操作系统安装部署安全指导精读.doc

操作系统安装部署 安 全 指 导 方 案 二零零五年五月 深 圳 市 安 络 科 技 有 限 公 司 文件 AnLuo ST Inc. PROPRIETARY INFORMATION 本文档信息仅限于内部使用 软件： Microsoft word 深圳市安络科技有限公司 制档： 谭志刚 2005-5-12 技术文档 校对： 审核： 发行： 修订号 签名 日期 页面尺寸 文档号 第一次修订： A4 第二次修订： 第三次修订： 打印限制 文档密级 内部 第四次修订： 可打印 传输限制 Internet/Intranet 目 录 第一章 前言 4 第二章 安装部署的基本性指导原则 4 2.1 最小化的安装 4 2.2 高强度的帐号密码 4 2.3 必要的安全配置及优化措施 5 第三章 典型操作系统的安装部署参考标准 5 Windows 系列（2000、XP、2003） 5 安装步骤 5 基本安全配置及优化（参考） 5 Linux/Unix系列 10 安装步骤 10 基本安全配置（参考） 11 说明： 12 附录------Windows服务详细介绍 13 第一章 前言 操作系统是一个完整IT系统的运行基础，其安装部署是每一个IT系统都会经常、反复碰到的问题。安装部署的效果，往往直接影响到整个IT系统的稳定、安全、有效以及后期的管理维护和使用。但是在一个大的IT系统中，此类工作往往都是一个繁琐、重复并且耗时耗力的工作，而且很多时候，因为没有一个统一的标准及指导方案，其安装部署工作都是一个杂乱无序，混乱不堪的情况，给整个IT系统造成了极大的不稳定性和隐患，同时也增加了IT系统的运营管理成本。因此，制定一个简捷有效可行的操作系统安全部署参考标准，对于一个运行稳定、管理良好的IT系统来说，是很有必要的。 第二章 安装部署的基本性指导原则 所有操作系统，包括Windows、Linux、Unix，其安装部署都须遵循以下几个基本性的指导原则： 最小化的安装 高强度的帐号密码 必要的安全配置及优化措施 2.1 最小化的安装 应用与安全往往是同时出现的，多一种应用也就意味着您必须多承担一份风险。因此操作系统的安装部署必须遵循安装最小化的原则。最小化安装就是指根据当前安装的应用需求，采取最小化的安装，只安装系统必需和当前应用所需要的服务及软件，绝不进行多余安装。包括以下两个方面： 应用服务最小化 软件安装最小化 具体请参考第三章的相关内容。 2.2 高强度的帐号密码 一直以来，帐号密码的安全问题都是安全界最为突出的安全问题，许多看似强壮安全的IT系统，最终都是失败于帐号口令这一点，这是由人们的一些习惯、思维定势所形成，比如说大多数人都喜欢用自己或亲人姓名、公司的名称来作为帐号，用生日、电话号码或一些简单常用、易记的数字或字母单词来作为密码，如果不予以强调及限制，所有人或多或少都会犯上述错误，因此必须对帐号及密码的使用进行必要的限制，以规范人的习惯。 具体请参考第三章的相关内容。 2.3 必要的安全配置及优化措施 任何操作系统，本身都带有许多安全配置及优化设置，但在默认安装下，存在着许多不安全的因素，因此在操作系统安装完成后，必须对它进行必要的安全配置及优化，并安装必要的安全软件及工具。默认安装后，需要考虑的安全配置及优化措施主要包括以下几个方面： 帐号 权限 服务 共享 端口 策略 具体设置请参考第三章相关内容 第三章 典型操作系统的安装部署参考标准 Windows 系列（2000、XP、2003） 安装步骤 准备干净的操作系统安装盘。 准备操作系统目前所需的一些重要关键补丁（可以通过其它联网系统从互联网获取），条件允许的话，也请刻录成光盘，或则通过安全局域网共享。 将要安装系统的机器断网， 否责，没打过补丁的系统在配置新系统网络过程中感染病毒!编辑login.defs文件使用/usr/sbin/authconfig工具打开密码的shadow支持功能取消普通用户的控制台访问权限辑profile文件系统管理员在离开系统之前忘记注销root账户系统自动注销所有不用的缺省用户和组账户给Bios设置密码，阻止别人试图用特殊的启动盘启动你的系统进入Bios改动其中的设置（比如允许通过软盘启动等）禁止不使用的SUID/SGID程序如果一个程序被设置成了SUID　root，那么普通用户就可以以root身份来运行这个程序。网管应尽可能的少使用SUID/SGID　程序，禁止所有不必要的SUID/SGID程序。取消并反安装所有不用的服务取消并反安装服务这样你的担心就会