操作系统安装部署安全指导方案

操作系统安装部署
安
全
指
导
方
案
二零零五年五月
深圳市安络科技有限公司文件
AnLuo S&T Inc. PROPRIETARY INFORMATION
本文档信息仅限于内部使用
软件：Microsoft word
深圳市安络科技有限公司
制档：谭志刚2005-5-12
技术文档
校对：
审核：
发行：
修订号签名日期页面尺寸文档号
第一次修订：
A4
第二次修订：
第三次修订：打印限制文档密级内部
第四次修订：可打印传输限制Internet/Intranet
目录
第一章前言 (4)
第二章安装部署的基本性指导原则 (4)
2.1 最小化的安装 (4)
2.2 高强度的帐号密码 (4)
2.3 必要的安全配置及优化措施 (5)
第三章典型操作系统的安装部署参考标准 (5)
Windows 系列（2000、XP、2003） (5)
安装步骤 (5)
基本安全配置及优化（参考） (5)
Linux/Unix系列 (10)
安装步骤 (10)
基本安全配置（参考） (11)
说明： (13)
附录------Windows服务详细介绍 (13)
第一章前言
操作系统是一个完整IT系统的运行基础，其安装部署是每一个IT系统都会经常、反复碰到的问题。

安装部署的效果，往往直接影响到整个IT系统的稳定、安全、有效以及后期的管理维护和使用。

但是在一个大的IT系统中，此类工作往往都是一个繁琐、重复并且耗时耗力的工作，而且很多时候，因为没有一个统一的标准及指导方案，其安装部署工作都是一个杂乱无序，混乱不堪的情况，给整个IT系统造成了极大的不稳定性和隐患，同时也增加了IT系统的运营管理成本。

因此，制定一个简捷有效可行的操作系统安全部署参考标准，对于一个运行稳定、管理良好的IT系统来说，是很有必要的。

第二章安装部署的基本性指导原则
所有操作系统，包括Windows、Linux、Unix，其安装部署都须遵循以下几个基本性的指导原则：
1、最小化的安装
2、高强度的帐号密码
3、必要的安全配置及优化措施
2.1 最小化的安装
应用与安全往往是同时出现的，多一种应用也就意味着您必须多承担一份风险。

因此操作系统的安装部署必须遵循安装最小化的原则。

最小化安装就是指根据当前安装的应用需求，采取最小化的安装，只安装系统必需和当前应用所需要的服务及软件，绝不进行多余安装。

包括以下两个方面：
⏹应用服务最小化
⏹软件安装最小化
具体请参考第三章的相关内容。

2.2 高强度的帐号密码
一直以来，帐号密码的安全问题都是安全界最为突出的安全问题，许多看似强壮安全的IT系统，最终都是失败于帐号口令这一点，这是由人们的一些习惯、思维定势所形成，比如说大多数人都喜欢用自己或亲人姓名、公司的名称来作为帐号，用生日、电话号码或一些简单常用、易记的数字或字母单词来作为密码，如果不予以强调及限制，所有人或多或少都会犯上述错误，因此必须对帐号及密码的使用进行必要的限制，以规范人的习惯。

具体请参考第三章的相关内容。

2.3 必要的安全配置及优化措施
任何操作系统，本身都带有许多安全配置及优化设置，但在默认安装下，存在着许多不安全的因素，因此在操作系统安装完成后，必须对它进行必要的安全配置及优化，并安装必要的安全软件及工具。

默认安装后，需要考虑的安全配置及优化措施主要包括以下几个方面：
✶帐号
✶权限
✶服务
✶共享
✶端口
✶策略
具体设置请参考第三章相关内容
第三章典型操作系统的安装部署参考标准Windows 系列（2000、XP、2003）
安装步骤
1、准备干净的操作系统安装盘。

2、准备操作系统目前所需的一些重要关键补丁（可以通过其它联网系统从互联
网获取），条件允许的话，也请刻录成光盘，或则通过安全局域网共享。

3、将要安装系统的机器断网，否责，没打过补丁的系统在配置新系统网络过程
中会很容易感染病毒!
4、开始进行安装
5、安装重要关键补丁，如Windows XP SP2、Windows 2000 SP4、Windows
2003SP1、以及一些恶性蠕虫补丁如冲击波补丁、振荡波补丁。

