|
轉自:計算機與網(wǎng)絡安全(ID:Computer-network) 作者:小白客
對于一臺服務器或者說計算機來說���,需要對運行在上面的操作系統(tǒng)做怎樣的安全加固操作才能保證服務器或者計算機的安全呢���?如何才能有效的降低被攻擊的風險? 為了達到安全的目的�,一般來說我們需要關注操作系統(tǒng)的八個方面: 補丁管理 > 賬號漏洞 > 授權管理 > 服務管理 > 功能優(yōu)化 > 文件管理 > 遠程訪問控制 > 日志審計
其中: 補丁管理 使用最新版的補丁,避免使系統(tǒng)存在已知的漏洞��,從而被攻擊者利用���。
賬號口令 梳理出系統(tǒng)中正在使用和存在的賬號和口令�,避免使用默認的賬號
密碼和脆弱的口令如123456���、admin等
授權管理
降低操作系統(tǒng)上的軟件的權限���,將權限降低到不影響軟件運行所需的最低權限�����,避免軟件因為擁有過高的權限而被有心人利用�。
服務管理
如果操作系統(tǒng)上如果運行著不需要的功能或者服務,盡量關閉。
功能優(yōu)化
對操作系統(tǒng)上的軟件進行安全優(yōu)化���,確保系統(tǒng)的安全性�����。
文件管理
配置好關鍵文件的權限����,比如說windows文件夾這種關鍵性的文件夾���,不應該允許被非管理員權限的用戶訪問�����。
遠程訪問控制
如果計算機上開啟了遠程訪問功能�,需要對訪問的人員進行限制����,比如說只允許某個ip或者某個網(wǎng)絡的人員能夠遠程登陸,其他的一律拒絕���。
日志審計
對于服務器來說����,應該要增強操作系統(tǒng)的日志功能,以防發(fā)生安全事件后可以追溯源頭�,提供保障。
這里就以windows系統(tǒng)為例�����,根據(jù)這八大方面的安全操作需要做的有:
加固要點 加固方法
|
| 補丁管理 | 補丁安裝 | 賬號口令 | 優(yōu)化賬號����、口令策略 | 授權管理 | 遠程關機、本地關機���、用戶權限分配��、授權賬號登陸���、授權賬號從網(wǎng)絡登陸 | 功能優(yōu)化 | 屏幕保護、禁止系統(tǒng)自動登錄���、隱藏最后的登錄名�����、關閉windows 自動播放功能 | 服務管理 | 優(yōu)化服務�����、關閉共享 | 文件系統(tǒng) | 使用NTFS�、檢查everyone權限����、限制命令權限 | 遠程訪問控制 | 網(wǎng)絡限制、遠程連接掛起 | 日志審核 | 增強日志����、增強審核 |
接下來,以一臺windows 2003服務器為例���,為大家講解如何進行加固操作���。 一、補丁管理
補丁安裝
檢查方法���,在這里小白介紹三種檢查補丁的方法
第一種�����,查看系統(tǒng)中已安裝的補丁包�,不過這種方法比較繁瑣,容易遺漏未安裝的補丁包���,需要時時關注官方補丁包何時更新��。
相關命令(cmd窗口):
systeminfo
第一步:點擊 開始-運行����,在運行輸入框處輸入cmd命令
第二步:在cmd命令行窗口下輸入systeminfo命令
按下回車之后我們可以看到系統(tǒng)的詳細信息��,網(wǎng)下來���,有一行寫著修補程序這里就可以就看到我們打了多少補丁���。可以看到��,由于小白的這臺windows 2003是新裝的��,只有一個補丁�,顯然有非常多的漏洞需要處理。 
