Linux、Windows系統安全加固

Linux系統加固：

1.檢查是否設置密碼有效期，密碼復雜度

# 執行備份
cp -p /etc/login.defs /etc/login.defs.$(date +%F).bak
查看文件/etc/login.defs，檢查如下參數值是否滿足要求：
PASS_MAX_DAYS 90         #密碼最長過期天數
PASS_MIN_DAYS 7            #密碼最小過期天數
PASS_MIN_LEN 8            #密碼最小長度
PASS_WARN_AGE 7            #密碼過期警告天數

# 設置密碼復雜度
# 執行備份
cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth.$(date +%F).bak
在/etc/pam.d/system-auth中的“password    requisite     pam_pwquality.so”行尾添加具體參數
比如“minlen=16 ucredit=-1 lcredit=-1 ocredit=-1 dcredit=-1”，表示最小密碼長度16位，數字，大小寫字母，特殊字符均至少包含1位

2.檢查賬戶認證失敗次數限制

執行備份    
cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth.$(date '+%F').bak
查看文件/etc/pam.d/system-auth，檢查如下參數值是否滿足要求：
auth        required      pam_tally2.so  deny=5 onerr=fail no_magic_root unlock_time=180
account     required      pam_tally2.so

3.檢查歷史命令設置

echo 'HISTFILESIZE=20' >> /etc/profile
echo 'HISTSIZE=20' >> /etc/profile
source  /etc/profile

4.操作系統未限制默認賬戶（root）的登錄模式，未配置SU_WHEEL_ONLY yes

cp -p /etc/login.defs /etc/login.defs.$(date +%F).bak
# 編輯文件/etc/login.defs
echo 'SU_WHEEL_ONLY yes' >> /etc/login.defs

5.檢查是否使用PAM認證模塊禁止wheel組之外的用戶su為root

# 執行備份
cp /etc/pam.d/su /etc/pam.d/su.$(date +%F).bak
# 編輯文件/etc/pam.d/su
# 在文件開頭加入如下兩行(有則修改,沒有則添加):
auth            sufficient      pam_rootok.so
auth            required        pam_wheel.so use_uid
# 注意auth與sufficient之間由兩個tab建隔開，sufficient與動態庫路徑之間使用一個tab建隔開
# 說明：(這表明只有wheel組中的用戶可以使用su命令成為root用戶。你可以把用戶添加到wheel組，以使它可以使用su命令成為root用戶。)
# 添加方法:
usermod -G wheel username  # *****（一定要注意。執行后新開窗口驗證普通用戶是否能切換到root）*****

6.操作系統未啟用NTP服務

# 執行備份
cp /etc/ntp.conf /etc/ntp.conf.$(date +%F).bak
# 編輯ntp.conf文件
vi /etc/ntp.conf
# 在文件中添加如下一行：
server 10.126.196.32
# 重啟ntpd服務
systemctl restart ntpd
# 確認配置生效
ntpq -p
ntpstat
timedatectl

7.ICMP timestamp請求響應漏洞

描述：
遠程主機會回復ICMP_TIMESTAMP查詢並返回它們系統的當前時間。 這可能允許者一些基於時間認證的協議

修復：
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p ICMP --icmp-type timestamp-request -m comment --comment "deny ICMP timestamp" -j DROP
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p ICMP --icmp-type timestamp-reply -m comment --comment "deny ICMP timestamp" -j DROP

8.允許Traceroute探測漏洞

描述：
本插件使用Traceroute探測來獲取掃描器與遠程主機之間的路由信息。或者也可以利用這些信息來了解目標網絡的網絡拓撲

修復：
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p ICMP --icmp-type 11 -m comment --comment "deny traceroute" -j DROP

重新加載firewalld配置
firewall-cmd --reload

查看添加的規則
firewall-cmd --direct --get-all-rules

Windows系統加固：

1.windows系統密碼復雜度策略：

win+R 輸入gpedit.msc—計算機配置—windows設置—安全設置—賬戶策略—密碼策略
設置參數可參考下圖

2.windows系統賬戶鎖定策略設置

win+R 輸入gpedit.msc—計算機配置—windows設置—安全設置—賬戶策略—賬戶鎖定策略
設置參數可參考下圖

3.開啟服務器審計策略

A、win+R 輸入gpedit.msc—計算機配置—windows設置—安全設置—本地策略—審核策略
設置參數可參考下圖

B、建議設置widows應用程序、安全、系統等日志的，日志存儲最大大小，大於50M，並配置日志滿時將其存儲，不覆蓋事件，配置如下圖
進入：事件查看器—windows日志—應用程序—右鍵—屬性，安全、系統日志如上操作。

4.登錄連接超時及自動退出策略

A、win+R 輸入gpedit.msc—計算機配置—windows設置—安全設置—本地策略—安全選項
設置參數可參考下圖

B、win+R 輸入gpedit.msc—計算機配置—管理模板—windows組件—遠程桌面服務—遠程桌面會話主機—會話時間限制
設置參數可參考下圖

C、開啟屏幕保護程序

5.終端服務配置RDP安全層

win+R 輸入gpedit.msc—計算機配置—管理模板—windows組件—遠程桌面服務—遠程桌面會話主機—安全
設置參數可參考下圖

6.對特權用戶進行權限分離

進入：計算機管理—系統工具—本地用戶和組—用戶
禁用：administrator等超級管理員用戶
新建：數據庫管理員、系統管理員、審計管理員、安全管理員—注意各管理員的所在的組

7.禁用系統不必要的端口、服務

A、禁用不必要的系統服務
計算機管理—系統工具—服務和應用程序—服務
建議禁用的服務如Alerter、Remote Registry Servicce Messsenger、Task Scheduler、print spooler等服務器
配置可參考下圖

B、禁用不必要的端口
Win+R輸入cmd，在命令行輸入"netstat -an”，查看列表中的監聽端口
建議禁用
TCP 135、139 、45、 593、1025端口，
UDP 135、137、 138、445端口，
一些流行病毒的后門端口，如TCP 2745、3127、6129端口。

8.安全選項“不顯示上次的用戶名”

操作步驟：
win+R 輸入gpedit.msc—計算機配置—windows設置—安全設置—本地策略—安全選項
設置參數可參考下圖

9.補丁版本

win補丁連接：https://www.catalog.update.microsoft.com/
補丁無法安裝問題，可通過以下命令安裝：

> expand –F:* C:\update\Windows8.1-KB2999226-x64.msu C:\update\
> dism.exe /online /Add-Package /PackagePath:C:\update\Windows8.1-KB2999226-x64.cab

10.殺毒軟件