阿里云安全基线 记录如下 不定时更新

0x0

0x1 --Centos7 基线检查190621

0x2 --Centos6 基线检查190627

0x3 --Ubuntu安全基线检查190621

0x3.5 --SSH登录安全策略、账户-密码

0x4 --Windows基线检查按照CIS-Linux Windows 2008 R2最新基线标准进行系统层面基线检测)

0x5 --CIS 各种基线附件

0x1 Centos7 基线检查

描述
强制用户不重用最近使用的密码,降低密码猜测攻击风险

加固建议
在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 这行的末尾配置remember参数为5-24之间,原来的内容不用更改,只在末尾加了remember=5。

描述
确保SSH LogLevel设置为INFO,记录登录和注销活动

加固建议
编辑 /etc/ssh/sshd_config 文件以按如下方式设置参数(取消注释):
LogLevel INFO

描述
设置SSH空闲超时退出时间,可降低未授权用户访问其他用户ssh会话的风险

加固建议
编辑/etc/ssh/sshd_config,将ClientAliveInterval 设置为300到900,即5-15分钟,将ClientAliveCountMax设置为0-3之间。
ClientAliveInterval 600
ClientAliveCountMax 2

描述
SSHD强制使用V2安全协议

加固建议
编辑 /etc/ssh/sshd_config 文件以按如下方式设置参数:
Protocol 2
操作时建议做好记录或备份

描述
设置较低的Max AuthTrimes参数将降低SSH服务器被暴力攻击成功的风险。

加固建议
在/etc/ssh/sshd_config中取消MaxAuthTries注释符号#,设置最大密码尝试失败次数3-6,建议为4:
MaxAuthTries 4

描述
除root以外其他UID为0的用户都应该删除,或者为其分配新的UID

加固建议
除root以外其他UID为0的用户(查看命令cat /etc/passwd | awk -F: ‘($3 == 0) { print $1 }‘|grep -v ‘^root$‘)都应该删除,或者为其分配新的UID

描述
设置密码修改最小间隔时间,限制密码更改过于频繁

加固建议
在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7-14之间,建议为7:
PASS_MIN_DAYS 7
需同时执行命令为root用户设置:

描述
设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登陆方式(如密钥对)请忽略此项。

加固建议
使用非密码登陆方式如密钥对,请忽略此项。在 /etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 60-180之间,如:
PASS_MAX_DAYS 90
需同时执行命令设置root密码失效时间:

描述
检查密码长度和密码是否使用多种字符类型

加固建议
编辑/etc/security/pwquality.conf,把minlen(密码最小长度)设置为9-32位,把minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类)设置为3或4。如:
minlen=10
minclass=3

描述
它将进程的内存空间地址随机化来增大入侵者预测目的地址难度,从而降低进程被成功入侵的风险

加固建议
执行命令: sysctl -w kernel.randomize_va_space=2

描述
设置用户权限配置文件的权限

加固建议
执行以下5条命令
chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
chmod 0644 /etc/group 
chmod 0644 /etc/passwd 
chmod 0400 /etc/shadow 
chmod 0400 /etc/gshadow

描述
访问控制配置文件的权限设置

加固建议
运行以下4条命令:
chown root:root /etc/hosts.allow 
chown root:root /etc/hosts.deny 
chmod 644 /etc/hosts.deny
chmod 644 /etc/hosts.allow

描述
确保rsyslog服务已启用,记录日志用于审计

加固建议
运行以下命令启用rsyslog服务:
systemctl enable rsyslog
systemctl start rsyslog

描述
确保密码到期警告天数为7或更多

加固建议
在 /etc/login.defs 中将 PASS_WARN_AGE 参数设置为7-14之间,建议为7:
PASS_WARN_AGE 7
同时执行命令使root用户设置生效:

描述
禁止SSH空密码用户登录

加固建议
编辑文件/etc/ssh/sshd_config,将PermitEmptyPasswords配置为no:
PermitEmptyPasswords no

描述
检查系统空密码账户

加固建议
为用户设置一个非空密码,或者执行passwd -l <username>锁定用户

0x2 Centos6 基线检查

描述
强制用户不重用最近使用的密码,降低密码猜测攻击风险 
加固建议
在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 这行的末尾配置remember参数为5-24之间,原来的内容不用更改,只在末尾加了remember=5。

