通用应用系统安全加固方法.doc

通用应用系统安全加固方法目录1安全加固的目的- 3 -2系统加固的基本原则- 3 -3系统加固流程- 3 -3.1确定加固范围- 4 -3.2采集系统状况- 4 -3.3系统状况评估- 4 -3.4给出加固建议- 4 -3.5加固建议实施- 4 -4安全加固风险规避措施- 4 -5 Windows 2000操作系统安全加固实践- 5 -6 Solaris操作系统安全加固实践- 18 -7 Oracle数据库系统安全加固实践- 24 -1 安全加固的目的对系统进行安全加固的目的是通过深入了解系统的设计模型、当前的安全运行状况、曾经发生的安全事件、系统使用的安全策略，提出能够提高系统安全防御水平的加固建议。2系统加固的基本原则对信息系统实施安全加固，需要遵守下面的基本原则： l 规范性原则：安全服务的实施必须由专业的安全服务人员依照规范的操作流程进行，对操作过程和结果要提供规范的记录，并形成完整的服务报告；l 连续性原则：安全服务应考虑安全的动态特性，应提供定期的连续性的安全服务，保障应用系统的长期安全；l 可控性原则：安全服务的工具、方法和过程要在认可的范围之内，保证对于服务过程的可控性；l 最小影响原则：系统加固工作应尽可能小的影响系统的正常运行，不能产生系统性能明显下降、网络拥塞、服务中断的情况； l 保密性原则：对加固过程中获知的任何信息都不得泄露给第三方单位或个人。上述的基本原则在系统加固过程中必须严格遵守，如果是和第三方的公司进行合作，则要签定正式的保密协议，以保护公司的利益。3系统加固流程系统加固是一个复杂的过程，需要用工程化的方式进行管理。必须按照下面的流程进行：l 确定加固范围l 采集系统状况l 系统状况评估l 给出加固建议l 加固建议实施3.1确定加固范围根据需要进行安全加固的系统的实际需要，划定加固范围。要综合考虑相关联的系统，不能在加固过程中对其他系统产生任何不良影响。3.2采集系统状况对加固范围内的系统当前状况进行采集，包括取得系统的各种设计文档、使用手册、维护手册、系统日志，并与系统管理员进行交流，获得第一手的系统运行情况。3.3系统状况评估对收集到的系统状况进行分析，并提出如何在加固过程中规避可能的风险。3.4给出加固建议根据3.3对系统状况的评估结果，给出相应的加固建议，并在加固建议中详细描述加固实施的计划，包括人员、时间、材料的安排及出现异常情况的处理方法。给出可行性分析报告。3.5加固建议实施在实际的系统中实施加固之前，先要建立能够模拟真实系统的环境，在此环境中进行加固实施，如果没有发现问题，才允许按照3.4给出的加固实施计划对实际的系统实施加固。4安全加固风险规避措施在加固实施前对系统的所有信息（数据、软件等）进行一次全系统备份，并验证备份的有效性。指定专人负责发生问题时的系统恢复。加固实施过程中，详细记录每一个步骤的工作内容和结果。5 Windows 2000操作系统安全加固实践1补丁更新/系统升级Windows操作系统存在数目不小的安全问题和漏洞，并且不断地被发现和被人利用；所以由专人负责合法补丁的下载、记录、统计和管理工作、建立相应的补丁更新记录对系统的安全性是极其重要的。实施步骤：Windows SP补丁包（如WIN2000的SP3）可以用独立的介质进行升级；也可以使用WINDOWS 2000的HOTFIX直接点击开始菜单的Windows Update，到/zhcn/default.asp 进行升级。最好选择可以恢复系统的安装方式。2修改系统根目录、系统目录权限实施步骤：查看对各个重要的目录是否设置了访问控制列表。对各个重要目录的访问控制列表的设置参考下表：PathACLsAdmin_istratorCREATEOWNERAuthentice_ted UsersSYSTEMSYSTEMOPERATORSOthers%systemdrive%FRRFN/AN/A%systemdrive%tempFFFFN/AN/A%systemdrive%program filesFRRFN/AN/A%systemroot%FFRFN/AN/A%systemroot%repairFN/AN/AFN/AN/A%systemrootsystem32configFFLFN/AN/A%systemroot%system32spoolFFCFN/AN/A%systemroot%profilesFFFFN/AN/A%systemdrive%boot.iniFN/AN/AFN/AN/A%systemdrive%FN/AN/AFN/AN/A%systemdrive%ntldrFN/AN/AFN/AN/A%systemdrive%autoexec.batFN/ARFN/AN/A%systemdrive%config.sysFN/ARFN/AN/A%systemroot%poledit.exeFN/AN/AFN/AN/A%systemroot%regedit.exeFN/AN/AFN/AN/A%systemroot%system32*.exeFN/AN/AFN/AN/A注意：重要目录不能对everyone开放，这样会带来很大的安全问题。