Microsoft SQL Server安全配置基线
中国联通内网SQL数据库安全基线配置指南
目录前言 (III)1 范围 (1)2 定义与缩略语 (1)2.1 定义............................................ 错误!未定义书签。
2.2 缩略语 (1)3 安全配置要求 (1)3.1 操作系统安全 (1)3.2 互联网访问安全 (1)3.3 服务器应用安全 (1)3.4 测试开发环境安全 (2)3.5 SQL Server服务帐户安全 (2)3.6 磁盘分区安全 (2)3.7 目录安全 (2)3.8 SQL Server补丁 (3)3.9 SQL Server端口 (3)3.10 范例数据库 (3)3.11 停用SQL Server的命名管道 (4)3.12 删除扩展的存储过程 (4)3.13 SQL Server属性配置常规选项 (4)3.14 SQL Server属性配置连接选项 (4)3.15 SQL Server属性配置数据库设置选项 (5)3.16 SQL 登录帐号 (5)3.17 审计信息检查 (5)3.18 审计启用 (5)3.19 审计日志 (6)3.20 数据库备份 (6)4 评审与修订 (6)前言为确保中国联通信息系统的网络支撑和内网信息安全,指导各省级分公司做好SQL数据库的安全维护相关工作,在研究国际先进企业最佳实践的基础上,结合中国联通内网信息安全现状和实际需求,特制定本配置指南。
本文档由中国联合网络通信有限公司管理信息系统部提出并归口管理。
本文档起草单位:中国联合网络通信有限公司、系统集成公司。
本文档主要起草人:钮吉安,安莹。
本文档解释单位:中国联合网络通信有限公司管理信息系统部。
1范围本文档规定了中国联通范围内安装有SQL数据库的主机应当遵循的安全性设置标准,本文档旨在指导系统管理人员进行SQL数据库的安全配置。
本文档适用版本:SQL数据库本文档的适用范围为中国联通集团总部、各直属单位、各省级分公司。
2定义与缩略语2.1缩略语下列符号和缩略语适用于本标准:术语及缩写英文中文SQL Structured Query Language结构化查询语言3安全配置要求3.7目录安全3.10范例数据库3.13SQL Server属性配置常规选项3.14SQL Server属性配置连接选项3.15SQL Server属性配置数据库设置选项3.17审计信息检查3.19审计日志4评审与修订本指南由中国联通集团管理信息系统部每年审查一次,并根据需要进行修订;如遇国家相关法律法规发生变化或中国联通企业信息安全策略发生重大变更等情况时,本指南将适时修订。
sql server 服务账户和权限管理配置
大多数服务及其属性可通过使用SQL Server 配置管理器进行配置。
以下是在C 盘安装Windows 的情况下最新的四个版本的路径。
安装的服务SQL Server根据您决定安装的组件,SQL Server 安装程序将安装以下服务:∙SQL Server Database Services - 用于SQL Server 关系数据库引擎的服务。
可执行文件为<MSSQLPATH>\MSSQL\Binn\sqlservr.exe。
∙SQL Server 代理 - 执行作业、监视SQL Server、激发警报以及允许自动执行某些管理任务。
SQL Server 代理服务在SQL Server Express 的实例上存在,但处于禁用状态。
可执行文件为<MSSQLPATH>\MSSQL\Binn\sqlagent.exe。
∙Analysis Services - 为商业智能应用程序提供联机分析处理(OLAP) 和数据挖掘功能。
可执行文件为<MSSQLPATH>\OLAP\Bin\msmdsrv.exe。
∙Reporting Services - 管理、执行、创建、计划和传递报表。
可执行文件为<MSSQLPATH>\ReportingServices\ReportServer\Bin\ReportingServicesService.exe。
∙Integration Services - 为Integration Services 包的存储和执行提供管理支持。
可执行文件的路径是<MSSQLPATH>\130\DTS\Binn\MsDtsSrvr.exe ∙SQL Server Browser - 向客户端计算机提供SQL Server 连接信息的名称解析服务。
可执行文件的路径为c:\Program Files (x86)\Microsoft SQLServer\90\Shared\sqlbrowser.exe∙全文搜索 - 对结构化和半结构化数据的内容和属性快速创建全文索引,从而为SQL Server 提供文档筛选和断字功能。
中国联通内网SQL数据库安全基线配置指南
中国联通内网SQL数据库平安配置指南
(试行)
名目
前言
为确保中国联通信息系统的网络支撑和内网信息平安,指导各省级分公司做好SQL数据库的平安维护相关工作,在研究国际先进企业最正确实践的根底上,结合中国联通内网信息平安现状和实际需求,特制定本配置指南。
本文档由中国联合网络通信治理信息系统部提出并回口治理。
本文档起草单位:中国联合网络通信、系统集成公司。
本文档要紧起草人:钮吉安,安莹。
本文档解释单位:中国联合网络通信治理信息系统部。
1范围
本文档了中国联通范围内安装有SQL数据库的主机应当遵循的平安性设置标准,本文档旨在指导系统治理人员进行SQL数据库的平安配置。
本文档适用版本:SQL数据库
本文档的适用范围为中国联通集团总部、各直属单位、各省级分公司。
2定义与缩略语
2.1缩略语
以下符号和缩略语适用于本标准:
术语及缩写英文中文
SQL StructuredQueryLanguage 结构化查询语言
3平安配置要求
3.7名目平安
3.10范例数据库
3.13SQLServer属性配置常规选项
3.14SQLServer属性配置连接选项
3.15SQLServer属性配置数据库设置选项
3.17审计信息检查
3.19审计日志
4评审与修订
