中國移動(dòng)安全安全加固培訓(xùn)材料_第1頁
中國移動(dòng)安全安全加固培訓(xùn)材料_第2頁
中國移動(dòng)安全安全加固培訓(xùn)材料_第3頁
中國移動(dòng)安全安全加固培訓(xùn)材料_第4頁
中國移動(dòng)安全安全加固培訓(xùn)材料_第5頁
已閱讀5頁,還剩53頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

系統(tǒng)安全加固

培訓(xùn)要求:該課程主要介紹系統(tǒng)通用的安全加固方案和方法培訓(xùn)對象:面向安全管理人員、安全技術(shù)人員、系統(tǒng)維護(hù)人員、共3類人員培訓(xùn)時(shí)間:1小時(shí)左右培訓(xùn)側(cè)重點(diǎn):本教材側(cè)重點(diǎn)為安全技術(shù)人員和系統(tǒng)維護(hù)人員目錄理解安全加固安全加固安全加固一、安全加固的概念風(fēng)險(xiǎn)、脆弱性如何定義“安全”?硬件+軟件=預(yù)期的結(jié)果硬件+軟件≠預(yù)期的結(jié)果如何定義更全面的“安全”?人+硬件+軟件=預(yù)期的結(jié)果人+硬件+軟件≠預(yù)期的結(jié)果二、安全加固的目標(biāo)目標(biāo)我們的目標(biāo)是降低風(fēng)險(xiǎn)三、安全加固對象對象所有可能產(chǎn)生脆弱性的東西四、安全加固的原則加固原則風(fēng)險(xiǎn)最大化不要忽視掃描報(bào)告和檢查結(jié)果中的任何一個(gè)細(xì)節(jié),將任何潛在隱患以最大化的方式展現(xiàn)威脅最小化威脅難以被徹底消除,因?yàn)樗莿?dòng)態(tài)的,我們只能將其降低至可接受的程度五、安全加固的流程一般流程確認(rèn)加固的要求(安全基線)安全檢查(手工檢查或者基線設(shè)備檢查)加固前的交流(和業(yè)務(wù)負(fù)責(zé)人交流)加固實(shí)施過程(重要系統(tǒng)需要先在備機(jī)上測試)加固完成及成果輸出(方便發(fā)生問題時(shí)回退)目錄理解安全加固安全加固安全加固通用安全加固方案補(bǔ)丁及防護(hù)軟件系統(tǒng)服務(wù)安全策略日志與審核策略用戶與文件系統(tǒng)安全增強(qiáng)補(bǔ)丁檢查系統(tǒng)補(bǔ)丁安裝情況命令行執(zhí)行,查看系統(tǒng)已經(jīng)安裝的補(bǔ)丁列表

補(bǔ)丁更新手動(dòng)安裝:使用訪問,按提示安裝必要的控件后,按提示安裝補(bǔ)丁開始–控制面板–自動(dòng)更新,在自動(dòng)更新面板中選中自動(dòng)(建議)(U),然后根據(jù)個(gè)人需求設(shè)置升級時(shí)間防護(hù)軟件安裝殺毒軟件并保持病毒庫更新

防火墻對于防火墻軟件,建議屏蔽以下端口:135139445通用安全加固方案補(bǔ)丁及防護(hù)軟件系統(tǒng)服務(wù)安全策略日志與審核策略用戶與文件系統(tǒng)安全增強(qiáng)系統(tǒng)服務(wù)查看系統(tǒng)服務(wù)執(zhí)行,檢查啟動(dòng)類型為自動(dòng)的服務(wù)關(guān)閉非必需的服務(wù)建議關(guān)閉一下服務(wù):

關(guān)閉方法:雙擊需要關(guān)閉的服務(wù),將啟動(dòng)類型設(shè)置為禁用,點(diǎn)擊停止按鈕以停止當(dāng)前正在運(yùn)行的服務(wù)服務(wù)修改的字符串為什么要修改的字符串?它會泄露什么?通過服務(wù),遠(yuǎn)程惡意用戶可以列舉本地的帳號、帳號組、運(yùn)行的進(jìn)程、安裝的補(bǔ)丁和軟件等敏感信息,禁用或修改配置可以有效防止遠(yuǎn)程惡意用戶的這類行為。攻擊工具:1.1.1.10.1.3.6......服務(wù)與進(jìn)程服務(wù)加固方法:為修改團(tuán)體名限制遠(yuǎn)程主機(jī)對的訪問關(guān)閉自動(dòng)播放功能關(guān)閉所有驅(qū)動(dòng)器的自動(dòng)播放功能點(diǎn)擊開始→運(yùn)行→輸入,打開組策略編輯器,瀏覽到計(jì)算機(jī)配置→管理模板→系統(tǒng),在右邊窗格中雙擊“關(guān)閉自動(dòng)播放”,對話框中選擇所有驅(qū)動(dòng)器,確定即可。

