安全加固课件

客户至上工匠精神安全加固讲师：吴晓平1客 户 至 上 工 匠 精 神安全加固 讲师：吴晓安全加固简介概述安全加固答疑交流安全加固分类详解安全加固实施流程安全加固实施流程p1p2p3p4p52安全加固简介概述安全加固答疑交流安全加固分类详解安全加固实施Chapter.1简介概述3Chapter.1简介概述3解决目标系统在安全评估中发现的技术性安全问题对系统性能进行优化配置，杜绝系统配置不当而出现的弱点安全加固1简介安全加固：是对信息系统中的主机系统（包含运行在主机上的各种软件系统）与网络设备的脆弱性进行分析并修补。另外，安全加固同时包括了对主机系统的身份鉴别与认证、访问控制和审计跟踪策略的增强。目的4解决目标系统在安全评估中发现的技术性安全问题安全加固1简 安全加固1原则u修补加固内容不能影响目标系统所承载的业务运行u修补加固不能严重影响目标系统的自身性能u修补加固操作不能影响与目标系统以及与之相连的其它系统的安全性，也不能造成性能的明显下降。5安全加固1原 则修补加固内容不能影响目标系统所承载的业务运行Chapter.2分类详解6Chapter.2分类详解6安全加固1Windows安全加固边界物理安全加固Web安全加固Linux安全加固安全加固7安 全 加 固1Windows安全加固边界物理安全加固WebWindows加固1账户及密码策略本地安全策略注册表安全补丁升级和病毒查杀SYN防护攻击禁用不必要的服务和组件WindowsWindows加固加固8Windows加固1账户及密码策略本地安全策略注册表安全补丁Windows加固1密码策略加固最小长度及修改时间密码中不得包含易猜测字符、数字密码策略满足复杂度需求必须包含大小字母、数字和特殊符号中三种或以上如常用单词（iloveu）、常用数字（520、12345678）、个人生日日期或者名字缩写最小长度为8位，且从安全的角度，建议使用一段时间后修改密码，且新密码不得为使用过的密码9Windows加固1密码策略加固最小长度及修改时间密码中不得Windows加固1设定账户锁定时间：30分钟设定账户锁定阈值：5次重置账户锁定计数器：30分钟之后账户锁定策略禁用guest账户更改administrator管理员默认名无用账户禁用及默认名更改账户策略加固账户策略加固10Windows加固1设定账户锁定时间：30分钟 Windows加固1开启审核策略1禁用自动播放3防止病毒木马程序利用自动播放进行自动运行开启屏幕保护2等待10分钟在恢复显示登录屏幕禁用本地共享4禁用本地默认共享:如C盘、D盘本地安全策略加固审核策略审核登录审核对象访问审核目录审核进程审核特权审核系统事件审核账户管理HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters11Windows 加 固1开启审核策略1禁用自动播放3防止病毒Windows加固添加文本添加文本添加文本添加文本添加文本添加文本添加文本添加文本添加文本标题通过注册表，用户可以轻易地添加、删除、修改windows系统内的软件配置信息或硬件驱动程序，这不仅方便了用户对系统软硬件的工作状态进行实时的调整。与此同时注册表也成为入侵者攻击的目标，通过注册表种植木马、修改软件信息，甚至删除、停用或改变硬件的工作状态。1注册表策略加固12Windows加固添加文本添加文本添加文本添加文本添加文本添Windows加固Windows加固1注册表策略加固=彻底隐藏文件及文件夹13Windows加固Windows加固1注册表策略加固=彻底注册表策略加固=系统启动项活动子项：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun添加开机自启动字符串：tiquan=设置自启动文件：tiquan.bat Windows加固114注册表策略加固=系统启动项 Windows加固114Windows加固1系统服务wscript.shell远程桌面共享ApplicationLayerGatewayService应用程序管理禁用不必要的系统组件及服务15Windows加固1系统服务wscript.shell远程桌Windows加固1防SYN洪水攻击防御手段防御手段关闭不必要的服务限制同时打开的SYN半连接数目缩短SYN半连接超时时间及时更新系统补丁通过注册表启动通过注册表启动SYN攻击攻击保护保护HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters找到SYNATTACKPROTECT键值项（没有的话新建即可），把默认的数值由“1”改为“2”，启动SYN攻击保护，从而实现抵御DoS攻击。16Windows加固1防SYN洪水攻击防御手段通过注册表启动SWindows加固1补丁升级和病毒查杀17Windows加固1补丁升级和病毒查杀17账户及密码策略网络系统服务系统安全设置认证授权Linux加固Linux安全加固Linux加固118账户及密码策略网络系统服务系统安全设置认证授权Linux Linux加固11.备份密码策略文件2.编辑密码策略文件3.