描述
设置SSH空闲超时退出时间,可降低未授权用户访问其他用户ssh会话的风险 
加固建议
编辑/etc/ssh/sshd_config,将ClientAliveInterval 设置为300到900,即5-15分钟,将ClientAliveCountMax设置为0-3之间。
ClientAliveInterval 600
ClientAliveCountMax 2

描述
设置较低的Max AuthTrimes参数将降低SSH服务器被暴力攻击成功的风险。 
加固建议
在/etc/ssh/sshd_config中取消MaxAuthTries注释符号#,设置最大密码尝试失败次数3-6,建议为4:
MaxAuthTries 4

描述
设置密码修改最小间隔时间,限制密码更改过于频繁 
加固建议
在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7-14之间,建议为7:
PASS_MIN_DAYS 7
需同时执行命令为root用户设置:
chage --mindays 7 root

描述
设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登陆方式(如密钥对)请忽略此项。 
加固建议
使用非密码登陆方式如密钥对,请忽略此项。在 /etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 60-180之间,如:
PASS_MAX_DAYS 90
需同时执行命令设置root密码失效时间:
chage --maxdays 90 root

描述
检查密码长度和密码是否使用多种字符类型 
加固建议
编辑/etc/pam.d/password-auth 和 /etc/pam.d/system-auth配置文件中包含password requisite pam_cracklib.so 这一行。增加配置minlen(密码最小长度)设置为9-32位,minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类)设置为3或4。如
password requisite pam_cracklib.so try_first_pass retry=3 minlen=11 minclass=3

描述
确保SSH LogLevel设置为INFO,记录登录和注销活动 
加固建议
编辑 /etc/ssh/sshd_config 文件以按如下方式设置参数(取消注释):
LogLevel INFO 
描述
除root以外其他UID为0的用户都应该删除,或者为其分配新的UID 
加固建议
除root以外其他UID为0的用户(查看命令cat /etc/passwd | awk -F: ‘($3 == 0) { print $1 }‘|grep -v ‘^root$‘)都应该删除,或者为其分配新的UID

描述
它将进程的内存空间地址随机化来增大入侵者预测目的地址难度,从而降低进程被成功入侵的风险 
加固建议
执行命令: sysctl -w kernel.randomize_va_space=2

描述
设置用户权限配置文件的权限 
加固建议
执行以下5条命令
chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
chmod 0644 /etc/group 
chmod 0644 /etc/passwd 
chmod 0400 /etc/shadow 
chmod 0400 /etc/gshadow

描述
访问控制配置文件的权限设置 
加固建议
运行以下4条命令:
chown root:root /etc/hosts.allow 
chown root:root /etc/hosts.deny 
chmod 644 /etc/hosts.deny
chmod 644 /etc/hosts.allow

描述
确保rsyslog服务已启用,记录日志用于审计 
加固建议
运行以下命令启用 rsyslog :
chkconfig rsyslog on
service rsyslog start

描述
SSHD强制使用V2安全协议 
加固建议
编辑 /etc/ssh/sshd_config 文件以按如下方式设置参数:
Protocol 2

描述
确保密码到期警告天数为7或更多 
加固建议
在 /etc/login.defs 中将 PASS_WARN_AGE 参数设置为7-14之间,建议为7:
PASS_WARN_AGE 7
同时执行命令使root用户设置生效:
chage --warndays 7 root

描述
禁止SSH空密码用户登录 
加固建议
编辑文件/etc/ssh/sshd_config,将PermitEmptyPasswords配置为no:
PermitEmptyPasswords no

描述
检查系统空密码账户 
加固建议
为用户设置一个非空密码,或者执行passwd -l <username>锁定用户

0x3 Ubuntu安全基线检查190621

描述

设置用户权限配置文件的权限

加固建议
执行以下5条命令
chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
chmod 0644 /etc/group 
chmod 0644 /etc/passwd 
chmod 0400 /etc/shadow 
chmod 0400 /etc/gshadow

描述
设置SSH空闲超时退出时间,可降低未授权用户访问其他用户ssh会话的风险

加固建议
编辑/etc/ssh/sshd_config,将ClientAliveInterval 设置为300到900,即5-15分钟,将ClientAliveCountMax设置为0-3之间。
ClientAliveInterval 600
ClientAliveCountMax 2

