制度体系之操作系统和数据库安全策略作业指导书.docx
《制度体系之操作系统和数据库安全策略作业指导书.docx》由会员分享,可在线阅读,更多相关《制度体系之操作系统和数据库安全策略作业指导书.docx(46页珍藏版)》请在冰豆网上搜索。
制度体系之操作系统和数据库安全策略作业指导书
制度体系之-操作系统和数据库安全策略作业指导书
版本页1
操作系统和数据库安全策略作业指导书2
1.防火墙配置基准3
2.数据库配置基准4
2.1.SQLServer2000/2008数据库安全配置标准4
2.1.1安装数据库的主机要求4
2.1.2数据库补丁安装标准4
2.1.3存储过程配置标准4
2.1.4数据库口令安全配置标准5
2.1.5目录和文件安全标准5
2.1.6数据库网络服务配置标准6
2.1.7数据库审计配置标准7
3.操作系统配置基准8
3.1.Windows2000系统安全配置标准8
3.1.1系统补丁安装标准8
3.1.2账号和口令安全配置标准8
3.1.3目录和文件权限控制标准11
3.1.4网络与服务配置标准17
3.1.5安全选项配置标准20
3.1.6日志与审计配置标准21
3.1.7其它安全配置参考22
3.2.WindowsXP安全配置标准23
3.2.1系统补丁安装标准23
3.2.2安全中心配置标准24
3.2.3“密码策略”配置要求25
3.2.4服务管理配置标准27
3.2.5安全审计配置标准30
3.2.6其它安全配置参考31
3.3.Windows2003安全配置标准32
3.3.1系统补丁安装标准32
3.3.2补丁安装的原则33
3.3.3账号和口令安全配置标准33
3.3.4服务管理配置标准35
3.3.5安全选项配置标准36
3.3.6安全审计配置标准38
3.3.7其它安全配置参考38
1.
防火墙配置基准
1、防火墙的缺省包过滤规则为允许,在调试过程完成,测试结束后,一定要将防火墙的默认允许,改为禁止。
2、若防火墙的默认规则为全通的规则,请删除默认的安全规则,然后按照网络实际环境配置相应的安全规则,并且尽量不要设置地址和服务有ANY的规则,
3、为了有效保护内网与防火墙自身的抗攻击能力,可以打开防火墙的抗攻击功能,(建议在网络流量大的情况下不会开此功能,会影响网络的处理速度)
4、为了有效的保护内部的网络地址,并解决网络地址不足的问题,请尽量使用防火墙的NAT功能,把内网的IP地址转换成防火墙的公网地址后再访问外部网络。
5、为了保证防火墙本身的主机安全,不要随意开启防火墙的远程SSH管理功能,建议使用WEB+HTTPS+密钥等有效的管理方法。
6、为了分析防火墙的数据包记录日志,应将防火墙的包过滤日志信息记录下来,用于对事件分析。
2.
数据库配置基准
2.1.SQLServer2000/2008数据库安全配置标准
2.1.1安装数据库的主机要求
●主机应当专门用于数据库的安装和使用
●数据库主机避免安装在域控制器上
●主机操作系统层面应当保证安全:
⏹SQLServer2000/2008数据库需要安装在WindowsServer系统上
⏹数据库软件安装之前,应当保证主机操作系统层面的安全
⏹需要对主机进行安全设置
⏹补丁更新
⏹防病毒软件安装
2.1.2数据库补丁安装标准
在新安装或者重新安装的数据库系统上,必须安装最新的ServicePack类补丁。
2.1.3存储过程配置标准
应删除SQLserver中无用的存储过程,这些存储过程极容易被攻击者利用,攻击数据库系统。
删除的存储过程包括:
⏹xp_cmdshell
⏹xp_regaddmultistring
⏹xp_regdeletekey
⏹xp_regdeletevalue
⏹xp_regenumvalues
⏹xp_regread
⏹xp_regremovemultistrin
⏹xp_regwrite
⏹xp_sendmail
注意:
删除存储过程要慎重,需要测试哪些存储过程是数据库实例所需要的。
2.1.4数据库口令安全配置标准
SQLServer2000/2008有两种登录验证方式:
一是通过操作系统账号登录,另一个是通过数据库账户进行登录验证。
由于应用的需要,大多数据库安装选择两种验证的混合方式,其中sa为SQLServer2000/2008内置的数据库账户,需要为sa账户密码的复杂强度进行设置。
另外,应用系统可能还会建立普通的账户,拥有特定数据库的存取权限,对于普通账户,也要设置强壮的密码。
2.1.4.4密码复杂性配置要求
●密码长度至少为6位
●必须为sa账户和普通账户提供复杂的口令,需要包含以下字符:
⏹英语大写字母A,B,C,…Z
⏹英语小写字母a,b,c,…z
⏹西方阿拉伯数字0,1,2,…9
⏹非字母数字字符,如标点符号,@,#,$,%,&,*等
2.1.4.5禁用guest账户
在操作系统层面禁用guest账户。
2.1.5目录和文件安全标准
2.1.5.1数据库安装文件系统要求
数据库软件应当安装在NTFS分区的文件系统上。
2.1.5.2目录保护配置要求
受保护的目录如下表所示:
保护的目录
应用的权限
X:
\ProgramFiles\MicrosoftSQLServer
Administrators:
完全控制
System:
完全控制
AuthenticatedUsers:
读取和执行、列出文件夹内容、读取
Users:
读取及运行、列出文件夹目录
X代表磁盘符号,如C盘。
2.1.5.3初始安装文件删除要求
安装完数据库系统,应当删除安装日志文件。
文件名
目录
setup.iss
X:
\ProgramFiles\MicrosoftSQLServer\Install
sqlstp.log
X:
\ProgramFiles\MicrosoftSQLServer\Install
sqlsp.log
X:
\ProgramFiles\MicrosoftSQLServer\Install
2.1.6数据库网络服务配置标准
2.1.6.1数据库在网络的位置
在多层应用中,数据库应当与业务逻辑层和前端展示层分离,并且要求在业务逻辑层和数据库之间设置访问控制列表(ACL),只允许业务逻辑层的主机访问数据库监听端口(TCP1433)。
2.1.6.2数据库使用的网络协议
SQLServer2000/2008支持多个网络协议,TCP/IP、IPX/SPX、命名管道、AppleTalk等。
配置只启用TCP/IP网络协议,禁用其他协议。
图:
SQLServer网络实用程序
2.1.6.3数据库使用的端口
当SQLServer2000/2008支持TCP/IP网络协议后,数据库监听如下端口:
端口
协议
安全配置
说明
1433
TCP
开放
客户端连接端口
1434
UDP
通过防火墙等设备进行屏蔽
数据库发现端口
2.1.6.4数据库服务配置标准
SQLServer2000/2008提供的服务:
服务名称
安全配置
说明
SQLServer
启用
数据库引擎服务,必须启用
SQLServerAgent
禁用
数据库代理服务
MicrosoftSearch
禁用
全文搜索服务
MSDTC(DistributedTransactionCoordinator)
除非在集群环境下或者数据库复制,否则禁用服务
分布事物进程
2.1.7数据库审计配置标准
数据库的默认安装不开任何安全审核,在审核级别设置登录失败审核。
3.
操作系统配置基准
3.1.Windows2000系统安全配置标准
3.1.1系统补丁安装标准
3.1.1.1Windows2000的与安全相关的补丁大致分三类:
●ServicePack(补丁包):
ServicePack是经过测试的所有修复程序、安全更新程序、关键更新程序以及更新程序的累积的集合。
ServicePack还可能包含自产品发布以来针对内部发现的问题的其他修复以及设计上的更改或功能上的增加。
ServicePack补丁包涵盖了自发布之前的所有补丁,是重要的补丁集合。
●SecurityPatch(安全补丁):
SecurityPatch是针对特定问题广泛发布的修复程序,用于修复特定产品的与安全相关的漏洞。
Microsoft在发布的安全公告中将SecurityPatch分级为严重、重要、中等、低四个等级。
严重的安全补丁缺失,会造成蠕虫快速传播(如振荡波,冲击波),对系统本身和网络造成重大影响,这类补丁需要及时应用到操作系统。
●Hotfix(修补程序):
Hotfix是针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序,通常称为修补程序,如果在最近发布的ServicePack后面,出现安全方面的漏洞,通常对应的补丁会以Hotfix修补程序的形式发布。
3.1.1.2补丁安装的原则:
●新安装或者重新安装windows2000操作系统,必须安装最新的ServicePack补丁集。
●必须安装等级为严重和重要的SecurityPatch。
●有关安全方面的Hotfixes补丁应当及时安装。
●安装补丁不要留副本。
注意:
补丁更新要慎重,可能出现硬件不兼容,或者影响当前的应用系统,安装补丁之前要经过测试和验证。
3.1.2账号和口令安全配置标准
3.1.2.1“密码策略”配置要求
通过“本地安全策略”调整默认的“密码策略”,提高系统的安全水平,“密码策略”中各选项的具体要求如下表列举:
策略
默认设置
安全设置
强制执行密码历史记录
记住1个密码
记住4个密码
密码最长期限
42天
42天
密码最短期限
0天
7天
最短密码长度
0个字符
6个字符
密码必须符合复杂性要求
禁用
启用
为域中所有用户使用可还原的加密来储存密码
禁用
禁用
“密码策略”的设置步骤如下图:
进入“控制面板/管理工具/本地安全策略”,在“账户策略->密码策略”。
3.1.2.2密码复杂性配置要求
在“密码策略”中“密码必须符合复杂性要求”选项启动后,系统将强制要求密码的设置具备一定的强壮度,要求密码至少包含以下四种类别的字符:
●英语大写字母A,B,C,…Z
●英语小写字母a,b,c,…z
●西方阿拉伯数字0,1,2,…9
●非字母数字字符,如标点符号,@,#,$,%,&,*等
3.1.2.3账号安全控制要求
3.1.2.3.1“账户锁定策略”配置要求
有效的账号锁定策略有助于防止攻击者猜出您账号对应的密码。
要求按照下表要求调整“账户锁定策略”:
策略
默认设置
安全设置
账户锁定时间
未定义
30分钟
账户锁定阈值
0
5次无效登录
复位账户锁定计数器
未定义
30分钟之后
账号锁定配置具体操作如下图:
进入“控制面板/管理工具/本地安全策略”,在“账户策略->账户锁定策略”。
3.1.2.3.2系统内置账号管理要求
Windows2000系统中存在不可删除的内置账号,包括Administrator和guest。
对于管理员账号,要求更改缺省账户名称,对隶属于Administrators组的账号要严格监控;要求禁用guest(来宾)账号,以防止攻击者通过利用已知的用户名破坏远程服务器。
3.1.2.3.3其它账号管理要求
临时的测试账号和过期的无用账号应该在3个工作日内及时删除。
(注:
测试账号和无用账号不是系统默认安装时生成的,是系统操作过程中人为新增的账号,从系统安全加固的角度来看,此类账号应该及时删除。
)
3.1.3目录和文件权限控制标准
权限控制遵循以下几个原则:
∙权限是累计的
∙拒绝的权限要比允许的权限高
∙文件权限比文件夹权限高。
3.1.3.1目录保护配置要求
要求按照下表内容对受保护的目录权限进行设置,缺省情况下,Administrators组和SYSTEM具有完全控制的权限,Everyone组具有读取及运行的权限,对于多个账户使用一台主机,要求根据具体情况对重要的文件目录进行账户权限的设置,如下图:
注:
下图为目录权限设置的示例,为C:
\WINNT\system32目录的设置,在实际服务器上进行设置时,需要严格检查重要目录以及对应的账户权限设置。
建议进行权限设置保护的重要目录列表:
保护的目录
应用的权限
%systemdrive%\
Administrators:
完全控制
System:
完全控制
AuthenticatedUsers:
读取和执行、列出文件夹内容、读取
%SystemRoot%\Repair
%SystemRoot%\Security
%SystemRoot%\Temp
%SystemRoot%\system32\Config
%SystemRoot%\system32\Logfiles
Administrators:
完全控制
Creator/Owner:
完全控制
System:
完全控制
%systemdrive%\Inetpub
Administrators:
完全控制
System:
完全控制
Everyone:
读取和执行、列出文件夹内容、读取
%SystemRoot%定义了Windows系统文件所在的路径和文件夹名,%SystemDrive%定义了包含%systemroot%的驱动器。
3.1.3.2文件保护配置要求
要求根据下表对系统的敏感文件的权限进行修改,以避免文件被恶意用户执行:
缺省情况下,这些文件的安全设置属性为:
用户组
权限
Administrators
完全控制
System
完全控制
Everyone
读取及运行
Users
读取及运行
对于Administrator管理员组和System组,缺省的权限设置已经为完全控制,不需要更改,对于普通账户的读取及运行权限,需要对文件逐一进行检查并调整,如下图:
建议进行权限设置保护的重要文件列表:
文件
基准权限
%SystemDrive%\Boot.ini
Administrators:
完全控制
System:
完全控制
%SystemDrive%\N
Administrators:
完全控制
System:
完全控制
%SystemDrive%\Ntldr
Administrators:
完全控制
System:
完全控制
%SystemDrive%\Io.sys
Administrators:
完全控制
System:
完全控制
%SystemDrive%\Autoexec.bat
Administrators:
完全控制
System:
完全控制
AuthenticatedUsers:
读取和执行、列出文件夹内容、读取
%systemdir%\config
Administrators:
完全控制
System:
完全控制
AuthenticatedUsers:
读取和执行、列出文件夹内容、读取
%SystemRoot%\system32\Append.exe
Administrators:
完全控制
%SystemRoot%\system32\Arp.exe
Administrators:
完全控制
%SystemRoot%\system32\At.exe
Administrators:
完全控制
%SystemRoot%\system32\Attrib.exe
Administrators:
完全控制
%SystemRoot%\system32\Cacls.exe
Administrators:
完全控制
%SystemRoot%\system32\Change.exe
Administrators:
完全控制
%SystemRoot%\system32\C
Administrators:
完全控制
%SystemRoot%\system32\Chglogon.exe
Administrators:
完全控制
%SystemRoot%\system32\Chgport.exe
Administrators:
完全控制
%SystemRoot%\system32\Chguser.exe
Administrators:
完全控制
%SystemRoot%\system32\Chkdsk.exe
Administrators:
完全控制
%SystemRoot%\system32\Chkntfs.exe
Administrators:
完全控制
%SystemRoot%\system32\Cipher.exe
Administrators:
完全控制
%SystemRoot%\system32\Cluster.exe
Administrators:
完全控制
%SystemRoot%\system32\Cmd.exe
Administrators:
完全控制
%SystemRoot%\system32\Compact.exe
Administrators:
完全控制
%SystemRoot%\system32\C
Administrators:
完全控制