对于某一具体系统要具体问题具体分析，尤其要注意对于应用系统的影响。3关闭不必要的服务实施步骤：l WIN2000系统1、打开 控制面板-管理工具-服务窗口2、查看一些不必要的服务如Alerter、Remote Registry Service、Messenger、Task Scheduler是否已启动3、将服务停止，或将其启动类型由“自动”改为“手动”或者“禁用”。要注意服务间的依存关系，不要影响正常应用服务的启用。4删除不必要组件实施步骤：WIN2000系统 打开 控制面板-添加/删除程序窗口 查看是否存在Microsoft Index Server, FrontPage Server Extension, Accessories and utilities等程序。 如果不需要某项程序，打开 控制面板-添加/删除程序-添加/删除WINDOWS组件将该组件卸载不要删除正常应用的服务，以免影响正常应用5删除inetpub 目录下的IIS例子程序IIS例子程序存在许多黑客熟知的漏洞，建议删除IIS例子程序。实施步骤： 查看c:winnthelpisshelp和winntsystem32inetsrv iisadmin 、winntsystem32inetsrviisadmpwd等目录是否存在。 删除IIS例子程序。6禁止缺省的Web站点IIS默认的管理WEB站点存在许多黑客熟知的漏洞，建议删除或者停止默认的管理WEB站点。实施步骤： 打开 控制面板管理工具Internet服务管理器 查看IIS的默认的管理WEB站点是否没有删除、应用WEB站点的主目录是否在操作系统所在的分区上。 删除IIS的默认管理WEB站点，也可以将它停止。将WEB主目录放置在单独的分区上，不要放置在操作系统分区上。7优化TCP/IP实施步骤： 查看网上邻居-属性-本地连接-属性-TCP/IP协议-高级TCP/IP设置中的选项，是否对TCP/IP筛选做了设置。 启用TCP/IP筛选器，根据业务需要将全部允许改为只允许指定端口可以访问。对于公用服务器不适宜做这样的设置，可以按业务类型限制端口，以免影响业务的正常进行。8重要命令访问权限控制实施步骤： 检测%systemroot%system32目录下的下列文件，确认其是否具有合适的访问权限。netstat.exetracert.exenslookup.exerexec.execmd.exe 创建称为 CommonTools 的目录，然后将下列文件放在这一目录下，并对它们设置相应的 ACL 权限以便只有管理员对这些文件拥有全部权限。netstat.exetracert.exenslookup.exerexec.execmd.exe确认只有管理员或者管理员指定的用户才具有对这些文件的完全访问权限。9设置密码策略 实施步骤：WIN2000系统： 运行secpol.msc命令 打开“本地安全设置”对话框，依次展开“帐户策略密码策略” 查看是否具有设置 密码策略，密码历史不小于5次、密码长度大于7位、最短存留期大于5天、最长存留期小于90天、必须启用密码复杂性要求；10 添加安全审核实施步骤：WIN2000系统： 运行中输入secpol.msc命令 打开“本地安全设置”对话框，依次展开“本地策略审核策略”，是否具有审核策略； 修改审核策略如下i. 审核策略更改成功, 失败ii. 审核登录事件成功, 失败iii. 审核对象访问成功, 失败iv. 审核过程追踪失败v. 审核目录服务访问失败vi. 审核特权使用成功, 失败vii. 审核系统事件成功, 失败viii. 审核帐户登录事件成功, 失败ix. 审核帐户管理成功, 失败11将超级管理员改名实施步骤 运行输入secpol.msc，然后回车 打开“本地安全设置”对话框，依次展开“本地策略安全选项 ” 在重命名系统管理员帐户里修改超级管理员名称。建议再添加一个普通的administrator用户以迷惑入侵者。注意：重命名系统管理员帐户后，administrator将没有超级管理员权限，牢记修改后的超级管理员用户名。12 禁止缺省共享、空连接，管理共享 具体实施步骤： 用命令“net share driver$ /delete，”删除默认共享，并修改注册表取消默认共享和空连接 打开注册表编辑器。REGEDITHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters在右边建立一个名为AutoShareServer的DWORD键。值为0。如果你安装的是个人专业版的就建立一个名为AutoShareWks的DWORD键。值为0 禁止空连接：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters的KeepAliveTime设置（推荐/双字节）为300000（5分钟）。注意：打开默认共享可以方便管理，但会带来安全问题。13修补IIS系统的unicode/ida/idq等重要漏洞实施步骤： 升级IIS最新的安全补丁可以解决unicode漏洞。 删除扩展名为.ida/idq/.htw/.cer/ .cdx/ .htr/ .idc/ .shtm/ .shtml/ .stm/ .printer的脚本映射。注意：unicode、.ida/idq漏洞是IIS的主要漏洞，应该予以修补。14 修改SNMP的community的值实施步骤： 在计算机管理，在控制台树中，单击“服务和应用程序-服务”， 在详细信息窗格中，单击“SNMP 服务”， 在“操作”菜单上，单击“属性”。 缺省的SNMP口令(communitystrings)被设为public和private。如果你不是绝对需要SNMP，关掉它。 注意：在必要的情况下可以添加其他团体和主机名；通过单击项，然后单击“编辑”可以对项进行改动，通过单击“删除”可以删除选定项；如果更改已有的 SNMP 设置，更改将立即生效，SNMP 服务不需要重新启动以使设置生效。15启动屏幕保护实施步骤： 打开桌面属性，是否打开屏幕保护。 启动屏幕保护，屏保时间要设定（重要系统2分钟，一般系统10分钟），启动密码保护。注意：养成离开机器即锁定屏幕的良好习惯，防止本地攻击者直接控制你的系统。16 禁用TCP/IP上的NetBios接口实施步骤： 双击Internet 协议 (TCP/IP)，点击“高级”打开WINS选项卡。 取消对启用LMHOSTS查询的选择，然后选择禁用TCP/IP上的NetBIOS。注意：停止掉TCP/IP NetBIOS Helper这个服务。17禁止guest帐号和一些无用帐号对所有卷的访问权限实施步骤： 查看系统或者别的重要分区的属性，是否everyone具有安全控制权限。 将everyone可以执行的权限分配删除，合理分配用户的权限。注意：有的目录在进行权限分配后会影响系统的正常运行，在进行权限时一定要慎重。18设置日志记录实施步骤： 打开 控制面板-管理工具-计算机管理 窗口 查看 系统工具-事件查看器 里面的属性 将日志文件的大小改为30MB（根据系统空间情况），覆盖周期从7天改为30天6 Solaris操作系统安全加固实践1补丁更新由SUN发布的Solaris系统补丁对于系统运行的安全性有非常重要的意义。建议由专人负责补丁的下载、记录、统计和管理工作，建立相应的补丁更新记录。实施步骤：1.1 以root身份登陆系统# su root；1.2 设置许可模式# umask 022；1.3 创建“patch”的目录，并确保“patch”目录所在的文件系统中有足够的磁盘空间。# mkdir /var/tmp/patch# cd /var/tmp/patch1.4 采用匿名的方式登陆到sunsolve()站。下载对应的操作系统版本的PatchReport文件，根据PatchReport文件下载对应的补丁文件，补丁文件包括Recommended补丁和独立补丁。解压大补丁包#unzip 7*Recommended.zip1.5 重新启动计算机到Single（单用户）模式并安装所有补丁：关闭系统；#/usr/sbin/shutdown -y -g0 -i0；启动到单用户模式；ok boot s；输入root帐号的密码；加载所有的文件系统；#mountall；进入刚才解压补丁后的目录：#cd /var/tmp/patch/*.Recommended/；输入命令安装补丁：./install_cluster注：可以忽略安装过程中的出错信息。大部分出错信息是报告该Solaris主机系统上没有安装一个特定的软件或已经安装过某个补丁的信息。重新启动计算机；Solaris的补丁是系统安全中重要组成部分，通常情况下安装补丁不会对系统造成任何不良的影响。安装过程中会出现若干安装错误提示，忽略不记。注意事项：在安装系统补丁的过程中不能够使系统断电或非正常安装完毕而重新启动系统，这样可能会造成系统不能正常启动的严重后果。2禁止危险的Remote网络服务实施步骤：2.1 如果没有特别的需求，应该停止所有R系列服务。