主機和數據庫安全配置

與加固措施主機和數據庫安全配置

與加固措施1一、主機安全配置與加固措施一、主機安全配置與加固措施2

信息系統是由主機、網絡設備、存儲設備、安全設備以及各種應用系統組成的。其中主機是信息系統中的重要組成部分，承擔著信息的存儲、處理的主要工作。由于主機是信息泄露的最終來源，也是各類攻擊的最終目標，因此主機的安全關系到整個信息系統中信息的最終安全。

3

針對信息系統中的重要終端和服務器《信息安全技術信息系統安全等級保護基本要求》從以下9個方面對主機安全進行安全要求：針對信息系統中的重要終端和服務器《信41、身份鑒別4、安全標記3、安全審計安全配置2、訪問控制安全配置5、剩余信息保護安全配置9、資源控制安全配置6、入侵防范7、惡意代碼防范安全配置8、可信路徑的安全配置1、身份鑒別4、安全標記3、安全審計安全配置2、訪問控制安全51、身份鑒別在windows操作系統身份鑒別配置：通過控制面板管理工具本地安全策略

計算機配置Windows設置,配置系統的各項”安全設置”。其中和身份鑒別有關的是“帳戶策略”，其中分為“密碼策略”和“帳戶鎖定策略”。1、身份鑒別6主機和數據庫安全配置課件7口令復雜性要求啟用口令長度最小值8字符口令最長存留期90天口令最短存留期0天復位帳戶鎖定計數器15分鐘帳戶鎖定時間15分鐘帳戶鎖定閥值5次“密碼策略”主要有以下設置：1)密碼應符合復雜度要求2)設置密碼長度最小值3)密碼最短使用期限4)強制密碼歷史5)用可還原的加密來存儲密碼口令復雜性要求啟用口令長度最小值8字符口令最長存留期90天口8主機和數據庫安全配置課件9“帳戶鎖定策略”主要有以下設置：1)帳戶鎖定時間2)帳戶鎖定閥值3)在此后復位帳戶鎖定及暑期“帳戶鎖定策略”主要有以下設置：10身份鑒別必須錄入密碼才能登陸取消弱密碼和空密碼帳號密碼8位以上，字母數字混合。啟用帳號鎖定策略取消遠程登陸身份鑒別需檢查項必須錄入密碼才能登陸取消弱密碼和空密碼帳號密碼8位以上，字母112、訪問控制安全配置在windows操作系統安全配置：通過控制面板管理工具計算機管理系統工具本地用戶和組中，可以對系統中的用戶和權限進行安全配置。2、訪問控制安全配置12在“用戶”中應：1)禁用系統來賓帳戶4)在組中，應為每個帳戶授予所需的最小權限3)刪除系統中所有無用帳戶、過期帳戶和共享帳戶2)重命名系統默認帳戶、修改默認口令在“用戶”中應：13訪問控制取消不使用的共享文件夾控制系統開啟的共享及共享文件夾的訪問權限,刪除IPC$、ADMIN$、C$、D$等默認共享控制重要數據的訪問權限Guest賬號禁用取消多余賬號訪問控制需檢查項取消不使用的共享文件夾控制系統開啟的共享及共享文件夾的訪問權143、安全審計安全配置在通用操作系統中，均有安全審計功能，通過相關配置，能夠對系統的重要事件進行安全審計。在windows操作系統中，將通過控制面板管理工具本地安全策略本地策略審核策略中的所有項目,配置為“成功”和“失敗”均記錄日志。在“事件察看器”中設置“應用程序”、“安全性”和“系統”日志的存儲大小和覆蓋策略。3、安全審計安全配置15主機和數據庫安全配置課件16主機和數據庫安全配置課件174、安全標記要求對所有主體和客體設置敏感標記。4、安全標記185、剩余信息保護安全配置剩余信息保護要求“確保系統內的文件、目錄和數據庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全消除”。對于通用操作系統來說，考慮到運行效率，沒有在系統內核層面默認實現剩余信息保護功能，只能通過第三方工具來實現。5、剩余信息保護安全配置196、入侵防范通過配置操作系統的自動升級功能，能夠使系統自動安裝最新的補丁程序，但是對于入侵檢測和完整性檢測功能，需要第三方工具來實現。入侵檢測也可以通過在網絡中布置網絡入侵檢測系統實現入侵防范系統已安裝最新的升級補丁包關閉系統開啟的多余的系統服務關閉系統開啟的多余的網絡端口卸載系統安裝的多余的Windows組件入侵防范需檢查項6、入侵防范系統已安裝最新的升級補丁包關閉系統開啟的多余的系207、惡意代碼防范安全配置