描述
设置较低的Max AuthTrimes参数将降低SSH服务器被暴力攻击成功的风险。

加固建议
在/etc/ssh/sshd_config中取消MaxAuthTries注释符号#,设置最大密码尝试失败次数3-6,建议为4:
MaxAuthTries 4

描述
检查密码长度和密码是否使用多种字符类型

加固建议
1、安装PAM的cracklib模块,执行命令:
apt-get update&&apt-get install libpam-cracklib
2、编辑/etc/pam.d/common-password,在password requisite pam_cracklib.so开头的这一行配置minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符中的3类或4类)设置为3或4,即在行末尾加上参数minclass=3;在password [success=1 default=ignore] pam_unix.so开头的这一行增加配置minlen(密码最小长度)设置为9-32位,建议为9,即在行末尾加上参数minlen=9

描述
设置密码修改最小间隔时间,限制密码更改过于频繁

加固建议
在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7-14之间,建议为7:
PASS_MIN_DAYS 7
需同时执行命令为root用户设置:

描述
设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登陆方式(如密钥对)请忽略此项。

加固建议
使用非密码登陆方式如密钥对,请忽略此项。在 /etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 60-180之间,如:
PASS_MAX_DAYS 90
需同时执行命令设置root密码失效时间:

描述
强制用户不重用最近使用的密码,降低密码猜测攻击风险

加固建议
编辑/etc/pam.d/common-password,在password [success=1 default=ignore] pam_unix.so开头的这一行增加配置remember设置为5-24之间,建议为5,即在行末尾加上参数remember=5

描述
除root以外其他UID为0的用户都应该删除,或者为其分配新的UID

加固建议
除root以外其他UID为0的用户(查看命令cat /etc/passwd | awk -F: ‘($3 == 0) { print $1 }‘|grep -v ‘^root$‘)都应该删除,或者为其分配新的UID

描述
它将进程的内存空间地址随机化来增大入侵者预测目的地址难度,从而降低进程被成功入侵的风险

加固建议
执行命令: sysctl -w kernel.randomize_va_space=2

描述
检查系统空密码账户

加固建议
为用户设置一个非空密码,或者执行passwd -l <username>锁定用户

描述
访问控制配置文件的权限设置

加固建议
运行以下4条命令:
chown root:root /etc/hosts.allow 
chown root:root /etc/hosts.deny 
chmod 644 /etc/hosts.deny
chmod 644 /etc/hosts.allow

描述
确保SSH LogLevel设置为INFO,记录登录和注销活动

加固建议
编辑 /etc/ssh/sshd_config 文件以按如下方式设置参数(取消注释):
LogLevel INFO

描述
SSHD强制使用V2安全协议

加固建议
编辑 /etc/ssh/sshd_config 文件以按如下方式设置参数:
Protocol 2

描述
确保密码到期警告天数为7或更多

加固建议
在 /etc/login.defs 中将 PASS_WARN_AGE 参数设置为7-14之间,建议为7:
PASS_WARN_AGE 7
同时执行命令使root用户设置生效:

描述
禁止SSH空密码用户登录

加固建议
编辑文件/etc/ssh/sshd_config,将PermitEmptyPasswords配置为no:
PermitEmptyPasswords no

描述
确保rsyslog服务已启用,记录日志用于审计

加固建议
运行以下命令启用rsyslog服务:
service rsyslog start

--SSH登录安全策略检测如下配置:1.登录端口是否为默认22端口。 2.root账号是否允许直接登录。 3.是否使用不安全的SSH V1协议。 4.是否使用不安全的rsh协议。 5.是否运行基于主机身份验证的登录。 

修复方案: 编辑 /etc/ssh/sshd_config 1.Port(非22)。 2.PermitRootLogin(no)。 3.Protocol(2)。 4.IgnoreRhosts(yes)。 5.HostbasedAuthentication(no)。

--账户-密码
密码策略合规检测会检测如下Linux账户密码策略: 1.账号密码最大使用天数。 2.密码修改最小间隔天数。 3.账号不活动最长天数。 加固建议: 1.在/etc/login.defs 里面修改 PASS_MAX_DAYS 1095。 2.在/etc/login.defs 里面修改 PASS_MIN_DAYS 7。 3.执行useradd -D -f 1095。

