制度体系之操作系统和数据库安全策略作业指导书.docx

1、制度体系之 操作系统和数据库安全策略作业指导书制度体系之 - 操作系统和数据库安全策略作业指导书版 本 页 1操作系统和数据库安全策略作业指导书 21. 防火墙配置基准 32. 数据库配置基准 42.1. SQL Server 2000/2008数据库安全配置标准 42.1.1 安装数据库的主机要求 42.1.2 数据库补丁安装标准 42.1.3 存储过程配置标准 42.1.4 数据库口令安全配置标准 52.1.5 目录和文件安全标准 52.1.6 数据库网络服务配置标准 62.1.7 数据库审计配置标准 73. 操作系统配置基准 83.1. Windows2000系统安全配置标准 83.1.

2、1 系统补丁安装标准 83.1.2 账号和口令安全配置标准 83.1.3 目录和文件权限控制标准 113.1.4 网络与服务配置标准 173.1.5 安全选项配置标准 203.1.6 日志与审计配置标准 213.1.7 其它安全配置参考 223.2. Windows XP 安全配置标准 233.2.1 系统补丁安装标准 233.2.2 安全中心配置标准 243.2.3 “密码策略”配置要求 253.2.4 服务管理配置标准 273.2.5 安全审计配置标准 303.2.6 其它安全配置参考 313.3. Windows2003安全配置标准 323.3.1 系统补丁安装标准 323.3.2 补丁

3、安装的原则 333.3.3 账号和口令安全配置标准 333.3.4 服务管理配置标准 353.3.5 安全选项配置标准 363.3.6 安全审计配置标准 383.3.7 其它安全配置参考 381. 防火墙配置基准1、 防火墙的缺省包过滤规则为允许，在调试过程完成，测试结束后，一定要将防火墙的默认允许，改为禁止。2、 若防火墙的默认规则为全通的规则，请删除默认的安全规则，然后按照网络实际环境配置相应的安全规则，并且尽量不要设置地址和服务有ANY的规则，3、 为了有效保护内网与防火墙自身的抗攻击能力，可以打开防火墙的抗攻击功能，（建议在网络流量大的情况下不会开此功能，会影响网络的处理速度）4、 为

4、了有效的保护内部的网络地址，并解决网络地址不足的问题，请尽量使用防火墙的功能，把内网的IP地址转换成防火墙的公网地址后再访问外部网络。5、 为了保证防火墙本身的主机安全，不要随意开启防火墙的远程管理功能，建议使用WEB+HTTPS+密钥等有效的管理方法。6、 为了分析防火墙的数据包记录日志，应将防火墙的包过滤日志信息记录下来，用于对事件分析。2. 数据库配置基准2.1. SQL Server 2000/2008数据库安全配置标准2.1.1 安装数据库的主机要求 主机应当专门用于数据库的安装和使用 数据库主机避免安装在域控制器上 主机操作系统层面应当保证安全： SQL Server 2000/2

5、008数据库需要安装在Windows Server系统上 数据库软件安装之前，应当保证主机操作系统层面的安全 需要对主机进行安全设置 补丁更新 防病毒软件安装2.1.2 数据库补丁安装标准在新安装或者重新安装的数据库系统上，必须安装最新的Service Pack类补丁。2.1.3 存储过程配置标准应删除SQL server中无用的存储过程，这些存储过程极容易被攻击者利用，攻击数据库系统。删除的存储过程包括： xp_cmdshell xp_regaddmultistring xp_regdeletekey xp_regdeletevalue xp_regenumvalues xp_regread

6、 xp_regremovemultistrin xp_regwrite xp_sendmail注意：删除存储过程要慎重，需要测试哪些存储过程是数据库实例所需要的。2.1.4 数据库口令安全配置标准SQL Server 2000/2008有两种登录验证方式：一是通过操作系统账号登录，另一个是通过数据库账户进行登录验证。由于应用的需要，大多数据库安装选择两种验证的混合方式，其中sa为SQL Server 2000/2008内置的数据库账户，需要为sa账户密码的复杂强度进行设置。另外，应用系统可能还会建立普通的账户，拥有特定数据库的存取权限，对于普通账户，也要设置强壮的密码。2.1.4.4 密码复杂