要求主機具備一定的惡意代碼防范措施。a)應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；b)主機防惡意代碼產品應具有與網絡防惡意代碼產品不同的惡意代碼庫；c)應支持防惡意代碼軟件的統一管理。7、惡意代碼防范安全配置218、可信路徑的安全配置可信路徑是在用戶與內核之間開辟一條直接的、可信任的交互路徑，為防止黑客特洛伊木馬記錄在登陸及其他敏感操作時的行動。管理員應在控制面板管理工具本地安全策略計算機配置Windows設置本地策略安全選項中，將“交互式登陸：無需按Ctrl+Alt+Del”設置為“已禁用”。8、可信路徑的安全配置管理員應在控制22主機和數據庫安全配置課件239、資源控制安全配置控制系統中各項資源，如：磁盤空間、CPU、內存、網絡連接等使用情況等。1)磁盤空間限制：在windows操作系統中，需要在組策略計算機配置管理模板系統

磁盤配額，配置磁盤配額限制9、資源控制安全配置24主機和數據庫安全配置課件252)資源監控：在windows操作系統中，可以使用控制面板性能，對系統中所有資源進行監控，并且可以在“性能日志和警報”中，設置“警報”，當某個資源降低到預先設定的最小值，可以進行報警。2)資源監控：在windows操作系統中，可以使用控制面板26資源控制設定終端接入方式、網絡地址范圍等條件限制終端登錄對重要服務器進行監視，包括監視服務器的CPU、硬盤、內存、網絡等資源的使用情況根據安全策略設置登錄終端的操作超時鎖定限制單個用戶對系統資源的最大或最小使用限度能夠對系統的服務水平降低到預先規定的最小值進行檢測和報警資源控制的安全配置設定終端接入方式、網絡地址范圍等條件限制終端登錄對重要服務器27二、數據庫安全配置與加固措施二、數據庫安全配置與加固措施281、增強系統管理員帳戶sa口令4、啟用數據庫系統日志審計3、限制啟動帳戶權限2、安裝最新的補丁5、刪除示例數據庫9、禁用危險的存儲過程6、修改默認的監聽端口7、停用非必需組件8、分離數據庫與應用系統10、關閉RPC遠程連接1、增強系統管理員帳戶sa口令4、啟用數據庫系統日志審計3、291、增強系統管理員帳戶sa口令

登錄SQLSERVER數據庫企業管理器，在“安全性”“登錄”中為sa設置足夠復雜的口令1、增強系統管理員帳戶sa口令登錄SQLSERVER數據庫302、安裝最新的補丁安裝所有補丁，SP1～SP4。執行以下SQL命令可以查詢詳細版本信息：select@@version注：升級補丁可能需要重啟數據庫服務，升級前應進行測試，并備份系統文件和數據。2、安裝最新的補丁31根據最小權限原則定義專門的帳戶用于啟動和運行數據庫服務，登錄SQLSERVER數據庫企業管理器，右鍵點擊打開數據庫的“屬性”，在“安全性”頁面中設置SQLServer的啟動賬戶：3、限制啟動帳戶權限