0x4 Windows基线检查(按照CIS-Linux Windows 2008 R2最新基线标准进行系统层面基线检测)

检查项目: ‘交互式登录:不显示最后的用户名‘设置为‘已启用‘

加固建议: 在GP(组策略)中将以下路径中的值设置为:已启用\n计算机配置\\Windows 设置\\安全设置\\本地策略\\安全选项\\交互式登录: 不显示最后的用户名

检查项目: 设置‘交互式登录:之前登录到缓存的次数(域控制器不可用的情况下)‘为‘0~4‘

加固建议: 在GP(组策略)中将以下路径中的值设置为0~4:\n计算机配置\\Windows 设置\\安全设置\\本地策略\\安全选项\\交互式登录:之前登录到缓存的次数(域控制器不可用的情况下)

检查项目: 将‘交互式登录:需要域控制器身份验证以对工作站进行解锁‘设置为‘已启用‘

加固建议: 在GP建立的推荐配置,将以下UI路径设置为以下值:\n计算机配置\\Windows 设置\\安全设置\\本地策略\\安全选项\\交互式登录:需要域控制器身份验证以对工作站进行解锁

检查项目: 网络访问:不允许SAM帐户和共享的匿名枚举‘设置为‘已启用‘

加固建议: 在GP建立的推荐配置,将以下UI路径设置为:已启用:\n计算机配置\\Windows 设置\\安全设置\\本地策略\\安全选项\\网络访问:不允许SAM帐户和共享的匿名枚举

检查项目: ‘网络访问:不允许存储网络身份验证的密码和凭证‘ 设置为‘已启用‘

加固建议: 在GP建立的推荐配置,将以下UI路径设置为:已启用:\n计算机配置\\Windows 设置\\安全设置\\本地策略\\安全选项\\网络访问:网络访问:不允许存储网络身份验证的密码和凭证

检查项目: 网络访问: 可匿名访问的共享 置为空

加固建议: 在GP建立的推荐配置,将以下UI路径设置为:\n计算机配置\\Windows 设置\\安全设置\\本地策略\\安全选项\\网络访问: 可匿名访问的共享

检查项目: 将MSS中的‘IP源路由保护级别(防止数据包欺骗)‘设置为‘最高级别的保护,源路由完全禁用‘

加固建议: 在GP(组策略)中将以下路径中的值设置为:已启用 Highest protection, source routing is completely disabled: \n计算机配置\\管理模板\\MSS (Legacy)\\MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing) \n\n注意: 此组策略路径默认情况下不存在。 还需要其他组策略模板(MSS-legacy.admx / adml) - 它包含在Microsoft安全合规性管理器(SCM)中,或可从以下TechNet博客文章获得:https://blogs.technet.microsoft.com/secguide/2016/10/02/the-mss-settings/

检查项目: 在远程协助相关设置中,将‘提供远程协助‘设置为‘已禁用‘

加固建议: 在GP(组策略)中将以下路径中的值设置为:已禁用 \n计算机配置\\管理模板\\系统\\远程协助\\提供远程协助

检查项目: 在远程协助相关设置中,将‘请求的远程协助‘被设置为‘已禁用‘

加固建议: 在GP(组策略)中将以下路径中的值设置为:已禁用 \n计算机配置\\管理模板\\系统\\远程协助\\请求的远程协助

检查项目: 将‘自动运行的默认行为‘设置为‘不执行任何自动运行命令‘

加固建议: 在GP(组策略)中将以下路径中的值设置为:不执行任何自动运行命令: \n计算机配置\\管理模板\\Windows 组件\\自动播放策略\\自动运行的默认行为

检查项目: 在凭据用户界面相关设置中,将‘不显示密码显示按钮‘被设置为‘已启用‘

加固建议: 在GP(组策略)中将以下路径中的值设置为:已启用\n 计算机配置\\管理模板\\Windows 组件\\凭据用户界面\\不显示密码显示按钮\n 如果未找到此路径,请设置注册表HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\CredUI,键名DisablePasswordReveal的值为1