本指南由中国联通集团治理信息系统部每年审查一次,并依据需要进行修订;如遇国家相关发生变化或中国联通企业信息平安策略发生重大变更等情况时,本指南将适时修订。
MicrosoftSQLServer数据库系统配置安全基线标准与操作指引-网络
Microsoft SQL Server数据库系统配置安全基线标准与操作指南南京农业大学图书与信息中心2018年6月目录第1章概述 (1)1.1 安全基线概念 (1)1.2 文档编制目的 (1)1.3 文档适用范围 (1)1.4 文档修订 (1)第2章帐号与口令 (1)2.1 口令安全 (1)2.1.1 删除不必要的帐号 (1)2.1.2 用户口令安全 (1)2.1.3 帐号分配管理 (2)2.1.4 分配数据库用户所需的最小权限 (2)2.1.5 网络访问限制 (2)第3章日志 (3)3.1 日志审计 (3)3.1.1 登录审计 (3)3.1.2 安全事件审计 (3)第4章其他安全配置 (4)4.1 安全策略 (4)4.1.1 通讯协议安全策略 (4)4.2 更新补丁 (4)4.2.1 补丁要求 (4)4.3 存储保护 (5)4.3.1 停用不必要存储过程 (5)第1章概述1.1 安全基线概念安全基线是指满足最小安全保证的基本要求。
1.2 文档编制目的本文档针对安装运行Microsoft SQL Server数据库系统的服务器主机所应当遵循的基本安全设置要求提供了参考建议,供校园网用户在安装使用Microsoft SQL Server数据库系统提供数据存储服务过程中进行安全合规性自查、检查、加固提供标准依据与操作指导。
1.3 文档适用范围本文档适用于Microsoft SQL Server数据库系统的各类版本。
1.4 文档修订本文档的解释权和修改权属于南京农业大学图书与信息中心,欢迎校园网用户提供意见或建议,请发送至security@。
第2章帐号与口令2.1 口令安全2.1.1 删除不必要的帐号2.1.2 用户口令安全查看password 字段应不为null2.1.3 帐号分配管理2.1.4 分配数据库用户所需的最小权限2.1.5 网络访问限制在防火墙中做限制,只允许与指定的IP 地址建立1433 的通第3章日志3.1 日志审计3.1.1 登录审计3.1.2 安全事件审计打开企业管理器,查看数据库“管理”中的“ SQL Server第4章其他安全配置4.1 安全策略4.1.1 通讯协议安全策略4.2 更新补丁4.2.1 补丁要求级效果,再在实际运行环境更新数据库。
Microsoft SQL Server安全配置基线
Microsoft SQL Server数据库系统安全配置基线中国移动通信公司管理信息系统部2012年 4月版本版本控制信息更新日期更新人审批人V1.0 创建2009年1月V2.0 更新2012年4月备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录第1章概述 (4)1.1适用范围 (4)1.2适用版本 (4)1.3实施 (4)1.4例外条款 (4)第2章帐号与口令 (5)2.1口令安全 (5)2.1.1删除不必要的帐号* (5)2.1.2SQLServer用户口令安全 (5)2.1.3根据用户分配帐号避免帐号共享* (6)2.1.4分配数据库用户所需的最小权限* (6)2.1.5网络访问限制* (7)第3章日志 (8)3.1日志审计 (8)3.1.1SQLServer登录审计* (8)3.1.2SQLServer安全事件审计* (8)第4章其他 (10)4.1安全策略 (10)4.1.1通讯协议安全策略* (10)4.2更新补丁 (10)4.2.1补丁要求* (10)4.3存储保护 (11)4.3.1停用不必要存储过程* (11)第5章评审与修订 (13)第1章概述本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的SQL Server 数据库应当遵循的数据库安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行SQL Server 数据库的安全合规性检查和配置。
1.1 适用范围本配置标准的使用者包括:数据库管理员、应用管理员、网络安全管理员。
本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的SQL Server数据库系统。
1.2 适用版本SQL Server系列数据库。
1.3 实施本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
1.4 例外条款欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
SqlServer数据库基线检查
系统中不存在口令为空的登录账号则合规,否则不合规.
检查点
检查是否存在空口令账号
结果
截图
并说明符合/不符合,不符合的需整改为符合
加固方案
参考步骤:
(1).打开SQL Server Management Studio,连接相应的数据库实例.
(2).依次展开“安全性”、“登录名”节点,打开相应的帐户的属性,选择“常规”选项卡,设置密码并确认密码.
(4). 单击“更改范围”.
(5). 指定要为其阻止此端口的一系列计算机,然后单击“确定”.
如果修改了SQL Sever监听端口,请在自定义参数配置页面,修改端口参数.
Sqlserver-9
禁止SA账户远程登录
判定依据
检测步骤:
使用查询分析器,使用SA账号不能连接SQL server
判定依据:
sa登录账号不能登录数据库则合规,否则不合规.
检查点
检查SQL Server用户账号个数
结果
截图
并说明符合/不符合,不符合的需整改为符合
加固方案
参考步骤:
(1).打开SQL Server Management Studio(在SQL Server 2000下打开企业管理器),登入相应的数据库实例.
(2).依次展开“安全性”、“登录名”(在SQL Server 2000下为“登录”)节点,创建多个账户.按照实际情况赋予账户相应的角色.