根據最小權限原則定義專門的帳戶用于啟動和運行數據庫服務，登錄324、啟用數據庫系統日志審計啟用數據庫的日志審計功能，登錄SQLSERVER數據庫企業管理器，右鍵點擊打開數據庫的“屬性”，在“安全性”頁面中設置身份驗證和審核級別：4、啟用數據庫系統日志審計335、刪除示例數據庫

刪除示例數據庫“pubs”和“Northwind”，及其它非必需數據庫。6、修改默認的監聽端口更改默認端口，或在邊界防火墻上屏蔽非信任IP對TCP1433和UDP1434的訪問。7、停用非必需組件

停用不再需要的數據庫服務，如：SQLServerADHelper。8、分離數據庫與應用系統

將數據庫服務與應用服務部署在不同的服務器上。5、刪除示例數據庫6、修改默認的監聽端口7、停用非必需組件8349、

禁用危險的存儲過程確認不需要則刪除危險存儲過程：登錄SQLSERVER數據庫企業管理器，打開“master”－>“擴展存儲過程”，刪除xp_cmdshell、xp_regaddmultistring、xp_regdeletekey、xp_regdeletevalue、xp_regenumvalues、xp_regenumkeys、xp_regread、xp_regremovemultistring、xp_regwrite等危險存儲過程，并刪除或重命名C:/ProgramFiles\MicrosoftSQLServer/MSSQL/Binn目錄下xplog70.dll、xpstar.dll等對應系統文件。9、 禁用危險的存儲過程登錄SQLSERVER數據庫企業管3510、關閉RPC遠程連接

禁止RPC遠程連接：登錄SQLSERVER數據庫企業管理器，右鍵點擊打開數據庫的“屬性”，在“連接”頁面中進行設置：10、關閉RPC遠程連接禁止RPC遠程連接：36謝謝謝謝379、靜夜四無鄰，荒居舊業貧。。1月-231月-23Friday,January6,202310、雨中黃葉樹，燈下白頭人。。20:27:2220:27:2220:271/6/20238:27:22PM11、以我獨沈久，愧君相見頻。。1月-2320:27:2220:27Jan-2306-Jan-2312、故人江海別，幾度隔山川。。20:27:2220:27:2220:27Friday,January6,202313、乍見翻疑夢，相悲各問年。。1月-231月-2320:27:2220:27:22January6,202314、他鄉生白發，舊國見青山。。06一月20238:27:22下午20:27:221月-2315、比不了得就不比，得不到的就不要。。。一月238:27下午1月-2320:27January6,202316、行動出成果，工作出財富。。2023/1/620:27:2220:27:2206January202317、做前，能夠環視四周；做時，你只能或者最好沿著以腳為起點的射線向前。。8:27:22下午8:27下午20:27:221月-239、沒有失敗，只有暫時停止成功！。1月-231月-23Friday,January6,202310、很多事情努力了未必有結果，但是不努力卻什么改變也沒有。。20:27:2220:27:2220:271/6/20238:27:22PM11、成功就是日復一日那一點點小小努力的積累。。1月-2320:27:2220:27Jan-2306-Jan-2312、世間成事，不求其絕對圓滿，留一份不足，可得無限完美。。20:27:2220:27:2220:27Friday,January6,202313、不知香積寺，數里入云峰。。1月-231月-2320:27:2220:27:22January6,202314、意志堅強的人能把世界放在手中像泥塊一樣任意揉捏。06一月20238:27:22下午20:27:221月-2315、楚塞三湘接，荊門九派通。。。一月238:27下午1月-2320:27January6,202316、少年十五二十時，步行奪得胡馬騎。。2023/1/620:27:2220:27:2206January202317、空山新雨后，天氣晚來秋。。8:27:22下午8:27下午20:27:221月-239、楊柳散和風，青山澹吾慮。。1月-231月-23Friday,January6,202310、閱讀一切好書如同和過去最杰出的人談話。20:27:2220:27:2220:271/6/20238:27:22PM11、越是沒有本領的就越加自命不凡。1月-2320:27:2220:27Jan-2306-Jan-2312、越是無能的人，越喜歡挑剔別人的錯兒。20:27:2220:27:2220:27Friday,January6,202313、知人者智，自知者明。勝人者有力，自勝者強。1月-231月-2320:27:2220:27:22January6,202314、意志堅強的人能把世界放在手中像泥塊一樣任意揉捏。06一月20238:27:22下午20:27:221月-2315、最具挑戰性的挑戰莫過于提升自我。。一月238:27下午1月-2320:27January6,202316、業余生活要有意義，不要越軌。2023/1/620:27:2220:27:2206January202317、一個人即使已登上頂峰，也仍要自強不息。8:27:22下午8:27下午20:27:221月-23MOMODAPOWERPOINTLoremipsumdolorsitamet,consecteturadipiscingelit.Fusceidurnablandit,eleifendnullaac,fringillapurus.Nullaiaculistemporfelisutcursus.感謝您的下載觀看專家告訴9、靜夜四無鄰，荒居舊業貧。。1月-231月-23Frida38主機和數據庫安全配置

