想必也不需要我再说了,周一上午就要开始了HVV,唉!又是两个月的苦战。开始前期时间一推再推,开始后又出现了那么多苕皮。。。。。。堪比内娱!一天一个乐呵。
什么是基线核查:
基线核查是一种安全措施,主要指对系统、设备的配置进行详细审查,确保其符合最低安全要求。基线核查主要依赖于安全基线,即各类系统和设备在特定环境下应满足的基本安全配置标准。这种核查通常包括操作系统组件的配置、账号权限、密码策略、日志配置、IP通信等多个方面。通过检查这些配置项是否符合预定义的安全标准,可以有效发现并解决潜在的安全隐患。
windows基线检查怎末做:
Windows基线核查都要检查账户与口令管理、授权管理、日志及其他管理等方面内容。这些方面的内容对于确保Windows系统的安全至关重要,可以有效发现并解决潜在的安全隐患。以下是具体需要检查的内容:
- 账户与口令管理
-
- 账号分配检查:重命名Administrator账户,禁用Guest账户。按照角色准确分配用户账户,如系统管理员、数据库管理员等,并设置复杂密码。
- 密码策略配置:设置强制密码历史值为5或更高,最长使用期限为90天,最短使用期限为1天,确保密码符合复杂性要求,存储密码时使用不可还原的加密。
- 账户锁定策略:设置账户锁定时间为15分钟,锁定阈值为5次失败尝试,复位锁定计数器的时间也应合理配置。
- 授权管理
-
- 远程与本地关机权限:仅允许Administrators组进行远程和本地关机。
- 文件权限指派:取得文件或其他对象的所有权仅指派给Administrators组。
- 网络访问控制:限制匿名用户的网络访问,只允许特定用户通过网络连接计算机。
- 关闭默认共享:关闭Windows硬盘的默认共享,例如C盘、D盘等。
- 日志及其他管理
-
- 系统日志完备性检查:审核登录事件、系统事件、账户登录事件、账户管理等,建议将成功和失败的事件都进行审核。
- 远程登录超时配置:设置合理的远程登录超时时间,防止未授权访问。
- 屏幕密码保护:检查是否设置了屏幕保护的密码保护功能。
- 防火墙启用情况:确认系统防火墙已启用,以阻止未经授权的访问。
Linux基线核查怎末做
Linux基线核查都要检查系统及补丁情况、身份鉴别、密码控制、访问控制、安全审计和剩余信息保护等方面内容。这些方面的核查能够确保Linux系统符合最低安全要求,并及时发现和解决潜在的安全隐患。以下是具体需要检查的内容:
- 系统及补丁情况
-
- 内核版本检查:确认内核版本是否符合要求,使用
uname -a或cat /proc/version进行检查。 - 系统版本检查:查看系统版本,使用
lsb_release -a或cat /etc/issue进行检查。
- 内核版本检查:确认内核版本是否符合要求,使用
- 身份鉴别
-
- UID唯一性检查:确保系统中不存在重复的UID,可以通过检查
/etc/passwd文件进行验证。
- UID唯一性检查:确保系统中不存在重复的UID,可以通过检查
- 密码控制
-
- 密码策略配置:设置强制密码历史值为5次,最长使用期限为90天,最短使用期限为0天,并通过
/etc/login.defs文件进行配置[2][5]。 - 密码强度要求:确保密码复杂度符合要求,例如长度至少为8位,包含数字、小写字母、大写字母和特殊符号,通过修改
/etc/pam.d/system-auth进行配置。
- 密码策略配置:设置强制密码历史值为5次,最长使用期限为90天,最短使用期限为0天,并通过
- 访问控制
-
- umask值设置:确保用户的umask值设置为022,这样新建的文件默认权限是644,新建的目录默认权限是755。
- 锁定不必要的用户:锁定与设备运行无关的账户,可以通过修改
/etc/password文件或使用usermod命令实现。
- 安全审计
-
- 启用安全审计:启用auditd服务,通过
auditctl -s检查是否启用,并配置审计策略。 - 审计日志管理:确保审计日志保存时间足够长,通常不少于180天。
- 启用安全审计:启用auditd服务,通过
- 剩余信息保护
-