判定依据
检测步骤:
执行以下命令查看LoginMode的值:
#reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL.1\MSSQLServer" /v LoginMode #注意注册表路径不固定,请依据实际情况确定
中国联通内网SQL数据库安全基线配置指南
中国联通内网SQL数据库安全基线配置指南中国联通内网SQL数据库安全基线配置指南中国联通内网SQL数据库安全配置指南(试行)目录前言................................................................ V II 1范围12定义与缩略语12.1定义................................. 错误!未定义书签。
2.2缩略语 (1)3安全配置要求13.1操作系统安全 (1)3.2互联网访问安全 (2)3.3服务器应用安全 (3)3.4测试开发环境安全 (3)3.5SQL Server服务帐户安全 (4)3.6磁盘分区安全 (4)3.7目录安全 (5)3.8SQL Server补丁 (6)3.9SQL Server端口 (7)3.10范例数据库 (7)3.11停用SQL Server的命名管道 (8)3.12删除扩展的存储过程 (8)3.13SQL Server属性配置常规选项 (9)3.14SQL Server属性配置连接选项 (9)3.15SQL Server属性配置数据库设置选项 (10)3.16SQL 登录帐号 (10)3.17审计信息检查 (11)3.18审计启用 (11)3.19审计日志 (12)3.20数据库备份 (12)4评审与修订13前言为确保中国联通信息系统的网络支撑和内网信息安全,指导各省级分公司做好SQL数据库的安全维护相关工作,在研究国际先进企业最佳实践的基础上,结合中国联通内网信息安全现状和实际需求,特制定本配置指南。
本文档由中国联合网络通信有限公司管理信息系统部提出并归口管理。
本文档起草单位:中国联合网络通信有限公司、系统集成公司。
本文档主要起草人:钮吉安,安莹。
本文档解释单位:中国联合网络通信有限公司管理信息系统部。
1范围本文档规定了中国联通范围内安装有SQL 数据库的主机应当遵循的安全性设置标准,本文档旨在指导系统管理人员进行SQL数据库的安全配置。
(完整版)SQL-Server-2008的安全设置技巧方法详解(转)
Sqlserver 2008数据库安全设置方法目录一、服务器身份验证 (1)1.验证登录模式 (1)二、SQL Server服务的运行身份 (1)1.用户身份验 (1)三、sa密码的安全性 (1)1.修改sa的用户名 (1)四、端口相关问题 (2)1.修改端口号 (2)2. 卸载SQL的不安全组件 (2)3. 权限设置 (2)五、数据库安全策略 (3)1.使用安全的密码策略 (3)2.使用安全的帐号策略 (3)3.加强数据库日志的记录 (3)4.管理扩展存储过程……………………………………………………5.使用协议加密 (4)6.不要让人随便探测到你的TCP/IP端口 (4)7.修改TCP/IP使用的端口 (5)8.拒绝来自1434端口的探测 (5)9.对网络连接进行IP限制 (5)数据库安全设置方法一、服务器身份验证MSSQL Server 2008的身份验证模式有两种:一种是Windows 身份验证模式, 另一种是SQL Server和Windows身份验证模式(即混合模式)。
对大多数数据库服务器来说,有SQL Server 身份验证就足够了,只可惜目前的服务器身份验证模式里没有这个选项,所以我们只能选择同时带有SQL Server和Windows身份验证的模式(混合模式)。
但这样就带来了两个问题:1、混合模式里包含了Windows身份验证这个我们所不需要的模式,即设置上的冗余性。
程序的安全性是与冗余性成反比的。
2、所谓Windows身份验证,实际上就是通过当前Windows管理员帐户(通常为Administrator)的登录凭据来登录MSSQL Server。
使用Windows身份验证,会增加Administrator密码被盗的风险。
为解决以上两个问题,我们需要限制混合模式里的Windows身份验证。
方法如下:打开Microsoft SQL Server Management Studio,点击安全性->登录名,将Administrator对应的登录名删除即可。
保护SQL Server 安全性的十个详细教程
保护SQL Server 安全性的十个详细教程这里介绍了为提高 SQL Server 安装的安全性,您可以实施的十件事情:安装最新的服务包为了提高服务器安全性,最有效的一个方法就是升级到 SQL Server 2000 Service Pack 4 (SP4)。
另外,您还应该安装所有已发布的安全更新。
使用 Microsoft 基线安全性分析器(MBSA)来评估服务器的安全性。
MBSA 是一个扫描多种 Microsoft 产品的不安全配置的工具,包括 SQL Server 和 Microsoft SQL Server 2000 Desktop Engine (MSDE 2000)。
它可以在本地运行,也可以通过网络运行。
该工具针对下面问题对 SQL Server 安装进行检测:过多的sysadmin固定服务器角色成员。
授予sysadmin以外的其他角色创建 CmdExec 作业的权利。
空的或简单的密码。
脆弱的身份验证模式。
授予管理员组过多的权利。
SQL Server数据目录中不正确的访问控制表(ACL)。
安装文件中使用纯文本的sa密码。
授予guest帐户过多的权利。
在同时是域控制器的系统中运行SQL Server。
所有人(Everyone)组的不正确配置,提供对特定注册表键的访问。
SQL Server 服务帐户的不正确配置。
没有安装必要的服务包和安全更新。
使用 Windows 身份验证模式在任何可能的时候,您都应该对指向 SQL Server 的连接要求 Windows 身份验证模式。
它通过限制对Microsoft Windowsreg;用户和域用户帐户的连接,保护 SQL Server 免受大部分 Internet 的工具的侵害,。
而且,您的服务器也将从 Windows 安全增强机制中获益,例如更强的身份验证协议以及强制的密码复杂性和过期时间。
