主機和數(shù)據庫安全配置

1、主機和數(shù)據庫安全配置主機和數(shù)據庫安全配置與加固措施與加固措施一、主機安全配置與加固措施一、主機安全配置與加固措施 信息系統(tǒng)是由主機、網絡設備、存儲設備、信息系統(tǒng)是由主機、網絡設備、存儲設備、安全設備以及各種應安全設備以及各種應 用系統(tǒng)組成的。其中主機是用系統(tǒng)組成的。其中主機是信息系統(tǒng)中的重要組成部分，承擔著信息的存儲、信息系統(tǒng)中的重要組成部分，承擔著信息的存儲、處理的主要工作。處理的主要工作。 由于主機是信息泄露的最終來源，也是各類由于主機是信息泄露的最終來源，也是各類攻擊的最終目標，因此主機的安全關系到整個信息攻擊的最終目標，因此主機的安全關系到整個信息系統(tǒng)中信息的最終安全。系統(tǒng)中信息的最終

2、安全。 針對信息系統(tǒng)中的重要終端和服務針對信息系統(tǒng)中的重要終端和服務器器信息安全技術信息安全技術 信息系統(tǒng)安全等級信息系統(tǒng)安全等級保護基本要求保護基本要求從以下從以下9個方面對主機個方面對主機安全進行安全要求：安全進行安全要求：1、身份鑒別、身份鑒別4、安全標記、安全標記3、安全審計安全配置、安全審計安全配置2、訪問控制安全配置、訪問控制安全配置5、剩余信息保護安全配置、剩余信息保護安全配置9、資源控制安全配置、資源控制安全配置6、入侵防范、入侵防范7、惡意代碼防范安全配置惡意代碼防范安全配置8、可信路徑的安全配置、可信路徑的安全配置1、身份鑒別、身份鑒別 在在windows操作系統(tǒng)身份鑒別配

3、置：通操作系統(tǒng)身份鑒別配置：通過過控制面板控制面板 管理工具管理工具 本地安全策略本地安全策略 計算機配置計算機配置 Windows設置設置,配置系統(tǒng)的各配置系統(tǒng)的各項項”安全設置安全設置”。其中和身份鑒別有關的是。其中和身份鑒別有關的是“帳戶策略帳戶策略”，其中分為，其中分為“密碼策略密碼策略”和和“帳帳戶鎖定策略戶鎖定策略 ”?？诹顝碗s性要求口令復雜性要求啟用啟用口令長度最小值8字符口令最長存留期90天口令最短存留期0天復位帳戶鎖定計數(shù)器15分鐘帳戶鎖定時間15分鐘帳戶鎖定閥值5次“密碼策略密碼策略”主要有以下設置：主要有以下設置：1)密碼應符合復雜度要求密碼應符合復雜度要求2)設置密碼長

4、度最小值設置密碼長度最小值3)密碼最短使用期限密碼最短使用期限4)強制密碼歷史強制密碼歷史5)用可還原的加密來存儲密碼用可還原的加密來存儲密碼“帳戶鎖定策略帳戶鎖定策略”主要有以下設置：主要有以下設置：1)帳戶鎖定時間帳戶鎖定時間2)帳戶鎖定閥值帳戶鎖定閥值3)在此后復位帳戶鎖定及暑期在此后復位帳戶鎖定及暑期身份鑒別身份鑒別必須錄入密碼才能登陸必須錄入密碼才能登陸取消弱密碼和空密碼帳號取消弱密碼和空密碼帳號密碼密碼8位以上，字母數(shù)字混合。位以上，字母數(shù)字混合。啟用帳號鎖定策略啟用帳號鎖定策略取消遠程登陸取消遠程登陸身份鑒別需檢查項身份鑒別需檢查項2、訪問控制安全配置、訪問控制安全配置 在在wi

