【導(dǎo)讀】本文檔每年必須由負(fù)責(zé)人員重新審查內(nèi)容，并按照需求修正。理員賬號作出必要的設(shè)置。查看是否有名為administrator的用戶帳號；將系統(tǒng)管理員賬號重命名為一個普通的、不易引起注意的賬號名。建立一個以administrator命名的賬號，將所屬用戶組清除，即所屬組為空，對系統(tǒng)管理員賬號進(jìn)行限制，一般不會對系統(tǒng)造成任何不良的影響。有少數(shù)應(yīng)用軟件需要administrator名的系統(tǒng)用戶，請視應(yīng)用情況對該項(xiàng)進(jìn)。啟用“密碼必須必須符合復(fù)雜性要求”；“密碼最小長度”大于7；“密碼最長存留期”小于90天；“密碼強(qiáng)制歷史”不小于5；密碼策略對已經(jīng)存在的密碼無效，需要對已存在的密碼進(jìn)行檢查。需要注意盡量避免對Administrator組用戶進(jìn)行授權(quán)修改，以免造成系統(tǒng)。限制每個呼叫登陸嘗試次數(shù)為3，完成登陸時間為3分鐘；設(shè)置加密為pcanywhere級別，拒絕較低加密級別；掃描的結(jié)果就是該Windows主機(jī)系統(tǒng)上所有沒有安裝的補(bǔ)丁。

　　

【正文】 請定期查看 SQL Server 日志檢查是否有可疑的登錄事件發(fā)生，或者使用 DOS 命令。 findstr /C:登錄 d:\Microsoft SQL Server\MSSQL\LOG\*.* 在實(shí)例屬性中選擇“安全性”，將其中的審核級別選定為全部，這樣在數(shù)據(jù)庫系統(tǒng)和操作系統(tǒng)日志里面，就詳細(xì)記錄了所有帳號的登錄事件。： 操作結(jié)果： 加強(qiáng)數(shù)據(jù)庫日志的記錄，不會對系統(tǒng)造成任何不良的影響。 編號： 3032 名稱： 管 理擴(kuò)展存儲過程 重要等級： 中 基本信息： 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) 對存儲過程進(jìn)行大手術(shù)，并且對帳號調(diào)用擴(kuò)展存儲過程的權(quán)限要慎重。其實(shí)在多數(shù)應(yīng)用中根本用不到多少系統(tǒng)的存儲過程，而 SQL Server 的這么多系統(tǒng)存儲過程只是用來適應(yīng)廣大用戶需求的，所以請刪除不必要的存儲過程，因?yàn)橛行┫到y(tǒng)的存儲過程能很容易地被人利用起來提升權(quán)限或進(jìn)行破壞。 檢測內(nèi)容： 審核數(shù)據(jù)庫登錄事件的“失敗和成功”， 建議操作： 如果你不需要擴(kuò)展存儲過程 xp_cmdshell 請把它去掉。使用這個 SQL 語句： use master sp_dropextendedproc 39。xp_cmdshell39。 xp_cmdshell 是進(jìn)入操作系統(tǒng)的最佳捷徑，是數(shù)據(jù)庫留給操作系統(tǒng)的一個大后門。如果你需要這個存儲過程，請用這個語句也可以恢復(fù)過來。 sp_addextendedproc 39。xp_cmdshell39。, 39。39。 如果你不需要請丟棄 OLE 自動存儲過程（會造成管理器中的某些特征不能使用），這些過程包括如下： Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop 去掉不需要的注冊表訪問的存儲過程，注冊表存儲過程甚至能夠讀出操作系統(tǒng)管理員的密碼來，如下： Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) Xp_regenumvalues Xp_regread Xp_regremovemultistring Xp_regwrite 還有一些其它的擴(kuò)展存儲過程，你也最好檢查檢查。 在處理存儲過程的時候，請確認(rèn)一下，避免造成對數(shù)據(jù)庫或應(yīng)用程序的傷害。 操作結(jié)果： 管理擴(kuò)展存儲過程，不會對系統(tǒng)造成任何不良的影響。 IP 限制 編號： 3033 名稱： 對網(wǎng)絡(luò)連接進(jìn)行 IP 限制 重要等級： 中 基本信息： SQL Server 2020 數(shù)據(jù)庫系統(tǒng)本身沒有提供網(wǎng)絡(luò)連接的安全解決辦法，但是 Windows 2020提供了這樣的安全機(jī)制。使用操作系統(tǒng)自己的 IPSec 可以實(shí)現(xiàn) IP 數(shù)據(jù)包的安全性。 檢測內(nèi)容： 關(guān)于 IPSec 的 使 用 請 參 看 ： 建議操作： 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) 對 IP 連接進(jìn)行限制，只保證自己的 IP 能夠訪問，也拒絕其它 IP 進(jìn)行的端口連接，把來自網(wǎng)絡(luò)上的安全威脅進(jìn)行有效的控制。 