6、重启，进行联网网络配置
7、安装杀毒软件（最新病毒库）和其它需要的安全软件
8、开启Windows自动更新进行在线升级，打上所有补丁
9、安装其他软件及服务，进行安全配置及优化
基本安全配置及优化（参考）
1、帐号
✶停用无关帐号
尽量停用非必要帐号，激活的帐号要严格确定它的权限。

其中，一般的个人用户只需要保留administrator帐号以及自己添加的必要帐号；需要用到共享的，一些情况下需要激活guest帐号；服务器用户需激活相应帐号，如IIS服务器需激活对应的IUSR_XXXX（Internet来宾帐号）和IWAM_XXXX（IIS进程帐号）。

✶启用帐号策略
推存设置如下图
✶设置密码策略
推存设置如下图
2、权限
✶帐号权限
严格限制普通用户权限，原则上做什么事情所需要的最低权限是什么就赋予相应帐号什么样的权限。

✶文件访问权限
文件系统推存默认的权限设置，如下：
一些重要的文件夹、文件、应用程序如cmd、注册表、控制面板等，可以设定专门的权限。

3、服务
服务主要是需要对自启动服务进行设置
一般的联网机器的基本服务配置要求如下：
（注：若是固定IP,可停止DHCP Client 服务）
办公局域网用户（打印共享）还需增加以下服务：
服务器用户
根据提供服务的不同，需要在基础服务的配置下增加相应服务。

如IIS服务器需增加IISADMIN服务和W3SVC服务，telnet服务端需要增加telnet服务等。

注：以上参考服务设置只是基于在保证安全性的前提下满足一些基本应用，若有其他应用需求，请参考附件中的服务说明进行设置。

4、共享
共享在日常工作中可以带来很多便利，但很多时候，共享资源也是恶性蠕虫、黑客攻击传染的一个有效利用方式，因此对共享进行管理也是很有必要的。

要遵循两点：
✶不开放没有必要的共享
默认安装完成后，系统默认开有一些默认共享，若没有必要，请删除，如下图：
若没有必要，请停止上述共享（带$号的），需要注意的是，一些远程通讯（如远程安装等）需要用到IPC$和ADMIN$，在停止上述共享事请注意。

✶开放的共享资源，其权限设置要适当
5、端口
对于一些危险的端口，建议安装完成后进行阻塞。

可以通过Windows自带防火墙或者IPsec或者第三方软件协助完成
对于普通用户，建议阻塞如下常用风险端口：
21、23、25、80、110、445、1433、3389、
对于专业性服务器，请根据服务器情况开放相应端口后阻塞掉其它端口6、策略
完成默认安装后，推存进行如下策略设定：
本地安全策略------本地策略---------安全选项，修改如下设置：
交互式登录: 不显示上次的用户名已启用
设备: 只有本地登录的用户才能访问CD-ROM 已启用
设备: 只有本地登录的用户才能访问软盘已启用
审核: 对备份和还原权限的使用进行审核已启用
网络安全: LAN Manager身份验证级别仅发送NTLM 响应网络访问: 不允许SAM 帐户的匿名枚举已启用
网络访问: 不允许SAM 帐户和共享的匿名枚举已启用
本地安全策略------本地策略--------审核策略，作出如下修改：
Linux/Unix系列
安装步骤
Linux/Unix因其目前的威胁相对于windows来说要少很多，因此在安装过程中没有Windows安装时的那么多要求，基本是按照系统提示进行安装即可，安装完成后，需要根据需要，做一些相关安全性配置。