與加固措施主機和數據庫安全配置

與加固措施39一、主機安全配置與加固措施一、主機安全配置與加固措施40

信息系統是由主機、網絡設備、存儲設備、安全設備以及各種應用系統組成的。其中主機是信息系統中的重要組成部分，承擔著信息的存儲、處理的主要工作。由于主機是信息泄露的最終來源，也是各類攻擊的最終目標，因此主機的安全關系到整個信息系統中信息的最終安全。

41

針對信息系統中的重要終端和服務器《信息安全技術信息系統安全等級保護基本要求》從以下9個方面對主機安全進行安全要求：針對信息系統中的重要終端和服務器《信421、身份鑒別4、安全標記3、安全審計安全配置2、訪問控制安全配置5、剩余信息保護安全配置9、資源控制安全配置6、入侵防范7、惡意代碼防范安全配置8、可信路徑的安全配置1、身份鑒別4、安全標記3、安全審計安全配置2、訪問控制安全431、身份鑒別在windows操作系統身份鑒別配置：通過控制面板管理工具本地安全策略

計算機配置Windows設置,配置系統的各項”安全設置”。其中和身份鑒別有關的是“帳戶策略”，其中分為“密碼策略”和“帳戶鎖定策略”。1、身份鑒別44主機和數據庫安全配置課件45口令復雜性要求啟用口令長度最小值8字符口令最長存留期90天口令最短存留期0天復位帳戶鎖定計數器15分鐘帳戶鎖定時間15分鐘帳戶鎖定閥值5次“密碼策略”主要有以下設置：1)密碼應符合復雜度要求2)設置密碼長度最小值3)密碼最短使用期限4)強制密碼歷史5)用可還原的加密來存儲密碼口令復雜性要求啟用口令長度最小值8字符口令最長存留期90天口46主機和數據庫安全配置課件47“帳戶鎖定策略”主要有以下設置：1)帳戶鎖定時間2)帳戶鎖定閥值3)在此后復位帳戶鎖定及暑期“帳戶鎖定策略”主要有以下設置：48身份鑒別必須錄入密碼才能登陸取消弱密碼和空密碼帳號密碼8位以上，字母數字混合。啟用帳號鎖定策略取消遠程登陸身份鑒別需檢查項必須錄入密碼才能登陸取消弱密碼和空密碼帳號密碼8位以上，字母492、訪問控制安全配置在windows操作系統安全配置：通過控制面板管理工具計算機管理系統工具本地用戶和組中，可以對系統中的用戶和權限進行安全配置。2、訪問控制安全配置50在“用戶”中應：1)禁用系統來賓帳戶4)在組中，應為每個帳戶授予所需的最小權限3)刪除系統中所有無用帳戶、過期帳戶和共享帳戶2)重命名系統默認帳戶、修改默認口令在“用戶”中應：51訪問控制取消不使用的共享文件夾控制系統開啟的共享及共享文件夾的訪問權限,刪除IPC$、ADMIN$、C$、D$等默認共享控制重要數據的訪問權限Guest賬號禁用取消多余賬號訪問控制需檢查項取消不使用的共享文件夾控制系統開啟的共享及共享文件夾的訪問權523、安全審計安全配置在通用操作系統中，均有安全審計功能，通過相關配置，能夠對系統的重要事件進行安全審計。在windows操作系統中，將通過控制面板管理工具本地安全策略本地策略審核策略中的所有項目,配置為“成功”和“失敗”均記錄日志。在“事件察看器”中設置“應用程序”、“安全性”和“系統”日志的存儲大小和覆蓋策略。3、安全審計安全配置53主機和數據庫安全配置課件54主機和數據庫安全配置課件554、安全標記要求對所有主體和客體設置敏感標記。