- 历史命令保存条数:设置历史命令保存条数为30条,通过修改
/etc/profile中的HISTSIZE变量实现。
- 历史命令保存条数:设置历史命令保存条数为30条,通过修改
- 系统关键目录权限控制
-
- 关键文件权限设置:对重要文件如
/etc/passwd、/etc/shadow、/etc/group进行权限设置,通常设置为644或600。
- 关键文件权限设置:对重要文件如
工具推荐:
基线核查要检查很多项,也要会用到很多命令,属于麻烦!这时候就会有小伙伴问那有什么工具吗?嘿嘿,早给大家收集两款,windows基线核查工具和Linux基线核查工具。
Windows基线核查工具-WindowsBaselineAssistant(WBA)
它是一个专门为Windows操作系统设计的安全基线检测和加固工具。
主要功能分为三个方面:一是安全基线的自动检测,二是一键加固操作,三是输出安全基线报告。有了这个工具可以提高我们很高的工作效率,减少基线核查的失误。
功能介绍
直接运行软件后,会出现检测、加固、导出结果和添加规则四个功能项。它直接利用自身的规则库可以对本机进行基线扫描,然后把合规项和不合规的检查项显示出来,我们可以根据这些信息可以选择手动加固和自动加固,如果项目需要还可以导出报告出来(报告可能还要根据甲方需要进行修改),如果基线核查时,咱们觉得规则不足或不适用时,还可以自行添加规则,如此一来,省去了咱们好多时间,进而我们可以去做更多的事情。(下载地址正下方)
安装步骤
下载压缩文件,进行解压之后,找到WindowsBaselineAssistant.exe可以直接点击运行。
下载地址
官方下载地址:https://github.com/DeEpinGh0st/WindowsBaselineAssistant.git
公众号下载:回复“WBA”
GoLin工具
功能介绍
GoLin不仅可以做基线核查,它还可以做漏洞扫描、弱口令检测、 端口扫描、web目录扫描、等保模拟定级、自动化运维等,可以说是安全必备神器。
安装步骤
下载好之后,进行解压,打开当前文件夹运行cmd,输入
然后输入
同时Golin还具备其他功能,如:
| golin web | 通过web方式启动,仅支持等保功能 |
| golin port | 自动读取本地网卡IP地址段进行扫描,过滤虚拟网卡地址段 |
| golin port -i IP | 扫描c段端口并扫描弱口令、xss、poc漏洞 |
| golin port -i IP --ipfile ip.txt | 扫描指定IP段的同时扫描ip.txt文件中的主机,默认读取ip.txt,目录下如果存在不使用--ipfile也会读取 |
| golin port -i IP:端口 | 快速扫描某一主机的特定端口 |
| golin port -i IP -c port -t s | 仅扫描c段端口并设置并发数为1000,端口连接超时为10秒 |
| golin port -i IP --noping --nocrack --random | 扫描c段端口但不探测存活不扫描弱口令,并且打乱主机顺序扫描 |
| golin port -i IP --nopoc | 扫描c段端口但禁用扫描漏洞 |
| golin dirsearch -u 地址 -f 字典.txt --code 200,404 | 扫描状态码为200以及404的web目录 |
| golin domain -u baidu.com --api | 扫描子域名,并且调用fofa、RapidDNS的API |
| golin [linux、mysql、oracle、sqlserver、redis、windows...] | 按照3级等保要求核查各项安全配置生成html形式报告 |
| golin update | 检查是否可更新 |
下载地址
官方下载地址:
公众号下载:回复“GoLin”
原文始发于微信公众号(Attacker安全):基线核查是什么?基线核查工具推荐——WBA、GoLin
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论