阿里雲安全記錄--基線檢查、漏洞掃描，&CIS安全基線文檔

阿里雲安全基線 記錄如下 不定時更新

 

0x0

0x1 --Centos7 基線檢查190621

0x2 --Centos6 基線檢查190627

0x3 --Ubuntu安全基線檢查190621

0x3.5 --SSH登錄安全策略、賬戶-密碼

0x4 --Windows基線檢查（按照CIS-Linux Windows 2008 R2最新基線標准進行系統層面基線檢測)

0x5 --CIS 各種基線附件

 

0x1 Centos7 基線檢查

描述
強制用戶不重用最近使用的密碼，降低密碼猜測攻擊風險

加固建議
在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 這行的末尾配置remember參數為5-24之間，原來的內容不用更改，只在末尾加了remember=5。

描述
確保SSH LogLevel設置為INFO,記錄登錄和注銷活動

加固建議
編輯 /etc/ssh/sshd_config 文件以按如下方式設置參數(取消注釋):
LogLevel INFO

描述
設置SSH空閑超時退出時間,可降低未授權用戶訪問其他用戶ssh會話的風險

加固建議
編輯/etc/ssh/sshd_config，將ClientAliveInterval 設置為300到900，即5-15分鍾，將ClientAliveCountMax設置為0-3之間。
ClientAliveInterval 600
ClientAliveCountMax 2

描述
SSHD強制使用V2安全協議

加固建議
編輯 /etc/ssh/sshd_config 文件以按如下方式設置參數：
Protocol 2
操作時建議做好記錄或備份

描述
設置較低的Max AuthTrimes參數將降低SSH服務器被暴力攻擊成功的風險。

加固建議
在/etc/ssh/sshd_config中取消MaxAuthTries注釋符號#，設置最大密碼嘗試失敗次數3-6，建議為4：
MaxAuthTries 4

描述
除root以外其他UID為0的用戶都應該刪除，或者為其分配新的UID

加固建議
除root以外其他UID為0的用戶(查看命令cat /etc/passwd | awk -F: '($3 == 0) { print $1 }'|grep -v '^root$')都應該刪除，或者為其分配新的UID

描述
設置密碼修改最小間隔時間，限制密碼更改過於頻繁

加固建議
在 /etc/login.defs 中將 PASS_MIN_DAYS 參數設置為7-14之間,建議為7：
PASS_MIN_DAYS 7
需同時執行命令為root用戶設置：

描述
設置密碼失效時間，強制定期修改密碼，減少密碼被泄漏和猜測風險，使用非密碼登陸方式(如密鑰對)請忽略此項。

加固建議
使用非密碼登陸方式如密鑰對，請忽略此項。在 /etc/login.defs 中將 PASS_MAX_DAYS 參數設置為 60-180之間，如:
PASS_MAX_DAYS 90
需同時執行命令設置root密碼失效時間：

描述
檢查密碼長度和密碼是否使用多種字符類型

加固建議
編輯/etc/security/pwquality.conf，把minlen（密碼最小長度）設置為9-32位，把minclass（至少包含小寫字母、大寫字母、數字、特殊字符等4類字符中等3類或4類）設置為3或4。如：
minlen=10
minclass=3

描述
它將進程的內存空間地址隨機化來增大入侵者預測目的地址難度，從而降低進程被成功入侵的風險

加固建議
執行命令： sysctl -w kernel.randomize_va_space=2

描述
設置用戶權限配置文件的權限

加固建議
執行以下5條命令
chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
chmod 0644 /etc/group
chmod 0644 /etc/passwd
chmod 0400 /etc/shadow
chmod 0400 /etc/gshadow

描述
訪問控制配置文件的權限設置

加固建議
運行以下4條命令：
chown root:root /etc/hosts.allow
chown root:root /etc/hosts.deny
chmod 644 /etc/hosts.deny
chmod 644 /etc/hosts.allow