%SystemRoot%\system32\Convert.exe
Administrators:
完全控制
%SystemRoot%\system32\Cscript.exe
Administrators:
完全控制
%SystemRoot%\system32\Debug.exe
Administrators:
完全控制
%SystemRoot%\system32\Dfscmd.exe
Administrators:
完全控制
%SystemRoot%\system32\D
Administrators:
完全控制
%SystemRoot%\system32\D
Administrators:
完全控制
%SystemRoot%\system32\Doskey.exe
Administrators:
完全控制
%SystemRoot%\system32\Edlin.exe
Administrators:
完全控制
%SystemRoot%\system32\Exe2bin.exe
Administrators:
完全控制
%SystemRoot%\system32\Expand.exe
Administrators:
完全控制
%SystemRoot%\system32\Fc.exe
Administrators:
完全控制
%SystemRoot%\system32\Find.exe
Administrators:
完全控制
%SystemRoot%\system32\Findstr.exe
Administrators:
完全控制
%SystemRoot%\system32\Finger.exe
Administrators:
完全控制
%SystemRoot%\system32\Forcedos.exe
Administrators:
完全控制
%SystemRoot%\system32\F
Administrators:
完全控制
%SystemRoot%\system32\Ftp.exe
Administrators:
完全控制
%SystemRoot%\system32\Hostname.exe
Administrators:
完全控制
%SystemRoot%\system32\Iisreset.exe
Administrators:
完全控制
%SystemRoot%\system32\Ipconfig.exe
Administrators:
完全控制
%SystemRoot%\system32\Ipxroute.exe
Administrators:
完全控制
%SystemRoot%\system32\Label.exe
Administrators:
完全控制
%SystemRoot%\system32\Logoff.exe
Administrators:
完全控制
%SystemRoot%\system32\Lpq.exe
Administrators:
完全控制
%SystemRoot%\system32\Lpr.exe
Administrators:
完全控制
%SystemRoot%\system32\Makecab.exe
Administrators:
完全控制
%SystemRoot%\system32\Mem.exe
Administrators:
完全控制
%SystemRoot%\system32\Mmc.exe
Administrators:
完全控制
%SystemRoot%\system32\M
Administrators:
完全控制
%SystemRoot%\system32\M
Administrators:
完全控制
%SystemRoot%\system32\Mountvol.exe
Administrators:
完全控制
%SystemRoot%\system32\Msg.exe
Administrators:
完全控制
%SystemRoot%\system32\Nbtstat.exe
Administrators:
完全控制
%SystemRoot%\system32\Net.exe
Administrators:
完全控制
%SystemRoot%\system32\Net1.exe
Administrators:
完全控制
%SystemRoot%\system32\Netsh.exe
Administrators:
完全控制
%SystemRoot%\system32\Netstat.exe
Administrators:
完全控制
%SystemRoot%\system32\Nslookup.exe
Administrators:
完全控制
%SystemRoot%\system32\Ntbackup.exe
Administrators:
完全控制
%SystemRoot%\system32\Ntsd.exe
Administrators:
完全控制
%SystemRoot%\system32\Pathping.exe
Administrators:
完全控制
%SystemRoot%\system32\Ping.exe
Administrators:
完全控制
%SystemRoot%\system32\Print.exe
Administrators:
完全控制
%SystemRoot%\system32\Query.exe
Administrators:
完全控制
%SystemRoot%\system32\Rasdial.exe
Administrators:
完全控制
%S
升级会员 