另外,凭证委派(在多台服务器间桥接凭证的能力)也只能在Windows 身份验证模式中使用。
信息安全配置基线(整理)
Win2003 & 2008操作系统安全配置要求2、1、帐户口令安全帐户分配:应为不同用户分配不同的帐户,不允许不同用户间共享同一帐户。
帐户锁定:应删除或锁定过期帐户、无用帐户。
用户访问权限指派:应只允许指定授权帐户对主机进行远程访问。
帐户权限最小化:应根据实际需要为各个帐户分配最小权限。
默认帐户管理:应对Administrator帐户重命名,并禁用Guest(来宾)帐户。
口令长度及复杂度:应要求操作系统帐户口令长度至少为8位,且应为数字、字母与特殊符号中至少2类的组合。
口令最长使用期限:应设置口令的最长使用期限小于90天。
口令历史有效次数:应配置操作系统用户不能重复使用最近 5 次(含 5 次)已使用过的口令。
口令锁定策略:应配置当用户连续认证失败次数为5次,锁定该帐户30分钟。
2、2、服务及授权安全服务开启最小化:应关闭不必要的服务。
SNMP服务接受团体名称设置:应设置SNMP接受团体名称不为public或弱字符串。
系统时间同步:应确保系统时间与NTP服务器同步。
DNS服务指向:应配置系统DNS指向企业内部DNS服务器。
2、3、补丁安全系统版本:应确保操作系统版本更新至最新。
补丁更新:应在确保业务不受影响的情况下及时更新操作系统补丁。
2、4、日志审计日志审核策略设置:应合理配置系统日志审核策略。
日志存储规则设置:应设置日志存储规则,保证足够的日志存储空间。
日志存储路径:应更改日志默认存放路径。
日志定期备份:应定期对系统日志进行备份。
2、5、系统防火墙:应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口。
2、6、防病毒软件:应安装由总部统一部署的防病毒软件,并及时更新。
2、7、关闭自动播放功能:应关闭Windows 自动播放功能。
2、8、共享文件夹删除本地默认共享:应关闭Windows本地默认共享。
共享文件权限限制:应设置共享文件夹的访问权限,仅允许授权的帐户共享此文件夹。
各类操作系统安全基线配置及操作指南
置要求及操作指南
检查模块 支持系统版本号 Windows Windows 2000 以上 Solaris Solaris 8 以上 AIX AIX 5.X以上 HP-UNIX HP-UNIX 11i以上 Linux 内核版本 2.6 以上 Oracle Oracle 8i 以上 SQL Server Microsoft SQL Server 2000以上 MySQL MySQL 5.x以上 IIS IIS 5.x以上 Apache Apache 2.x 以上 Tomcat Tomcat 5.x 以上 WebLogic WebLogic 8.X以上
Windows 操作系统 安全配置要求及操作指南
I
目录
目
录 ..................................................................... I
前
言 .................................................................... II
4 安全配置要求 ............................................................... 2
4.1 账号 ..................................................................... 2
4.2 口令 编号: 1 要求内容 密码长度要求:最少 8 位 密码复杂度要求:至少包含以下四种类别的字符中的三种: z 英语大写字母 A, B, C, , Z z 英语小写字母 a, b, c, , z z 阿拉伯数字 0, 1, 2, , 9 z 非字母数字字符,如标点符号, @, #, $, %, &, *等
SqlServer数据库安全加固
SQLServer数据库安全配置基线加固操作指导书佛山供电局信息中心2014年4月目录1.1 SQLServer数据库安全基线要求 (3)1.1.1 应对登录操作系统的用户进行身份标识和鉴别 (3)1.1.2 禁止用Administrator或System用户启动数据库 (4)1.1.3 密码策略 (4)1.1.4 用户名的唯一性 (5)1.1.5 应启用访问控制功能 (5)1.1.6 管理用户的角色分配权限 (6)1.1.7 实现操作系统和数据库系统特权用户的权限 (6)1.1.8 删除多余账户 (6)1.1.9 审计功能 (7)1.1.10 审计记录要求 (7)1.1.11 安装最新补丁 (8)1.1.12 删除默认安装数据库 (8)1.1.13 删除不必要的存储过程 (9)1.1 SQLServer数据库安全基线要求1.1.1 应对登录操作系统的用户进行身份标识和鉴别控制台根目录下的SQL Server组/数据库,右建打开数据库属性,选择安全性,将安全性中的审计级别调整为“全部”,身份验证调整为“SQL Server 和Windows”SQL Server 2000SQL Server 20051.1.2 禁止用Administrator或System用户启动数据库1.1.3 密码策略1.1.4 用户名的唯一性户名。
为每个管理员添加专门的用户名,建议实名制。
进入“SQLServer管理器->安全性->登陆名(右键)->新建用户名”进行添加数据库用户名。
1.1.5 应启用访问控制功能1.1.6 管理用户的角色分配权限查看sysadmin角色不包含应用账户。
将应用账户中从sysadmin角色中删除1.1.7 实现操作系统和数据库系统特权用户的权限1.1.8 删除多余账户1.1.9 审计功能1.1.10 审计记录要求1.1.11 安装最新补丁1.1.12 删除默认安装数据库1.1.13 删除不必要的存储过程基线要求删除不必要的存储过程基线标准不存在多余的存储过程检查方法访问管理员是否存在不必要的较危险的存储过程,如:sp_OACreatesp_OADestroysp_OAGetErrorInfosp_OAGetPropertysp_OAMethodsp_OASetPropertysp_OAStopsp_regaddmultistringxp_regdeletekeyxp_regdeletevaluexp_regenumvaluesxp_regremovemultistring除非应用程序需要否则以下存储过程也建议删除:xp_perfendxp_perfmonitorxp_perfsample xp_perfstart。