7、性配置要求 密码长度至少为6位 必须为sa账户和普通账户提供复杂的口令，需要包含以下字符： 英语大写字母 A, B, C, Z 英语小写字母 a, b, c, z 西方阿拉伯数字 0, 1, 2, 9 非字母数字字符，如标点符号，, #, $, %, &, *等2.1.4.5 禁用guest账户在操作系统层面禁用guest账户。2.1.5 目录和文件安全标准2.1.5.1 数据库安装文件系统要求数据库软件应当安装在NTFS分区的文件系统上。2.1.5.2 目录保护配置要求受保护的目录如下表所示：保护的目录应用的权限X:Program FilesMicrosoft SQL ServerAdmin

8、istrators：完全控制System：完全控制Authenticated Users：读取和执行、列出文件夹内容、读取Users:读取及运行、列出文件夹目录X代表磁盘符号，如C盘。2.1.5.3 初始安装文件删除要求安装完数据库系统，应当删除安装日志文件。文件名目录setup.issX:Program FilesMicrosoft SQL ServerInstallsqlstp.logX:Program FilesMicrosoft SQL ServerInstallsqlsp.logX:Program FilesMicrosoft SQL ServerInstall2.1.6 数据库网络

9、服务配置标准2.1.6.1 数据库在网络的位置在多层应用中，数据库应当与业务逻辑层和前端展示层分离，并且要求在业务逻辑层和数据库之间设置访问控制列表(ACL)，只允许业务逻辑层的主机访问数据库监听端口(TCP1433)。2.1.6.2 数据库使用的网络协议SQL Server 2000/2008支持多个网络协议，TCP/IP、IPX/SPX、命名管道、AppleTalk等。配置只启用TCP/IP网络协议，禁用其他协议。图：SQL Server 网络实用程序2.1.6.3 数据库使用的端口当SQL Server 2000/2008支持TCP/IP网络协议后，数据库监听如下端口：端口协议安全配置说

10、明1433TCP开放客户端连接端口1434UDP通过防火墙等设备进行屏蔽数据库发现端口2.1.6.4 数据库服务配置标准SQL Server 2000/2008提供的服务：服务名称安全配置说明SQL Server启用数据库引擎服务，必须启用SQL Server Agent禁用数据库代理服务Microsoft Search禁用全文搜索服务MSDTC(Distributed Transaction Coordinator)除非在集群环境下或者数据库复制，否则禁用服务分布事物进程2.1.7 数据库审计配置标准数据库的默认安装不开任何安全审核，在审核级别设置登录失败审核。3. 操作系统配置基准3.1.

11、 Windows2000系统安全配置标准3.1.1 系统补丁安装标准3.1.1.1 Windows 2000的与安全相关的补丁大致分三类： Service Pack（补丁包）： Service Pack 是经过测试的所有修复程序、安全更新程序、关键更新程序以及更新程序的累积的集合。 Service Pack 还可能包含自产品发布以来针对内部发现的问题的其他修复以及设计上的更改或功能上的增加。Service Pack补丁包涵盖了自发布之前的所有补丁，是重要的补丁集合。 Security Patch（安全补丁）：Security Patch是针对特定问题广泛发布的修复程序，用于修复特定产品的与安全

12、相关的漏洞。Microsoft在发布的安全公告中将Security Patch分级为严重、重要、中等、低四个等级。严重的安全补丁缺失，会造成蠕虫快速传播(如振荡波，冲击波)，对系统本身和网络造成重大影响，这类补丁需要及时应用到操作系统。 Hotfix(修补程序)：Hotfix是针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序，通常称为修补程序，如果在最近发布的Service Pack后面，出现安全方面的漏洞，通常对应的补丁会以Hotfix修补程序的形式发布。3.1.1.2 补丁安装的原则： 新安装或者重新安装windows 2000操作系统，必须安装最新的Servic

13、e Pack补丁集。 必须安装等级为严重和重要的Security Patch。 有关安全方面的Hotfixes补丁应当及时安装。 安装补丁不要留副本。注意：补丁更新要慎重，可能出现硬件不兼容，或者影响当前的应用系统，安装补丁之前要经过测试和验证。3.1.2 账号和口令安全配置标准3.1.2.1 “密码策略”配置要求通过“本地安全策略”调整默认的“密码策略”，提高系统的安全水平，“密码策略”中各选项的具体要求如下表列举：策略默认设置安全设置强制执行密码历史记录记住 1 个密码记住 4个密码密码最长期限42 天42 天密码最短期限0 天7 天最短密码长度0 个字符6 个字符密码必须符合复杂性要求禁