描述
確保rsyslog服務已啟用，記錄日志用於審計

加固建議
運行以下命令啟用rsyslog服務：
systemctl enable rsyslog
systemctl start rsyslog

描述
確保密碼到期警告天數為7或更多

加固建議
在 /etc/login.defs 中將 PASS_WARN_AGE 參數設置為7-14之間，建議為7：
PASS_WARN_AGE 7
同時執行命令使root用戶設置生效：

描述
禁止SSH空密碼用戶登錄

加固建議
編輯文件/etc/ssh/sshd_config，將PermitEmptyPasswords配置為no:
PermitEmptyPasswords no

描述
檢查系統空密碼賬戶

加固建議
為用戶設置一個非空密碼，或者執行passwd -l <username>鎖定用戶

0x2 Centos6 基線檢查

描述
強制用戶不重用最近使用的密碼，降低密碼猜測攻擊風險
加固建議
在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 這行的末尾配置remember參數為5-24之間，原來的內容不用更改，只在末尾加了remember=5。

描述
設置SSH空閑超時退出時間,可降低未授權用戶訪問其他用戶ssh會話的風險
加固建議
編輯/etc/ssh/sshd_config，將ClientAliveInterval 設置為300到900，即5-15分鍾，將ClientAliveCountMax設置為0-3之間。
ClientAliveInterval 600
ClientAliveCountMax 2

描述
設置較低的Max AuthTrimes參數將降低SSH服務器被暴力攻擊成功的風險。
加固建議
在/etc/ssh/sshd_config中取消MaxAuthTries注釋符號#，設置最大密碼嘗試失敗次數3-6，建議為4：
MaxAuthTries 4

描述
設置密碼修改最小間隔時間，限制密碼更改過於頻繁
加固建議
在 /etc/login.defs 中將 PASS_MIN_DAYS 參數設置為7-14之間,建議為7：
PASS_MIN_DAYS 7
需同時執行命令為root用戶設置：
chage --mindays 7 root

描述
設置密碼失效時間，強制定期修改密碼，減少密碼被泄漏和猜測風險，使用非密碼登陸方式(如密鑰對)請忽略此項。
加固建議
使用非密碼登陸方式如密鑰對，請忽略此項。在 /etc/login.defs 中將 PASS_MAX_DAYS 參數設置為 60-180之間，如:
PASS_MAX_DAYS 90
需同時執行命令設置root密碼失效時間：
chage --maxdays 90 root

描述
檢查密碼長度和密碼是否使用多種字符類型
加固建議
編輯/etc/pam.d/password-auth 和 /etc/pam.d/system-auth配置文件中包含password requisite pam_cracklib.so 這一行。增加配置minlen（密碼最小長度）設置為9-32位，minclass（至少包含小寫字母、大寫字母、數字、特殊字符等4類字符中等3類或4類）設置為3或4。如
password requisite pam_cracklib.so try_first_pass retry=3 minlen=11 minclass=3

描述
確保SSH LogLevel設置為INFO,記錄登錄和注銷活動
加固建議
編輯 /etc/ssh/sshd_config 文件以按如下方式設置參數(取消注釋):
LogLevel INFO
描述
除root以外其他UID為0的用戶都應該刪除，或者為其分配新的UID
加固建議
除root以外其他UID為0的用戶(查看命令cat /etc/passwd | awk -F: '($3 == 0) { print $1 }'|grep -v '^root$')都應該刪除，或者為其分配新的UID

描述
它將進程的內存空間地址隨機化來增大入侵者預測目的地址難度，從而降低進程被成功入侵的風險
加固建議
執行命令： sysctl -w kernel.randomize_va_space=2

描述
設置用戶權限配置文件的權限
加固建議
執行以下5條命令
chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
chmod 0644 /etc/group
chmod 0644 /etc/passwd
chmod 0400 /etc/shadow
chmod 0400 /etc/gshadow