Windows操作系统安全防护基线配置要求
可能会使日志量猛增。
编号:OS-Windows-日志-03
要求内容:设置日志容量和覆盖规则,保证日志存储
操作指南:
开始-运行-eventvwr
右键选择日志,属性,根据实际需求设置;
日志文件大小:可根据需要制定。
超过上限时的处理方式(建议日志记录天数不小于90天)
检测方法:
开始-运行-eventvwr,右键选择日志,属性,查看日志上限及超过上线时的处理方式。
查看是否“从本地登陆此计算机”设置为“指定授权用户”
查看是否“从网络访问此计算机”设置为“指定授权用户”
判定条件:
“从本地登陆此计算机”设置为“指定授权用户”
“从网络访问此计算机”设置为“指定授权用户”
三、
编号:OS-Windows-口令-01
要求内容:密码长度最少8位,密码复杂度至少包含以下四种类别的字符中的三种:
英语大写字母A, B, C, … Z
英语小写字母a, b, c, … z
阿拉伯数字0, 1, 2, … 9
非字母数字字符,如标点符号,@, #, $, %, &, *等
操作指南:
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:“密码必须符合复杂性要求”选择“已启动”。
检测方法:
检测方法:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:查看“关闭系统”设置为“只指派给Administrators组”;查看是否“从远端系统强制关机”设置为“只指派给Administrators组”。
判定条件:
“关闭系统”设置为“只指派给Administrators组”;
Windows操作系统安全防护基线配置要求
打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMP Service”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置界面中,查看community strings,也就是微软所说的“团体名称”。
判定条件:
community strings已改,不是默认的“public”。
要求内容:在保证业务可用性的前提下,经过分析测试后,可以选择更新使用最新版本的补丁;
操作指南:
例如截止到2010年最新版本:Windows XP的Service Pack为SP3。
Windows2000的Service Pack为SP4,Windows 2003的Service Pack为SP2。
检测方法:
进入控制面板->添加或删除程序->显示更新打钩,查看是否XP系统已安装SP3,Win2000系统已安装SP4,Win2003系统已安装SP2。
五、
编号:OS-Windows-防护软件-01
要求内容:启用自带防火墙或安装第三方威胁防护软件。根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围
判定条件:
缺省账户Administrator名称已更改。Guest帐号已停用。
二、
编号:OS-Windows-授权-01
要求内容:本地、远端系统强制关机只指派给Administrators组
操作指南:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:“关闭系统”设置为“只指派给Administrators组”;“从远端系统强制关机”设置为“只指派给Administrators组”。
补充说明:
可能会使日志量猛增。
安全运维配置基线检查
操作系统配置
包括操作系统的访问控制、安 全更新、日志记录等配置。
数据库配置
包括数据库的访问控制、加密 、日志记录等配置。
物理环境安全
包括机房的物理访问控制、物 理安全监控等配置。
02
基线配置概述
基线定义
要点一
基线(Baseline)
在安全运维领域,基线是指一组经过认可的标准配置或最 佳实践,用于确保系统、网络或应用程序的安全性和稳定 性。
将操作系统产生的日志保存到安全的位置,并定期进 行备份,以防止日志被篡改或丢失。
日志分析与报警
通过日志分析工具,实时监测和分析系统日志,发现 异常行为及时报警。
资源控制与安全管理
资源使用监控
监控操作系统的CPU、内存、磁盘等资源的使用情况,确 保系统资源充足并合理分配。
01
恶意软件防护
安装防病毒软件,定期更新病毒库,防 止恶意软件对操作系统的攻击和破坏。
数据保护
加强对应用系统中数据的保护,包括数据加密、数据备份、数据恢 复等方面,确保数据的机密性、完整性和可用性。
08
总结与展望
检查工作成果总结
基线检查覆盖率
完成了对网络中大部分设备的基线检查,覆盖率达到了预定目标。
安全漏洞发现
在检查过程中,发现并修复了多个安全漏洞,提高了系统的安全性。
配置规范性提升
通过对设备配置的基线检查,使得设备配置更加规范,减少了潜在的安全风险。
运维效率提高
基线检查的自动化工具提高了检查效率,减少了人工操作的时间和成本。
未来工作展望
扩大基线检查范围
将基线检查的范围扩大到更多类型的设备和 系统,提高整体安全性。
SEC-W01-002.1-使用Windows系统基线安全分析器
SEC-W01-002.1使用Windows系统基线安全分析器2010年4月技术背景管理员使用微软安全产品时,经常抱怨的事缺少能够分析检查整个系统安全配置缺陷的工具。
微软用他们的Baseline Security Analyzer(基线分析器,简称MBSA)对这个问题做出了回应。
MBSA能够扫描本地和远程计算机上的Windows NT、Windows 2000、Windows XP、IIS、SQL Server、Internet Explorer和Office的安全问题。
在扫描后产生一个详细报告。