通用安全加固方案補(bǔ)丁及防護(hù)軟件系統(tǒng)服務(wù)安全策略日志與審核策略用戶與文件系統(tǒng)安全增強(qiáng)密碼策略密碼策略長度7≤2000≤12714≥9X≈0期限定期修改密碼復(fù)雜性0^大小寫數(shù)字特殊字符密碼策略加固要點(diǎn)密碼策略:開始→運(yùn)行→計(jì)算機(jī)配置→設(shè)置→安全設(shè)置→帳戶策略→帳戶鎖定策略->密碼策略”:帳戶鎖定策略用戶權(quán)利指派檢查用戶權(quán)限策略是否設(shè)置:開始→運(yùn)行→計(jì)算機(jī)配置→設(shè)置→安全設(shè)置→本地策略→用戶權(quán)利指派本地安全策略配置檢查本地安全策略配置:開始→運(yùn)行→計(jì)算機(jī)配置→設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)通用安全加固方案補(bǔ)丁及防護(hù)軟件系統(tǒng)服務(wù)安全策略日志與審核策略用戶與文件系統(tǒng)安全增強(qiáng)日志和審核策略審核了解審核策略審核策略并不完整很多審核內(nèi)容默認(rèn)未開啟只有在磁盤上才能開啟對象訪問審核,日志量較大步驟打開審核策略編輯審核對象的審核項(xiàng)日志和審核策略審核打開審核策略要做什么審核?要審核什么?位置:–計(jì)算機(jī)配置–設(shè)置–安全設(shè)置–審核設(shè)置12日志和審核策略審核查看審核日志(事件查看器)通用安全加固方案補(bǔ)丁及防護(hù)軟件系統(tǒng)服務(wù)安全策略日志與審核策略用戶與文件系統(tǒng)安全增強(qiáng)文件系統(tǒng)文件系統(tǒng)1632將卷轉(zhuǎn)換成C:用戶用戶和組特殊的組、、……可通過命令打印特殊的用戶、可通過命令打印隱藏帳號$用戶加固要點(diǎn)檢查用戶克隆隱藏清除用戶未使用的未知的鎖定用戶設(shè)置重要文件權(quán)限權(quán)限前提(關(guān)鍵字)設(shè)置重要文件權(quán)限權(quán)限(訪問控制列表)包含了用戶帳戶和訪問對象之間許可關(guān)系由四個(gè)權(quán)限項(xiàng)組成的權(quán)限項(xiàng)集(即,)設(shè)置重要文件權(quán)限權(quán)限(訪問控制項(xiàng))中包含訪問控制條目設(shè)置重要文件權(quán)限加密和壓縮設(shè)置重要文件權(quán)限審核編輯審核對象的審核項(xiàng)123設(shè)置重要文件權(quán)限加固要點(diǎn)目錄及文件的權(quán)限查找具有的權(quán)限項(xiàng)重要對象的審核策略

>>()|""通用安全加固方案補(bǔ)丁及防護(hù)軟件系統(tǒng)服務(wù)安全策略日志與審核策略用戶與文件系統(tǒng)安全增強(qiáng)安全增強(qiáng)刪除匿名用戶空連接注冊表如下鍵值:\\\\將的值設(shè)置為1,若該值不存在,可以自己創(chuàng)建,類型為,修改完成后重新啟動(dòng)系統(tǒng)生效刪除默認(rèn)共享注冊表如下鍵值:\\\\\將設(shè)置為0,若不存在,可創(chuàng)建,類型為修改完成后重新啟動(dòng)系統(tǒng)生效

目錄理解安全加固安全加固安全加固通用安全加固方案帳號文件權(quán)限服務(wù)日志審計(jì)系統(tǒng)狀態(tài)帳號安全帳號,檢查

檢查是否存在除外=0的用戶檢查是否存在弱口令鎖定不使用的帳戶(–l)檢查用戶環(huán)境變量設(shè)置帳號超時(shí)注銷(增加600)

帳號安全限制遠(yuǎn)程登錄:

文件中配置:=01通用安全加固方案帳號文件權(quán)限服務(wù)日志審計(jì)系統(tǒng)狀態(tài)檢查是否包含值

[5]#0022[5]#1[5]#1102607:171(644)[5]#0066[5]#2[5]#2102607:182(600)[5]#0[5]#0000[5]#3[5]#3102607:253(666)文件權(quán)限文件權(quán)限–l[5]#44240962605:241160693009:17

7444000 2000 1000 粘住位0400 所有者可讀0200 所有者可寫0100 所有者可執(zhí)行0040 所在組可讀0020 所在組可寫0010 所在組可執(zhí)行0004 其他用戶可讀0002 其他用戶可寫0001 其他用戶可執(zhí)行0744 結(jié)果文件權(quán)限檢查重要目錄和文件的權(quán)限設(shè)置–l750*

查找系統(tǒng)中所有的和程序通用安全加固方案帳號文件權(quán)限服務(wù)日志審計(jì)系統(tǒng)狀態(tài)系統(tǒng)服務(wù)守護(hù)進(jìn)程與服務(wù)的區(qū)別守護(hù)進(jìn)程進(jìn)程的一種特殊狀態(tài)不綁定至任何父進(jìn)程是服務(wù)相對守護(hù)進(jìn)程,“服務(wù)”的概念更為抽象為用戶提供一種功能的應(yīng)用可能包含一個(gè)或多個(gè)守護(hù)進(jìn)程例服務(wù)名:進(jìn)程名:系統(tǒng)服務(wù)一些輕量級的服務(wù),由集中處理已不能滿足現(xiàn)狀#6666……………………系統(tǒng)服務(wù)加固要點(diǎn)服務(wù)→進(jìn)程→端口;;停止不必要的服務(wù)停止不必要的服務(wù)388388388配置安全配置如果打開了協(xié)議,團(tuán)體字設(shè)置不能使用默認(rèn)的團(tuán)體字。查看配置文件,應(yīng)禁止使用、默認(rèn)團(tuán)體字,使用用戶自定義的團(tuán)體字。例如將以下設(shè)置中的替換為用戶自定義的團(tuán)體字:2如無必要,管理員應(yīng)禁止使用服務(wù)配置檢查系統(tǒng)安全配置,禁止使用協(xié)議1和使用直接登錄編輯文件,設(shè)置:2

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論