windows和linux的等保加固测评的经验分享

一头等保加固测评的牛马,需要能做到一下午测评n个服务器
 

图片


接下来就讲讲如何当一头xxxxxxxxx===》严肃的等保测评加固的经验分享(

一、window等保

首先你要自己按着教程在虚拟机做过一遍(win2012和win2008都做过一遍,大概windows的服务器就这俩)
 

图片


(win2008)
 

图片


(win2012)
win+r主要命令:netplwiz,lusrmgr.msc,secpol.msc,eventvwr.msc,gpedit.msc,services.msc cmd: netstat -an,net share,firewall.cpl,appwiz.cpl

当然也可以不记,我们windows干嘛要输命令,直接在管理工具这里操作就好:

图片


1、应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换:管理工具-本地安全策略-账户策略-密码策略

【建议配置口令的复杂度策略及有效期策略,防止口令被轻易破解(建议口令长度不小于8位,至少包含小写字母、大写字母、数字、特殊符号中的3种,口令有效期不超过90天)】

图片

2、应具有登录失败处理功能,配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;就在密码策略的下面就有锁定策略

图片

连接超时在这里配置:
计算机配置—管理模板—windows组件—远程桌面服务—远程会话主机—安全

图片

图片


3、当进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
其实就在连接超时的上面
运行—gpedit.msc—计算机配置—管理模板—windows组件—远程桌面服务—远程会话主机—安全,双击“远程(RDP)连接要求使用指定的安全层”

图片

图片

4、应对登录的用户分配账户和权限;(创建系统管理员、安全管理员、审计管理员)
只需要做两件事:重命名admin,三权分立
进入“计算机管理—本地用户和组—用户

图片

5、应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;管理工具-账户策略-本地策略-审核策略【配置密码的下面】

图片

6、审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;右键“计算机”-管理-事件查看器-windows日志-应用程序/安全/系统

图片

7、应关闭不需要的系统服务、默认共享和高危端口;在IP安全策略中建立阻断规则并分配启用,或在防火墙的出入站规则中进行阻断策略配置。(通过配置本机防火墙或组策略来关闭135、445、139等端口,且Windows关闭多余服务Print Spooler、Remote Registry、Task Scheduler、telephony和默认共享IPC$。)
控制面板-管理工具-账户策略-高级安全windows防火墙-入站规则/出站规则

图片


and

图片

8、应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警;
安装主机层入侵检查软件,安装的主机层检测软件要在
https://ispl.mps.gov.cn/ispl/jsp/common/ProductList_Public.jsp 里可查询到的。
 

图片


火绒降风险即可,也最方便:

图片

9、应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。
查看服务器是否安装杀毒软件
【同样火绒降风险】

10、及时清理存放在系统中的用户鉴别信息,防止信息外泄,被黑客利用。
控制面板—管理工具—本地安全策略—本地策略—安全选项
“交互式登录:不显示最后的用户名” -选择”已启用“

图片

11、及时清理存放在系统中的用户鉴别信息,防止信息外泄,被黑客利用
管理工具—本地安全策略—本地策略—安全选项:关机:清除虚拟内存页面文件
【其实就在配置密码策略的下面,所以配置完了话不要关闭,很多配置其实都是在一个页面】
 

图片


 

图片


12、设置屏保密码,提高服务器的安全性
控制面板—显示—更改屏幕保护程序

图片

图片

【在恢复时显示登陆屏幕一定要勾上,这才是最重要的】

13、设置会话超时锁定功能,提高服务器的安全性。
运行—gpedit.msc—计算机配置—管理模版—Windows组件—远程桌面服务—远程桌面会话主机—会话时间限制—设置活动但空闲的远程桌面服务会话的时间限制
【这个页面前面也打开过】

图片

图片

大概就这些,还有一些东西大差不差,就是这几个页面,比如对远程连接的网络地址进行限制:

图片


也是和密码策略配置在一个页面,所以开局直接全部把这些打开,然后做起来就很快了。

二、Linux服务器三级等保要求

Linux操作常用命令: cat看文件,vi vim打开编辑文件,“S/i”为修改命令,修改完毕“ESC”退出修改,然后再按“:wq”进行保存。

大致都是centos7、redhat7,linux系统命令大差不差,做一遍后整理到记事本上,忘了命令就对着敲即可:


我的记录仅供参考,因为写的比较简略,自己看得懂别人不一定,所以还得自己做一遍自己整理

1.密码周期: vim /etc/login.defs max_days:90 mindays:2 minlen:8 warnage:72.密码复杂度: vim /etc/pam.d/system-auth :
password requisite pam_cracklib.so retry=3 difok=3 minlen=8 lcredit=-1 dcredit=-1 ucredit=-1 ocredit=-1
【Ubuntu系统->vim /etc/pam.d/common-password】3.登录失败策略【和密码复杂度一起】: vim /etc/pam.d/system-auth:
auth required pam_tally2.so onerr=fail deny=5 lock_time=2 unlock_time=1800
【Ubuntu系统->vim /etc/pam.d/common-auth】//4.centOS查看talnet服务是否运行:
netstat -an | grep ":23"
//禁止telnet运行,禁止开机启动:
systemctl stop telnet.socket
systemctl disable telnet.socket
systemctl restart xinetd5.用户名 vim/etc/passwd 截图检查
useradd (name)
//passwd name【更改密码】
system,audit,super6.审计策略开启
systemctl status rsyslog
systemctl status auditd7.审计记录(日志配置)
vim /etc/logrotate.conf :让日志文件转储一个月,保留6个月的信息
minsize 1M
rotate 6
monthly【连接日志审计系统】
vim /etc/rsyslog.conf
*.* @@:514处改为@+日志审计系统的ip
然后systemctl restart rsyslog.service7.5 部署clamav
...
freshclam8.超时锁定 vim /etc/profile
export TMOUT=9008.5.安全备份:ls /tmp/   
//etc.tar.gz8.555 关闭不需要的服务、端口流程:    firewall-cmd --list-all
[linux防火墙关闭端口]
打开防火墙服务:systemctl start firewalld放行指定单个端口:firewall-cmd --zone=public --add-port=25/tcp --permanent批量限制ip,限制192.168.x.x的所有ip访问yy端口:【25,135,445,139,80】
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.x.0/24' port protocol='tcp' port='80' reject"firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.4.0/24' port protocol='tcp' port='22' accept"生效上面添加的指令:firewall-cmd --reload查看所有被放行的端口:firewall-cmd --list-port (--list-all)取消指定一开放端口:firewall-cmd --zone=public --remove-port=25/tcp --permanentfirewall-cmd --permanent --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.4.0/24" port protocol="tcp" port="22" reject'9.cat /etc/passwd(shadow) 命令查看所有账号
userdel -r删除不必要的账号
passwd -l禁用账户
passwd -u解锁账户//10.防dos 
cat/proc/sys/net/ipv4/tcp_syncookies截图【syncookie默认值】
vim /etc/sysctl.conf 加上net.ipv4.tcp_max_syn_backlog = 2048

1、密码周期策略vim /etc/login.defs 查看密码策略
应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
vi /etc/login.defs,按“S”进入修改模式,将参数修改成以下图片上的参数值,修改完毕后按“ESC”退出修改模式,此时为只读模式,然后再输入“:wq”进行保存。

图片

2、密码复杂度策略
输入命令vi /etc/pam.d/system-auth 按“S”进入修改模式,在文中添加如下命令,修改完毕后按“ESC”退出修改模式,此时为只读模式,然后再输入“:wq”进行保存。
password requisite pam_cracklib.so retry=3 difok=2 minlen=8 lcredit=-1 dcredit=-1 ucredit=-1 ocredit=-1

图片


3.登入失败策略 vi /etc/pam.d/sshd 按“S”进入修改模式,在文中添加如下命令,修改完毕后按“ESC”退出修改模式,此时为只读模式,然后再输入“:wq”进行保存。
auth required pam_tally2.so deny=10 lock_time=2 even_deny_root unlock_time=0

图片

  1. 登录超时锁定:
    在/etc/profile里加上export TMOUT=900就好

6、访问控制:应对登录的用户分配账户和权限:
查看是否进行三权分立,即有不同的用户 :cat /etc/passwd
创建三个管理员账户:audit、system、security

图片


如果没有可以通过命令创建:
useradd audit
useradd system

应及时删除或停用多余的、过期的账户,避免共享账户的存在;应授予管理用户所需的最小权限,实现管理用户的权限分离;
但在实际生产中,Linux系统很难完全满足该项要求,因为超级管理员用户root一旦被禁用会影响系统和应用的正常使用。但仍应严格限制具有root级权限的账户,其他用户仅应通过使用sudo被赋予root级权限

7、开启策略审核功能
分别输入“systemctl status rsyslog”与“systemctl status auditd”,开启策略审核功能即可。

图片

8、安全日志属性设置 修改vi /etc/logrotate.conf 按“S”进入修改模式,将参数修改成以下图片上的参数值,修改完毕后按“ESC”退出修改模式,此时为只读模式,然后再输入“:wq”进行保存。