建议在/etc/inet/inetd.conf文件中注释掉检测内容栏所列的行 进入inetd.conf目录#cd /etc/inet 打开inetd.conf写权限#chmod u+w /etc/inet/inetd.conf 编辑inetd.conf#vi /etc/inet/inetd.conf在如下相应行首前加”#”#login stream tcp nowait root /usr/sbin/in.rlogind in.rlogind#shell stream tcp nowait root /usr/sbin/in.rshd in.rshd#exec stream tcp nowait root /usr/sbin/in.rexecd in.rexecd#comsat dgram ucp wait root /usr/sbin/sat sat#talk dgram ucp wait root /usr/sbin/in.talkd in.talkd 关闭inetd.conf写权限#chmod u-w /etc/inet/inetd.conf 重新启动inetd进程#ps ef | grep inetd，取得inetd对应的PID#kill HUP PID（PID为inetd进程号）如果管理员觉得有必要保留R系列服务，需要严格配置/etc/hosts.equiv，确保其为空，同时检测$HOME/.rhost文件，严禁出现像“”这样的配置行。 查看hosts.equiv文件内容，确保内容为空。#cat /etc/hosts.equiv 查找所有.rhost文件，保证文件内无“+“配置行#find / -name .rhost 注意事项：在更改此文件前，需要作好备份工作：#cp -p /etc/inet/inetd.conf /etc/ inetd.conf.backup如果系统不是绝对需要保留R系列服务的话，关闭了R系列服务不会对系统造成任何不良的影响。3 禁止无用的危险网络服务实施步骤：如果没有特别的需求，应该停止这些服务。建议在/etc/inet/inetd.conf文件中注释掉检测内容栏所列的行,此项配置在重新启动inetd进程后生效。 进入inetd.conf目录#cd /etc/inet 打开inetd.conf写权限#chmod u+w /etc/inet/inetd.conf 编辑inetd.conf#vi /etc/inet/inetd.conf在如下相应行首前加”#”#printer stream tcp nowait root /usr/lib/print/in.lpd in.lpd#finger stream tcp nowait nobody /usr/sbin/in.fingerd in.fingerd#uucp stream tcp nowait root /usr/sbin/in.uucpd in.uucpd#name dgram udp wait root /usr/sbin/in.tnamed in.tnamed 关闭inetd.conf写权限#chmod u-w /etc/inet/inetd.conf 重新启动inetd进程：#ps ef | grep inetd，取得inetd对应的PID#kill HUP PID（PID为inetd进程号）。如果本机不需要提供邮件服务，屏蔽上述脚本；#mv /etc/rc2.d/S88sendmail /etc/rc2.d/s88sendmail如果确实需要提供邮件服务，考虑禁用Solaris自带的sendmail，换用其他更新结构的邮件系统，如：qmail、postfix等；注意事项：升级前备份邮件系统资料。4设置关键文件许可权限实施步骤： 修改inetd.conf文件权限#chmod 600 /etc/inet/inetd.conf5 telnet服务安全配置实施步骤：如果没有特别的需求，应该停止Telnet服务。建议在/etc/inet/inetd.conf文件中注释掉检测内容栏所列的行,此项配置在重新启动inetd进程后生效。 进入inetd.conf目录#cd /etc/inet 打开inetd.conf写权限#chmod u+w /etc/inet/inetd.conf 编辑inetd.conf#vi /etc/inet/inetd.conf在如下相应行首前加”#”#telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd 关闭inetd.conf写权限#chmod u-w /etc/inet/inetd.conf 重新启动inetd进程#ps ef | grep inetd，取得inetd对应的PID#kill HUP PID（PID为inetd进程号）。