安全基线加固

安全基线，是借用“基线”的概念，表达了最基本需要满足的即最低限度的安全要求。

安全基线核查

基线核查是安全基线配置核查（或检查)的简称，一般指根据配置基线(不同行业及组织具有不同安全配置基线要求)要求对IT设备的安全配置进行核实检查，以发现薄弱或未满足要求的配置。

基线检查对象

注意在任何基线相关管理过程中，都需要优先统计出资产的数量、类型

• 硬件资产
  – 网络设备
  路由器、网关、交换机等
  – 计算机设备
  大型机、服务器（含操作系统）、工作站台式计算机、移动计算机等
  – 安全设备
  防火墙、入侵检测系统、上网行为管理等
• 软件资产
  – 系统软件
  Windows、Linux等操作系统
  – 应用软件
  一般指数据库、中间件等重要系统软件

基线检查维度

不论是对硬件或软件，基线核查都有通用的维度，主要包含以下方面：
1、访问控制

• 用户权限管理
• 用户口令管理，重命名默认用户，修改默认口令
• 删除或停用不必要的账号，避免共享账号
• 用户最小权限，权限分离
• 访问控制颗粒度，进程、文件、数据库表
• 敏感信息安全标记

2、授权管理

• 各应用系统、设备的用户管理（用户及权限评审、密码管理)
• 登录失败处理（账号锁定、超时退出)
• 远程管理链路要加密(https ssh rdp)
• 双因素验证

3、入侵防范

• 设备和系统的最小安装原则
• 端口服务默认关闭
• 设备管理时需要设置允许管理范围
• 系统和设备的漏洞管理
• 对重要节点和设备自身的入侵检测

4、日志审计

• 所有设备和系统是否开启安全审计
• 审计包含用户、时间、事件类型、事件成功等
• 审计记录定期备份 审计进程的保护
• 审计设备的时钟统一
• 应用上的用户行为审计

5、资源管理

• 限制单用户的对资源和进程的使用
• 重要节点设备的冗余
• 重要节点的监控，CPU内存硬盘 重要节点的服务性能检测
• 应用闲置时，自动结束会话
• 业务系统或中间件的最大会话数限制
• 单用户的会话限制
• 进程所占用资源的限制

基线检查方式

• 人工检查
• 自动化系统检查

优点：工作量小，速度快

缺点：可能造成未知影响

原理：

• 在目标系统上安装代理agent ，对操作系统、应用软件适用，但对封装成型的硬件设备不适用
• 编写脚本运行，手动或自动运行,收集运行结果
• 提供目标系统账号，由专用平台扫描检测

安全基线核查清单

Linux/Unix

• 无用用户/用户组检查
• 空口令帐号检查
• 用户密码策略

/etc/login.defs
/etc/pam.d/system-auth

• 敏感文件权限配置

/etc/passwd
/etc/shadow
~/.ssh/
/var/log/messages
/var/log/secure
/var/log/maillog
/var/log/cron
/var/log/spooler
/var/log/boot.log

• 日志是否打开
• 及时安装补丁
• 开机自启

/etc/init.d

• 检查系统时钟

Windows

• 异常进程监控
• 异常启动项监控
• 异常服务监控
• 配置系统日志
• 用户账户
• 设置口令有效期
• 设置口令强度限制
• 设置口令重试次数
• 安装EMET
• 启用PowerShell日志
• 限制以下敏感文件的下载和执行

ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh, exe, pif

• 限制会调起wscript的后缀

bat, js, jse, vbe, vbs, wsf, wsh

• 域
• 限制将计算机加入域的权限
• 域账户使用最小权限原则
• 减少非必要高权限账户的数量

Web中间件

• Apache

  • 版本号隐藏
  • 版本是否最新
  • 禁用部分HTTP动词
  • 关闭Trace
  • 禁止 server-status
  • 上传文件大小限制
  • 目录权限设置
  • 是否允许路由重写
  • 是否允许列目录
  • 日志配置
  • 配置超时时间防DoS
  • 非属主用户文件读写限制
    • httpd.conf
    • access.log
    • error.log

• Nginx

  • 禁用部分HTTP动词
  • 禁用目录遍历
  • 检查重定向配置
  • 配置超时时间防DoS

• IIS

  • 版本是否最新
  • 日志配置
  • 用户口令配置
  • ASP.NET功能配置
  • 配置超时时间防DoS

• JBoss

  • jmx console配置
  • web console配置

• Tomcat

  • 禁用部分HTTP动词
  • 禁止列目录
  • 禁止manager功能
  • 用户密码配置
  • 用户权限配置
  • 配置超时时间防DoS

应用

• FTP

  • 禁止匿名登录
  • 修改Banner

• SSH

  • 是否禁用ROOT登录
  • 是否禁用密码连接

• MySQL

  • 文件写权限设置
  • 用户授权表管理
  • 日志是否启用
  • 版本是否最新

网络安全设备

• 及时检查系统版本号
• 敏感服务设置访问IP/MAC白名单
• 开启权限分级控制
• 关闭不必要的服务
• 打开操作日志
• 配置异常告警
• 关闭ICMP回应