户的administrator用户名，例如：修改为admin007…

4.删除多余的账户
位置：
开始——管理工具——计算机管理——系统工具——本地用户和组——用户。
加固设置：
（1）删除多余或僵尸账户，可以用命令：net user +用户名查询该用户的详细信息。
（2）禁用Guest来宾账户。

5.重命名远程桌面3389端口号
位置：
运行——regedit——注册表。
加固设置：
（1）修改TCP3389端口号：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp。
找到PortNumber选项，双击修改右边基数为十进制，然后修改数值数据为：例如6666等…
（2）修改远程桌面3389端口号：HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp
找到PortNumber选项，双击修改右边基数为十进制，然后修改数值数据为：例如6666等…
（3）重启计算机
（4）进行远程桌面时，需要在输入的IP后面添加端口，例如：192.168.30.10:6666，就可以正常访问了。

三、安全审计
1.审核策略设置
位置：
开始——管理工具——本地安全策略——本地策略——审核策略。
加固设置：
（1）审核策略更改修改为：成功，失败
（2）审核登录事件修改为：成功，失败
（3）审核对象访问修改为：成功，失败
（4）审核进程跟踪修改为：成功，失败
（5）审核目录访问访问修改为：成功，失败
（6）审核特权使用修改为：成功，失败
（7）审核系统事件修改为：成功，失败
（8）审核账户登录事件修改为：成功，失败
（9）审核账户管理修改为：成功，失败

2.安全日志属性设置
位置：
开始——管理工具——事件查看器——windows日志——依此操作：“应用程序，系统，安全”。
加固设置：
（1）日志属性 —常规——日志最大大小为：200M约等于204800kb
（2）添加日志服务器，把日志上传到日志服务器中，便于能够及时发现问题，具体的可以根据不通的日志服务器进行相应的操作，如果购买日志审计，可以让设备厂商帮忙添加。

四、信息保护
1. 不记住用户名和密码
位置：
开始——管理工具——本地安全策略——本地策略——安全选项——交互式登录：不显示最后的用户名。
加固设置：
（1）属性——修改为：已启用

2.清理内存信息
位置：
开始——管理工具——本地安全策略——本地策略——安全选项——关机：清除虚拟内存页面文件。
加固设置：
（1）属性——修改为：已启用

五、系统资源控制
1.屏幕保护
位置：
开始—控制面板——显示——更改屏幕保护程序
加固设置：
（1）设定屏幕保护程序，等待时间为10分钟，选择在恢复时显示登录屏幕。

2.会话超时锁定
位置：
运行——gpedit.msc——计算机配置——管理模板——windows组件——远程桌面服务——远程桌面会话主机——会话时间限制——设置活动但空闲的远程桌面服务会话的时间限制。
加固设置：
（1）设置已启用，空闲会话限制为10分钟。

六、入侵防御
1.防火墙控制
位置：
win+r打开运行——输入Firewall.cpl——打开防火墙
加固设置：
（1）设置开启防火墙。
（2）在高级设置入站规则中设定阻断高危端口，如：高危端口：TCP：135，137，445，593，1025 UDP：135，137，138，445

注：入站规则与出站规则设定比较简单，就不细说如何设定。

2.IP安全策略
位置：
开始——管理工具——本地安全策略——IP安全策略，在本地计算机
注意：此策略是在防火墙被关闭的情况下使用，防火墙关闭后，入站进站策略不起作用，所以使用IP安全策略。
注意：检查服务中的：“IPSEC Policy Agent” 服务必须在启动状态，在任务管理器中的服务显示的名称为：PolicyAgent。

加固设置：
（1）右击“IP安全策略，在本地计算机”，选择“创建IP安全策略”，然后出现“IP安全策略向导”点击下一步，名称改一下，然后一直下一步，直到完成。（注：如果有让选择“激活默认响应规则”不要选择）。
（2）弹出的窗口先关闭。
（3）继续右击“IP安全策略，在本地计算机”，选择“管理IP筛选器列表和筛选器操作”，第一个界面为：管理IP筛选器列表。点击左下角添加。
（4）弹出的为：IP筛选器列表，修改一下名称。（注：不要使用“添加向导”），然后点击靠右边中间的添加。
（5）点击添加后弹出的为：IP筛选器属性，先点击地址，源地址选择：任何IP地址，目的地址选择：我的IP地址。注：下面的“镜像与源和目标地址正好相反的数据包匹配”，把√号取消）。
（6）点击协议，然后点击选择协议类型，选择TCP协议，设置IP协议端口，第一排选择：从任意端口，第二排选择：到此端口，填写139。
（7）点击确认，点完后应该在IP筛选器列表这个界面，可以在列表中看到刚刚添加的，（注：如果需要描述也可以描述一下，如果还想添加UDP的话，同样的操作）。确认添加的没问题后点击确定。
（8）此时应该回到了管理IP筛选器列表和筛选器操作这个界面，这时选择第二个界面：管理筛选器操作。
（9）把下面使用“添加向导取消”，然后点击添加。
（10）此时界面是：新筛选器操作属性。安全办法选择：阻止。常规中修改一下名称，不要默认，以防忘记。填写好后，先点击应用，再点击确定。
（11）此时也可以在管理筛选器操作的列表中看到刚刚添加的。然后把：管理IP筛选器列表和筛选器操作这个界面关闭。
（12）点击刚刚界面上的IP安全策略，会在右边看到刚刚第（1）步创建的IP安全策略。然后右击选择属性。
（13）在规则中选择添加，（注：取消右下角的使用添加向导），
（14）弹出来的第一个界面点击下一步，第二个界面选择：此规则不指定隧道，然后下一步，第三个界面选择：所有网络连接，然后下一步，第四个界面是IP筛选器列表，选择刚刚已经创建好的IP筛选器，然后下一步，第五个界面是筛选器操作，选择刚刚创建好的筛选器操作。然后下一步，就完成了。（注：不需要选择编辑属性）
（15）然后在刚刚：IP安全规则中能看到刚刚选择的，然后点击应用，最后点击确定。
（16）然后再次右击选择刚刚的：IP安全策略，选择第一个分配。
（17）然后测量，使用另外一台电脑telnet + IP +端口我测试的虚拟机为 telnet 192.168.30.10 139。如果进不去就设置成功了
（18）未成功检查服务是否正常运行，或者在打开CMD输入：gpupdate /force