图片

9:关闭不必要端口、对远程连接的网络地址进行限制:
按一个linux的firewall:
对它进行配置:

打开防火墙服务:systemctl start firewalld放行指定单个端口:firewall-cmd --zone=public --add-port=25/tcp --permanent批量限制ip,限制192.168.x.x的所有ip访问yy端口:【25,135,445,139,80】
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.x.0/24' port protocol='tcp' port='80' reject"firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.4.0/24' port protocol='tcp' port='22' accept"生效上面添加的指令:firewall-cmd --reload查看所有被放行的端口:firewall-cmd --list-port (--list-all)取消指定一开放端口:firewall-cmd --zone=public --remove-port=25/tcp --permanentfirewall-cmd --permanent --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.4.0/24" port protocol="tcp" port="22" reject'

图片

10.入侵防范
应遵循最小安装的原则,仅安装需要的组件和应用程序;
查看系统当前版本,是否及时安装安全补丁

我都是安装部署clamav
具体怎么安装可以百度


截图freshclam证明是最新版本即可
11.可信验证
可基于可信根对计算设备的系统引导程序、 系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
对该项的要求是做了加分,没做不扣分。
所以我从来不做[狗头]

免   /    费   /    资   /   料 :   

 zkaq567

申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/47416.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

pico+unity3d 射线交互教程

前期配置:环境配置参考教程一,手部模型参考教程二,场景基于上一篇搭建。 最终效果:手部射线(初始不可见)对准 UI 显示,按下手柄 Trigger 键与可交互 UI(如 Button、Toggle、Slider …

论文解读 | ICML2024:突破Transformer上下文学习中的瓶颈

点击蓝字 关注我们 AI TIME欢迎每一位AI爱好者的加入! 作者简介 付靖文,西安交通大学博士生 简介 上下文学习,即从上下文示例中学习,是Transformer一项令人印象深刻的能力。然而,由于学习瓶颈的出现——在训练过程中模…

移动UI:任务中心的作用,该如何设计更合理?

任务中心是移动应用中用于展示和管理用户待办任务、提醒事项、用户福利、打卡签到等内容的功能模块。合理设计任务中心可以提升用户体验和工作效率。 以下是一些设计任务中心的合理建议: 1. 易于查看和管理: 任务中心的设计应该使用户能够快速、直观地…

C# 实现跨进程条件变量

C# 进程通信系列 第一章 共享内存 第二章 条件变量(本章) 第三章 消息队列 文章目录 C# 进程通信系列前言一、关键实现1、用到的主要对象2、初始化区分创建和打开3、变量放到共享内存4、等待和释放逻辑 二、完整代码三、使用示例1、同步控制2、跨进程控…

202496读书笔记|《飞花令·菊(中国文化·古典诗词品鉴)》——荷尽已无擎雨盖,菊残犹有傲霜枝

202496读书笔记|《飞花令菊(中国文化古典诗词品鉴)》——荷尽已无擎雨盖,菊残犹有傲霜枝 《飞花令菊(中国文化古典诗词品鉴)》素心落雪 编著。飞花令得名于唐代诗人韩翃《寒食》中的名句“春城无处不飞花”&#xff0c…

KubeSphere核心实战_kubesphere全功能安装_启用kubesphere的热插拔插件---分布式云原生部署架构搭建037

然后我们开始安装kubesphere,首先进入官网点击kubernetes安装 可以看到对应的,条件说kubernetes要在1.20.x以上,我们的是 1.20.9,然后cpu硬件满足,然后,默认存储类型,上一节我们安装好了 然后就可以开始,去下载两个配置文件可以看到上面的两个配置文件 这两个文件,上面是直接…

跨域问题:预检请求

解决跨域问题之预检请求 预检请求(Preflight Request)是跨域资源共享(CORS)中用于安全检查的一种机制。 它是由浏览器自动发起的一个OPTIONS请求,目的是在实际跨域请求之前,询问服务器是否允许这次跨域操…

学习TS -类型

let a:number10;//数值型 let b:string"zhaoya";//字符串型 let c:booleantrue;//布尔类型 let d:10;//字面量 let e:any10;//任意类型,可以给别人赋值,而且不会提示报错 let f:unknown50;//未知类型,他给别人赋值,赋值…

kafka开启kerberos和ACL

作者:恩慈 一、部署kafka-KB包 1.上传软件包 依次点击 部署中心----部署组件----上传软件包 选择需要升级的kafka版本并点击确定 2.部署kafka 依次点击部署中心----部署组件----物理/虚拟机部署----选择集群----下一步 选择手动部署-…