实验目的安装MBSA扫描实验机,浏览MBSA报告实验平台客户端:Windows2000/XP/2003服务端:Windows 2000 Server实验工具Windows 远程桌面客户端工具mstsc.exeMicrosoft MBSA 1.2实验要点Microsoft MBSA安装及使用实验步骤指导实验准备实验概要:连接实验服务器主机;1.运行远程桌面客户端程序mstsc.exe,输入实验服务器IP地址,点击Connect连接,如图1:图12.以Administrator(管理员)(口令:1qaz@WSX)身份登实验陆服务器桌面。
安装MBSA工具实验概要:安装MBSA工具。
3.按照"实验准备"步骤远程登录实验服务器,在实验服务器桌面,点击运行MBSASetup-EN.msi,如:图2图24.在随后出现的界面,单击Next(下一步)启动安装向导程序。
如:图3图35.在随后出现的界面,选择I accept the license agreement,单击Next(下一步),如:图4图46.在随后出现的界面,单击Next(下一步),如:图5图57.在随后出现的界面,单击Install(安装),开始安装,如:图6图68.安装结束后,当出现如下窗口时点击ok(确定),如:图7,实验服务器桌面上会产生“Microsoft Baseline Security Analyzer 1.2.1”图标,如:图8图89.关闭所有窗口,实验结束并注销Administrator。
安全基线检查及部分中间件部署规范
安全基线检查及部分中间件部署规范@author: jerrybird,JC0o0l@wechat: JC_SecNotes@wechat: JC0o0l@GitHub: /chroblert/assetmanage这篇⽂章是之前做基线检查⼯具参考的⼀些规范,⼤家可以通过下⾯的链接下载pdf⽂档:链接:https:///s/1z_m0HpAWSgRYahbsI5DeAg提取码:i4ft(⼀) Centos7安全基线0x01 初始设置1. ⽂件系统配置:2. 安全启动设置:3. 强制访问控制:0x02 服务配置1. 时间同步设置:0x03 ⽹络配置1. hosts设置:2. 防⽕墙配置0x04 审计设置1. 审计配置⽂件的设置2. 审计规则⽂件的设置0x05 ⽇志设置0x06 认证授权1. 配置cron:2. 配置SSH:3. 配置PAM:4. ⽤户账户和环境设置:0x07 系统维护1. 重要⽂件权限:2. ⽤户和组设置:(⼆) Windows2012安全基线0x01 账户策略0x02 审计策略0x03 ⽤户权限分配0x04 安全选项0x05 端⼝安全0x06 系统安全(三) MSSQL2016部署规范0x01安装更新和补丁0x02 减少受攻击⾯0x03 认证和授权0x04 密码策略0x05 审计和⽇志0x06 加密0x07 扩展存储(四) MySQL5.6部署规范0x01 操作系统级别配置0x02 安装和计划任务0x03 权限设置0x04 常规设置0x05 MySQL权限0x06 审计和⽇志0x07 ⾝份认证(五) 中间件部署规范0x01 Nginx安全部署规范1. 隐藏版本号2. 开启HTTPS3. 限制请求⽅法4. 拒绝某些User-Agent5. 利⽤referer图⽚防盗链6. 控制并发连接数7. 设置缓冲区⼤⼩防⽌缓冲区溢出攻击8. 添加Header头防⽌XSS攻击9. 添加其他Header头0x02 Tomcat安全部署规范1. 更改Server Header2. 保护telnet管理端⼝3. 保护AJP连接端⼝4. 删除默认⽂档和⽰例程序5. 隐藏版本信息(需要解jar包)6. 专职低权限⽤户启动tomcat7. ⽂件列表访问控制8. 脚本权限回收0x03 Apache安全部署规范1. 专职低权限⽤户运⾏Apache服务2. ⽬录访问权限设置3. ⽇志设置4. 只允许访问web⽬录下的⽂件5. 禁⽌列出⽬录6. 防范拒绝服务7. 隐藏版本号8. 关闭TRACE功能9. 绑定监听地址10. 删除默认安装的⽆⽤⽂件11. 限定可以使⽤的HTTP⽅法0x04 IIS安全部署规范1. 限制⽬录的执⾏权限2. 开启⽇志记录功能3. ⾃定义错误页⾯4. 关闭⽬录浏览功能5. 停⽤或删除默认站点6. 删除不必要的脚本映射7. 专职低权限⽤户运⾏⽹站8. 在独⽴的应⽤程序池中运⾏⽹站0x05 Redis安全部署规范1.专职低权限⽤户启动redis2. 限制redis配置⽂件的访问权限3. 更改默认端⼝4. 开启redis密码认证5. 禁⽤或者重命名危险命令6. 禁⽌监听在公⽹IP7. 开启保护模式0x06 RabbitMQ 规范1. 专职低权限⽤户启动RabbitMQ2.配置SSL证书3. 开启HTTP后台认证4. 删除或修改默认的guest⽤户和密码5. RabbitMQ的web ui插件存在⼀些安全漏洞(⼀) Centos7安全基线0x01 初始设置1. ⽂件系统配置:1.1 将/tmp挂载⾄⼀个单独的分区1.2 /tmp挂载时指定noexec:不允许运⾏可执⾏⽂件该选项使得/tmp⽬录下的⼆进制⽂件不可被执⾏1.3 /tmp挂载时指定nosuid该选项使得/tmp⽬录下的⽂件或⽬录不可设置Set-UID和Set-GID标志位,能够防⽌提权。
基线检查
Informix数据库安全基线检查5-5-1应按照用户分配账号。
避免不同用户间共享账号。
避免用户账号和设备间通信使用的账号共享检查方法1、符合性判定依据不同用户具有不同的账号,且与其他用户、设备没有账号共享情况。
2、参考检测方法通过root 账号登录系统后查看/etc/passwd、/etc/group 文件并询问管理员,确认是否按照用户分配账号;验证分配的用户是否正常使用,使用分配账号登录,验证是否能成功登录和正常操作。
5-5-2应删除与数据库运行、维护等工作无关的账号,删除过期账号检查方法:AIX查看/etc/passwd ,/etc/group 中的informix 组账户和成员账号SolarisCat /etc/shadow cat /etc/passwd检查目的是:无关账号被锁定或者是不存在密码相关的问题5-5-3对于采用静态口令进行认证的数据库,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类对于采用静态口令认证技术的数据库,账户口令的生存期不长于90 天。
对于采用静态口令认证技术的数据库,应配置数据库,使用户不能重复使用最近5 次(含5 次)内已使用的口令。