描述
訪問控制配置文件的權限設置
加固建議
運行以下4條命令：
chown root:root /etc/hosts.allow
chown root:root /etc/hosts.deny
chmod 644 /etc/hosts.deny
chmod 644 /etc/hosts.allow

描述
確保rsyslog服務已啟用，記錄日志用於審計
加固建議
運行以下命令啟用 rsyslog ：
chkconfig rsyslog on
service rsyslog start

描述
SSHD強制使用V2安全協議
加固建議
編輯 /etc/ssh/sshd_config 文件以按如下方式設置參數：
Protocol 2

描述
確保密碼到期警告天數為7或更多
加固建議
在 /etc/login.defs 中將 PASS_WARN_AGE 參數設置為7-14之間，建議為7：
PASS_WARN_AGE 7
同時執行命令使root用戶設置生效：
chage --warndays 7 root

描述
禁止SSH空密碼用戶登錄
加固建議
編輯文件/etc/ssh/sshd_config，將PermitEmptyPasswords配置為no:
PermitEmptyPasswords no

描述
檢查系統空密碼賬戶
加固建議
為用戶設置一個非空密碼，或者執行passwd -l <username>鎖定用戶

 

0x3 Ubuntu安全基線檢查190621

描述

設置用戶權限配置文件的權限

加固建議
執行以下5條命令
chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
chmod 0644 /etc/group 
chmod 0644 /etc/passwd 
chmod 0400 /etc/shadow 
chmod 0400 /etc/gshadow

描述
設置SSH空閑超時退出時間,可降低未授權用戶訪問其他用戶ssh會話的風險

加固建議
編輯/etc/ssh/sshd_config，將ClientAliveInterval 設置為300到900，即5-15分鍾，將ClientAliveCountMax設置為0-3之間。
ClientAliveInterval 600
ClientAliveCountMax 2

描述
設置較低的Max AuthTrimes參數將降低SSH服務器被暴力攻擊成功的風險。

加固建議
在/etc/ssh/sshd_config中取消MaxAuthTries注釋符號#，設置最大密碼嘗試失敗次數3-6，建議為4：
MaxAuthTries 4

描述
檢查密碼長度和密碼是否使用多種字符類型

加固建議
1、安裝PAM的cracklib模塊，執行命令：
apt-get update&&apt-get install libpam-cracklib
2、編輯/etc/pam.d/common-password，在password requisite pam_cracklib.so開頭的這一行配置minclass（至少包含小寫字母、大寫字母、數字、特殊字符等4類字符中的3類或4類）設置為3或4，即在行末尾加上參數minclass=3；在password [success=1 default=ignore] pam_unix.so開頭的這一行增加配置minlen（密碼最小長度）設置為9-32位，建議為9，即在行末尾加上參數minlen=9

描述
設置密碼修改最小間隔時間，限制密碼更改過於頻繁

加固建議
在 /etc/login.defs 中將 PASS_MIN_DAYS 參數設置為7-14之間,建議為7：
PASS_MIN_DAYS 7
需同時執行命令為root用戶設置：

描述
設置密碼失效時間，強制定期修改密碼，減少密碼被泄漏和猜測風險，使用非密碼登陸方式(如密鑰對)請忽略此項。

加固建議
使用非密碼登陸方式如密鑰對，請忽略此項。在 /etc/login.defs 中將 PASS_MAX_DAYS 參數設置為 60-180之間，如:
PASS_MAX_DAYS 90
需同時執行命令設置root密碼失效時間：

描述
強制用戶不重用最近使用的密碼，降低密碼猜測攻擊風險

加固建議
編輯/etc/pam.d/common-password，在password [success=1 default=ignore] pam_unix.so開頭的這一行增加配置remember設置為5-24之間，建議為5，即在行末尾加上參數remember=5

