主机和数据库安全配置课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2015-7-9,#,主机和数据库安全配置,与加固措施,主机和数据库安全配置与加固措施,1,一、主机安全配置与加固措施,一、主机安全配置与加固措施,2,信息系统是由主机、网络设备、存储设备、安全设备以及各种应 用系统组成的。其中主机是信息系统中的重要组成部分，承担着信息的存储、处理的主要工作。,由于主机是信息泄露的最终来源，也是各类攻击的最终目标，因此主机的安全关系到整个信息系统中信息的最终安全。,3,针对信息系统中的重要终端和服务器,信息安全技术 信息系统安全等级保护基本要求,从以下,9,个方面对主机安全进行安全要求：,针对信息系统中的重要终端和服务器信,4,1,、身份鉴别,4,、安全标记,3,、安全审计安全配置,2,、访问控制安全配置,5,、剩余信息保护安全配置,9,、资源控制安全配置,6,、入侵防范,7,、,恶意代码防范安全配置,8,、可信路径的安全配置,1、身份鉴别4、安全标记3、安全审计安全配置2、访问控制安全,5,1,、身份鉴别,在,windows,操作系统身份鉴别配置：通过,控制面板 管理工具 本地安全策略,计算机配置,Windows,设置,配置系统的各项,”,安全设置,”,。其中和身份鉴别有关的是,“,帐户策略,”，其中分为“,密码策略,”和“,帐户锁定策略,”。,1、身份鉴别,6,主机和数据库安全配置课件,7,口令复杂性要求,启用,口令长度最小值,8,字符,口令最长存留期,90,天,口令最短存留期,0,天,复位帐户锁定计数器,1,5,分钟,帐户锁定时间,1,5,分钟,帐户锁定阀值,5,次,“密码策略”主要有以下设置：,1),密码应符合复杂度要求,2),设置密码长度最小值,3),密码最短使用期限,4),强制密码历史,5),用可还原的加密来存储密码,口令复杂性要求启用口令长度最小值8字符口令最长存留期90天口,8,主机和数据库安全配置课件,9,“帐户锁定策略”主要有以下设置：,1),帐户锁定时间,2),帐户锁定阀值,3),在此后复位帐户锁定及暑期,“帐户锁定策略”主要有以下设置：,10,身份鉴别,必须录入密码才能登陆,取消弱密码和空密码帐号,密码,8,位以上，字母数字混合。,启用帐号锁定策略,取消远程登陆,身份鉴别需检查项,必须录入密码才能登陆取消弱密码和空密码帐号密码8位以上，字母,11,2,、访问控制安全配置,在,windows,操作系统安全配置：通过,控制面板 管理工具 计算机管理 系统工具 本地用户和组,中，可以对系统中的用户,和权限进行安全配置。,2、访问控制安全配置,12,在“用户”中应：,1),禁用系统来宾帐户,4),在组中，应为每个帐户授予所需的最小权限,3),删除系统中所有无用帐户、过期帐户和共享帐户,2),重命名系统默认帐户、修改默认口令,在“用户”中应：,13,访问控制,取消不使用的共享文件夹,控制系统开启的共享及共享文件夹的访问权限,删除,IPC$,、,ADMIN$,、,C$,、,D$,等默认共享,控制重要数据的访问权限,Guest,账号禁用,取消多余账号,访问控制需检查项,取消不使用的共享文件夹控制系统开启的共享及共享文件夹的访问权,14,3,、安全审计安全配置,在通用操作系统中，均有安全审计功能，通过相关配置，能够对系统的重要事件进行安全审计。在,windows,操作系统中，将通过,控制面板 管理工具 本地安全策略 本地策略 审核策略,中的所有项目,配置为“,成功,”和“,失败,”均记录日志。在“事件察看器”中设置“应用程序”、“安全性”和“系统”日志的存储大小和覆盖策略。,3、安全审计安全配置,15,主机和数据库安全配置课件,16,主机和数据库安全配置课件,17,4,、安全标记,要求对所有主体和客体设置敏感标记。,4、安全标记,18,5,、剩余信息保护安全配置,剩余信息保护要求“确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全消除”。对于通用操作系统来说，考虑到运行效率，没有在系统内核层面默认实现剩余信息保护功能，只能通过第三方工具来实现。,5、剩余信息保护安全配置,19,6,、入侵防范,通过配置操作系统的自动升级功能，能够使系统自动安装最新的补丁程序，但是对于入侵检测和完整性检测功能，需要第三方工具来实现。入侵检测也可以通过在网络中布置网络入侵检测系统实现,入侵防范,系统已安装最新的升级补丁包,关闭系统开启的多余的系统服务,关闭系统开启的多余的网络端口,卸载系统安装的多余的,Windows,组件,入侵防范,需检查项,6、入侵防范系统已安装最新的升级补丁包关闭系统开启的多余的系,20,7,、,恶意代码防范安全配置,要求主机具备一定的恶意代码防范措施。,a),应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库；,b),主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库；,c),应支持防恶意代码软件的统一管理。,7、恶意代码防范安全配置,21,8,、可信路径的安全配置,可信路径是在用户与内核之间开辟一条直接的、可信任的交互路径，为防止黑客特洛伊木马记录在登陆及其他敏感操作时的行动。,管理员,应在,控制面板 管理工具,本地,安全策略 计算机配置,Windows,设置 本地策略 安全,选项中，将“,交互式登陆：无需按,Ctrl+Alt+Del,”设置为,“已禁用”。,8、可信路径的安全配置 管理员应在控制,22,主机和数据库安全配置课件,23,9,、资源控制安全配置,控制系统中各项资源，如：,磁盘空间、,CPU,、内存、网络连接,等使用情况等。,1),磁盘空间限制：在,windows,操作系统中，需要在,组,策略 计算机配置 管理模板 系统,磁盘配额,，配置,磁盘配额限制,9、资源控制安全配置,24,主机和数据库安全配置课件,25,2),资源监控：在,windows,操作系统中，可以使用,控制面板,性能,，对系统中所有资源进行监控，并且可以在“性能日志和警报”中，设置“警报”，当某个资源降低到预先设定的最小值，可以进行报警。