系统如何做好安全加固?
一、Windows系统
Windows系统出厂时,微软为了兼容性,默认并未对系统安全做严格的限制,因此还需要做一些基本的安全加固,方可防止黑客入侵。
1、系统补丁更新
为什么要更新系统补丁?很多人感觉漏洞更新没必要,但是这种疏忽往往会带来致命的入侵。因为现在的漏洞挖掘已经形成产业链,挖掘漏洞,贩卖新型漏洞已经屡见不鲜,漏洞利用工具已经非常成熟,甚至一些不法分子不懂得漏洞利用原理就能傻瓜式操作漏洞利用工具对目标主机系统进行渗透提权。
千万不要使用任何第三方软件更新补丁,用Windows自带的补丁更新工具才是最好的。没有谁比微软更了解Windows,而且第三方软件有可能会加入一些自己的软件进去,比如某安全巨头公司曾经就干过这种卑鄙的事情,而且第三方软件打的补丁导致蓝屏的概率也更大。
2、禁用不需要的服务
以下服务必须禁用:Server、Print Spooler、Remote Registry、Routing and Remote Access、TCP/IP NetBIOS Helper、Computer Browser
3、卸载危险组件
regsvr32 /u %SystemRoot%system32shell32.dll
regsvr32 /u %SystemRoot%system32wshom.ocx
4、删除危险权限
由于系统权限设置的地方非常多,我们只能公布常用的部分。
部分文件被系统隐藏了,不便于设置,因此我们先将所有文件显示出来。
更改系统盘所有者为Administrators
所有盘根目录只保留Administrators和SYSTEM权限。
系统盘加上Users“读取权限”,仅当前目录
C:WINDOWS、C:WINDOWSsystem32、C:WindowsSysWOW64 只保留Administrators和SYSTEM,以及User读和执行
C:Program Files 、C:Program Files (x86) 只保留Administrators和SYSTEM
C:Program FilesCommon Files 、C:Program Files (x86)Common Files 只保留Administrators和SYSTEM,以及User读和执行
C:ProgramData 只保留Administrators和SYSTEM,以及User读和执行
C:Users 只保留Administrators和SYSTEM
C:inetpub 只保留Administrators和SYSTEM
C:inetpubcusterr 只保留Administrators和SYSTEM,以及User读
C:inetpub emp 只保留Administrators和SYSTEM,以及User读写删除和IIS_IUSRS读写删除
C:WindowsTemp 只保留Administrators和SYSTEM,以及User读写删除和IIS_IUSRS读写删除
C:Windows racing 只保留Administrators和SYSTEM,以及User读和network service读
C:WindowsVss 只保留Administrators和SYSTEM,以及User读和network service读写删除
C:ProgramDataMicrosoftDeviceSync 只保留Administrators和SYSTEM,以及User读
C:WINDOWS下的部分exe软件只保留Administrators和SYSTEM,如regedit.exe、regedt32.exe、cmd.exe、net.exe、net1.exe、netstat.exe、at.exe、attrib.exe、cacls.exe、format.com、activeds.tlb、shell32.dll、wshom.ocx
注意:如果您安装了SQL Server软件,还需要给系统盘上SQL Server相关目录加上MSSQLSERVER的权限。
如果设置后网站无法访问,给网站目录加上Users的读写删除权限
做到以上这些就安全了 ?答案是否,没有绝对的安全,所以尽量安装一个防病毒软件
5、安装防病毒软件
有些人说杀毒会直接误杀掉自己的程序,由于很多程序开发后没有签名和过杀毒认证,导致程序报毒。
1、如果只是误报而不是真正的毒,那就直接将程序加入杀毒信任列表,病毒处理方式改为:询问
2、是真的病毒,使用过程还会导致系统、内存感染等一系列异常,这种情况会导致杀毒直接将其杀灭,但是又必须使用,这种情况就没办法使用杀毒,最好是找干净的程序文件替换掉解决。
推荐使用火绒杀毒,干净无捆绑,误杀率低,又能阻止恶意文件提权,修改系统层文件等。腾讯管家也尚可
某卫士存在强杀情况,而且广告弹窗满天飞,容易给远程桌面带来严重卡顿情况。
二、Liunx系统
liunx系统如何进行补丁更新呢?
使用命令 yum update -y 进行全面更新
注意:这个命令会升级内核,一般是在新装的系统使用比较好,后期不要轻易这样操作,要在保证软件兼容性的条件使用。而且有些软件可能会对内核有一定的要求。
有些服务器硬件(特别是组装的机器)在升级内核后,新的内核可能会认不出某些硬件,要重新安装驱动,很麻烦。所以在生产环境中不要轻易的升级内核,除非你确定升级内核后不会出现麻烦的问题。使用yum update更新系统软件时,禁止升级内核,可以防止产生因不兼容导致的未知错误。
方法一
#yum -exclude=kernel* update
方法二
修改yum配置文件/etc/yum.conf
#vi /etc/yum.conf
#在[main]的最后添加两行并保存:
exclude=kernel*
exclude=centos-release*