前言

笔者最近在做一些主机的等保整改和漏洞修复过程,应用架构主要是Mysql+应用,操作系统都是Windows Server 2008 R2, 于是花费了几天时间整理了主机的操作,分享给亲爱的头条的朋友们,欢迎手册和转发

身份鉴别

应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

问题描述: 数据库管理系统未定期更换口令；服务器未设置密码最短使用天数。

整改建议:建议数据库管理系统定期更换口令；服务器设置密码最短使用天数。

整改过程: 配置服务器密码策略及过期天数

• 密码策略 控制面板－>管理工具－>本地安全策略－>帐户策略－>密码策略；

(1）密码复杂性要求：已启用；

(2）密码长度最小值： 8；

(3）密码最长使用期限： 90；

(4）密码最短使用期限:2；

(5）强制密码历史： 5；

• 密码过期 查看控制面板->管理工具->计算机管理->系统工具->本地用户和组->用户（每个用户） - 右键-属性-去除勾选“密码永不过期”。

应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

问题描述:应用系统未设置空闲会话超时策略；服务器未在本地组策略中设置远程管理空闲会话超时策略；数据库管理系统空闲会话时间过长。

整改建议:建议应用系统设置空闲会话超时策略；服务器在本地组策略中设置远程管理空闲会话超时策略；数据库管理系统设置15-30分钟的空闲会话时间。

整改过程:打开屏幕保护限制和配置配置会话超时时间

• Windows操作系统开启登陆失败处理 控制面板--管理工具--本地安全设置--帐户策略--账户锁定策略： （1）复位帐号锁定计数器：30min； （2）账户锁定时间：30min； （3）账户锁定阀值：5。
• 打开屏幕保护程序 参考网址 https://jingyan.baidu.com/article/a378c960f375f1b3282830a0.html 打开控制面板->外观->更改屏幕保护程序,启用屏保并勾选“在恢复时显示登录屏幕”
• 设置会话时间限制 win+R 输入 gpedit.msc 打开 本地组策略编辑器- 计算机配置->管理模板->windows组件->远程桌面服务->远程桌面会话主机->会话时间限制 配置[设置活动但空闲的远程桌面服务会话的时间限制为15分钟]
• 失败登陆 控制面板->管理工具->本地安全策略->账户锁定策略

当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听

问题描述:鉴别信息等重要数据可能被嗅探并盗用，导致数据库被非授权访问。

整改建议:建议数据库管理系统使用加密协议进行远程管理；

服务器在本地组策略中设置远程管理的加密协议。

整改过程: 配置服务器远程加密,选择SSL协议

• 开启SSL协议 1.关闭 telnet 服务及端口； 2.使用远程桌面 RDP 服务进行远程管理； 3.win+R输入gpedit.msc->计算机配置->管理模板->Windows 组件->远程桌面服务->远程桌面会话主机->安全 远程(RDP)连接要求使用指定的安全层->选择“已启用”， 安全层选择“SSL”。