3.安装杀毒软件
方案：
（1）购买企业版杀毒软件进行安全，并设定相应的规则。
（2）员工电脑，如若未购买专业的杀毒软件，推荐：火绒杀毒，卡巴斯基等等

七、系统补丁更新
方案：
（1）员工电脑可开启自动更新。
（2）服务器等重要资产补丁，根据相应的漏洞进行更新，在更新之前应做好系统备份，并且做相应的测试。

linux

版权声明：以下为CSDN博主「剁椒鱼头没剁椒」的原创文章
原文链接：https://blog.csdn.net/weixin_44268918/article/details/120881253

基于centos7版本测试
注意：修改任何配置文件，为保障安全请先备份，命令： cp -a +配置文件路径 +存放位置路径

1.密码长度与有效期
位置：vi /etc/login.defs

修改：

PASS_MAX_DAYS 90 注：密码有效期
PASS_MIN_DAYS 2 注：修改密码最短期限
PASS_MIN_LEN 8 注：密码最短长度
PASS_WARN_AGE 30 注：密码过期提醒

2.密码复杂度
位置：vi /etc/pam.d/system-auth

修改：

将这行注释 password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
并在其下面新增1行 password requisite pam_pwquality.so try_first_pass minlen=8 difok=5 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 retry=1 authtok_type=
如何要设定root也要履行该规则，需要添加enforce_for_root
例如：password requisite pam_pwquality.so try_first_pass minlen=8 difok=5 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 retry=1 enforce_for_root authtok_type=

解释：

minlen=8 最小长度8位
difok=5 新旧密码最少5个字符不同
dcredit=-1 最少1个数字
lcredit=-1 最少1个小写字符
ucredit=-1 最少1个大写字符
ocredit=-1 最少1个特殊字符
retry=1 1次错误后返回错误信息
type=XXX 此选项用来修改缺省的密码提示文本

3.新口令不能与近期相同
位置：vi /etc/pam.d/system-auth

修改：

在password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
所在行的后面添加remember=5

解释：

remeber=5 记住近期5个密码，改密码不能与近期5个有相同的。

4.会话超时
位置：vi /etc/profile
修改：

在文件的末尾添加 export TMOUT=600

解释：

export TMOUT=600 10分钟超时
5.登录失败锁定
位置：vi /etc/pam.d/system-auth

修改：

在# User changes will be destroyed the next time authconfig is run.
下面添加auth required pam_tally2.so deny=5 unlock_time=600 even_deny_root root_unlock_time=1800

解释：

deny=5 5次登录失败
unlock_time=1800 锁定30分钟

6.SSH配置加固
位置：vi /etc/ssh/sshd_config

修改：

（1）禁止空密码登录
将#PermitEmptyPasswords no参数的注释符号去掉，改成
PermitEmptyPasswords no

（2）关闭ssh的tcp转发
将#AllowTcpForwarding yes参数改成
AllowTcpForwarding no

（3）关闭S/KEY（质疑-应答)认证方式
将#ChallengeResponseAuthentication yes参数，改成
ChallengeResponseAuthentication no

（4）关闭基于GSSAPI 的用户认证
将GSSAPIAuthentication yes参数，改成
GSSAPIAuthentication no

重启ssh服务：

systemctl restart sshd.service

7.重用名root
位置：vi /etc/passwd 把里面的root用户修改为想要设定的用户名。保存:wq
位置：vi /etc/shadow 把里面的root用户修改为想要设定的用户名。强制保存:wq！

重启：

重启服务器，使用修改过的用户名登录。
通过查询Id 当前用户如果UID是0，就修改成功，否则就是未成功。

注意：

如果重启长时间处于运行的服务器可能会导致系统崩溃。
修改root用户名后，会导致登录系统出现10秒左右的延迟。

8.查询是否存在特权账户与空口令
awk -F: '$3==0 {print $1}' /etc/passwd 查询是否存在特权账户
awk -F: 'length($2)==0 {print $1}' /etc/shadow 查询是否存在空口令

修改：

如果存在特权账户，删除除root以外的任何账户。
如果存在空口令，为该用户设定密码。

9.删除多余用户
userdel 用户名

10.设定禁止root远程登录
位置：vi /etc/ssh/sshd_config

修改：

PermitRootLogin no

11.日志上传服务器
位置：vi /etc/rsyslog.conf

修改：

*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages 找到这行添加下面的内容
*.* @@172.16.x.xx:514
*.* @172.16.x.xx:514

注：

@@表示TCP流量，@表示UDP流量。

12.防火墙
systemctl start firewalld 开启防火墙
systemctl enable firewalld 自启动
firewall-cmd --per --add-port=80/tcp 开启80端口
firwall-cmd --reload 重载防火墙
firewall-cmd --list-all 查看防火墙端口