操作結(jié)果： 對網(wǎng)絡(luò)連接進(jìn)行 IP 限制，不會對系統(tǒng)造成任何不良的影響。 SLAMMER蠕蟲 編號： 3034 名稱： SLAMMER 蠕蟲 重要等級： 高 基本信息： 在 2020 年 1 月 24 日（周五）晚， Microsoft 發(fā)現(xiàn)一種導(dǎo)致世界范圍內(nèi)網(wǎng)絡(luò)流量激增的 Inter 攻擊，名為 Sapphire 或 Slammer 的蠕蟲病毒。 檢測內(nèi)容： 查看是否安裝最新的 SLAMMER 蠕蟲補(bǔ)丁程序。 建議操作： 安裝最新的 SQL 安全補(bǔ)丁 在防火墻處禁止使用 1434 端口，防止來訪入侵。 操作結(jié)果： 使用安全的密碼策略，不會對系統(tǒng)造成任何不良的影響。 Windows 主機(jī)上共享服務(wù)的安全增強(qiáng) 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) 共享 編號： 3035 名稱： 刪除所有默認(rèn)的網(wǎng)絡(luò)共享 重要等級： 高 基本信息： 默認(rèn)的情況下，硬盤中所有邏輯分區(qū)都是被設(shè)置成共享的，但是通過網(wǎng)上鄰居是不能看見這些共享的分區(qū)，這種 “ 隱形 ” 就是通過共享名稱后面加上 “$” 來實(shí)現(xiàn)的，要訪問這些隱形的分區(qū)則必須使用 UNC 路徑，即在地址欄中鍵入 “ \\計算機(jī)名稱 \共享名 ” 或者使用映射網(wǎng)絡(luò)驅(qū)動器將其映射成本地的硬盤，由于一些掃描網(wǎng)絡(luò)共享工具的出現(xiàn)，給設(shè)置了共享的主機(jī)帶來極大的不安全因素。 檢測內(nèi)容： 從 cmd（ 命令行 ） 運(yùn)行 Net Share 命令 ， 查看資源共享 情況 ， 看是否有共享資源存在 ，系統(tǒng)默認(rèn)情況下會共享 c$、 d$、 admin$等資源 ， 可以使用 Net Share /d 命令將其刪除（ 如 share c$ /d）， 但是機(jī)器重啟后 ， 所有默認(rèn)共享會重新共享。 建議操作： 修改注冊表： Hive HKEY_LOCAL_MACHINE\SYSTEM Key CurrentControlSet\Services\LanmanServer\Parameters Name AutoShareServer （ nt,2020/server ）Autosharewks(nt/workstation,2020 professional) Type REG_DWORD 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) Value 0 修改注冊表后在重新啟動機(jī)器后生效。 操作結(jié)果： 關(guān)閉默認(rèn)共享不會對系統(tǒng)造成任何不良的影響。 編號： 3036 名稱： 限制匿名網(wǎng)絡(luò)訪問 重要等級： 高 基本信息： Windows NT 、 2020 允許未授權(quán)用戶開列域中的用戶。如果允許匿名網(wǎng)絡(luò)訪問，則會導(dǎo)致域內(nèi)主機(jī)信息、共享資源的非授權(quán)訪問。 檢測內(nèi)容： 檢測注冊表下面的內(nèi)容： Hive HKEY_LOCAL_MACHINE\SYSTEM Key CurrentControlSet\Control\LSA Name RestrictAnonymous Type REG_DWORD Value 2 看其鍵值是否為 “2” 建議操作： 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) 將注冊表鍵值更改為推薦值： Hive HKEY_LOCAL_MACHINE\SYSTEM Key CurrentControlSet\Control\LSA Name RestrictAnonymous Type REG_DWORD Value 2 操作結(jié)果： 上述設(shè)置禁止了對系統(tǒng)的匿名訪問，不會對系統(tǒng)造成任何不良的影響。 編號： 3037 名稱： 關(guān)閉文件和打印機(jī)共享 重要等級： 高 基本信息： 對于不需要共享服務(wù)的主機(jī)，徹底關(guān)閉文件和打印機(jī)共享服務(wù)，可以根本解決由于windows 的共享功能，帶來的安全隱患。 檢測內(nèi)容： 通過檢測撥號與網(wǎng)絡(luò)連接的屬性頁中，連接上安裝的網(wǎng)絡(luò)組鍵和高級 TCP/IP 設(shè)置屬性頁中的 WINS 欄里面有關(guān) bios 的設(shè) 置可以判斷文件和打印共享是否測底關(guān)閉 ” 建議操作： 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) ? 在撥號和網(wǎng)絡(luò)連接屬性里，取消“ Microsoft 網(wǎng)絡(luò)的文件和打印機(jī)共享” ? 