14、用启用为域中所有用户使用可还原的加密来储存密码禁用禁用“密码策略”的设置步骤如下图：进入“控制面板/管理工具/本地安全策略”，在“账户策略-密码策略”。3.1.2.2 密码复杂性配置要求在“密码策略”中 “密码必须符合复杂性要求”选项启动后，系统将强制要求密码的设置具备一定的强壮度，要求密码至少包含以下四种类别的字符： 英语大写字母 A, B, C, Z 英语小写字母 a, b, c, z 西方阿拉伯数字 0, 1, 2, 9 非字母数字字符，如标点符号，, #, $, %, &, *等3.1.2.3 账号安全控制要求3.1.2.3.1 “账户锁定策略”配置要求有效的账号锁定策略有助于防止攻击

15、者猜出您账号对应的密码。要求按照下表要求调整“账户锁定策略”：策略默认设置安全设置账户锁定时间未定义30 分钟账户锁定阈值05 次无效登录复位账户锁定计数器未定义30 分钟之后账号锁定配置具体操作如下图：进入“控制面板/管理工具/本地安全策略”，在“账户策略-账户锁定策略”。3.1.2.3.2 系统内置账号管理要求Windows2000系统中存在不可删除的内置账号，包括Administrator和guest。对于管理员账号，要求更改缺省账户名称，对隶属于Administrators组的账号要严格监控；要求禁用guest（来宾）账号，以防止攻击者通过利用已知的用户名破坏远程服务器。3.1.2.3

16、.3 其它账号管理要求临时的测试账号和过期的无用账号应该在3个工作日内及时删除。（注：测试账号和无用账号不是系统默认安装时生成的，是系统操作过程中人为新增的账号，从系统安全加固的角度来看，此类账号应该及时删除。）3.1.3 目录和文件权限控制标准权限控制遵循以下几个原则： 权限是累计的 拒绝的权限要比允许的权限高 文件权限比文件夹权限高。3.1.3.1 目录保护配置要求要求按照下表内容对受保护的目录权限进行设置，缺省情况下，Administrators组和SYSTEM具有完全控制的权限，Everyone组具有读取及运行的权限，对于多个账户使用一台主机，要求根据具体情况对重要的文件目录进行账户权

17、限的设置，如下图：注：下图为目录权限设置的示例，为C:WINNTsystem32目录的设置，在实际服务器上进行设置时，需要严格检查重要目录以及对应的账户权限设置。建议进行权限设置保护的重要目录列表：保护的目录应用的权限%systemdrive%Administrators：完全控制System：完全控制Authenticated Users：读取和执行、列出文件夹内容、读取%SystemRoot%Repair%SystemRoot%Security%SystemRoot%Temp%SystemRoot%system32Config%SystemRoot%system32LogfilesAdmi

18、nistrators：完全控制Creator/Owner：完全控制System：完全控制%systemdrive%InetpubAdministrators：完全控制System：完全控制Everyone：读取和执行、列出文件夹内容、读取%SystemRoot% 定义了 Windows 系统文件所在的路径和文件夹名，%SystemDrive% 定义了包含 %systemroot% 的驱动器。3.1.3.2 文件保护配置要求要求根据下表对系统的敏感文件的权限进行修改，以避免文件被恶意用户执行：缺省情况下，这些文件的安全设置属性为：用户组权限Administrators完全控制System完全控制

19、Everyone读取及运行Users读取及运行对于Administrator管理员组和System组，缺省的权限设置已经为完全控制，不需要更改，对于普通账户的读取及运行权限，需要对文件逐一进行检查并调整，如下图：建议进行权限设置保护的重要文件列表：文件基准权限%SystemDrive%Boot.iniAdministrators：完全控制System：完全控制%SystemDrive%NAdministrators：完全控制System：完全控制%SystemDrive%NtldrAdministrators：完全控制System：完全控制%SystemDrive%Io.sysAdminist