如果实际应用需要，无法关闭telnetd，则应该加强如下内容：l 系统中各个账号口令的强度，（严禁使用账号名，生日等作口令。）口令应该大小写结合、至少8位长度、包含特殊字符等；l 使用ssh或ssh2代替、包括加密TCP/Telnet服务；l 使用Tcp Wrapper限制可以使用本机Telnet服务的客户端IP，同时修改Banner，隐藏系统信息；注意事项：如果系统不是绝对需要保留Telnet服务的话，关闭了Telnet服务不会对系统造成任何不良的影响。6 ftp服务安全配置实施步骤：如果没有特别的需求，应该停止Ftp服务。建议在/etc/inet/inetd.conf文件中注释掉检测内容栏所列的行,此项配置在重新启动inetd进程后生效。 进入inetd.conf目录#cd /etc/inet 打开inetd.conf写权限#chmod u+w /etc/inet/inetd.conf 编辑inetd.conf#vi /etc/inet/inetd.conf在如下相应行首前加”#”#ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpd 关闭inetd.conf写权限#chmod u-w /etc/inet/inetd.conf 重启inetd进程#ps ef | grep inetd，取得inetd对应的PID#kill HUP PID（PID为inetd进程号）。如果因为实际应用需要，无法关闭ftpd，应该根据不同的需要加强ftpd的配置： 创建/etc/ftpusers文件：#touch /etc/ftpusers 编辑ftpusers文件#vi /etc/ftpusers把所有的系统账户加入到这个文件里, 使下述帐号无法通过FTP登陆系统： root daemon sys bin adm lp smtp uucp nuucp listen nobody noaccess news ingres audit admin sync nobody4 修改/etc/ftpuser文件的权限： # chmod 644 /etc/ftpusers 注意事项：l 如果系统不是绝对需要保留Ftp服务的话，关闭了Ftp服务不会对系统造成任何不良的影响；l 如果有运行Ftp服务器的需求，按照正常的配置方法配置后，同时不会对系统运行造成任何不良的影响。7 关闭动态路由实施步骤：创建notroute文件#touch /etc/notroute8设置口令策略实施步骤: 编辑/etc/default/passwd,#vi /etc/default/passwd 设置：PASSLENGTH=8 # 最短密码长度9禁止系统随带缺省不用的账号实施步骤： 编辑/etc/shadow #chmod u+w /etc/shadow#vi /etc/shadow 将需要禁止帐户的*用NP代替noaccess:NP:60002:60002:No Access User:/:/sbin/noshell#chmod u-w /etc/shadow需要禁止的帐户有:bin, daemon, adm, lp, smtp, sys, uucp, nuucp, noaccess10设置root用户的umask值实施步骤： 键入umask命令查询umask值#umask 检查/etc/default/login,确保umask为022#vi /etc/default/login11 审计root用户的登录信息和失败登录日志实施步骤： 修改login权限#chmod u+w /etc/default/login 编辑文件#vi /etc/default/login添加或编辑/etc/default/login文件如下入口： SYSLOG= YES #syslog记录root的登陆失败，成功的情况。 关闭login文件写权限#chmod u-w /etc/default/login12 防止遭受本地溢出和远程溢出攻击实施步骤： 修改login权限#chmod u+w /etc/system 编辑文件#vi /etc/system在/etc/system文件中加入：set noexec_user_stack=1 ?防止在堆栈中执行 set noexec_user_stack_log=1 ?当某人试图运行增加一个记录。 关闭system文件写权限#chmod u-w /etc/system在更改此文件前，需要作好备份工作：#cp -p /etc/system /etc/system.backup注意事项：此项设置能够满足对常规缓冲区溢出攻击程序的控制和记录工作，并且设置后不会对系统造成任何不良的影响，但是，随着现代缓冲区溢出攻击技术的日趋成熟，即使设置了不可执行堆栈，也不可能完全杜绝缓冲区溢出攻击。