Linux和Windows系统常用加固项

本文涉及的产品
云防火墙,500元 1000GB
运维安全中心(堡垒机),企业双擎版|50资产|一周时长
运维安全中心(堡垒机),免费版 6个月
简介: Linux和Windows系统常用加固项

LINUX系统加固


1.修改ssh的配置文件,禁止root直接登录


    vim /etc/ssh/sshd_config PermitRootLogin no systemctl restart sshd


    2.修改密码策略配置文件,确保密码最小长度为8位


      vim /etc/login.defs PASS_MIN_LEN    8


      其他策略解释


        PASS_MAX_DAYS  99999   #密码的最大有效期,99999:永久有效 PASS_MIN_DAYS  0        #是否可修改密码,0可修改,非0多少天后修改 PASS_MIN_LEN   5        #密码最小长度,使用pam_cracklib module,该参数不再有效 PASS_WARN_AGE  7       #密码失效前多少天通知用户修改密码


        上面不能进行强制修改,minlen表示最小密码长度


          vim /etc/pam.d/system-auth password    requisite     pam_pwquality.so minlen=8 try_first_pass local_users_only retry=4 authtok_type=


          其他策略解释


            retry=N:重试多少次后返回修改密码 difok=N:新密码必须与旧密码不同的位数 dcredit=N: N>0密码中最多有多少位数字:N<0密码中最少有多少个数字 lcredit=N:小写字母的个数 ucredit=N:大写字母的个数 credit=N:特殊字母的个数 minclass=N:密码组成(大/小字母,数字,特殊字符)


            3.确保错误登录3次,锁定此账户5分钟


              vim /etc/pam.d/system-auth auth        required      pam_tally2.so   deny=2  lock_time=300


              640.png


              解除用户锁定


                [root@node2 pam.d]# pam_tally2 -r -u test1 Login           Failures Latest failure     From test1               1    04/21/20 22:37:54  pts/4


                上面只是限制了用户从tty登录,而没有限制远程登录,修改sshd文件将实现对远程登陆的限制


                  vim /etc/pam.d/sshd auth      required  pam_tally2.so   deny=2  lock_time=300


                  4.禁止su非法提权,只允许root和wheel组用户su到root


                    vim /et/pam.d/su authrequired        pam_wheel.so group=wheel  #新加一行 或 auth            required        pam_wheel.so use_uid     #取消注释


                    640.png


                    5.不响应ICMP请求


                      echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all


                      640.png


                      6.设置登陆超时时间为10分钟


                        exportTMOUT=600


                        640.png


                        7.结束非法登录用户


                          pkill -9 -t pts/0


                          640.png


                          8.配置firewalld防火墙仅开启


                            firewall-cmd —zone=public —add-port=22/tcp —permanent firewall-cmd —zone=public —add-port=443/tcp —permanent firewall-cmd —zone=public —add-port=80/tcp —permanent firewall-cmd —reload


                            640.png


                            1.修改3389端口


                            3389端口是windows server 远程桌面的服务端口,可以通过这个端口进行远程桌面连接。对于系统安全来讲这是个安全隐患,在既不影响办公又不影响安全的前提下,我们采取修改3389端口的方法加固系统。


                            单击【开始】—-【运行】,输入regedit,打开注册表后,单击进入以下路径:【HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\control\TerminalServer\wds\rdpwd\Tds\tcp】在右边找到PortNumber值,默认为3389,选择十进制,改为5433.见下图:


                            按照路径找到PortNumber:


                            640.png


                            修改PortNumber的值:


                            640.png


                            再次打开注册表,找到以下路径:


                            【HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\control\TerminalServer\WinStations\RDP-Tcp】,在右边找到PortNumber的值(默认为3389),选择十进制,改为5433,需要注意的是两处的端口号要一致。操作如下:


                            找到RDP-Tcp,如图:


                            640.png


                            修改PortNumber值,如图:


                            640.png


                            重启计算机


                            查看实验情况,如图:3389端口已被修改


                            640.png


                            启用3389端口连接失败,如图:


                            640.png


                            启用5433端口连接成功,如图:


                            640.png


                            2.设置安全策略,不允许SAM帐户的匿名枚举,不允许SAM帐户和共享的匿名枚举


                            选择“开始菜单”的“管理工具”的“域安全策略”


                            640.png


                            在域安全策略界面上双击“本地策略”的“安全选项”中“不允许SAM账户的匿名枚举”


