系统安全加固与原理(上)
为了达到安全的目的,我们需要关注操作系统八个安全问题。在上一篇文章中小白介绍了其中补丁管理和账号口令两个方面的加固方法。在这片文章中,小白将会继续介绍其他六个安全方面的加固方式。 三、账号授权1.远程关机在这里我们需要设置只允许管理员可以通过远程进行关机操作,不允许其他用户进行关机操作,尤其是如果安装了某些软件,软件自动创建的用户可能拥有关机的权限,应该属于禁止的范畴内。 *检查与加固方法第一步,开始-运行,在运行输入框处输入secpol.msc命令,打开本地安全设置。
相关命令(运行窗口) secpol.msc
第二步,点开 安全设置-用户权限分配,在右边找到“从远程系统强制关机”设置,查看是不是只指派给administrators用户组。
如果有多个用户和组,请删除。 2.本地关机不止是远程关机,本地关机也应该禁止除了管理员以外的用户进行关机这样的危险操作,防止给业务造成不必要的损失。 *检查与加固方法还是在同样的地方,在右边找到“关闭系统”设置,查看,是不是只指派给administrators用户组。
3.权限分配一般来说我们部署业务和应用的时候,应该遵循的是最小权限的原则,能够不用到管理员权限就尽量不用到,尽量使用普通权限用户部署。这样,即使 黑客入侵到了我们的 服务器,也并不会得到太大的权限,将损失降低到最小。 所以,在这里设置权限分配的目的就是为了让普通用户的权限尽可能的低,除了管理员之外,其他账号均不能取得文件的所有权。 *检查与加固方法第一步,开始-运行,在运行输入框处输入secpol.msc命令,打开本地安全设置。
相关命令(运行窗口) secpol.msc
第二步,点开 安全设置-用户权限分配,在右边找到“取得文件或者其它对象的所有权”设置,查看是不是只指派给administrators用户组。
4.授权账号登陆授权账号登陆的意思是允许哪些账号可以登录系统。比如说如果计算机上面有安装apache、my sql等,这些软件在安装的过程中都会默认创建一个系统账号,这一步设置的目的也是为了不允许这些非管理员创建的账号登陆系统,防止被黑客利用。 *检查与加固方法第一步,开始-运行,在运行输入框处输入secpol.msc命令,打开本地安全设置。
相关命令(运行窗口) secpol.msc
第二步,点开 安全设置-用户权限分配,在右边找到“允许本地登录”设置,查看是不是为授权的账号。
如果存在其它可以用户或用户组,请删除。 5.授权账号从网络访问这里设置的是哪些账号可以通过远程登陆的方式访问我们的计算机。如果在这里,我有一个xiaobaike的账号,但是我不想要让这个账号能够远程登陆如果xiaobaike这个账号出现在这个策略列表中,那就显得很奇怪的。如果发现,请删除。 *检查与加固方法第一步,开始-运行,在运行输入框处输入secpol.msc命令,打开本地安全设置。
相关命令(运行窗口) secpol.msc
第二步,点开 安全设置-用户权限分配,在右边找到“从网络访问此计算机”设置,查看是不是为授权的账号。
上图发现列表中存在Everyone这个用户,表示任何人都可以通过远程登陆的方式登陆你的计算机,这相当的危险。就像前面小白介绍的《一次完整的攻击行为》这篇文章,最后就是通过新创建一个账号登陆了计算机。所以除非必要,请删除everyone这个账号!
第三步,在cmd命令行界面中输入gpupdate /force命令,使设置立即生效。
相关命令(cmd窗口) gpupdate /force
四、系统优化1.设置屏幕保护有的时候,攻击者不一定要从网络上攻击你的计算机,也可能趁着你离开时时候操控你的计算机,偷取存在你计算机上面的重要资料!所以小白在这里提醒大家,离开的时候电脑要锁屏!锁屏!锁屏!重要的话说三遍 然而,百密也有疏忽的一天,假设某天突然忘记了,计算机被人动了,咋办?小白这里有一个办法,就是设置屏幕保护程序,并且设置屏幕保护程序的同时设置“在恢复时使用密码保护”,增加保护措施。 *检查与加固方法进入“控制面板->外观和个性化->个性化->更改屏幕保护程序”:查看是否启用屏幕保护程序,设置等待时间为“10分钟”,是否启用“在恢复时使用密码保护”
2.禁止系统自动登录同刚在防止电脑在你离开时被别人乱动的例子,在这里设置第三重保护措施。设置当系统自动休眠后,激活的时候需要输入密码才能继续使用。 *检查与加固方法第一步,点击 开始-运行,在运行输入框处输入cotrol userpasswords2命令,进入用户账户设置
相关命令(运行窗口) control userpasswords2
第二步,勾选“要是用本地,用户必须输入用户名和密码”复选框
3.隐藏最后一次登录名不知道大家有没有注意到一点,我们平时在使用计算机的时候,如果登陆过一次这台计算机,系统就会默认显示最后一次的登陆名。其实这是一个很不好的点,尤其是当攻击者尝试登陆的时候,他可以一下子就看到你系统的登录名。这时候他只要写一个爆破密码的小脚本,那么他入侵你计算机的可能性就大大增加。 *检查与加固方法第一步,点击 开始-运行,在运行输入框处输入secpol.msc命令,打开本地安全设置。
第二步,点开 安全设置-本地策略-安全选项,在右边找到“交互式登录:不显示最后的用户名” 查看设置是否处于已启用状态,如果没有,请启用。
4.关闭windows自动播放功能这个地方非常的重要,为什么呢?windows默认如果系统检测到存在新的设备,它会去自动运行这个设备。假设如果我们打开了自动播放功能,当攻击者插入一个带有恶意病毒的U盘时,windows就会自动的执行这个U盘上面的病毒,从而使我们的计算机处于非常危险的状态,所以必须要关闭windows的自动播放功能。 *检查与加固方法第一步,点击 开始-运行,在运行输入框处输入gpedit.msc命令,打开组策略编辑器