检查项目: 在凭据用户界面相关设置中,‘提升时枚举管理员帐户‘被设置为‘已禁用‘

加固建议: 在GP(组策略)中将以下路径中的值设置为:已禁用 \n计算机配置\\管理模板\\Windows 组件\\凭据用户界面\\提升时枚举管理员帐户

检查项目: 在远程桌面相关设置中,设置‘不允许保存密码‘

加固建议: 在GP(组策略)中将以下路径中的值设置为:已启用 \n计算机配置\\管理模板\\Windows 组件\\远程桌面服务\\远程桌面连接客户端\\不允许保存密码

检查项目: 确保‘允许通过WinRM进行远程服务器管理‘项目被设置为‘已禁用‘

加固建议: 在GP(组策略)中将以下路径中的值设置为:已禁用\n 计算机配置\\管理模块\\Windows组件\\Windows远程服务(WinRM)\\WinRM服务\\允许通过WinRM进行远程服务器管理

检查项目: 确保‘不允许WinRM存储RunAs凭据‘被设置为‘已启用‘

加固建议: 在GP(组策略)中将以下路径中的值设置为:已启用\n 计算机配置\\管理模板\\Windows组件\\Windows远程服务(WinRM)\\WinRM服务\\不允许WinRM存贮RunAs 凭据

检查项目: 确保‘允许远程Shell访问‘被设置为‘已禁用‘

加固建议: 在GP(组策略)中将以下路径中的值设置为:已禁用,\n计算机配置\\管理模板\\Windows组件\\Windows远程Shell\\允许远程shell访问

检查项目: 确保‘根据安全策略设置登录终端的操作超时锁定,设置为15分钟或者更少‘

加固建议: 在运行中输入gpedit.msc打开“组策略”,在计算机配置\\管理模板\\Windows组件\\远程桌面服务\\远程桌面会话主机\\会话时间限制中,查看是否设置“活动但空闲的远程桌面服务会话时间的限制,如没有,请设置为启用,并将空闲会话时间设置为15分钟(900000亳秒)

检查项目: 关机:清除虚拟内存页面‘设置为‘已启用‘

加固建议: 在运行中输入gpedit.msc打开“组策略”,在GP建立的推荐配置,将以下UI路径设置为:\n计算机配置\\Windows 设置\\安全设置\\本地策略\\安全选项\\关机:清除虚拟内存页面,已启用

检查项目: ‘审核:强制审核策略子类别设置(Windows Vista 或更高版本)可替代审核策略类别设置‘设置为‘已启用‘

加固建议: 在运行中输入gpedit.msc打开“组策略”,在GP建立的推荐配置,将以下UI路径设置为:\n计算机配置\\Windows 设置\\安全设置\\本地策略\\安全选项\\审核:强制审核策略子类别设置(Windows Vista 或更高版本)可替代审核策略类别设置‘,已启用

检查项目: 将帐户登录审核策略中的‘审核凭据验证‘项设置为‘成功和失败‘

加固建议: 在GP(组策略)中将以下路径中的值设置为:成功和失败 \n计算机配置\\Windows 设置\\安全设置\\高级审核策略配置\\系统审核策略\\帐户登录\\审核凭据验证

检查项目: 将帐户管理审核策略中的‘审核计算机帐户管理‘项设置为‘成功和失败‘

加固建议: 在GP(组策略)中将以下路径中的值设置为:成功和失败\n 计算机配置\\Windows 设置\\安全设置\\高级审核策略配置\\系统审核策略\\帐户管理\\审核计算机帐户管理

检查项目: 将帐户管理审核策略中的‘审核用户帐户管理‘项设置为‘成功和失败‘

加固建议: 在GP(组策略)中将以下路径中的值设置为:成功和失败\n 计算机配置\\Windows 设置\\安全设置\\高级审核策略配置\\系统审核策略\\帐户管理\\审核用户帐户管理

检查项目: 将登录/注销审计策略中的‘审核帐户锁定‘项设置为‘成功‘

加固建议: 在GP(组策略)中将以下路径中的值设置为:成功和失败 \n计算机配置\\Windows 设置\\安全设置\\高级审核策略配置\\系统审核策略\\登录/注销\\审核帐户锁定

检查项目: 将登录/注销审核策略中的‘审核注销‘项设置为‘成功‘

加固建议: 在GP(组策略)中将以下路径中的值设置为:成功和失败 \n计算机配置\\Windows 设置\\安全设置\\高级审核策略配置\\系统审核策略\\登录/注销\\审核注销