其大致安装步骤如下：
1、准备干净的操作系统安装盘。

2、按照系统提示完成安装
3、重启，进行网络等基本配置
4、为系统安装补丁更新包及软件工具包
5、相应的安全选项配置
基本安全配置（参考）
1、帐号
✶给root帐号设置一个高强度帐号口令；
✶增加新的普通权限帐号并设置复杂口令和赋予相应权限；
✶编辑login.defs文件，设定最小密码长度；
✶使用"/usr/sbin/authconfig"工具，打开密码的shadow支持功能；
✶建议设置禁止root帐号远程登陆；
✶建议取消普通用户的控制台访问权限；
✶建议编辑profile文件，设定系统管理员在离开系统之前忘记注销root 账户后系统自动注销的时间；
✶建议删除所有不用的缺省用户和组账户或者为他们设置相应口令；
✶建议给Bios设置密码，阻止别人试图用特殊的启动盘启动你的系统或者进入Bios改动其中的设置（比如允许通过软盘启动等）；
2、权限
⏹Linux/Unix默认安装后其文件系统的umask值为022,对应权限为文件属主具
有读写执行权限，同组用户和其他用户具有读和执行权限，请根据自己的实际情况的相应文件及目录的权限进行设置更改。

⏹禁止不使用的SUID/SGID程序，如果一个程序被设置成了SUID root，那
么普通用户就可以以root身份来运行这个程序。

网管应尽可能的少使用SUID/SGID程序，禁止所有不必要的SUID/SGID程序。

3、磁盘分区
/var分区是存放logfile以及系统变动文件的文件系统，因为它的易变化性，以及在系统运作过程中的不断扩大，所以不要把/var文件系统包括在root分区里，在安装时划分较小的独立的文件系统给/va，并挂接在/下，以免有恶意程序恶意扩大日志文件来dos根分区。

4、服务
⏹取消并反安装所有不用的服务
取消并反安装你所不需要的服务，这样你的担心就会少很多。

察看"/etc/inetd.conf"文件，通过注释取消所有你不需要的服务（在该服务项目之前加一个"#"），如ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth等等。

然后用"sighup"命令升级"inetd.conf"文件。

⏹为"/etc/inetd.conf"文件设定适当属主及权限
⏹使"/etc/services"文件免疫
使"/etc/services"文件免疫，防止未经许可的删除或添加服务：
[root@kapil /]# chattr +i /etc/services
5、启动关闭脚本
给执行或关闭启动时执行的程序的script文件设置权限。

[root@kapil/]#chmod-R700/etc/rc.d/init.d/*
这表示只有root才允许读、写、执行该目录下的script文件。

6、网络及网络访问控制
⏹TCP_WRAPPERS
使用TCP_WRAPPERS可以使你的系统安全面对外部入侵。

最好的策略就是阻止所有的主机（在"/etc/hosts.deny"文件中加入"ALL:ALL@ALL, PARANOID"），然后再在"/etc/hosts.allow"文件中加入所有允许访问的主机列表。

⏹修改"/etc/host.conf"文件
"/etc/host.conf"说明了如何解析地址。

编辑"/etc/host.conf"文件（vi /etc/host.conf），加入下面这行：
#Lookup names via DNS first then fall back to/etc/hosts.
order bind,hosts
#We have machines with multiple IP addresses.
multi on
#Check for IP address spoofing.
nospoof on
第一项设置首先通过DNS解析IP地址，然后通过hosts文件解析。

第二项设置检测是否"/etc/hosts"文件中的主机是否拥有多个IP地址（比如有多个以太口网卡）。

第三项设置说明要注意对本机未经许可的电子欺骗。

7、系统信息设置
⏹隐藏系统信息
在缺省情况下，当你登陆到linux系统，它会告诉你该linux发行版的名称、版本、内核版本、服务器的名称。

对于黑客来说这些信息足够它入侵你的系统了。

建议编辑"/etc/rc.d/rc.local"并且删除"/etc"目录下的""和"issue"
文件，只给它显示一个"login:"提示符。

⏹禁止系统信息暴露
当有人远程登陆时，禁止显示系统欢迎信息。

建议通过修改"/etc/inetd.conf"
文件来达到这个目的。

说明及注意事项：
以上基本安全配置建议仅仅是提供参考，具体情况需根据自己的实际应用需求及环境做出选择，相关配置的具体事项方法请参考相应资料，本文档仅仅是一份初始化安装安全配置参考文档。

此外，安装完成后，为了便于以后的维护及管理工作，还请做好如下几个工作：
⏹制作紧急启动盘
⏹系统初始化快照
⏹重要数据的备份
附录------Windows服务详细介绍
具体请参考附件中的Windows服务全攻略.chm文件。