第二步,在的出现“组策略”窗口中依次选择 计算机配置-管理模板-系统,右边找到 “关闭自动播放”,双击,查看是否设置“已启用”
第三步,在cmd命令行界面中输入gpupdate /force命令,使设置立即生效。
五、服务管理1.优化管理关闭windows上不需要的服务,减小风险。在这里,小白建建议将以下服务停止,并将启动方式修改为手动: DHCP Client
Messenger
Remote Registry
Print Spooler(不使用打印可以关闭)
Server(不使用文件共享可以关闭)
Simple TCP/IP Service
Simple Mail Transport Protocol (SMTP)
SNMP Service
Task Schedule
TCP/IP NetBIOS Helper
关闭的方法:
第一步,点击 开始-运行,在运行输入框处输入services.msc命令,打开服务管理器
相关命令(运行窗口) services.msc
第二步,将不需要使用的服务关闭,并设置为手动。
2.关闭共享默认情况下,计算机的磁盘是默认开启共享的,如果配合windows特有的IPC$空链接的话,攻击者是可以不需要账户名密码就可以窃取你计算机上的资料的(后面的文章中小白会有介绍) 所以在这里,我们要做的就是关闭计算机系统中各个磁盘的共享 *检查与加固方法第一步,点击 开始-运行,在运行输入框处输入regedit命令,打开注册表编辑器。
第二步,依次打开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
在右边新建-DWORD,名字为 AutoShareServer,双击设置键值为0。
六、远程访问控制1.网络限制远程访问计算机的形式肯定不止通过远程连接你的计算机这一种方法,还有远程连接共享文件夹、远程连接磁盘、远程连接控制器,远程连接cmd命令行等等。尤其是远程连接控制台,windows是可以不需要密码就可以远程连接控制台的,十分危险。 接下来,我们需要做额外的网络限制来保障我们的系统安全。 *检查与加固方法第一步,点击 开始-运行,在运行输入框中输入secpol.msc打开 本地安全设置
第二步,依次点开 安全设置-本地策略-安全选项,检查右边的下列项 网络访问: 不允许 SAM 帐户的匿名枚举:已启用
网络访问: 不允许 SAM 帐户和共享的匿名枚举:已启用
网络访问: 将 everyone权限应用于匿名用户:已禁用
帐户: 使用空密码的本地帐户只允许进行控制台登录:已启用
第三步,在cmd命令行界面中输入gpupdate /force命令,使设置立即生效。
七、文件系统1.使用NTFS文件系统NTFS相比FAT32更具有安全性 *检查与加固方法第一步,右键磁盘,选择属性,查看是否为NTFS
第二步,如果不是,可以用以下命令转换(无需格式化),也适用于U盘的文件系统转换。
转换命令(cmd窗口)
convert <驱动器盘符>: /fs:ntfs
2.检查everyone的权限为了系统的安全性,everyone不应该拥有磁盘的所有权 *检查和加固方法第一步,选择磁盘-属性-安全,检查eceryone用户是否有所有权
第二步,删除Everyone的权限或者取消Everyone的写权限
3.命令权限限制除了system和administrators组和必要的组以外,不让其他用户执行以下特殊命令: cmd.exe、regsvr32.exe、tftp.exe、ftp.exe、telnet.exe、net.exe、net1.exe、cscript.exe、wscript.exeregedit.exe、regedt32.exe、cacls.exe、command.com、at.exe *检查与加固方法第一步,打开 我的电脑-c:/windows/system32文件夹找到
cmd.exe、regsvr32.exe、tftp.exe、ftp.exe、telnet.exe、net.exe、net1.exe、cscript.exe、wscript.exeregedit.exe、regedt32.exe、cacls.exe、command.com、at.exe
第二步,点击属性-安全,查看哪些用户拥有执行权限。
如果有其他无关组,请删除。 八、日志审核1.增强日志在这里设置增大日志量的大小,避免因为容量太小而日志记录记录不全,发生紧急事情时无法找到对应日志。 *检查与加固方法第一步,点击 开始-运行,在运行输入框处输入eventvwr.msc 命令,打开 事件查看器。
相关命令(运行窗口) eventvwr.msc
第二步,分别查看“应用程序”、“安全”、“系统”的属性
第三步,根据需要设置日志大小上限
2.增强审核对系统事件进行审核,在日后出现故障时用于排查故障 *检查与加固第一步,点击 开始-运行,在运行输入框中输入secpol.msc命令,打开本地安全设置。
第二步,以此点 安全设置-本地策略-审核策略,在右边设置如下 审核策略更改:成功,失败
审核对象访问:成功,失败
审核系统事件:成功,失败
审核帐户登录事件:成功,失败
审核帐户管理:成功,失败
审核登录事件:成功,失败
审核过程跟踪:成功,失败
审核目录服务访问:成功,失败
审核特权使用:成功,失败
第三步,在cmd命令行界面中输入gpupdate /force命令,使设置立即生效。
|