检查方法:Aix 系统查看/etc/security/user,minlen=8 口令最短为8 个字符minalpha=3 口令中最少包含3 个字母字符minother=1 口令中最少包含一个非字母数字字符编辑/etc/security/user,设置如下:maxage=12 口令最长有效期为12 周histsize=5 同一口令与前5 个口令不能重复solaris系统检查/etc/default/passwd 是否设置如下参数:PASSLENGTH = 8 #设定最小用户密码长度为8 位MINALPHA=2;MINNONALPHA=1 #表示至少包括两个字母和一个非字母;对于Solaris 8 以前的版本,PWMIN 对应MINWEEKS,PWMAX 对应MAXWEEKS 等,需根据/etc/default/passwd 文件说明确定。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Microsoft SQL Server数据库系统安全配置基线中国移动通信公司管理信息系统部2012年 4月版本版本控制信息更新日期更新人审批人V1.0 创建2009年1月V2.0 更新2012年4月备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录第1章概述 (4)1.1适用范围 (4)1.2适用版本 (4)1.3实施 (4)1.4例外条款 (4)第2章帐号与口令 (5)2.1口令安全 (5)2.1.1删除不必要的帐号* (5)2.1.2SQLServer用户口令安全 (5)2.1.3根据用户分配帐号避免帐号共享* (6)2.1.4分配数据库用户所需的最小权限* (6)2.1.5网络访问限制* (7)第3章日志 (8)3.1日志审计 (8)3.1.1SQLServer登录审计* (8)3.1.2SQLServer安全事件审计* (8)第4章其他 (10)4.1安全策略 (10)4.1.1通讯协议安全策略* (10)4.2更新补丁 (10)4.2.1补丁要求* (10)4.3存储保护 (11)4.3.1停用不必要存储过程* (11)第5章评审与修订 (13)第1章概述本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的SQL Server 数据库应当遵循的数据库安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行SQL Server 数据库的安全合规性检查和配置。
1.1 适用范围本配置标准的使用者包括:数据库管理员、应用管理员、网络安全管理员。
本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的SQL Server数据库系统。
1.2 适用版本SQL Server系列数据库。
1.3 实施本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
1.4 例外条款欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
第2章帐号与口令2.1 口令安全2.1.1删除不必要的帐号*安全基线项目名称数据库管理系统SQLServer用户安全基线要求项安全基线SBL-SQLServer-02-01-01安全基线项说明应删除与数据库运行、维护等工作无关的帐号。
检测操作步骤参考配置操作SQL SERVER企业管理器-〉安全性-〉登陆中删除无关帐号;SQL SERVER企业管理器-〉数据库-〉对应数据库-〉用户中删除无关帐号;基线符合性判定依据首先删除不需要的用户,已删除数据库不能登陆使用在MS SQL SERVER查询分析器的登陆界面中使用已删除帐号登陆备注手工检查2.1.2SQLServer用户口令安全安全基线项目名称数据库管理系统SQLServer用户口令安全基线要求项安全基线SBL-SQLServer-02-01-02安全基线项说明对用户的属性进行安全检查,包括空密码、密码更新时间等。
修改目前所有帐号的口令,确认为强口令。
特别是sa 帐号,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
密码应至少每90天进行更换。
检测操作步骤1.检查password字段是否为null。
2.参考配置操作查看用户状态运行查询分析器,执行select * from sysusersSelect name,Password from syslogins where password is null order by name # 查看口令为空的用户基线符合性password字段不为null。
判定依据备注2.1.3根据用户分配帐号避免帐号共享*安全基线项数据库管理系统SQLServer共享帐号安全基线要求项目名称安全基线SBL-SQLServer-02-01-03安全基线项应按照用户分配帐号,避免不同用户间共享帐号。
说明检测操作步1、参考配置操作骤sp_addlogin 'user_name_1','password1'sp_addlogin 'user_name_2','password2'或在企业管理器中直接添加远程登陆用户建立角色,并给角色授权,把角色赋给不同的用户或修改用户属性中的角色和权限2、检测方法:在查询分析器中用user_name_1/password1连接数据库成功3、补充操作说明user_name_1和user_name_1是两个不同的帐号名称,可根据不同用户,取不同的名称;基线符合性不同名称的用户可以连接数据库判定依据备注建议手工检查2.1.4分配数据库用户所需的最小权限*安全基线项数据库管理系统SQLServer共享帐号安全基线要求项目名称安全基线SBL-SQLServer-02-01-04安全基线项说明在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
检测操作步骤1.更改数据库属性,取消业务数据库帐号不需要的服务器角色;2.更改数据库属性,取消业务数据库帐号不需要的“数据库访问许可”和“数据库角色中允许”中不需要的角色。
基线符合性判定依据1.更改数据库属性,取消业务数据库帐号不需要的服务器角色;2.更改数据库属性,取消业务数据库帐号不需要的“数据库访问许可”和“数据库角色中允许”中不需要的角色。