检查项目: 将登录/注销审计策略中的‘审核登录‘项设置为‘成功和失败‘

加固建议: 在GP(组策略)中将以下路径中的值设置为:成功和失败\n 计算机配置\\Windows 设置\\安全设置\\高级审核策略配置\\系统审核策略\\登录/注销\\审核登录

检查项目: 将登录/注销审计策略中的‘审核其他登录/注销事件‘项设置为‘成功和失败‘

加固建议: 在GP(组策略)中将以下路径中的值设置为:成功和失败 \n计算机配置\\Windows 设置\\安全设置\\高级审核策略配置\\系统审核策略\\登录/注销\\审核其他登录/注销事件

检查项目: 将登录/注销审计策略中的‘审核特殊登录‘项设置为‘成功‘

加固建议: 在GP(组策略)中将以下路径中的值设置为:成功 \n计算机配置\\Windows 设置\\安全设置\\高级审核策略配置\\系统审核策略\\登录/注销\\审核特殊登录

检查项目: 将政策变更审计政策中的‘审核审核策略更改‘项设置为‘成功和失败‘

加固建议: 在GP(组策略)中将以下路径中的值设置为:成功和失败\n 计算机配置\\Windows 设置\\安全设置\\高级审核策略配置\\系统审核策略\\策略更改\\审核审核策略更改

检查项目: 确保‘强制密码历史‘设置为‘24个或更多‘

加固建议: 在GP(组策略)中将以下路径的值设置为24个或更多:\n计算机配置\\Windows 设置\\安全设置\\帐户策略\\密码策略\\强制密码历史

检查项目: 确保‘密码最长使用期限‘设置为‘730天或更少天,但不是0天‘

加固建议: 在GP(组策略)中将以下路径的值设置730天或更少天数,但不为0天:\n计算机配置\\Windows 设置\\安全设置\\帐户策略\\密码策略\\密码最长使用期限

检查项目: 确保‘密码最短使用期限‘设置为‘1天或更多天‘

加固建议: 在GP(组策略)中将以下路径的值设置1天或更多天:\n计算机配置\\Windows 设置\\安全设置\\帐户策略\\密码策略\\密码最小使用期限

检查项目: 确保‘密码长度最小值‘设置为‘14个字符或更多字符‘

加固建议: 在GP(组策略)中将以下路径的值设置14或更多字符:\n计算机配置\\Windows 设置\\安全设置\\帐户策略\\密码策略\\密码长度最小值

检查项目: 配置‘账户:重命名系统管理员账户‘

加固建议: GP(组策略)中,请配置以下UI路径:\n计算机配置\\Windows 设置\\安全设置\\本地策略\\安全选项\\帐户: 重命名系统管理员帐户

检查项目: 确保‘复位账户锁定计数‘至少为5分钟

加固建议: [开始]->([控制面板] ->)[管理工具]->[本地安全策略]->[账户策略]->[账户锁定策略],修改‘复位账户锁定计数器‘,至少为5分钟

检查项目: 确保‘账户锁定时间‘设置为5分钟或更多

加固建议: [开始]->([控制面板] ->)[管理工具]->[本地安全策略]->[账户策略]->[账户锁定策略],修改‘账户锁定时间‘,至少为5分钟

检查项目: 确保‘账户锁定阈值‘不多于10次,但不为0

加固建议: [开始]->([控制面板] ->)[管理工具]->[本地安全策略]->[账户策略]->[账户锁定策略],修改‘账户锁定阈值‘,最多不超过10次,不能为0