4、安全標記565、剩余信息保護安全配置剩余信息保護要求“確保系統內的文件、目錄和數據庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全消除”。對于通用操作系統來說，考慮到運行效率，沒有在系統內核層面默認實現剩余信息保護功能，只能通過第三方工具來實現。5、剩余信息保護安全配置576、入侵防范通過配置操作系統的自動升級功能，能夠使系統自動安裝最新的補丁程序，但是對于入侵檢測和完整性檢測功能，需要第三方工具來實現。入侵檢測也可以通過在網絡中布置網絡入侵檢測系統實現入侵防范系統已安裝最新的升級補丁包關閉系統開啟的多余的系統服務關閉系統開啟的多余的網絡端口卸載系統安裝的多余的Windows組件入侵防范需檢查項6、入侵防范系統已安裝最新的升級補丁包關閉系統開啟的多余的系587、惡意代碼防范安全配置

要求主機具備一定的惡意代碼防范措施。a)應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；b)主機防惡意代碼產品應具有與網絡防惡意代碼產品不同的惡意代碼庫；c)應支持防惡意代碼軟件的統一管理。7、惡意代碼防范安全配置598、可信路徑的安全配置可信路徑是在用戶與內核之間開辟一條直接的、可信任的交互路徑，為防止黑客特洛伊木馬記錄在登陸及其他敏感操作時的行動。管理員應在控制面板管理工具本地安全策略計算機配置Windows設置本地策略安全選項中，將“交互式登陸：無需按Ctrl+Alt+Del”設置為“已禁用”。8、可信路徑的安全配置管理員應在控制60主機和數據庫安全配置課件619、資源控制安全配置控制系統中各項資源，如：磁盤空間、CPU、內存、網絡連接等使用情況等。1)磁盤空間限制：在windows操作系統中，需要在組策略計算機配置管理模板系統

磁盤配額，配置磁盤配額限制9、資源控制安全配置62主機和數據庫安全配置課件632)資源監控：在windows操作系統中，可以使用控制面板性能，對系統中所有資源進行監控，并且可以在“性能日志和警報”中，設置“警報”，當某個資源降低到預先設定的最小值，可以進行報警。2)資源監控：在windows操作系統中，可以使用控制面板64資源控制設定終端接入方式、網絡地址范圍等條件限制終端登錄對重要服務器進行監視，包括監視服務器的CPU、硬盤、內存、網絡等資源的使用情況根據安全策略設置登錄終端的操作超時鎖定限制單個用戶對系統資源的最大或最小使用限度能夠對系統的服務水平降低到預先規定的最小值進行檢測和報警資源控制的安全配置設定終端接入方式、網絡地址范圍等條件限制終端登錄對重要服務器65二、數據庫安全配置與加固措施二、數據庫安全配置與加固措施661、增強系統管理員帳戶sa口令4、啟用數據庫系統日志審計3、限制啟動帳戶權限2、安裝最新的補丁5、刪除示例數據庫9、禁用危險的存儲過程6、修改默認的監聽端口7、停用非必需組件8、分離數據庫與應用系統10、關閉RPC遠程連接1、增強系統管理員帳戶sa口令4、啟用數據庫系統日志審計3、671、增強系統管理員帳戶sa口令