备注建议手工检查2.1.5网络访问限制*安全基线项目名称数据库管理系统SQLServer共享帐号安全基线要求项安全基线SBL-SQLServer-02-01-05安全基线项说明通过数据库所在操作系统或防火墙限制,只有信任的IP 地址才能通过监听器访问数据库。
检测操作步骤在防火墙中做限制,只允许与指定的IP 地址建立1433 的通讯。
当然,从更为安全的角度来考虑,应该把1433 端口改成其他的端口。
1. 在“Windows 防火墙”对话框中,单击“例外”选项卡。
2. 单击“添加端口”。
3. 键入您要允许的端口名称,键入端口号,然后单击“TCP”或“UDP”以提示这是TCP 还是UDP 端口。
4. 单击“更改范围”。
5. 指定要为其阻止此端口的一系列计算机,然后单击“确定”。
基线符合性判定依据无关IP不允许连接1433端口备注建议手工检查第3章日志3.1 日志审计3.1.1SQLServer登录审计*安全基线项数据库管理系统SQLServer登录审计安全基线要求项目名称安全基线编SBL-SQLServer-03-01-01号安全基线项数据库应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用说明的帐号、登录是否成功、登录时间。
检测操作步打开数据库属性,选择安全性,将安全性中的审计级别调整为“全部”骤登录成功和失败测试,检查相关信息是否被记录基线符合性判定依据备注根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
3.1.2SQLServer安全事件审计*安全基线项数据库管理系统SQLServer安全事件审计安全基线要求项目名称安全基线编SBL-SQLServer-03-01-02号安全基线项数据库应配置日志功能,记录对与数据库相关的安全事件。
说明检测操作步打开企业管理器,查看数据库“管理”中的“SQL Server日志”,查看当前的骤日志记录和存档的日志记录是否包含相关数据库安全事件1、参考配置操作数据库默认开启日志记录2、补充操作说明增加帐号登陆审计:打开数据库属性,选择安全性,将安全性中的审计级别调整为“全部”。
基线符合性SQL Server日志中是否存在数据库相关事件日志信息。
判定依据备注根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
第4章其他4.1 安全策略4.1.1通讯协议安全策略*安全基线项目名称数据库管理系统SQLServer通讯协议安全基线要求项安全基线编号SBL-SQLServer-04-01-01安全基线项说明使用通讯协议加密。
检测操作步骤参考配置操作启动服务器网络配置工具,查看“常规”设置基线符合性判定依据“常规”设置为“强制协议加密”。
备注根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
4.2 更新补丁4.2.1补丁要求*安全基线项目名称数据库管理系统SQLServer补丁安全基线要求项安全基线编号SBL-SQLServer-04-02-01安全基线项说明为系统打最新的补丁包。
检测操作步骤检查当前所有已安装的数据库产品的版本信息,运行SQL查询分析器,执行:select @@version安装补丁详细操作请参照其中的readme文件基线符合性判定依据确保SQL Server的补丁为最新的。
下载并安装最新的补丁对于如下SQL Server2000的版本相应的补丁号是必须的:8.00.194 -------SQL Server 2000 RTM8.00.384 -------(SP1)8.00.534 -------(SP2)8.00.760 -------(SP3)8.00.2039-------(SP4)备注根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
4.3 存储保护4.3.1停用不必要存储过程*安全基线项目名称数据库管理系统SQLServer存储保护基线要求项安全基线编号SBL-SQLServer-04-03-01安全基线项说明停用不必要的存储过程检测操作步骤1、参考配置操作首先确认下面的扩展存储过程不会被使用,然后删除下面的这些存储过程。
去掉xp_cmdshell扩展存储过程,使用:use mastersp_dropextendedproc 'xp_cmdshell'同上类似语句,删除以下的扩展存储过程:Sp_OACreateSp_OADestroySp_OAGetErrorInfoSp_OAGetPropertySp_OAMethodSp_OASetPropertySp_OAStopXp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvaluesXp_regremovemultistringxp_sdidebugxp_availablemediaxp_cmdshellxp_deletemailxp_dirtreexp_dropwebtaskxp_dsninfoxp_enumdsnxp_enumerrorlogsxp_enumgroupsxp_enumqueuedtasksxp_eventlogxp_findnextmsgxp_fixeddrivesxp_getfiledetailsxp_getnetnamexp_grantloginxp_logeventxp_loginconfigxp_logininfoxp_makewebtaskxp_msver xp_perfendxp_perfmonitorxp_perfsamplexp_perfstartxp_readerrorlogxp_readmailxp_revokeloginxp_runwebtaskxp_schedulersignalxp_sendmailxp_servicecontrolxp_snmp_getstatexp_snmp_raisetrapxp_sprintfxp_sqlinventoryxp_sqlregisterxp_sqltracexp_sscanfxp_startmailxp_stopmailxp_subdirsxp_unc_to_drivexp_dirtree基线符合性调用存储过程,检查是否存在判定依据备注建议手工检查第5章评审与修订本标准由中国移动通信有限公司管理信息系统部定期进行审查,根据审视结果修订标准,并颁发执行。