第二種���,使用安全掃描工具對系統(tǒng)進行掃描�����,根據(jù)掃描出來的漏洞進行修復�。小白強烈建議大家使用NESSUS進行掃描���,然后根據(jù)NESSUS給出的建議進行修復����,這樣工作量就會減輕不少�����,這里小白就不多贅述了����,還不知道NESSUS的用法的同學可以參考我之前的文章。 
第三種���,安裝使用微軟安全基準分析器Microsoft Baseline Security Analyzer掃描漏洞�����。這個分析器是微軟自家的東西���,是專門用來對windows系列系統(tǒng)進行補丁情況掃描的一款分析器���,省去了我們很多的麻煩,是三種方法中相對便捷的做法�。 
加固方法
加固的方法根據(jù)計算機所在環(huán)境的不同,加固的方式也不同�����。
比如說在內網(wǎng)環(huán)境,服務器被要求不允許訪問公網(wǎng)。這個時候打補丁的方式有兩種:一種是根據(jù)現(xiàn)在服務器中存在的補丁情況或者漏洞掃描結果到微軟的官網(wǎng)手動下載補丁包安裝���。還有一種就是在內網(wǎng)建立一臺專門的存放補丁的服務器(WSUS)��,且這臺補丁服務器可以連接公網(wǎng)��,能夠自動從微軟官網(wǎng)中下載最新的補丁安裝包�����。需要打補丁的服務器通過建立的補丁服務器安裝更新。 
如果說服務器能夠上網(wǎng)�,這就很簡單了,只要在服務器上面把自動更新的功能勾選上就ok了�����。打開自動更新的方法:我的電腦-屬性-自動更新�,選擇自動(推薦)���。
二��、賬號口令
賬號優(yōu)化 賬號優(yōu)化的目的是為了減少系統(tǒng)中的無用賬號��,降低系統(tǒng)的風險�����。 檢查方法
第一步�����,點擊 開始-運行�����,在運行窗口中輸入compmgmt.msc命令����,打開計算機管理窗口。相關命令(運行窗口)
compmgmt.msc
第二步����,以此展開 系統(tǒng)工具-本地用戶和組-用戶,確保右邊框中Guest處于被停用狀態(tài)(紅叉)�����。 
#加固方法
假設存在一個無用的賬戶xiaobaike���,并且啟用了guest賬號��。這時候就需要刪除無用的賬號xiaobaike��,并且停用guest����。相關命令(cmd窗口):
刪除用戶:net user 用戶名 /del
停用用戶:net user 用戶名 /active:no
使用命令進行刪除停用:
口令策略
設置口令策略的目的是為了增強口令的復雜度及鎖定策略等�����,強制用戶使用強口令,防止用戶設置弱口令����,降低被暴力破解的可能性。 加固方法 第一步�����,點擊 開始-運行����,在運行處輸入secpol.msc打開本地安全策略窗口,相關命令(運行窗口): secpol.msc
第二步��,打開 賬戶策略-密碼策略
設置如下:
密碼必須符合復雜性要求:啟用
密碼長度最小值:8個字符
密碼最長使用期限:90天
密碼最短使用期限:0天
強制密碼歷史:5個記住密碼
用可還原的加密來存儲密碼:已禁用
第三步���,打開 賬戶策略-賬戶鎖定策略,設置如下:
復位帳戶鎖定計數(shù)器:30分鐘 帳戶鎖定時間:30分鐘
帳戶鎖定閥值:5次無效登錄(必須先設置這一項)
第四步����,打開 本地策略-安全選項設置如下:
交互式登錄:不顯示上次的用戶名:啟用
第五步,在cmd窗口下輸入gpupdate /force命令強制策略生效����,相關命令(cmd窗口): gpupdate /force
三、賬號授權