描述
除root以外其他UID為0的用戶都應該刪除，或者為其分配新的UID

加固建議
除root以外其他UID為0的用戶(查看命令cat /etc/passwd | awk -F: '($3 == 0) { print $1 }'|grep -v '^root$')都應該刪除，或者為其分配新的UID

描述
它將進程的內存空間地址隨機化來增大入侵者預測目的地址難度，從而降低進程被成功入侵的風險

加固建議
執行命令： sysctl -w kernel.randomize_va_space=2

描述
檢查系統空密碼賬戶

加固建議
為用戶設置一個非空密碼，或者執行passwd -l <username>鎖定用戶

描述
訪問控制配置文件的權限設置

加固建議
運行以下4條命令：
chown root:root /etc/hosts.allow 
chown root:root /etc/hosts.deny 
chmod 644 /etc/hosts.deny
chmod 644 /etc/hosts.allow

描述
確保SSH LogLevel設置為INFO,記錄登錄和注銷活動

加固建議
編輯 /etc/ssh/sshd_config 文件以按如下方式設置參數(取消注釋):
LogLevel INFO

描述
SSHD強制使用V2安全協議

加固建議
編輯 /etc/ssh/sshd_config 文件以按如下方式設置參數：
Protocol 2

描述
確保密碼到期警告天數為7或更多

加固建議
在 /etc/login.defs 中將 PASS_WARN_AGE 參數設置為7-14之間，建議為7：
PASS_WARN_AGE 7
同時執行命令使root用戶設置生效：

描述
禁止SSH空密碼用戶登錄

加固建議
編輯文件/etc/ssh/sshd_config，將PermitEmptyPasswords配置為no:
PermitEmptyPasswords no

描述
確保rsyslog服務已啟用，記錄日志用於審計

加固建議
運行以下命令啟用rsyslog服務：
service rsyslog start

 

--SSH登錄安全策略檢測如下配置：
1.登錄端口是否為默認22端口。 
2.root賬號是否允許直接登錄。 
3.是否使用不安全的SSH V1協議。 
4.是否使用不安全的rsh協議。 
5.是否運行基於主機身份驗證的登錄。 

修復方案： 編輯 /etc/ssh/sshd_config 1.Port（非22）。 2.PermitRootLogin（no）。 3.Protocol（2）。 4.IgnoreRhosts（yes）。 5.HostbasedAuthentication（no）。

--賬戶-密碼

密碼策略合規檢測會檢測如下Linux賬戶密碼策略： 1.賬號密碼最大使用天數。 2.密碼修改最小間隔天數。 3.賬號不活動最長天數。 
加固建議： 1.在/etc/login.defs 里面修改 PASS_MAX_DAYS 1095。 2.在/etc/login.defs 里面修改 PASS_MIN_DAYS 7。 3.執行useradd -D -f 1095。

 

0x4 Windows基線檢查（按照CIS-Linux Windows 2008 R2最新基線標准進行系統層面基線檢測)

 

檢查項目: '交互式登錄：不顯示最后的用戶名'設置為'已啟用'

加固建議: 在GP（組策略）中將以下路徑中的值設置為：已啟用\n計算機配置\\Windows 設置\\安全設置\\本地策略\\安全選項\\交互式登錄: 不顯示最后的用戶名

檢查項目:  設置'交互式登錄：之前登錄到緩存的次數(域控制器不可用的情況下)'為'0~4'

加固建議:  在GP（組策略）中將以下路徑中的值設置為0~4:\n計算機配置\\Windows 設置\\安全設置\\本地策略\\安全選項\\交互式登錄：之前登錄到緩存的次數(域控制器不可用的情況下)

檢查項目:  將'交互式登錄：需要域控制器身份驗證以對工作站進行解鎖'設置為'已啟用'

加固建議:  在GP建立的推薦配置，將以下UI路徑設置為以下值:\n計算機配置\\Windows 設置\\安全設置\\本地策略\\安全選項\\交互式登錄:需要域控制器身份驗證以對工作站進行解鎖

