主机和数据库安全配置

主机和数据库安全配置与加固措施一、主机安全配置与加固措施信息系统是由主机、网络设备、存储设备、安全设备以及各种应用系统组成的。其中主机是信息系统中的重要组成部分，承担着信息的存储、处理的主要工作。由于主机是信息泄露的最终来源，也是各类攻击的最终目标，因此主机的安全关系到整个信息系统中信息的最终安全。针对信息系统中的重要终端和服务器《信息安全技术信息系统安全等级保护基本要求》从以下9个方面对主机安全进行安全要求：1、身份鉴别4、安全标记3、安全审计安全配置2、访问控制安全配置5、剩余信息保护安全配置9、资源控制安全配置6、入侵防范7、恶意代码防范安全配置8、可信路径的安全配置1、身份鉴别在windows操作系统身份鉴别配置：通过控制面板管理工具本地安全策略计算机配置Windows设置,配置系统的各项”安全设置”。其中和身份鉴别有关的是“帐户策略”，其中分为“密码策略”和“帐户锁定策略”。口令复杂性要求启用口令长度最小值8字符口令最长存留期90天口令最短存留期0天复位帐户锁定计数器15分钟帐户锁定时间15分钟帐户锁定阀值5次“密码策略”主要有以下设置：1)密码应符合复杂度要求2)设置密码长度最小值3)密码最短使用期限4)强制密码历史5)用可还原的加密来存储密码“帐户锁定策略”主要有以下设置：1)帐户锁定时间2)帐户锁定阀值3)在此后复位帐户锁定及暑期身份鉴别必须录入密码才能登陆取消弱密码和空密码帐号密码8位以上，字母数字混合。启用帐号锁定策略取消远程登陆身份鉴别需检查项2、访问控制安全配置在windows操作系统安全配置：通过控制面板管理工具计算机管理系统工具本地用户和组中，可以对系统中的用户和权限进行安全配置。在“用户”中应：1)禁用系统来宾帐户4)在组中，应为每个帐户授予所需的最小权限3)删除系统中所有无用帐户、过期帐户和共享帐户2)重命名系统默认帐户、修改默认口令访问控制取消不使用的共享文件夹控制系统开启的共享及共享文件夹的访问权限,删除IPC$、ADMIN$、C$、D$等默认共享控制重要数据的访问权限Guest账号禁用取消多余账号访问控制需检查项3、安全审计安全配置在通用操作系统中，均有安全审计功能，通过相关配置，能够对系统的重要事件进行安全审计。在windows操作系统中，将通过控制面板管理工具本地安全策略本地策略审核策略中的所有项目,配置为“成功”和“失败”均记录日志。在“事件察看器”中设置“应用程序”、“安全性”和“系统”日志的存储大小和覆盖策略。4、安全标记要求对所有主体和客体设置敏感标记。5、剩余信息保护安全配置剩余信息保护要求“确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全消除”。对于通用操作系统来说，考虑到运行效率，没有在系统内核层面默认实现剩余信息保护功能，只能通过第三方工具来实现。6、入侵防范通过配置操作系统的自动升级功能，能够使系统自动安装最新的补丁程序，但是对于入侵检测和完整性检测功能，需要第三方工具来实现。入侵检测也可以通过在网络中布置网络入侵检测系统实现入侵防范系统已安装最新的升级补丁包关闭系统开启的多余的系统服务关闭系统开启的多余的网络端口卸载系统安装的多余的Windows组件入侵防范需检查项7、恶意代码防范安全配置要求主机具备一定的恶意代码防范措施。a)应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；b)主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；c)应支持防恶意代码软件的统一管理。8、可信路径的安全配置可信路径是在用户与内核之间开辟一条直接的、可信任的交互路径，为防止黑客特洛伊木马记录在登陆及其他敏感操作时的行动。管理员应在控制面板管理工具本地安全策略计算机配置Windows设置本地策略安全选项中，将“交互式登陆：无需按Ctrl+Alt+Del”设置为“已禁用”。9、资源控制安全配置控制系统中各项资源，如：磁盘空间、CPU、内存、网络连接等使用情况等。1)磁盘空间限制：在windows操作系统中，需要在组策略计算机配置管理模板系统磁盘配额，配置磁盘配额限制2)资源监控：在windows操作系统中，可以使用控制面板性能，对系统中所有资源进行监控，并且可以在“性能日志和警报”中，设置“警报”，当某个资源降低到预先设定的最小值，可以进行报警。资源控制设定终端接入方式、网络地址范围等条件限制终端登录对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况根据安全策略设置登录终端的操作超时锁定限制单个用户对系统资源的最大或最小使用限度能够对系统的服务水平降低到预先规定的最小值进行检测和报警资源控制的安全配置二、数据库安全配置与加固措施1、增强系统管理员帐户sa口令4、启用数据库系统日志审计3、限制启动帐户权限2、安装最新的补丁5、删除示例数据库9、禁用危险的存储过程6、修改默认的监听端口7、停用非必需组件8、分离数据库与应用系统10、关闭RPC远程连接1、增强系统管理员帐户sa口令登录SQLSERVER数据库企业管理器，在“安全性”“登录”中为sa设置足够复杂的口令2、安装最新的补丁安装所有补丁，SP1～SP4。执行以下SQL命令可以查询详细版本信息：select@@version注：升级补丁可能需要重启数据库服务，升级前应进行测试，并备份系统文件和数据。根据最小权限原则定义专门的帐户用于启动和运行数据库服务，登录SQLSERVER数据库企业管理器，右键点击打开数据库的“属性”，在“安全性”页面中设置SQLServer的启动账户：3、限制启动帐户权限4、启用数据库系统日志审计启用数据库的日志审计功能，登录SQLSERVER数据库企业管理器，右键点击打开数据库的“属性”，在“安全性”页面中设置身份验证和审核级别：5、删除示例数据库删除示例数据库“pubs”和“Northwind”，及其它非必需数据库。6、修改默认的监听端口更改默认端口，或在边界防火墙上屏蔽非信任IP对TCP1433和UDP1434的访问。7、停用非必需组件停用不再需要的数据库服务，如：SQLServerADHelper。8、分离数据库与应用系统将数据库服务与应用服务部署在不同的服务器上。9、禁用危险的存储过程确认不需要则删除危险存储过程：登录SQLSERVER数据库企业管理器，打开“master”－“扩展存储过程”，删除xp_cmdshell、xp_regaddmultistring、xp_regdeletekey、xp_regdeletevalue、xp_regenumvalues、xp_regenumkeys、xp_regread、xp_regremovemultistring、xp_regwrite等危险存储过程，并删除或重命名C:/ProgramFiles\MicrosoftSQLServer/MSSQL/Binn目录下xplog70.dll、xpstar.dll等对应系统文件。10、关闭RPC远程连接禁止RPC远程连接：登录SQLSERVER数据库企业管理器，右键点击打开数据库的“属性”，在“连接”页面中进行设置：