又一次基线检查

设置空闲会话断开时间 | 访问控制 在管理工具打开本地安全策略,打开路径:安全设置\本地策略\安全选项。将Microsoft网络服务器中的"暂停会话之前所需的空闲时间数量"设置为:5-30之间,建议值为15;将"登陆时间过期后断开与客户端的连接"设置为:已启用。
设置密码使用期限策略 | 身份鉴别 在管理工具打开本地安全策略,打开路径:安全设置\帐户策略\密码策略,将密码最长使用期限设置为30-180之间,建议值为90,将密码最短使用期限设置为1-14之间,建议值为7.
配置安全选项账户策略 | 身份鉴别 在管理工具打开本地安全策略,打开路径:安全设置\本地策略\安全选项。将"账户:来宾账户状态"设置为:已禁用;将"账户:使用空密码的本地账户只允许控制台登陆"设置为:启用。
密码复杂性配置 | 身份鉴别 在管理工具打开本地安全策略,打开路径:安全设置\帐户策略\密码策略,将密码必须符合复杂性要求设置为已启用,将密码最小长度设置为8以上。
匿名账户访问控制 | 访问控制 在管理工具打开本地安全策略,打开路径:安全设置\本地策略\安全选项。将网络访问中“Everyone权限应用于匿名用户“设置为:已禁用,将“不允许SAM帐户的匿名枚举“设置为:已启用,将“不允许SAM帐户和共享的匿名枚举”设置为:已启用,将”允许匿名SID/名称转换“设置为:已禁用。
配置账户锁定策略 | 身份鉴别 在管理工具打开本地安全策略,打开路径:安全设置\帐户策略\账户锁定策略。将账户锁定阈值设置为3-8之间,建议值为5,输错5次密码锁定账户;然后将账户锁定时间和重置账户锁定计数器设置为10-30之间,建议值为15,账户锁定时间为15分钟。
应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计 | 安全审计 在管理工具打开本地安全策略,打开路径:安全设置\本地策略\审核策略,将全部审核策略配置为:成功,失败。包括审核策略更改、审核对象访问、审核进程跟踪、审核目录服务访问、审核账户登陆事件、审核特权使用、审核系统事件、审核账户管理、审核登陆事件共九项。
注册表自启动项 | 服务配置 检查项注册表路径HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon的Userinit中可疑启动项 加固建议
检查注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon的Userinit中的危险启动项并删除,注意不要删除系统默认启动项C:\Windows\system32\Userinit.exe

基线检查 https://helpcdn.aliyun.com/document_detail/59003.html

0x5 CIS各种基线检查

https://files.cnblogs.com/files/qtong/CIS-%E5%9F%BA%E7%BA%BF%E6%A3%80%E6%9F%A5-sqlserver%26oracle%26apache%26mongo.ziphttps://learn.cisecurity.org/benchmarks

--漏洞扫描举例:

标题: GnuTLS堆栈缓冲区溢出漏洞

CVSS分值: 7.5

CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

披露时间: 2017-03-24

CVE ID: CVE-2017-5336

简介:

GnuTLS是一个免费的用于实现SSL、TLS和DTLS协议的安全通信库。

GnuTLS存在栈缓冲区溢出的漏洞,允许远程攻击者可利用该漏洞提交特殊的请求使链接此库的应用程序崩溃。

解决方案:

请直接在漏洞处理页面,选择对应服务器和漏洞,生成修复命令后,登录到服务器上运行即可。www.securityfocus.com

软件: 2.8.5-14.el6_5

命中: gnutls version less than 0:2.12.23-21.el6

路径: /usr/lib64/libgnutls-extra.so.26

生成 命令 yum update gnutls

服务器软件漏洞修复最佳实践https://help.aliyun.com/knowledge_detail/56730.html?spm=5176.2020520154.0.0.3ab679d67R9lUa

基线检查 https://helpcdn.aliyun.com/document_detail/59003.html

原文地址:https://www.cnblogs.com/apolloren/p/12244007.html

时间: 2024-11-13 10:12:21

阿里云安全基线 记录如下 不定时更新的相关文章

工作中有关web安全的片段记录(不定时更新)

1.有关html/css, js, php, cgi 的一些认识 当我们浏览器访问一个站点的静态文件,会把文件内容都下载下来(一般压缩),当然如果遇到外联的css/js,会再发起请求得 到.如果我们右键查看网页源代码,一片混乱没法看,可以使用firefox + firebug,可以清晰看到html dom tree,右键inspect element 可以很快定位到tree node,由于是下载到本地,所以可以自己尝试修改element 查看效果,这并不影响服务器上的原始 文件.最后浏览器会开始

iOS 属性修饰符记录 --不定时更新

重新审视了一下OC在属性修饰符,特意记录一下来.以后不定时更新 > retain:只有在非ARC下才会有效,所有如果在ARC下使用了retain修饰也白搭 如以下的data属性用retain修饰: #import <UIKit/UIKit.h> @interface MyView : UIView @property(nonatomic, retain) NSMUtableArray* data; @end 在对应的setter方法中,会以如下代码实现: if (_data != new