檢查項目:  網絡訪問：不允許SAM帳戶和共享的匿名枚舉'設置為'已啟用'

加固建議:  在GP建立的推薦配置，將以下UI路徑設置為：已啟用:\n計算機配置\\Windows 設置\\安全設置\\本地策略\\安全選項\\網絡訪問:不允許SAM帳戶和共享的匿名枚舉

檢查項目:  '網絡訪問：不允許存儲網絡身份驗證的密碼和憑證' 設置為'已啟用'

加固建議:  在GP建立的推薦配置，將以下UI路徑設置為：已啟用:\n計算機配置\\Windows 設置\\安全設置\\本地策略\\安全選項\\網絡訪問:網絡訪問：不允許存儲網絡身份驗證的密碼和憑證

檢查項目:  網絡訪問: 可匿名訪問的共享 置為空

加固建議:  在GP建立的推薦配置，將以下UI路徑設置為:\n計算機配置\\Windows 設置\\安全設置\\本地策略\\安全選項\\網絡訪問: 可匿名訪問的共享

檢查項目:  將MSS中的'IP源路由保護級別（防止數據包欺騙）'設置為'最高級別的保護，源路由完全禁用'

加固建議:  在GP（組策略）中將以下路徑中的值設置為：已啟用 Highest protection, source routing is completely disabled: \n計算機配置\\管理模板\\MSS (Legacy)\\MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing) \n\n注意： 此組策略路徑默認情況下不存在。 還需要其他組策略模板（MSS-legacy.admx / adml） - 它包含在Microsoft安全合規性管理器（SCM）中，或可從以下TechNet博客文章獲得：https://blogs.technet.microsoft.com/secguide/2016/10/02/the-mss-settings/

檢查項目:  在遠程協助相關設置中，將'提供遠程協助'設置為'已禁用'

加固建議:  在GP（組策略）中將以下路徑中的值設置為：已禁用 \n計算機配置\\管理模板\\系統\\遠程協助\\提供遠程協助

檢查項目:  在遠程協助相關設置中，將'請求的遠程協助'被設置為'已禁用'

加固建議:  在GP（組策略）中將以下路徑中的值設置為：已禁用 \n計算機配置\\管理模板\\系統\\遠程協助\\請求的遠程協助

檢查項目:  將'自動運行的默認行為'設置為'不執行任何自動運行命令'

加固建議:  在GP（組策略）中將以下路徑中的值設置為：不執行任何自動運行命令: \n計算機配置\\管理模板\\Windows 組件\\自動播放策略\\自動運行的默認行為

檢查項目:  在憑據用戶界面相關設置中，將'不顯示密碼顯示按鈕'被設置為'已啟用'

加固建議:  在GP（組策略）中將以下路徑中的值設置為：已啟用\n 計算機配置\\管理模板\\Windows 組件\\憑據用戶界面\\不顯示密碼顯示按鈕\n 如果未找到此路徑,請設置注冊表HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\CredUI,鍵名DisablePasswordReveal的值為1

檢查項目:  在憑據用戶界面相關設置中，'提升時枚舉管理員帳戶'被設置為'已禁用'

加固建議:  在GP（組策略）中將以下路徑中的值設置為：已禁用 \n計算機配置\\管理模板\\Windows 組件\\憑據用戶界面\\提升時枚舉管理員帳戶

檢查項目:  在遠程桌面相關設置中，設置'不允許保存密碼'

加固建議:  在GP（組策略）中將以下路徑中的值設置為：已啟用 \n計算機配置\\管理模板\\Windows 組件\\遠程桌面服務\\遠程桌面連接客戶端\\不允許保存密碼

檢查項目:  確保'允許通過WinRM進行遠程服務器管理'項目被設置為'已禁用'

加固建議:  在GP（組策略)中將以下路徑中的值設置為：已禁用\n 計算機配置\\管理模塊\\Windows組件\\Windows遠程服務(WinRM)\\WinRM服務\\允許通過WinRM進行遠程服務器管理