登錄SQLSERVER數據庫企業管理器，在“安全性”“登錄”中為sa設置足夠復雜的口令1、增強系統管理員帳戶sa口令登錄SQLSERVER數據庫682、安裝最新的補丁安裝所有補丁，SP1～SP4。執行以下SQL命令可以查詢詳細版本信息：select@@version注：升級補丁可能需要重啟數據庫服務，升級前應進行測試，并備份系統文件和數據。2、安裝最新的補丁69根據最小權限原則定義專門的帳戶用于啟動和運行數據庫服務，登錄SQLSERVER數據庫企業管理器，右鍵點擊打開數據庫的“屬性”，在“安全性”頁面中設置SQLServer的啟動賬戶：3、限制啟動帳戶權限

根據最小權限原則定義專門的帳戶用于啟動和運行數據庫服務，登錄704、啟用數據庫系統日志審計啟用數據庫的日志審計功能，登錄SQLSERVER數據庫企業管理器，右鍵點擊打開數據庫的“屬性”，在“安全性”頁面中設置身份驗證和審核級別：4、啟用數據庫系統日志審計715、刪除示例數據庫

刪除示例數據庫“pubs”和“Northwind”，及其它非必需數據庫。6、修改默認的監聽端口更改默認端口，或在邊界防火墻上屏蔽非信任IP對TCP1433和UDP1434的訪問。7、停用非必需組件

停用不再需要的數據庫服務，如：SQLServerADHelper。8、分離數據庫與應用系統

將數據庫服務與應用服務部署在不同的服務器上。5、刪除示例數據庫6、修改默認的監聽端口7、停用非必需組件8729、

禁用危險的存儲過程確認不需要則刪除危險存儲過程：登錄SQLSERVER數據庫企業管理器，打開“master”－>“擴展存儲過程”，刪除xp_cmdshell、xp_regaddmultistring、xp_regdeletekey、xp_regdeletevalue、xp_regenumvalues、xp_regenumkeys、xp_regread、xp_regremovemultistring、xp_regwrite等危險存儲過程，并刪除或重命名C:/ProgramFiles\MicrosoftSQLServer/MSSQL/Binn目錄下xplog70.dll、xpstar.dll等對應系統文件。9、 禁用危險的存儲過程登錄SQLSERVER數據庫企業管7310、關閉RPC遠程連接

禁止RPC遠程連接：登錄SQLSERVER數據庫企業管理器，右鍵點擊打開數據庫的“屬性”，在“連接”頁面中進行設置：10、關閉RPC遠程連接禁止RPC遠程連接：74謝謝謝謝759、靜夜四無鄰，荒居舊業貧。。1月-231月-23Friday,January6,202310、雨中黃葉樹，燈下白頭人。。20:27:2220:27:2220:271/6/20238:27:22PM11、以我獨沈久，愧君相見頻。。1月-2320:27:2220:27Jan-2306-Jan-2312、故人江海別，幾度隔山川。。20:27:2220:27:2220:27Friday,January6,202313、乍見翻疑夢，相悲各問年。。1月-231月-2320:27:2220:27:22January6,202314、他鄉生白發，舊國見青山。。06一月20238:27:22下午20:27:221月-2315、比不了得就不比，得不到的就不要。。。一月238:27下午1月-2320:27January6,202316、行動出成果，工作出財富。。2023/1/620:27:2220:27:2206January202317、做前，能夠環視四周；做時，你只能或者最好沿著以腳為起點的射線向前。。8:27:22下午8:27下午20:27:221月-239、沒有失敗，只有暫時停止成功！。1月-231月-23Friday,January6,202310、很多事情