,2)资源监控：在windows操作系统中，可以使用控制面板,26,资源控制,设定终端接入方式、网络地址范围等条件限制终端登录,对重要服务器进行监视，包括监视服务器的,CPU,、硬盘、内存、网络等资源的使用情况,根据安全策略设置登录终端的操作超时锁定,限制单个用户对系统资源的最大或最小使用限度,能够对系统的服务水平降低到预先规定的最小值进行检测和报警,资源控制的安全配置,设定终端接入方式、网络地址范围等条件限制终端登录对重要服务器,27,二、数据库安全配置与加固措施,二、数据库安全配置与加固措施,28,1,、增强系统管理员帐户,sa,口令,4,、启用数据库系统日志审计,3,、限制启动帐户权限,2,、安装最新的补丁,5,、删除示例数据库,9,、禁用危险的存储过程,6,、修改默认的监听端口,7,、,停用非必需组件,8,、分离数据库与应用系统,10,、关闭,RPC,远程连接,1、增强系统管理员帐户sa口令4、启用数据库系统日志审计3、,29,1,、增强系统管理员帐户,sa,口令,登录,SQL SERVER,数据库企业管理器，在“安全性”“登录”中为,sa,设置足够复杂的口令,1、增强系统管理员帐户sa口令登录SQL SERVER数据库,30,2,、安装最新的补丁,安装所有补丁，,SP1,SP4,。,执行以下,SQL,命令可以查询详细版本信息：,select version,注：升级补丁可能需要重启数据库服务，升级前应进行测试，并备份系统文件和数据。,2、安装最新的补丁,31,根据最小权限原则定义专门的帐户用于启动和运行数据库服务，登录,SQL SERVER,数据库企业管理器，右键点击打开数据库的“属性”，在“安全性”页面中设置,SQL Server,的启动账户：,3,、限制启动帐户权限,根据最小权限原则定义专门的帐户用于启动和运行数据库服务，登录,32,4,、启用数据库系统日志审计,启用数据库的日志审计功能，登录,SQL SERVER,数据库企业管理器，右键点击打开数据库的“属性”，在“安全性”页面中设置身份验证和审核级别：,4、启用数据库系统日志审计,33,5,、删除示例数据库,删除示例数据库“,pubs,”和“,Northwind,”，及其它非必需数据库。,6,、,修改默认的监听端口,更改默认端口，或在边界防火墙上屏蔽非信任,IP,对,TCP 1433,和,UDP 1434,的访问。,7,、,停用非必需组件,停用不再需要的数据库服务，如：,SQLServerADHelper,。,8,、,分离数据库与应用系统,将数据库服务与应用服务部署在不同的服务器上。,5、删除示例数据库6、修改默认的监听端口7、停用非必需组件8,34,9,、,禁用危险的存储过程,确认不需要则删除危险存储过程：,登录,SQL SERVER,数据库企业管理器，打开“,master,”,“扩展存储过程”，删除,xp_cmdshell,、,xp_regaddmultistring,、,xp_regdeletekey,、,xp_regdeletevalue,、,xp_regenumvalues,、,xp_regenumkeys,、,xp_regread,、,xp_regremovemultistring,、,xp_regwrite,等危险存储过程，并删除或重命名,C:/Program FilesMicrosoft SQL Server/MSSQL/Binn,目录下,xplog70.dll,、,xpstar.dll,等对应系统文件。,9、禁用危险的存储过程登录SQL SERVER数据库企业管,35,10,、关闭,RPC,远程连接,禁止,RPC,远程连接：,登录,SQL SERVER,数据库企业管理器，右键点击打开数据库的“属性”，在“连接”页面中进行设置：,10、关闭RPC 远程连接禁止RPC 远程连接：,36,谢 谢,谢 谢,37,9,、静夜四无邻，荒居旧业贫。,11月-24,11月-24,Wednesday,November 20,2024,10,、雨中黄叶树，灯下白头人。,10:17:38,10:17:38,10:17,11/20/2024 10:17:38 AM,11,、以我独沈久，愧君相见频。,11月-24,10:17:38,10:17,Nov-24,20-Nov-24,12,、故人江海别，几度隔山川。,10:17:38,10:17:38,10:17,Wednesday,November 20,2024,13,、乍见翻疑梦，相悲各问年。,11月-24,11月-24,10:17:38,10:17:38,November 20,2024,14,、他乡生白发，旧国见青山。,20 十一月 2024,10:17:38 上午,10:17:38,11月-24,15,、比不了得就不比，得不到的就不要。,。,十一月 24,10:17 上午,11月-24,10:17,November 20,2024,16,、行动出成果，工作出财富。,2024/11/20 10:17:38,10:17:38,20 November 2024,17,、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。,10:17:38 上午,10:17 上午,10:17:38,11月-24,9,、没有失败，只有暂时停止成功！。,11月-24,11月-24,Wednesday,November 20,2024,10,、很多事情努力了未必有结果，但是不努力却什么改变也没有。,10:17:38,10:17:38,10:17,11/20/2024 10:17:38 AM,11,、成功就是日复一日那一点点小小努力的积累。,11月-24,10:17:38,10:17,Nov-24,20-Nov-24,12,、世间成事，不求其绝对圆满，留一份不足，可得无限完美。,10:17:38,10:17:3