檢查項目:  確保'不允許WinRM存儲RunAs憑據'被設置為'已啟用'

加固建議:  在GP（組策略)中將以下路徑中的值設置為：已啟用\n 計算機配置\\管理模板\\Windows組件\\Windows遠程服務(WinRM)\\WinRM服務\\不允許WinRM存貯RunAs 憑據

檢查項目:  確保'允許遠程Shell訪問'被設置為'已禁用'

加固建議:  在GP（組策略)中將以下路徑中的值設置為：已禁用,\n計算機配置\\管理模板\\Windows組件\\Windows遠程Shell\\允許遠程shell訪問

檢查項目:  確保'根據安全策略設置登錄終端的操作超時鎖定,設置為15分鍾或者更少'

加固建議:  在運行中輸入gpedit.msc打開“組策略”，在計算機配置\\管理模板\\Windows組件\\遠程桌面服務\\遠程桌面會話主機\\會話時間限制中，查看是否設置“活動但空閑的遠程桌面服務會話時間的限制,如沒有，請設置為啟用，並將空閑會話時間設置為15分鍾(900000亳秒)

檢查項目:  關機:清除虛擬內存頁面'設置為'已啟用'

加固建議:  在運行中輸入gpedit.msc打開“組策略”，在GP建立的推薦配置，將以下UI路徑設置為：\n計算機配置\\Windows 設置\\安全設置\\本地策略\\安全選項\\關機:清除虛擬內存頁面，已啟用

檢查項目:  '審核:強制審核策略子類別設置(Windows Vista 或更高版本)可替代審核策略類別設置'設置為'已啟用'

加固建議:  在運行中輸入gpedit.msc打開“組策略”，在GP建立的推薦配置，將以下UI路徑設置為：\n計算機配置\\Windows 設置\\安全設置\\本地策略\\安全選項\\審核:強制審核策略子類別設置(Windows Vista 或更高版本)可替代審核策略類別設置'，已啟用

檢查項目:  將帳戶登錄審核策略中的'審核憑據驗證'項設置為'成功和失敗'

加固建議:  在GP（組策略）中將以下路徑中的值設置為：成功和失敗 \n計算機配置\\Windows 設置\\安全設置\\高級審核策略配置\\系統審核策略\\帳戶登錄\\審核憑據驗證

檢查項目:  將帳戶管理審核策略中的'審核計算機帳戶管理'項設置為'成功和失敗'

加固建議:  在GP（組策略）中將以下路徑中的值設置為：成功和失敗\n 計算機配置\\Windows 設置\\安全設置\\高級審核策略配置\\系統審核策略\\帳戶管理\\審核計算機帳戶管理

檢查項目:  將帳戶管理審核策略中的'審核用戶帳戶管理'項設置為'成功和失敗'

加固建議:  在GP（組策略）中將以下路徑中的值設置為：成功和失敗\n 計算機配置\\Windows 設置\\安全設置\\高級審核策略配置\\系統審核策略\\帳戶管理\\審核用戶帳戶管理

檢查項目:  將登錄/注銷審計策略中的'審核帳戶鎖定'項設置為'成功'

加固建議:  在GP（組策略）中將以下路徑中的值設置為：成功和失敗 \n計算機配置\\Windows 設置\\安全設置\\高級審核策略配置\\系統審核策略\\登錄/注銷\\審核帳戶鎖定

檢查項目:  將登錄/注銷審核策略中的'審核注銷'項設置為'成功'

加固建議:  在GP（組策略）中將以下路徑中的值設置為：成功和失敗 \n計算機配置\\Windows 設置\\安全設置\\高級審核策略配置\\系統審核策略\\登錄/注銷\\審核注銷

檢查項目:  將登錄/注銷審計策略中的'審核登錄'項設置為'成功和失敗'