消费金融系统开发回忆录

架构设计图 整个支付链路上的功能 支付系统应该有:账户管理、渠道管理、支付管理、对账管理、清算管理、结算管理 一笔支付订单,在支付系统侧就是要记录清楚,谁发起的、对哪个商品进行支付、通过哪个渠道支付、支付时间、支付结果等…

C++基础入门(二)(函数重载,引用,内联函数,nullptr)

目录 一. 函数重载 1. 概念 2. 实现 (1). 参数类型不同 (2). 参数个数不同 (3). 参数类型顺序不同 3. 注意事项 (1). 返回值不能作为重载的条件 (2). 不能仅按函数返回类型重载 (3). 与缺省参数的问题 二. 引用 1. 概念和定义 2. 引用的特性 (1). 引用在定义时必须…

LDR6020双盲插便携显示器应用

随着USB Type-C接口的普及,越来越多的手机和笔记本电脑都支持通过C接口输出视频。这个小巧而精密的接口,大有把传统的HDMI和DisplayPort接口取而代之的架势。特别是usb4的推出,更是为USB TYPE-C接口一统有线接口形态奠定了基础。 单USB-C接口…

python入门课程Pro(1)--数据结构及判断

数据结构及判断 第1课 复杂的多向选择1.if-elif-else2.if嵌套3.练习题(1)大招来了(2)奇数还是偶数(3)简洁代码 第2课 数据与判断小结1.变量2.格式化输出3.逻辑运算-或与非4.判断条件5.练习题(1&…

【手撕数据结构】拿捏双向链表

目录 链表介绍初始化链表销毁链表查找节点打印链表增加节点尾插头插在指定位置之后插入节点 删除节点尾删头删删除指定位置节点 链表判空 链表介绍 前面说到,链表的结构一共有八种:带头单向循环链表、带头单向非循环链表、带头双向循环链表、带头双向非…

【初阶数据结构】5.栈和队列

文章目录 1.栈1.1 概念与结构1.2 栈的实现2.队列2.1 概念与结构2.2 队列的实现3.栈和队列算法题3.1 有效的括号3.2 用队列实现栈3.3 用栈实现队列3.4 设计循环队列 1.栈 1.1 概念与结构 栈:一种特殊的线性表,其只允许在固定的一端进行插入和删除元素操…

C语言宏定义格式化控制台打印

写了个简单的控制台打印代码&#xff0c;有三种打印级别 DEBUG INFO ERROR&#xff0c;支持颜色打印&#xff0c;支持时间打印 在MSVC环境中使用 #include <time.h> #include <string.h> #include <stdio.h>/* log level */ #define LOG_LEVEL_DEBUG (1) #d…

【STM32 HAL库】全双工I2S+双缓冲DMA的使用

1、配置I2S 我们的有效数据是32位的&#xff0c;使用飞利浦格式。 2、配置DMA **这里需要注意&#xff1a;**i2s的DR寄存器是16位的&#xff0c;如果需要发送32位的数据&#xff0c;是需要写两次DR寄存器的&#xff0c;所以DMA的外设数据宽度设置16位&#xff0c;而不是32位。…

一文带你读懂MLIR论文,理解MLIR设计准则.

论文MLIR: Scaling Compiler Infrastructure for Domain Specific Computation MLIR&#xff1a;针对特定领域计算扩展编译器基础设施 文章目录 论文MLIR: Scaling Compiler Infrastructure for Domain Specific Computation1. 论文下载2. TVM关于MLIR的讨论3. 论文正文0. 摘要…

02互联网行业的产品方向(2)

数字与策略产品 大数据时代&#xff0c;数据的价值越来越重要。大多数公司开始对内外全部数据进行管理与挖掘&#xff0c;将业务数据化&#xff0c;数据资产化&#xff0c;资产业务化&#xff0c;将数据产品赋能业务&#xff0c;通过数据驱动公司业务发展&#xff0c;支撑公司战…

Unity VR开发入门:探索虚拟现实世界的无限可能

目录 引言 Unity VR开发基础 1. 安装Unity与VR SDK 2. 创建VR项目 3. 理解VR场景结构 Unity VR开发实战 1. 场景搭建 2. 交互设计 创建C#脚本 编写VRInteractor脚本 应用脚本到场景 注意 修改VRInteractor脚本 3. 用户体验优化 4. 测试与调试 引言 随着科技的飞速…