配置密码策略项cp/etc/login/defs/etc/login/defs.savevi/etc/login.defsPASS_MAX_DAYS90(密码不过期的最多天数)PASS_MIN_DAYS0(密码修改之间的最小天数）PASS_MIN_LEN8(密码的最小长度)PASS_WARN_AGE7(密码失效前多少天开始告知用户)密码策略19Linux 加 固11.备份密码策略文件2.编辑密码策略文件Linux加固1用户账户策略20Linux 加 固1用户账户策略201网络系统服务n禁用不必要的服务n启用审计服务Linux加固211网络系统服务禁用不必要的服务启用审计服务 Linux 加1更改默认服务端口（22改为1024以上的高端口）2禁止root用户远程登录SSH345使用特定的白名单IP、用户，拒绝之外的非法IP、用户使用DSA公钥认证登录，不使用密码认证使用iptbales技巧来设定SSH锁定时间1SSH服务加固Linux加固拷贝/.ssh/id_dsa.pub中的内容到服务器1的/.ssh/authorized_keys文件中$chmod600/.ssh/authorized_keys221更改默认服务端口（22改为1024以上的高端口）2禁止roLinux加固1限制控制台的使用1系统关闭Ping回应2/etc/securetty文件3禁止IP源路径路由4/etc/host.conf文件5日志系统安全6资源限制7系统安全配置echo1/proc/sys/net/ipv4/icmp_echo_ignore_all23 Linux 加 固1限制控制台的使用1系统关闭Ping回Linux加固1找出系统中所有含s位的程序,把不必要得s位去掉,或者把根本不用的直接删除rootayazero/#chattr+i/etc/passwdrootayazero/#chattr+i/etc/shadowrootayazero/#chattr+i/etc/gshadowrootayazero/#chattr+i/etc/grouprootayazero/#chattr+i/etc/inetd.confrootayazero/#chattr+i/etc/httpd.confrootayazero/#find/-nouser-o-nogroup把重要文件加上不可改变属性找出系统中没有属主的文件rootayazero/#find/-typef(-perm-04000-o-perm-02000)-execls-lg;rootayazero/#chmoda-sfilename认证授权24 Linux 加 固1找出系统中所有含s位的程序,把不Web安全加固1常见web安全漏洞对应加固防御手段A1过滤危险注入字符A2设置严谨的会话认证管理A3输入清除过滤，输出编码转义A4验证对象，防止未授权对象访问A5启用合理安全的配置A6加密敏感信息，屏蔽错误提示A7严格把控访问控制权限A8使用token表单及表单参数隐藏A10避免使用重定向和转发A9选用安全最新稳定版本的组件25Web安全加固1常见web安全漏洞对应加固防御手段 AWeb安全加固1跨站脚本（XSS）实例用户Web程序攻击者1.用户登录3.用户打开攻击者的URL4.Web程序对攻击者的JS做出回应5.用户浏览器向攻击者发送用户会话信息2.攻击者将URL发送给用户6.攻击者劫持用户会话漏洞原理OWASP ESAPI编码库对用户输入数据进行合法性验证为COOKIE设置HttpOnly标记防御26Web安全加固1跨站脚本（XSS）实例用户Web程序攻击者1边界物理安全加固1物理隔离网闸入侵检测系统防火墙访问控制恶意流量过滤ACL规则检测恶意攻击事件可联动防火墙多种控制功能专用硬件物理上隔离、阻断了具有潜在攻击27边界物理安全加固1物理隔离网闸入侵检测系统防火墙访问控制检测Chapter.3实施流程28Chapter.3实施流程28加固实施流程1项目启动前期准备信息搜集与分析信息是否充分？加固计划制定审核通过？实施加固加固成功？效果检验项目验收未达到达到效果回退系统备份回退成功？灾难备份失败成功补充评估失败不充分通过29加固实施流程1项目启动前期准备信息搜集与分析信息是否充分？加Chapter.4风险规避30Chapter.4风险规避30风险规避1充分保障：系统加固之前，先对系统做完全备份加固时间选择：系统业务量最小，业务临时中断对外影响最小的时间段合理沟通：建立直接沟通的渠道，并在工程出现难题的过程中保持合理沟通。加固实施策略系统备份与恢复工程中合理沟通的保证31 风险规避1充分保障：加固时间选择：合理沟通：加固实施策略系风险规避1确定此次要加固的系统、系统重要等级、是否允许重启等制定详细加固策略在确保系统原配置已备份或记录的前期下，对系统进行加固操作安全加固注意事项在确保系统可接受当前加固的前提下，对系统进行加固操作监视系统加固过程，是否能正常工作32风险规避1确定此次要加固的系统、系统重要等级、是否允许重启等用户至上工匠精神Thank You33用户至上工匠精神Thank 33Chapter.5答疑交流34Chapter.5答疑交流34用户至上工匠精神Thank You35用户至上工匠精神Thank 35