应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

问题描述:服务器、数据库和应用系统只采取用用户名+口令一种验证方式对用户身份进行鉴别，未采取两种或两种以上的用户身份鉴别措施确保系统用户身份不被冒用。

整改建议: 建议对服务器、数据库和应用系统采用两种或两种以上组合的鉴别技术实现用户身份鉴别，如数字证书、令牌等。

整改过程: 项目采用深信服VPN,需要先登陆VPN账号(含验证码)才可以远程到服务器

远程用户需要通过网络策略授权和VPN账号登录认证才能登录服务器，所有服务器均禁止用户通过互联网直接登录。

访问控制

应对登录的用户分配账户和权限；

问题描述:数据库和应用系统未限制默认账户的访问权限。

整改建议:默认用户权限过大，导致系统信息被任意访问。

整改过程:修改用户权限

应重命名或删除默认账户，修改默认账户的默认口令；

问题描述:数据库和应用系统未重命名默认账户。

整改建议:建议重命名数据库和应用系统的默认账户，避免被随意盗用，导致信息泄露。

整改过程:更改Windows默认管理员账号

• 主机更改默认管理账号

方法一: 控制面板->管理工具->计算机管理->系统工具->本地用户和组->用户 找到Administrator用户并右键选择重命名

方法二: 控制面板->管理工具->本地安全策略->安全选项 在右侧窗口找到[帐户：重命名系统管理员帐户] 并双击进行更改

应及时删除或停用多余的、过期的账户，避免共享账户的存在；

问题描述:服务器存在共享账户。

整改建议:建议建立如：管理员、审计员、操作员等帐户，并根据业务需要设置各帐户的权限。

整改过程:清除多余用户,并划分管理员,审计员,操作员

• 清除多余账户 控制面板->管理工具->计算机管理->系统工具->本地用户和组->用户 选中不要的用户,右击选择删除

应授予管理用户所需的最小权限，实现管理用户的权限分离；

问题描述:服务器、数据库和应用系统未按照三权分立原则，设置安全管理员、系统管理员和审计员账户。

整改建议:管理员权限过大，可能无法对管理员的行为进行监管、制约。

整改过程:建议服务器、数据库和应用系统按照三权分立原则，设置安全管理员、系统管理员和审计员账户。

• 设置三权分立

控制面板->管理工具->计算机管理->系统工具->本地用户和组->用户

在空白处右键选择新建用户,分别添加 dbt_sys dbt_audit dbt_sec 为 系统管理员,审计管理员和安全管理员,并设定相关的隶属组划分权限, 没有组的就新建组 dbt_audit 属于 Envent Log Readers 组 dbt_sys 属于 System Manager Accounts Group 组 dbt_sec 属于 Remote Manager 组;

应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。

问题描述:服务器、数据库和应用系统未对主体和客体设置安全标识。

整改建议:建议对服务器、数据库和应用系统主体和客体设置安全标识。

整改过程:暂无方法实现

安全审计

应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

问题描述:数据库和应用系统未开启审计功能。

整改建议:建议开启数据库和应用系统功能，并定期对数据库系统的审计日志进行结果分析，制作相应的审计报表，防止一旦发生安全事件无法有效追溯的情况发生。

整改过程: 服务器开启时间事件日志

• Windows 操作系统开启审计 控制面板－管理工具－本地安全策略－本地策略-审核策略。 所有审核都开启成功、失败的审计。

应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

问题描述:服务器、数据库、中间件和应用系统未对日志记录采取备份措施。 整改建议:建议对服务器、数据库、中间件和应用系统的日志记录采取备份措施。 整改过程:服务器日志进行存档和备份

• 对日志存档 开始->管理工具->事件查看器-windows日志 选择将事件另存为和查看windows日志属性（设置存储时长和是否覆盖）
• 备份日志 手动备份windows日志,备份%SystemRoot%\System32\Winevt\中的logs目录

入侵防范

应遵循最小安装的原则，仅安装需要的组件和应用程序；

问题描述:操作系统未最小化安装，存在多余的组件或服务。

整改建议:多余组件或服务可能存在安全漏洞，或影响服务器性能，造成业务中断。

整改过程:卸载多余的组件或者服务

• 卸载telnet https://jingyan.baidu.com/article/fc07f9894d6b3512ffe519c8.html 控制面板->打开或关闭Windows 功能 ->角色 选择卸载
• 卸载其他软件 控制面板->卸载程序 选择要卸载的程序
• 关闭多余的服务 控制面板->打开或关闭Windows 功能 ->角色 选择卸载

应关闭不需要的系统服务、默认共享和高危端口；

问题描述:1、服务器开启了多余的服务（如DNS Client、DHCP Client、Print Spooler、Server等）； 2、服务器开启了多余的磁盘及文件共享（默认共享）； 3、服务器未开启防火墙，未禁用高危端口（如135、139和445）的访问。

整改建议:建议1、服务器禁用多余的服务（如DNS Client、DHCP Client、Print Spooler、Server等）； 2、服务器禁用多余的磁盘及文件共享（默认共享）； 3、服务器开启防火墙，禁用高危端口（如135、139和445）的访问。

整改过程:清除多余服务,禁用默认共享,设定防火墙策略

• 清除多余服务 控制面板->打开或关闭Windows 功能 ->角色 选择卸载
• 关闭高危端口 https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html 在防火墙设置中入站规则中禁止135,445 端口
• 禁用磁盘及文件共享(默认共享)win+R 输入 services.msc 关闭并禁用LanmanServer参考 http://www.win7china.com/html/23205.html

应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；

问题描述:服务器、数据库和应用系统未限制远程管理的网络地址。

整改建议:建议限制服务器、数据库和应用系统远程管理的网络地址。

整改过程: 限制服务器远程IP

• 限制IP方法

应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；

问题描述:未采取措施对服务器、数据库管理系统和应用系统可能存在的已知漏洞进行检测和修复。

整改建议:建议采取措施对服务器、数据库管理系统和应用系统可能存在的已知漏洞进行检测和修复。

整改过程:定时使用360安全卫士进行杀毒处理及补丁修复

• 使用360安全卫士进行漏洞扫描

结语

针对Windows Server 2008 R2 一般的整改操作整理,应用不同的主机还会有其他方面的等保,这些笔者遇到也会继续归纳,欢迎运维的朋友们在下方讨论,共同进步