1.遠程關機 在這里我們需要設置只允許管理員可以通過遠程進行關機操作,不允許其他用戶進行關機操作����,尤其是如果安裝了某些軟件,軟件自動創(chuàng)建的用戶可能擁有關機的權限��,應該屬于禁止的范疇內���。 *檢查與加固方法
第一步�,開始-運行�,在運行輸入框處輸入secpol.msc命令,打開本地安全設置����。
相關命令(運行窗口)
第二步,點開 安全設置-用戶權限分配���,在右邊找到“從遠程系統(tǒng)強制關機”設置�,查看是不是只指派給administrators用戶組�。
如果有多個用戶和組,請刪除��。 2.本地關機 不止是遠程關機�����,本地關機也應該禁止除了管理員以外的用戶進行關機這樣的危險操作,防止給業(yè)務造成不必要的損失�。 *檢查與加固方法 還是在同樣的地方,在右邊找到“關閉系統(tǒng)”設置�����,查看����,是不是只指派給administrators用戶組。
3.權限分配 一般來說我們部署業(yè)務和應用的時候����,應該遵循的是最小權限的原則,能夠不用到管理員權限就盡量不用到���,盡量使用普通權限用戶部署。這樣�����,即使黑客入侵到了我們的服務器�,也并不會得到太大的權限�,將損失降低到最小�。 所以,在這里設置權限分配的目的就是為了讓普通用戶的權限盡可能的低����,除了管理員之外,其他賬號均不能取得文件的所有權�。 *檢查與加固方法 第一步,開始-運行����,在運行輸入框處輸入secpol.msc命令,打開本地安全設置���。
相關命令(運行窗口)
第二步�����,點開 安全設置-用戶權限分配��,在右邊找到“取得文件或者其它對象的所有權”設置�����,查看是不是只指派給administrators用戶組����。
4.授權賬號登陸 授權賬號登陸的意思是允許哪些賬號可以登錄系統(tǒng)。比如說如果計算機上面有安裝apache�����、mysql等�����,這些軟件在安裝的過程中都會默認創(chuàng)建一個系統(tǒng)賬號�����,這一步設置的目的也是為了不允許這些非管理員創(chuàng)建的賬號登陸系統(tǒng)��,防止被黑客利用����。 *檢查與加固方法 第一步,開始-運行�����,在運行輸入框處輸入secpol.msc命令����,打開本地安全設置。
相關命令(運行窗口)
第二步�����,點開 安全設置-用戶權限分配�����,在右邊找到“允許本地登錄”設置���,查看是不是為授權的賬號����。
如果存在其它可以用戶或用戶組���,請刪除�����。 5.授權賬號從網(wǎng)絡訪問 這里設置的是哪些賬號可以通過遠程登陸的方式訪問我們的計算機����。如果在這里,我有一個xiaobaike的賬號�����,但是我不想要讓這個賬號能夠遠程登陸如果xiaobaike這個賬號出現(xiàn)在這個策略列表中�,那就顯得很奇怪的。如果發(fā)現(xiàn)�,請刪除。 *檢查與加固方法 第一步��,開始-運行�����,在運行輸入框處輸入secpol.msc命令�����,打開本地安全設置�。
相關命令(運行窗口)
第二步,點開 安全設置-用戶權限分配����,在右邊找到“從網(wǎng)絡訪問此計算機”設置,查看是不是為授權的賬號。
上圖發(fā)現(xiàn)列表中存在Everyone這個用戶����,表示任何人都可以通過遠程登陸的方式登陸你的計算機���,這相當?shù)奈kU����。就像前面小白介紹的《一次完整的攻擊行為》這篇文章���,最后就是通過新創(chuàng)建一個賬號登陸了計算機���。所以除非必要,請刪除everyone這個賬號�!
