《IT操作系统和数据库安全作业指导书.docx》由会员分享,可在线阅读,更多相关《IT操作系统和数据库安全作业指导书.docx(56页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、IT操作系统和数据库安全作业指导书1.防火墙配置基准1、防火墙的缺省包过滤规则为允许,在调试过程完成,测试结束后,一定要 将防火墙的默认允许,改为禁止。2、若防火墙的默认规则为全通的规则,请删除默认的安全规则,然后按照网 络实际环境配置相应的安全规则,并且尽量不要设置地址和服务有ANY 的规则,3、为了有效保护内网与防火墙自身的抗攻击能力,可以打开防火墙的抗攻击 功能,(建议在网络流量大的情况下不会开此功能,会影响网络的处理速 度)4、为了有效的保护内部的网络地址,并解决网络地址不足的问题,请尽量使 用防火墙的N A T功能,把内网的IP地址转换成防火墙的公网地址后再 访问外部网络。5、为了保
2、证防火墙本身的主机安全,不要随意开启防火墙的远程s SH管理 功能,建议使用WEB+HTTPS+密钥等有效的管理方法。6、为了分析防火墙的数据包记录日志,应将防火墙的包过滤日志信息记录下 来,用于对事件分析。复位账户锁定计数未定义30分钟之后账号锁定配置具体操作如下图:进入“控制面板/管理工具/本地安全策略”,在“账户策略-账户锁定策略”。3.1. 2. 3. 2系统内置账号管理要求Windows2000系统中存在不可删除的内置账号,包括Administrator和 guesto对于管理员账号,要求更改缺省账户名称,对隶属于Administrators 组的账号要严格监控;要求禁用guest
3、(来宾)账号,以防止攻击者通过利 用已知的用户名破坏远程服务器。3. 1. 2. 3. 3其它账号管理要求临时的测试账号和过期的无用账号应该在3个工作日内及时删除。(注:测 试账号和无用账号不是系统默认安装时生成的,是系统操作过程中人为新增 的账号,从系统安全加固的角度来看,此类账号应该及时删除。)3.1. 3目录和文件权限控制标准 权限控制遵循以下几个原则: 权限是累计的 拒绝的权限要比允许的权限高 文件权限比文件夹权限高。3. 1.3. 1目录保护配置要求要求按照下表内容对受保护的目录权限进行设置,缺省情况下, Administrators组和SYSTEM具有完全控制的权限,Everyon
4、e组具有读取及 运行的权限,对于多个账户使用一台主机,要求根据具体情况对重要的文件 目录进行账户权限的设置,如下图:注:下图为目录权限设置的示例,为C:WINNTsystem32目录的设置,在实 际服务器上进行设置时,需要严格检查重要目录以及对应的账户权限设置。sy$tem32 艮住常规共享安全名称Admini strators (J1WYAdmini strat. gj CREATOR OWNEREveryonePower Users(MWYVPower Users)二j添加9).删除回)1412J3. 1. 6. 2日志属性配置要求请根据下表调整Windows 2000系统的各种日志属性:
5、日志类别10240K安全设置日志大小应用程序当达到最大日志大小当达到最大日志大小不改写事件时(手动清除日志)安全性日志大小10240K当达到最大日志大小时不改写事件(手动清除日志)系统日志大小10240K当达到最大日志大小时不改写事件(手动清除日志)3. 1.7其它安全配置参考1. 7. 1使用NTFS文件系统NTFS文件系统比FAT和FAT32强壮和稳定,不易崩溃,Windows2000提供了 基于NTFS文件系统的对文件和目录的访问控制列表(ACL) o请确保所有的磁盘卷都使用了 NTFS文件系统。4. 1. 7. 2 共享管理要求停用所有不必要的文件共享,特别注意系统默认启用的隐含系统共
6、享, 如 C$、D$、IPC$等。关闭默认共享的方法有两种:1 .在服务配置中禁用Server服务;2 .更改注册表键值:在HKLMSystemCurrentControlSetServicesLanmanServerParameters下,增加 REG_DWORD 类型的 AutoShareServer 键,值为 0。3 . 1. 7. 3启用屏幕保护请设置带密码的屏幕保护,并将时间设定为5分钟,使得系统在无人操作5 分钟后自动启用屏幕保护,再次进入系统需要认证。3. 2. Windows XP安全配置标准3. 2. 1系统补丁安装标准Windows XP的与安全相关的补丁大致分三类: Se
7、rvice Pack (补丁包):Service Pack是经过测试的所有修复程序、 安全更新程序、关键更新程序以及更新程序的累积的集合。Service Pack还可能包含自产品发布以来针对内部发现的问题的其他修复以及 设计上的更改或功能上的增加。Service Pack补丁包涵盖了自发布之前 的所有补丁,是重要的补丁集合。 Security Patch (安全补丁): Security Patch是针对特定问题广泛发 布的修复程序,用于修复特定产品的与安全相关的漏洞。Microsoft在 发布的安全公告中将Security Patch分级为严重、重要、中等、低四个 等级。严重的安全补丁缺失,
8、会造成蠕虫快速传播(如振荡波,冲击波), 对系统本身和网络造成重大影响,这类补丁需要及时应用到操作系统。 Hotfix(修补程序):Hotfix是针对某一个具体的系统漏洞或安全问题而 发布的专门解决该漏洞或安全问题的小程序,通常称为修补程序,如果 在最近发布的Service Pack后面,出现安全方面的漏洞,通常对应的补 丁会以Hotfix修补程序的形式发布。 xp_regenumvaluesxpregread xp_regremovemult istrinxp_regwrite xp_sendmail注意:删除存储过程要慎重,需要测试哪些存储过程是数据库实例所需要的。2 .1.4数据库口令安
9、全配置标准SQL Server 2000/2008有两种登录验证方式:一是通过操作系统账号登录, 另一个是通过数据库账户进行登录验证。由于应用的需要,大多数据库安装选 择两种验证的混合方式,其中sa为SQL Server 2000/2008内置的数据库账户, 需要为sa账户密码的复杂强度进行设置。另外,应用系统可能还会建立普通的 账户,拥有特定数据库的存取权限,对于普通账户,也要设置强壮的密码。3 . 1. 4. 1 密码复杂性配置要求 密码长度至少为6位必须为sa账户和普通账户提供复杂的口令,需要包含以下字符: 英语大写字母A, B, C,Z英语小写字母a, b, c, z 西方阿拉伯数字0, 1, 2, - 9非字母数字字符,如标点符号,, #, $, %, &, *等补丁安装的原则: 新安装或者重新安装windows XP操作系统,必须安装最新的Service Pack补丁集。 必须安装等级为严重和重要的Security Patcho有关安全方面的Hotfixes补丁应当及时安装。 最新的安全补丁发布与