5、ndows操作系統(tǒng)安全配置：通過操作系統(tǒng)安全配置：通過控控制面板制面板 管理工具管理工具 計算機管理計算機管理 系統(tǒng)工系統(tǒng)工具具 本地用戶和組本地用戶和組中，可以對系統(tǒng)中的用戶中，可以對系統(tǒng)中的用戶 和權限進行安全配置。和權限進行安全配置。在在“用戶用戶”中應：中應：1)禁用系統(tǒng)來賓帳戶禁用系統(tǒng)來賓帳戶4)在組中，應為每個帳戶授予所需的最小權限在組中，應為每個帳戶授予所需的最小權限3)刪除系統(tǒng)中所有無用帳戶、過期帳戶和共享刪除系統(tǒng)中所有無用帳戶、過期帳戶和共享帳戶帳戶2)重命名系統(tǒng)默認帳戶、修改默認口令重命名系統(tǒng)默認帳戶、修改默認口令訪問控制訪問控制取消不使用的共享文件夾取消不使用的共享文件夾

6、控制系統(tǒng)開啟的共享及共享文控制系統(tǒng)開啟的共享及共享文件夾的訪問權限件夾的訪問權限,刪除刪除IPC$、ADMIN$、C$、D$等默認共享等默認共享控制重要數(shù)據的訪問權限控制重要數(shù)據的訪問權限Guest賬號禁用賬號禁用取消多余賬號取消多余賬號訪問控制需檢查項訪問控制需檢查項3、安全審計安全配置、安全審計安全配置 在通用操作系統(tǒng)中，均有安全審計功能，在通用操作系統(tǒng)中，均有安全審計功能，通過相關配置，能夠對系統(tǒng)的重要事件進行通過相關配置，能夠對系統(tǒng)的重要事件進行安全審計。在安全審計。在windows操作系統(tǒng)中，將通過操作系統(tǒng)中，將通過控制面板控制面板 管理工具管理工具 本地安全策略本地安全策略 本本地

7、策略地策略 審核策略審核策略中的所有項目中的所有項目,配置為配置為“成功成功”和和“失敗失敗”均記錄日志。在均記錄日志。在“事件事件察看器察看器”中設置中設置“應用程序應用程序”、“安全性安全性”和和“系統(tǒng)系統(tǒng)”日志的存儲大小和覆蓋策略。日志的存儲大小和覆蓋策略。4、安全標記、安全標記 要求對所有主體和客體設置敏感標記。要求對所有主體和客體設置敏感標記。5、剩余信息保護安全配置、剩余信息保護安全配置 剩余信息保護要求剩余信息保護要求“確保系統(tǒng)內的文件、確保系統(tǒng)內的文件、目錄和數(shù)據庫記錄等資源所在的存儲空間，目錄和數(shù)據庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全消被釋放或重新

8、分配給其他用戶前得到完全消除除”。對于通用操作系統(tǒng)來說，考慮到運行。對于通用操作系統(tǒng)來說，考慮到運行效率，沒有在系統(tǒng)內核層面默認實現(xiàn)剩余信效率，沒有在系統(tǒng)內核層面默認實現(xiàn)剩余信息保護功能，只能通過第三方工具來實現(xiàn)。息保護功能，只能通過第三方工具來實現(xiàn)。6、入侵防范、入侵防范 通過配置操作系統(tǒng)的自動升級功能，能夠使系統(tǒng)自動安裝最通過配置操作系統(tǒng)的自動升級功能，能夠使系統(tǒng)自動安裝最新的補丁程序，但是對于入侵檢測和完整性檢測功能，需要第三新的補丁程序，但是對于入侵檢測和完整性檢測功能，需要第三方工具來實現(xiàn)。入侵檢測也可以通過在網絡中布置網絡入侵檢測方工具來實現(xiàn)。入侵檢測也可以通過在網絡中布置網絡入侵