第三步,在cmd命令行界面中輸入gpupdate /force命令�����,使設置立即生效��。
相關命令(cmd窗口)
四�、系統(tǒng)優(yōu)化 1.設置屏幕保護
有的時候,攻擊者不一定要從網(wǎng)絡上攻擊你的計算機,也可能趁著你離開時時候操控你的計算機�����,偷取存在你計算機上面的重要資料���!所以小白在這里提醒大家�,離開的時候電腦要鎖屏����!鎖屏!鎖屏�����!重要的話說三遍
然而�,百密也有疏忽的一天,假設某天突然忘記了�����,計算機被人動了����,咋辦��?小白這里有一個辦法�,就是設置屏幕保護程序���,并且設置屏幕保護程序的同時設置“在恢復時使用密碼保護”,增加保護措施�����。
*檢查與加固方法
進入“控制面板->外觀和個性化->個性化->更改屏幕保護程序”:查看是否啟用屏幕保護程序��,設置等待時間為“10分鐘”�����,是否啟用“在恢復時使用密碼保護”
2.禁止系統(tǒng)自動登錄
同剛在防止電腦在你離開時被別人亂動的例子��,在這里設置第三重保護措施�����。設置當系統(tǒng)自動休眠后���,激活的時候需要輸入密碼才能繼續(xù)使用��。
*檢查與加固方法
第一步��,點擊 開始-運行�����,在運行輸入框處輸入cotrol userpasswords2命令�,進入用戶賬戶設置,相關命令(運行窗口)
第二步����,勾選“要是用本地,用戶必須輸入用戶名和密碼”復選框
3.隱藏最后一次登錄名
不知道大家有沒有注意到一點����,我們平時在使用計算機的時候,如果登陸過一次這臺計算機�����,系統(tǒng)就會默認顯示最后一次的登陸名���。其實這是一個很不好的點���,尤其是當攻擊者嘗試登陸的時候�,他可以一下子就看到你系統(tǒng)的登錄名�����。這時候他只要寫一個爆破密碼的小腳本�����,那么他入侵你計算機的可能性就大大增加�����。
*檢查與加固方法
第一步���,點擊 開始-運行,在運行輸入框處輸入secpol.msc命令�,打開本地安全設置。
第二步�����,點開 安全設置-本地策略-安全選項���,在右邊找到“交互式登錄:不顯示最后的用戶名” 查看設置是否處于已啟用狀態(tài)���,如果沒有���,請啟用。
4.關閉windows自動播放功能
這個地方非常的重要���,為什么呢�����?windows默認如果系統(tǒng)檢測到存在新的設備����,它會去自動運行這個設備��。假設如果我們打開了自動播放功能��,當攻擊者插入一個帶有惡意病毒的U盤時�,windows就會自動的執(zhí)行這個U盤上面的病毒,從而使我們的計算機處于非常危險的狀態(tài)�����,所以必須要關閉windows的自動播放功能��。
*檢查與加固方法
第一步,點擊 開始-運行���,在運行輸入框處輸入gpedit.msc命令���,打開組策略編輯器
第二步,在的出現(xiàn)“組策略”窗口中依次選擇 計算機配置-管理模板-系統(tǒng)����,右邊找到 “關閉自動播放”,雙擊�����,查看是否設置“已啟用”
第三步���,在cmd命令行界面中輸入gpupdate /force命令,使設置立即生效�����。
五����、服務管理
1.優(yōu)化管理 關閉windows上不需要的服務�����,減小風險�。在這里��,小白建建議將以下服務停止�����,并將啟動方式修改為手動: DHCP ClientMessengerRemote RegistryPrint Spooler(不使用打印可以關閉)Server(不使用文件共享可以關閉)Simple TCP/IP ServiceSimple Mail Transport Protocol (SMTP)SNMP ServiceTask ScheduleTCP/IP NetBIOS Helper 關閉的方法: 第一步����,點擊 開始-運行,在運行輸入框處輸入services.msc命令�����,打開服務管理器����,相關命令(運行窗口)
第二步,將不需要使用的服務關閉���,并設置為手動��。
2.關閉共享 默認情況下���,計算機的磁盤是默認開啟共享的���,如果配合windows特有的IPC$空鏈接的話,攻擊者是可以不需要賬戶名密碼就可以竊取你計算機上的資料的(后面的文章中小白會有介紹) 所以在這里�����,我們要做的就是關閉計算機系統(tǒng)中各個磁盤的共享 *檢查與加固方法 第一步���,點擊 開始-運行����,在運行輸入框處輸入regedit命令����,打開注冊表編輯器����。