在高級 TCP/IP 設(shè)置屬性頁中的 WINS 欄里面，選擇“禁用 TCP/IP 上的 NetBios； 操作結(jié)果： 對于不需要共享文件和打印機(jī)的主機(jī)，采用上面策略不會對系統(tǒng)造成任何不良影響。 審計和日志 編號： 3038 名稱： 開啟系統(tǒng)和文件審核 重要等級： 高 基本信息： ? Windows 的日志文件通常有應(yīng)用程序日志，安全日志、系統(tǒng)日 志、 DNS 服務(wù)器日志、FTP 日志、 WWW 日志等等，可能會根據(jù)服務(wù)器所開啟的服務(wù)不同而不同。 檢測內(nèi)容： ? 通過本地安全策略 |本地策略 |審核策略可以察看是否開啟系統(tǒng)和文件審核 建議操作： ? WindowsNT 系統(tǒng)下 1) 確保 NTFS 分區(qū) 2) 在“域用戶管理器”中，“規(guī)則”選項(xiàng)，選擇“審核”開啟相關(guān)事件的審核 3) 針對具體的目錄，右鍵 — 屬性 — 安全 — 審核，可開啟針對用戶和組的審核 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) ? Window2020 系統(tǒng)下 1) 確保 NTFS 分區(qū) 2) 在“本地安全策略”中開啟相應(yīng)的審核策略 3) 針對具體目錄，右鍵 — 屬性 — 安全 — 高級 — 審核，可開啟針對 用戶和組的審核 操作結(jié)果： 開啟系統(tǒng)和文件審核，不會對系統(tǒng)造成任何不良的影響。 編號： 3039 名稱： 針對注冊表的審核 重要等級： 高 基本信息： ? 通過將所選類型的事件記錄在服務(wù)器或工作站的安全日志中來跟蹤用戶活動的過程。 檢測內(nèi)容： ? 開啟對注冊表的審核，一定把審核事件降低到最低限度，防止日志文件過大。 建議操作： ? WindowsNT 系統(tǒng)下 使用 Regedt32 注冊表編輯器 選擇安全選項(xiàng) ?審核 ? Window2020 系統(tǒng)下 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) 使用 Regedt32 注冊表編 輯器 選擇安全 ?權(quán)限 ?高級 ?審核 操作結(jié)果： 針對注冊表的審核，不會對系統(tǒng)造成任何不良的影響。 編號： 3040 名稱： 日志文件的管理 重要等級： 高 基本信息： ? Inter 服務(wù)的 LOG 文件一般在于 :\WINNT\system32\LogFiles 目錄下，其它第三方NT服務(wù)軟件的日志有它們自己的目錄，一般來說，第三方的軟件都把目錄放在他自己的程序目錄下。 檢測內(nèi)容： ? 這就要求我們建立一個統(tǒng)一的好的管理 LOG 策略，使得管理員對日志管理更加安全、統(tǒng)一，易于查找 和加強(qiáng)對日志的審計。 建議操作： （ 1）更改日志文件目錄 通過修改注冊表來更改日志文件的存放目錄；（應(yīng)用程序 LOG，安全 LOG，系統(tǒng) LOG， DNS服務(wù)器 LOG，目錄服務(wù)，和文件復(fù)制服務(wù)的 LOG 文件都是可以通過 Eventlog 查看器查看的，他們的鍵值保存在 HKLM\System\CurrentControlSet\Services\Eventlog 下。 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) （ 2）注意 Schedule Logs Schedule Logs 是個重要的 LOG，需要管理員經(jīng)常查看。它是位于 C:\WINNT\下，其記錄著所有由 SCHEDULER 服務(wù)啟動的所有行為，如服務(wù)的啟動和停止，如果系統(tǒng)被攻擊過，有不少后門是通過這個服務(wù)來啟動的，所以管理員應(yīng)該仔細(xì)查找這文件的里的內(nèi)容，重新定位這個文件的位置，可以通過編輯下面的鍵值來完成： HKLM\SOFTWARE\Microsoft\SchedulingAgent （ 3）監(jiān)視 Performance Logs Performance Logs 是性能監(jiān)視記錄器建立的，它們可以通過編輯注冊表中的 HKLM\System\CurrentControlSet\Services\SysmonLog 的 DefaultLogFileFolder 值來完成。 （ 4）應(yīng)用程序的 LOG 一般來說你如果有第三方的 WEB 服務(wù)程序或者 FTP， MAIL 服務(wù)程序，管理員也需要跟蹤他們的 LOG，并從注冊表中更改他們記錄復(fù)位向到你新的分區(qū)。 （ 5）目錄列表記錄 管理員可以把它看成自己設(shè)定的 LOG 記錄，安排每天的一些敏感目錄列表復(fù)位向到你的LOG 分區(qū)是一個比較好的辦法，如果有新的文件突然產(chǎn)生，就可以跟蹤它。它可以通過下面的方法來完成： dir C:\IPub\root\ /S /B [LogPartition]. 操作結(jié)果： 日志文件的管理，不會對系統(tǒng)造成任何不良的影響。