9、檢測系統(tǒng)實現(xiàn)系統(tǒng)實現(xiàn)入侵防范入侵防范系統(tǒng)已安裝最新的升級補丁包關閉系統(tǒng)開啟的多余的系統(tǒng)服務關閉系統(tǒng)開啟的多余的網絡端口卸載系統(tǒng)安裝的多余的Windows組件入侵防范入侵防范需檢查項需檢查項7、惡意代碼防范安全配置惡意代碼防范安全配置 要求主機具備一定的惡意代碼防范措施。要求主機具備一定的惡意代碼防范措施。a) 應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；b) 主機防惡意代碼產品應具有與網絡防惡意代碼產品不同的惡意代碼庫；c) 應支持防惡意代碼軟件的統(tǒng)一管理。8、可信路徑的安全配置、可信路徑的安全配置 可信路徑是在用戶與內核之間開辟一條直接的、可信路徑是在用戶與內核之間開辟一

10、條直接的、可信任的交互路徑，為防止黑客特洛伊木馬記錄在登可信任的交互路徑，為防止黑客特洛伊木馬記錄在登陸及其他敏感操作時的行動。陸及其他敏感操作時的行動。 管理員管理員應在應在控制面板控制面板 管理工具管理工具 本地本地安全策安全策略略 計算機配置計算機配置 Windows設置設置 本地策略本地策略 安安全全選項中，將選項中，將“交互式登陸：無需按交互式登陸：無需按Ctrl+Alt+Del”設置為設置為“已禁用已禁用”。9、資源控制安全配置、資源控制安全配置 控制系統(tǒng)中各項資源，如：控制系統(tǒng)中各項資源，如：磁盤空間、磁盤空間、CPU、內存、網絡連接、內存、網絡連接等使用情況等。等使用情況等。1

11、)磁盤空間限制：在磁盤空間限制：在windows操作系統(tǒng)中，需操作系統(tǒng)中，需要在要在組組策略策略 計算機配置計算機配置 管理模板管理模板 系統(tǒng)系統(tǒng) 磁盤配額磁盤配額，配置，配置磁盤配額限制磁盤配額限制2)資源監(jiān)控：在資源監(jiān)控：在windows操作系統(tǒng)中，可以使操作系統(tǒng)中，可以使用用控制面板控制面板 性能性能，對系統(tǒng)中所有資源進，對系統(tǒng)中所有資源進行監(jiān)控，并且可以在行監(jiān)控，并且可以在“性能日志和警報性能日志和警報”中，設置中，設置“警報警報”，當某個資源降低到預，當某個資源降低到預先設定的最小值，可以進行報警。先設定的最小值，可以進行報警。資源控制資源控制設定終端接入方式、網絡地址范圍等條設定終

12、端接入方式、網絡地址范圍等條件限制終端登錄件限制終端登錄對重要服務器進行監(jiān)視，包括監(jiān)視服務對重要服務器進行監(jiān)視，包括監(jiān)視服務器的器的CPU、硬盤、內存、網絡等資源的、硬盤、內存、網絡等資源的使用情況使用情況根據安全策略設置登錄終端的操作超時根據安全策略設置登錄終端的操作超時鎖定鎖定限制單個用戶對系統(tǒng)資源的最大或最小限制單個用戶對系統(tǒng)資源的最大或最小使用限度使用限度能夠對系統(tǒng)的服務水平降低到預先規(guī)定能夠對系統(tǒng)的服務水平降低到預先規(guī)定的最小值進行檢測和報警的最小值進行檢測和報警資源控制的安全配置資源控制的安全配置二、數(shù)據庫安全配置與加固措施二、數(shù)據庫安全配置與加固措施1、增強系統(tǒng)管理員帳戶、增強系