加固建議:  在GP（組策略）中將以下路徑中的值設置為：成功和失敗\n 計算機配置\\Windows 設置\\安全設置\\高級審核策略配置\\系統審核策略\\登錄/注銷\\審核登錄

檢查項目:  將登錄/注銷審計策略中的'審核其他登錄/注銷事件'項設置為'成功和失敗'

加固建議:  在GP（組策略）中將以下路徑中的值設置為：成功和失敗 \n計算機配置\\Windows 設置\\安全設置\\高級審核策略配置\\系統審核策略\\登錄/注銷\\審核其他登錄/注銷事件

檢查項目:  將登錄/注銷審計策略中的'審核特殊登錄'項設置為'成功'

加固建議:  在GP（組策略）中將以下路徑中的值設置為：成功 \n計算機配置\\Windows 設置\\安全設置\\高級審核策略配置\\系統審核策略\\登錄/注銷\\審核特殊登錄

檢查項目:  將政策變更審計政策中的'審核審核策略更改'項設置為'成功和失敗'

加固建議:  在GP（組策略）中將以下路徑中的值設置為：成功和失敗\n 計算機配置\\Windows 設置\\安全設置\\高級審核策略配置\\系統審核策略\\策略更改\\審核審核策略更改

檢查項目:  確保'強制密碼歷史'設置為'24個或更多'

加固建議:  在GP(組策略)中將以下路徑的值設置為24個或更多:\n計算機配置\\Windows 設置\\安全設置\\帳戶策略\\密碼策略\\強制密碼歷史

檢查項目:  確保'密碼最長使用期限'設置為'730天或更少天，但不是0天'

加固建議:  在GP(組策略)中將以下路徑的值設置730天或更少天數，但不為0天:\n計算機配置\\Windows 設置\\安全設置\\帳戶策略\\密碼策略\\密碼最長使用期限

檢查項目:  確保'密碼最短使用期限'設置為'1天或更多天'

加固建議:  在GP(組策略)中將以下路徑的值設置1天或更多天:\n計算機配置\\Windows 設置\\安全設置\\帳戶策略\\密碼策略\\密碼最小使用期限

檢查項目:  確保'密碼長度最小值'設置為'14個字符或更多字符'

加固建議:  在GP(組策略)中將以下路徑的值設置14或更多字符:\n計算機配置\\Windows 設置\\安全設置\\帳戶策略\\密碼策略\\密碼長度最小值

檢查項目:  配置'賬戶：重命名系統管理員賬戶'

加固建議:  GP(組策略)中，請配置以下UI路徑:\n計算機配置\\Windows 設置\\安全設置\\本地策略\\安全選項\\帳戶: 重命名系統管理員帳戶

檢查項目:  確保'復位賬戶鎖定計數'至少為5分鍾

加固建議:  [開始]->（[控制面板] ->）[管理工具]->[本地安全策略]->[賬戶策略]->[賬戶鎖定策略],修改'復位賬戶鎖定計數器'，至少為5分鍾

檢查項目:  確保'賬戶鎖定時間'設置為5分鍾或更多

加固建議:  [開始]->（[控制面板] ->）[管理工具]->[本地安全策略]->[賬戶策略]->[賬戶鎖定策略],修改'賬戶鎖定時間'，至少為5分鍾

檢查項目:  確保'賬戶鎖定閾值'不多於10次，但不為0

加固建議:  [開始]->（[控制面板] ->）[管理工具]->[本地安全策略]->[賬戶策略]->[賬戶鎖定策略],修改'賬戶鎖定閾值'，最多不超過10次,不能為0

 

