安全加固PPT知识讲解

• 审核策略
• 审核进程
• 审核登录
• 审核特权
• 审核对象访问 • 审核系统事件
• 审核目录
• 审核账户管理
• 等待10分钟 • 在恢复显示登录屏幕
3 禁用自动播放
• 防止病毒木马程序利用自动播放进 行自动运行
4 禁用本地共享
禁用本地默认共享: 如C盘、D盘
1 Windows加固
注册表策略加固
通过注册表，用户可以轻易 地添加、删除、修改windows系 统内的软件配置信息或硬件驱动程 序， 这不仅方便了用户对系统软硬 件的工作状态进行实时的调整。
必须包含大小字母、数字和特殊 符号中三种或以上
密码 策略
最小长度及修改时间
最小长度为8位，且从安全的角 度，建议使用一段时间后修改密码， 且新密码不得为使用过的密码
密码中不得包含易猜 测字符、数字
如常用单词（iloveu）、常用数 字（520、12345678）、个人生 日日期或者名字缩写
1 Windows加固 账户策略加固
与此同时注册表也成为入侵者 攻击的目标，通过注册表种植木马、 修改软件信息，甚至删除、停用或 改变硬件的工作状态。
添加文 本
添加文 本
添加文 本
标题
1 Windows加固 注册表策略加固=》彻底隐藏文件及文件夹
1 Windows加固
• 注册表策略加固=》系统启动项 • 活动子项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run • 添加开机自启动字符串：tiquan=>设置自启动文件：tiquan.bat
客户至上 工匠精神
— 讲师：吴晓平
p1
p2
p3
p4
p5
安全加固 简介概述
安全加固 分类详解
安全加固 实施流程
安全加固 实施流程
安全加固 答疑交流
Chapter.1
简介概述
1
Βιβλιοθήκη Baidu
安全加固
简介
• 安全加固：是对信息系统中的主机系统（包含运行在主机上的各种 软件系统）与网络设备的脆弱性进行分析并修补。另外，安全加固 同时包括了对主机系统的身份鉴别与认证、访问控制和审计跟踪策 略的增强。
(密码不过期的最多天数) (密码修改之间的最小天数） (密码的最小长度) (密码失效前多少天开始告知用户)
1 Linux 加 固
用户账户策略
1 Linux 加 固
网络系统服务 禁用不必要的服务
启用审计服务
1 Linux 加 固
SSH服务加固
1
更改默认服务端口（22改为1024以上的高端口）
Chapter.2
分类详解
1
安全加固
Windows安全加固
Web安全加固
安全 加固
边界物理安全加固
Linux安全加固
1 Windows加固
账户及密码策略
禁用不必要的服务和组件
本地安全策略
Windows 加固
SYN防护攻击
注册表安全
补丁升级和病毒查杀
1 Windows加固 密码策略加固
满足复杂度需求
通过注册表启动SYN攻击 保护
HKEY_LOCAL_MACHINE\SYSTE M\CurrentControlSet\Services\Tcpip \Parameters 找到SYNATTACKPROTECT键值项 （没有的话新建即可），把默认的 数值由“1”改为“2”，启动SYN 攻击保护，从而实现抵御DoS攻击。
2 禁止root用户远程登录SSH
3
使用特定的白名单IP、用户，拒绝之外的非法IP、用户
4 使用DSA公钥认证登录，不使用密码认证
• 拷贝~/.ssh/id_dsa.pub中的内容到‘服务 5 使用iptbales技巧来设定SS器H锁1’定时的间~/.ssh/authorized_keys文件中
• ~$ chmod 600 ~/.ssh/authorized_keys
1 Windows加固
禁用不必要的系统组件及服务 • wscript.shell
• 远程桌面共享 • Application Layer Gate 系统服务 way Service • 应用程序管理
1 Windows加固
防SYN洪水攻击
防御手段
✓关闭不必要的服务 ✓限制同时打开的SYN半连接数目 ✓缩短SYN半连接超时时间 ✓及时更新系统补丁
认证授权
[root@ayazero /]# chattr +i /etc/passwd [root@ayazero /]# chattr +i /etc/shadow [root@ayazero /]# chattr +i /etc/gshadow [root@ayazero /]# chattr +i /etc/group [root@ayazero /]# chattr +i /etc/inetd.conf [root@ayazero /]# chattr +i /etc/httpd.conf
• 解决目标系统在安全评估中发现的技术性安全问题 • 对系统性能进行优化配置，杜绝系统配置不当而出现的弱点
目的
1
安全加固
修补加固内容不能影响目标系统所承载的业务运行 修补加固不能严重影响目标系统的自身性能
原则
修补加固操作不能影响与目标系统以及与之相连的其它系统的安全 性， 也不能造成性能的明显下降。
1 Windows加固
补丁升级和病毒查杀
1 Linux 加 固
Linux安全加固
1 Linux 加 固
密码策略
cp /etc/login/defs /etc/login/defs.save
vi /etc/login.defs
PASS_MAX_DAYS 90 PASS_MIN_DAYS 0 PASS_MIN_LEN 8 PASS_WARN_AGE 7
1 Linux 加 固
1 限制控制台的使用
4 禁止IP源路径路由
系统关闭Ping回应 2
5 /etc/host.conf文件
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
3 /etc/securetty文件
6 日志系统安全
7 资源限制
系统安全配置
1 Linux 加 固
账户锁定策略
• 设定账户锁定时间：30分钟 • 设定账户锁定阈值：5次 • 重置账户锁定计数器：30分钟之后
账户策略 加固
无用账户禁用及默认名更改
•禁用guest账户 •更改administrator管理员默认名
1 Windows 加 固
本地安全策略加固
1 2 HKEY_LOCA开L_启M审AC核H策IN略E\SYSTEM\CurrentControlSet\Se开rv启ic屏es幕\la保nm护anserver\parameters