创建yum本地仓库,将阿里仓库同步到本地,并定时更新

很多时候为了加速自己内部的rpm包安装速度,都会搭建自己的yum源仓库,而使用系统光盘自带的源,由于软件版本比较落后,所以不太适用,而大家都在用的阿里仓库比较好用,所以就想到了把阿里仓库的rpm全部拉到本地,并做yum仓库的定时更新.这样既能保证软件包是最新的,也能保证软件的安装速度.那么下面来具体实施,搭建自己的yum本地仓库,并定时从阿里仓库同步过来. 第一步:下载阿里镜像的repo安装包,centos6就下载6的,7的就下载7的地址:https://mirrors.aliyun.com/r

阿里云安全中心:自动化安全闭环实现全方位默认安全防护

随着数字化转型的深入发展,企业云上资产越来越多元化,随之而来的是安全威胁的复杂化,企业需要花费大量精力进行告警分析.威胁检测.病毒查杀等工作.Gartner曾指出,随着安全警报的复杂性与频率不断增加,安全投资需要对安全运营中心(SOC)进行投资,到2022年,50%的安全运营中心将转变为具备综合事件响应.威胁情报和威胁搜索能力的现代化安全运营中心. 阿里云率先推出了亚洲第一个云安全中心,通过一个平台集中式安全管理,实现了云上资产全面安全预防.威胁检测.调查响应.主动防御为一体的自动化安全闭环,让

linux下svn定时更新项目

方法一.用shell脚本定时更新项目 1.进入网站的根目录,假设项目位置放在/var/www/test cd /var/www/test 2.建立脚本文件update.sh,分两步进行.首先利用touch命令创建,之后使用vim进行编辑. touch update.sh vim update.sh 输入以下内容 #!/bin/sh while true do svn update --username 你的svn用户名 --password 你的svn密码 sleep 60 done 这里我设置

Android学习笔记(不定时更新)

在很久之前,我就想写写博客,不过本人比较懒,这几天心血来潮,决定开写博客,因为学习,实习,面试关系,不会定时更新,以下是我所学的知识,总结分享一下,如有不正确,希望各位轻喷. QQ:545662362.欢迎交流,因为第一次写博客,格式什么的也不是特别好.好了,学习目录如下 1.Android 开发环境搭建 2.Android 应用程序 3.Android 常用基本控件 4.Android 常用高级控件 5.Android 消息与广播 6.Service 后台服务 7.Android 数据存储与服

即日起,博客将不定时更新技术内容

Hello,everybody!这是我新开的博客,以后我会将我收藏的资源以及修改之后的资源发布到这里,希望对大家有所帮助. 同时,本人的个人贴吧也开通了,欢迎有志之士加入我这个大家庭,帮助更多开发者,共同学习,共同进步. 贴吧链接 吕昌辉吧 即日起,博客将不定时更新技术内容,布布扣,bubuko.com

apue第四章习题的一些拙见(不定时更新)

写在前面:最近要期末考试,看来真的是要不定时更新啦XD apue4.1: 由于在这里lstat是不跟随符号文件的,而stat是跟随符号文件的,这样一来,如果使用stat,而不使用lstat那么就无法观察到符号文件.在书上4.3姐中有提到. apue4.2: 首先我在ubuntu的shell上查看原来的umask是多少,结果是0002,这里touch一个文件是不确定的,但是其他者的权限中写的权限一定是没有的.因为创建一个文件所拥有的权限不光与umask有关还与应用程序自身在创建的时候使用的参数有关

[Android Traffic] 调整定时更新的频率(C2DM与退避算法)

转载自: http://blog.csdn.net/kesenhoo/article/details/7395253 Minimizing the Effect of Regular Updates[最小化定时更新操作的副作用] 最佳的定时更新频率是不确定的,通常由设备状态,网络连接状态,用户行为与用户定义明确的偏好而决定. Optimizing Battery Life([Android Training - 04]优化电池寿命)这一章有讨论如何根据设备状态来修改更新频率.里面介绍了当断开网络