又一次基線檢查

設置空閑會話斷開時間 | 訪問控制 在管理工具打開本地安全策略，打開路徑:安全設置\本地策略\安全選項。將Microsoft網絡服務器中的"暫停會話之前所需的空閑時間數量"設置為:5-30之間，建議值為15；將"登陸時間過期后斷開與客戶端的連接"設置為:已啟用。
設置密碼使用期限策略 | 身份鑒別 在管理工具打開本地安全策略，打開路徑:安全設置\帳戶策略\密碼策略，將密碼最長使用期限設置為30-180之間，建議值為90，將密碼最短使用期限設置為1-14之間，建議值為7.
配置安全選項賬戶策略 | 身份鑒別 在管理工具打開本地安全策略，打開路徑:安全設置\本地策略\安全選項。將"賬戶：來賓賬戶狀態"設置為:已禁用；將"賬戶：使用空密碼的本地賬戶只允許控制台登陸"設置為:啟用。
密碼復雜性配置 | 身份鑒別 在管理工具打開本地安全策略，打開路徑:安全設置\帳戶策略\密碼策略，將密碼必須符合復雜性要求設置為已啟用，將密碼最小長度設置為8以上。
匿名賬戶訪問控制 | 訪問控制 在管理工具打開本地安全策略，打開路徑:安全設置\本地策略\安全選項。將網絡訪問中“Everyone權限應用於匿名用戶“設置為：已禁用，將“不允許SAM帳戶的匿名枚舉“設置為：已啟用，將“不允許SAM帳戶和共享的匿名枚舉”設置為：已啟用，將”允許匿名SID/名稱轉換“設置為：已禁用。
配置賬戶鎖定策略 | 身份鑒別 在管理工具打開本地安全策略，打開路徑:安全設置\帳戶策略\賬戶鎖定策略。將賬戶鎖定閾值設置為3-8之間，建議值為5，輸錯5次密碼鎖定賬戶；然后將賬戶鎖定時間和重置賬戶鎖定計數器設置為10-30之間，建議值為15，賬戶鎖定時間為15分鍾。
應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計 | 安全審計 在管理工具打開本地安全策略，打開路徑:安全設置\本地策略\審核策略，將全部審核策略配置為：成功,失敗。包括審核策略更改、審核對象訪問、審核進程跟蹤、審核目錄服務訪問、審核賬戶登陸事件、審核特權使用、審核系統事件、審核賬戶管理、審核登陸事件共九項。
注冊表自啟動項 | 服務配置 檢查項注冊表路徑HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon的Userinit中可疑啟動項 加固建議
檢查注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon的Userinit中的危險啟動項並刪除，注意不要刪除系統默認啟動項C:\Windows\system32\Userinit.exe

基線檢查 https://helpcdn.aliyun.com/document_detail/59003.html

0x5 CIS各種基線檢查

https://files.cnblogs.com/files/qtong/CIS-%E5%9F%BA%E7%BA%BF%E6%A3%80%E6%9F%A5-sqlserver%26oracle%26apache%26mongo.zip
https://learn.cisecurity.org/benchmarks


--漏洞掃描舉例：

標題: GnuTLS堆棧緩沖區溢出漏洞

CVSS分值: 7.5

CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

披露時間: 2017-03-24

CVE ID: CVE-2017-5336

簡介:

GnuTLS是一個免費的用於實現SSL、TLS和DTLS協議的安全通信庫。

GnuTLS存在棧緩沖區溢出的漏洞，允許遠程攻擊者可利用該漏洞提交特殊的請求使鏈接此庫的應用程序崩潰。

解決方案:

請直接在漏洞處理頁面，選擇對應服務器和漏洞，生成修復命令后，登錄到服務器上運行即可。
www.securityfocus.com

軟件: 2.8.5-14.el6_5

命中: gnutls version less than 0:2.12.23-21.el6

路徑: /usr/lib64/libgnutls-extra.so.26

生成 命令 yum update gnutls

 

 

服務器軟件漏洞修復最佳實踐https://help.aliyun.com/knowledge_detail/56730.html?spm=5176.2020520154.0.0.3ab679d67R9lUa

基線檢查 https://helpcdn.aliyun.com/document_detail/59003.html