第二步,依次打開
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
在右邊新建-DWORD����,名字為 AutoShareServer�,雙擊設置鍵值為0��。
六�、遠程訪問控制
1.網(wǎng)絡限制 遠程訪問計算機的形式肯定不止通過遠程連接你的計算機這一種方法,還有遠程連接共享文件夾�����、遠程連接磁盤��、遠程連接控制器��,遠程連接cmd命令行等等�。尤其是遠程連接控制臺,windows是可以不需要密碼就可以遠程連接控制臺的��,十分危險�。 接下來,我們需要做額外的網(wǎng)絡限制來保障我們的系統(tǒng)安全�。
*檢查與加固方法 第一步,點擊 開始-運行��,在運行輸入框中輸入secpol.msc打開 本地安全設置
第二步,依次點開 安全設置-本地策略-安全選項����,檢查右邊的下列項
網(wǎng)絡訪問: 不允許 SAM 帳戶的匿名枚舉:已啟用 網(wǎng)絡訪問: 不允許 SAM 帳戶和共享的匿名枚舉:已啟用 網(wǎng)絡訪問: 將 everyone權限應用于匿名用戶:已禁用 帳戶: 使用空密碼的本地帳戶只允許進行控制臺登錄:已啟用
第三步,在cmd命令行界面中輸入gpupdate /force命令��,使設置立即生效��。
七�、文件系統(tǒng) 1.使用NTFS文件系統(tǒng) *檢查與加固方法 第一步,右鍵磁盤��,選擇屬性���,查看是否為NTFS
第二步�,如果不是���,可以用以下命令轉換(無需格式化)�,也適用于U盤的文件系統(tǒng)轉換���。轉換命令(cmd窗口)
convert <驅動器盤符>: /fs:ntfs
2.檢查everyone的權限
為了系統(tǒng)的安全性,everyone不應該擁有磁盤的所有權
*檢查和加固方法
第一步����,選擇磁盤-屬性-安全�����,檢查everyone用戶是否有所有權
第二步���,刪除Everyone的權限或者取消Everyone的寫權限
3.命令權限限制
除了system和administrators組和必要的組以外,不讓其他用戶執(zhí)行以下特殊命令:
cmd.exe���、regsvr32.exe�、tftp.exe��、ftp.exe����、telnet.exe、net.exe����、net1.exe、cscript.exe���、wscript.exeregedit.exe���、regedt32.exe�、cacls.exe�、command.com、at.exe *檢查與加固方法 第一步���,打開 我的電腦-c:/windows/system32文件夾找到
cmd.exe��、regsvr32.exe�����、tftp.exe����、ftp.exe����、telnet.exe、net.exe����、net1.exe、cscript.exe����、wscript.exeregedit.exe、regedt32.exe�����、cacls.exe����、command.com、at.exe
第二步�,點擊屬性-安全,查看哪些用戶擁有執(zhí)行權限�����。
如果有其他無關組��,請刪除���。
八�����、日志審核
1.增強日志
在這里設置增大日志量的大小���,避免因為容量太小而日志記錄記錄不全�,發(fā)生緊急事情時無法找到對應日志�����。 *檢查與加固方法 第一步��,點擊 開始-運行�����,在運行輸入框處輸入eventvwr.msc 命令���,打開 事件查看器���。相關命令(運行窗口)
第二步,分別查看“應用程序”���、“安全”���、“系統(tǒng)”的屬性
第三步,根據(jù)需要設置日志大小上限
2.增強審核
對系統(tǒng)事件進行審核�����,在日后出現(xiàn)故障時用于排查故障
*檢查與加固
第一步,點擊 開始-運行���,在運行輸入框中輸入secpol.msc命令,打開本地安全設置��。
第二步�,以此點 安全設置-本地策略-審核策略,在右邊設置如下
審核策略更改:成功��,失敗 審核對象訪問:成功����,失敗 審核系統(tǒng)事件:成功,失敗 審核帳戶登錄事件:成功����,失敗 審核帳戶管理:成功,失敗 審核登錄事件:成功��,失敗 審核過程跟蹤:成功�,失敗 審核目錄服務訪問:成功,失敗 審核特權使用:成功��,失敗
第三步,在cmd命令行界面中輸入gpupdate /force命令��,使設置立即生效���。
|