13、統(tǒng)管理員帳戶sa口令口令4、啟用數(shù)據庫系統(tǒng)日志審計、啟用數(shù)據庫系統(tǒng)日志審計3、限制啟動帳戶權限、限制啟動帳戶權限2、安裝最新的補丁、安裝最新的補丁5、刪除示例數(shù)據庫、刪除示例數(shù)據庫9、禁用危險的存儲過程、禁用危險的存儲過程6、修改默認的監(jiān)聽端口、修改默認的監(jiān)聽端口7、停用非必需組件停用非必需組件8、分離數(shù)據庫與應用系統(tǒng)、分離數(shù)據庫與應用系統(tǒng)10、關閉、關閉RPC 遠程連接遠程連接1、增強系統(tǒng)管理員帳戶、增強系統(tǒng)管理員帳戶sa口令口令 登錄登錄SQL SERVER數(shù)據庫企業(yè)管理器，在數(shù)據庫企業(yè)管理器，在“安全性安全性”“”“登錄登錄”中中為為sa設置足夠復雜的口令設置足夠復雜的口令2、安裝最新的

14、補丁、安裝最新的補丁安裝所有補丁，安裝所有補丁，SP1SP4。執(zhí)行以下執(zhí)行以下SQL命令可以查詢詳細版本信息：命令可以查詢詳細版本信息： select version注：升級補丁可能需要重啟數(shù)據庫服務，升級前應進行測試，并備份系統(tǒng)文件和數(shù)據。根據最小權限原則定義專門的帳戶用于啟動和運行數(shù)據庫根據最小權限原則定義專門的帳戶用于啟動和運行數(shù)據庫服務，登錄服務，登錄SQL SERVER數(shù)據庫企業(yè)管理器，右鍵點擊打開數(shù)據庫企業(yè)管理器，右鍵點擊打開數(shù)據庫的數(shù)據庫的“屬性屬性”，在，在“安全性安全性”頁面中設置頁面中設置SQL Server的啟動賬戶：的啟動賬戶：3、限制啟動帳戶權限、限制啟動帳戶權限 4

15、、啟用數(shù)據庫系統(tǒng)日志審計、啟用數(shù)據庫系統(tǒng)日志審計 啟用數(shù)據庫的日志審計功能，登錄啟用數(shù)據庫的日志審計功能，登錄SQL SERVER數(shù)據庫企業(yè)管理器，右鍵點擊打開數(shù)據庫的數(shù)據庫企業(yè)管理器，右鍵點擊打開數(shù)據庫的“屬屬性性”，在，在“安全性安全性”頁面中設置身份驗證和審核頁面中設置身份驗證和審核級別：級別：5、刪除示例數(shù)據庫、刪除示例數(shù)據庫 刪除示例數(shù)據庫刪除示例數(shù)據庫“pubs”和和“Northwind”，及其它非必需數(shù)據庫。及其它非必需數(shù)據庫。6、修改默認的監(jiān)聽端口修改默認的監(jiān)聽端口 更改默認端口，或在邊界防火墻上屏蔽非更改默認端口，或在邊界防火墻上屏蔽非信任信任IP對對TCP 1433和和UD

16、P 1434的訪問。的訪問。7、停用非必需組件停用非必需組件 停用不再需要的數(shù)據庫服務，如：停用不再需要的數(shù)據庫服務，如：SQLServerADHelper。8、分離數(shù)據庫與應用系統(tǒng)分離數(shù)據庫與應用系統(tǒng) 將數(shù)據庫服務與應用服務部署在不同的服務將數(shù)據庫服務與應用服務部署在不同的服務器上。器上。9、 禁用危險的存儲過程禁用危險的存儲過程確認不需要則刪除危險存儲過程：確認不需要則刪除危險存儲過程：登錄登錄SQL SERVER數(shù)據庫企業(yè)管理器，打開數(shù)據庫企業(yè)管理器，打開“master”“擴展存儲過程擴展存儲過程”，刪除，刪除xp_cmdshell、xp_regaddmultistring、xp_regdeletekey、xp_regdeletevalue、xp_regenumvalues、xp_regenumkeys、xp_regread、xp_regremovemultistring