                            640.png


                            则会出现“不允许sam账户的匿名枚举的属性”的对话框,勾选“启用”单选框


                            640.png


                            3.在组策略中设置阻止访问注册表编辑工具


                            在“运行”输入“gpedit.msc”字符,则进入“组策略”的界面


                            在组策略的界面中双击“用户配置”的“管理模板”的“系统”的“阻止访问注册表编辑工具”


                            640.png


                            会出现“阻止访问注册表编辑工具的属性”界面,勾选“已启用”单选框


                            640.png


                            4.开启审核对象访问,成功与失败;开启审核目录服务访问,成功与失败;开启审核系统事件,成功与失败


                            在本地策略的“审核策略”的界面双击“审核对象访问”


                            640.png


                            则会出现“审核对象访问属性”的界面,在界面勾选成功和失败的复选框


                            640.png


                            在本地策略的“审核策略”的界面双击“审核登录事件”则会出现“审核登录事件  属性”的界面,在界面勾选成功和失败的复选框


                            640.png


                            5.禁止445端口漏洞


                            选择“网络连接”中的“本地连接”,在本地连接界面中把“microsoft网络的文件和打印机共享”的单选框勾掉


                            640.png


                            6.设置屏幕保护在恢复时使用密码保护


                            在桌面上右击选择“属性”按钮,则会出现“属性”的对话框,在界面中点击“屏幕保护程序”勾选“在恢复时使用密码保护”


                            640.png


                            7.设置windows密码策略:使密码必须满足复杂性,设置密码长度最小值为8位,设置密码最长存留期为30天。


                            在“本地安全策略”的“密码策略”界面上双击“密码最长使用期限”,则会出现属性,在属性中输入“30”


                            640.png


                            在“本地安全策略”的“密码策略”界面上双击“密码必须符合复杂性要求”,则会出现属性,在属性中勾选“已启用”


                            640.png


                            在“本地安全策略”的“密码策略”界面上双击“密码长度最小值”,则会出现属性,在属性中输入“8”


                            640.png


                            8.设置复位帐户锁定计数器为30分钟之后,设置帐户锁定时间为30分钟,设置帐户锁定阀值为6次无效登录。


                            在“开始菜单”中“管理工具”的“域安全策略”


                            640.png


                            在域安全策略的界面双击 “账户锁定策略”的“复位账户锁定计时器,则会出现“复位账户锁定计时器的属性”输入“30”即可


                            640.png


                            在域安全策略的界面双击 “账户锁定策略”的“账户锁定时间”,则会出现“账户锁定时间”输入“30”即可


                            640.png


                            在域安全策略的界面双击 “账户锁定策略”的“账户锁定阈值”,则会出现“账户锁定时间阈值的属性”输入“6”即可


                            640.png


                            9.开启Windows防火墙,关闭ping服务,打开3389、80等服务


                            在windows 防火墙的界面上,勾选“开启”选框


                            640.png


                            在windows 防火墙界面上点击“高级”按钮,点击“icmp的设置”按钮,出现的设置界面不进行选择即可。


                            640.png


                            在windows 防火墙点击“例外”按钮则会出现例外的界面,勾选“http”和“远程桌面”最后点击“确定”按钮


                            640.png


                            10.关闭系统默认共享


                            系统默认共享功能给人们提供便利的同时也给系统安全带来风险,为了避免系统造成不必要的安全隐患,所以需要通过必要手段管理系统默认共享功能。


                            右击我的电脑——>管理——>服务和应用程序——>服务——>server——>禁用server服务,如图:


                            640.png


                            server被停用,如图:


                            640.png


                            欢迎各位一起交流

                            相关文章
                            |
                            11天前
                            |
                            Linux
                            在 Linux 系统中,“cd”命令用于切换当前工作目录
                            在 Linux 系统中,“cd”命令用于切换当前工作目录。本文详细介绍了“cd”命令的基本用法和常见技巧,包括使用“.”、“..”、“~”、绝对路径和相对路径,以及快速切换到上一次工作目录等。此外,还探讨了高级技巧,如使用通配符、结合其他命令、在脚本中使用,以及实际应用案例,帮助读者提高工作效率。
                            47 3
                            |
                            11天前
                            |
                            监控 安全 Linux
                            在 Linux 系统中,网络管理是重要任务。本文介绍了常用的网络命令及其适用场景
                            在 Linux 系统中,网络管理是重要任务。本文介绍了常用的网络命令及其适用场景,包括 ping(测试连通性)、traceroute(跟踪路由路径)、netstat(显示网络连接信息)、nmap(网络扫描)、ifconfig 和 ip(网络接口配置)。掌握这些命令有助于高效诊断和解决网络问题,保障网络稳定运行。
                            36 2
                            |
                            22天前
                            |
                            存储 负载均衡 Java
                            如何配置Windows主机MPIO多路径访问存储系统
                            Windows主机多路径(MPIO)是一种技术,用于在客户端计算机上配置多个路径到存储设备,以提高数据访问的可靠性和性能。本文以Windows2012 R2版本为例介绍如何在客户端主机和存储系统配置多路径访问。
                            67 13
                            如何配置Windows主机MPIO多路径访问存储系统
                            |
                            21天前
                            |
                            Linux 应用服务中间件 Shell
                            linux系统服务二!
                            本文详细介绍了Linux系统的启动流程,包括CentOS 7的具体启动步骤,从BIOS自检到加载内核、启动systemd程序等。同时,文章还对比了CentOS 6和CentOS 7的启动流程,分析了启动过程中的耗时情况。接着,文章讲解了Linux的运行级别及其管理命令,systemd的基本概念、优势及常用命令,并提供了自定义systemd启动文件的示例。最后,文章介绍了单用户模式和救援模式的使用方法,包括如何找回忘记的密码和修复启动故障。
                            42 5
                            linux系统服务二!
                            |
                            21天前
                            |
                            Linux 应用服务中间件 Shell
                            linux系统服务!!!
                            本文详细介绍了Linux系统(以CentOS7为例)的启动流程,包括BIOS自检、读取MBR信息、加载Grub菜单、加载内核及驱动程序、启动systemd程序加载必要文件等五个主要步骤。同时,文章还对比了CentOS6和CentOS7的启动流程图,并分析了启动流程的耗时。此外,文中还讲解了Linux的运行级别、systemd的基本概念及其优势,以及如何使用systemd管理服务。最后,文章提供了单用户模式和救援模式的实战案例,帮助读者理解如何在系统启动出现问题时进行修复。
                            40 3
                            linux系统服务!!!
                            |
                            5天前
                            |
                            Ubuntu Linux 网络安全
                            linux系统ubuntu中在命令行中打开图形界面的文件夹
                            在Ubuntu系统中,通过命令行打开图形界面的文件夹是一个高效且实用的操作。无论是使用Nautilus、Dolphin还是Thunar,都可以根据具体桌面环境选择合适的文件管理器。通过上述命令和方法,可以简化日常工作,提高效率。同时,解决权限问题和图形界面问题也能确保操作的顺利进行。掌握这些技巧,可以使Linux操作更加便捷和灵活。
                            13 3
                            |
                            29天前
                            |
                            Web App开发 搜索推荐 Unix
                            Linux系统之MobaXterm远程连接centos的GNOME桌面环境
                            【10月更文挑战第21天】Linux系统之MobaXterm远程连接centos的GNOME桌面环境
                            248 4
                            Linux系统之MobaXterm远程连接centos的GNOME桌面环境
                            |
                            30天前
                            |
                            运维 监控 Linux
                            Linux系统之部署Linux管理面板1Panel
                            【10月更文挑战第20天】Linux系统之部署Linux管理面板1Panel
                            90 3
                            Linux系统之部署Linux管理面板1Panel
                            |
                            11天前
                            |
                            安全 网络协议 Linux
                            本文详细介绍了 Linux 系统中 ping 命令的使用方法和技巧,涵盖基本用法、高级用法、实际应用案例及注意事项。
                            本文详细介绍了 Linux 系统中 ping 命令的使用方法和技巧,涵盖基本用法、高级用法、实际应用案例及注意事项。通过掌握 ping 命令,读者可以轻松测试网络连通性、诊断网络问题并提升网络管理能力。
                            42 3
                            |
                            14天前
                            |
                            安全 Linux 数据安全/隐私保护
                            在 Linux 系统中,查找文件所有者是系统管理和安全审计的重要技能。
                            在 Linux 系统中,查找文件所有者是系统管理和安全审计的重要技能。本文介绍了使用 `ls -l` 和 `stat` 命令查找文件所有者的基本方法,以及通过文件路径、通配符和结合其他命令的高级技巧。还提供了实际案例分析和注意事项,帮助读者更好地掌握这一操作。
                            34 6
                            下一篇
                            无影云桌面