20、rators：完全控制System：完全控制%SystemDrive%Autoexec.batAdministrators：完全控制System：完全控制Authenticated Users：读取和执行、列出文件夹内容、读取%systemdir%configAdministrators：完全控制System：完全控制Authenticated Users：读取和执行、列出文件夹内容、读取%SystemRoot%system32Append.exeAdministrators：完全控制%SystemRoot%system32Arp.exeAdministrators：完全控制%SystemRo

21、ot%system32At.exeAdministrators：完全控制%SystemRoot%system32Attrib.exeAdministrators：完全控制%SystemRoot%system32Cacls.exeAdministrators：完全控制%SystemRoot%system32Change.exeAdministrators：完全控制%SystemRoot%system32CAdministrators：完全控制%SystemRoot%system32Chglogon.exeAdministrators：完全控制%SystemRoot%system32Chgport

22、.exeAdministrators：完全控制%SystemRoot%system32Chguser.exeAdministrators：完全控制%SystemRoot%system32Chkdsk.exeAdministrators：完全控制%SystemRoot%system32Chkntfs.exeAdministrators：完全控制%SystemRoot%system32Cipher.exeAdministrators：完全控制%SystemRoot%system32Cluster.exeAdministrators：完全控制%SystemRoot%system32Cmd.exeAd

23、ministrators：完全控制%SystemRoot%system32Compact.exeAdministrators：完全控制%SystemRoot%system32CAdministrators：完全控制%SystemRoot%system32Convert.exeAdministrators：完全控制%SystemRoot%system32Cscript.exeAdministrators：完全控制%SystemRoot%system32Debug.exeAdministrators：完全控制%SystemRoot%system32Dfscmd.exeAdministrators：

24、完全控制%SystemRoot%system32DAdministrators：完全控制%SystemRoot%system32DAdministrators：完全控制%SystemRoot%system32Doskey.exeAdministrators：完全控制%SystemRoot%system32Edlin.exeAdministrators：完全控制%SystemRoot%system32Exe2bin.exeAdministrators：完全控制%SystemRoot%system32Expand.exeAdministrators：完全控制%SystemRoot%system32

25、Fc.exeAdministrators：完全控制%SystemRoot%system32Find.exeAdministrators：完全控制%SystemRoot%system32Findstr.exeAdministrators：完全控制%SystemRoot%system32Finger.exeAdministrators：完全控制%SystemRoot%system32Forcedos.exeAdministrators：完全控制%SystemRoot%system32FAdministrators：完全控制%SystemRoot%system32Ftp.exeAdministrat

26、ors：完全控制%SystemRoot%system32Hostname.exeAdministrators：完全控制%SystemRoot%system32Iisreset.exeAdministrators：完全控制%SystemRoot%system32Ipconfig.exeAdministrators：完全控制%SystemRoot%system32Ipxroute.exeAdministrators：完全控制%SystemRoot%system32Label.exeAdministrators：完全控制%SystemRoot%system32Logoff.exeAdministra

27、tors：完全控制%SystemRoot%system32Lpq.exeAdministrators：完全控制%SystemRoot%system32Lpr.exeAdministrators：完全控制%SystemRoot%system32Makecab.exeAdministrators：完全控制%SystemRoot%system32Mem.exeAdministrators：完全控制%SystemRoot%system32Mmc.exeAdministrators：完全控制%SystemRoot%system32MAdministrators：完全控制%SystemRoot%syste

28、m32MAdministrators：完全控制%SystemRoot%system32Mountvol.exeAdministrators：完全控制%SystemRoot%system32Msg.exeAdministrators：完全控制%SystemRoot%system32Nbtstat.exeAdministrators：完全控制%SystemRoot%system32Net.exeAdministrators：完全控制%SystemRoot%system32Net1.exeAdministrators：完全控制%SystemRoot%system32Netsh.exeAdminist

29、rators：完全控制%SystemRoot%system32Netstat.exeAdministrators：完全控制%SystemRoot%system32Nslookup.exeAdministrators：完全控制%SystemRoot%system32Ntbackup.exeAdministrators：完全控制%SystemRoot%system32Ntsd.exeAdministrators：完全控制%SystemRoot%system32Pathping.exeAdministrators：完全控制%SystemRoot%system32Ping.exeAdministrators：完全控制%SystemRoot%system32Print.exeAdministrators：完全控制%SystemRoot%system32Query.exeAdministrators：完全控制%SystemRoot%system32Rasdial.exeAdministrators：完全控制%S