13禁止Root用户远程登陆实施步骤： 编辑/etc/default/login#vi /etc/default/login增加下面的内容：CONSOLE=/dev/console7 Oracle数据库系统安全加固实践Oracle虽然被称为是无法攻破的，但是已经被发现的安全漏洞还是非常多的。比较安全的解决办法是随时关注Oracle的安全公告，并及时安装安全补丁。由于涉及Oracle数据库的业务都是非常关键的，在安装安全补丁前一定要做好备份工作，并与Oracle公司或者你的应用系统开发商取得联系。Oracle安全公告和补丁位置如下：/deploy/security/alerts.htm除此之外，遵从下面的安全实践将能够大大提高Oracle数据库系统的安全程度。1 帐户安全设置实施步骤 ： 用命令SELECT 的DBA选项列出所有被授予了DBA角色的用户，根据需要分配用户角色，命令：SELECT GRANTEE FROM DBA_ROLE_PRIVS WHERE GRANTED=DBA 删除不需要的帐号，比如SCOTT等示例用户；对于不明确是否能删除的用户可以暂时锁定该用户，或赋予非常复杂的口令。删除用户及其所有的数据对象命令：drop user dbuser cascade取消用户角色权限：revoke connect from dbuser应检查的用户名包括：SCOTT, DBSNMP, TRACESVR, CTXSYS, MDSYS, DEMO, CTXDEMO, APPLSYS, PO8, NAMES, SYSADM, ORDPLUGIN, OUTLN, ADAMS, BLAKE, JONES, CLARK, AURORA$ORB$UNAUTHENTICATED, APPS。 修改口令文件PROFILE，防止利用空口令或默认口令进行连接：ALTER PROFILE DEFAULT LIMIT PASSWORD_LIFE_TIME 90;ALTER PROFILE DEFAULT LIMIT PASSWORD_GRACE_TIME 10; ALTER PROFILE DEFAULT LIMIT PASSWORD_LOCK_TIME 15;ALTER PROFILE DEFAULT LIMIT PASSWORD_REUSE_MAX 5;ALTER PROFILE DEFAULT LIMIT FAILED_LOGIN_ATTEMPTS 5;创建口令验证函数，在init.ora文件里创建口令验证参数OPS$。OS_AUTHENT_PREFIX =OPS$2 口令安全设置 实施步骤： 在文件/$oracle/admin/listener.ora 中添加下面字串：PASSWORDS_LISTENER_LISTENER=(password)Password为设置的数据库侦听口令。 数据库管理员应修改SYSTEM、SYS等特权用户的口令，和其它一些应用系统内部使用的（比如由中间件、通讯程序、维护程序等使用的）用户的口令。 修改口令文件PROFILE进行保护：ALTER PROFILE DEFAULT LIMIT PASSWORD_LIFE_TIME 90;ALTER PROFILE DEFAULT LIMIT PASSWORD_GRACE_TIME 10; ALTER PROFILE DEFAULT LIMIT PASSWORD_LOCK_TIME 15;ALTER PROFILE DEFAULT LIMIT PASSWORD_REUSE_MAX 5;ALTER PROFILE DEFAULT LIMIT FAILED_LOGIN_ATTEMPTS 5;创建口令验证函数，在init.ora文件里创建口令验证参数OPS$。OS_AUTHENT_PREFIX =OPS$3数据库目录和文件的权限设置实施步骤： 修改Oracle 目录下的子目录属性为755或755小于的属性。设置Oracle目录的Suid 和Sgid合理。 与应用系统开发商确认是否有用户需要使用UTL_FILE程序包。如果没有用户使用，应收回普通用户对该包的执行权限。 如果确实有用户需要使用UTL_FILE包，应确保只有确实需要的用户才拥有UTL_FILE的执行权。同时在init.ora中设定参数“UTL_FILE_DIR”使用UTL_FILE包的程序确实需要访问的目录。 与应用系统开发商商议，是否可以改变DB_LINK的创建方式，在创建DB_LINK时不指定用户名和口令。4日志管理实施步骤：执行SET AUTOTRACE ON命令将启动AUTOTRACE功能，定期查看警告文件oradbALRT.LOG里的，以期尽快发现数据库用户连接、触发等警告信息。注意事项：启用检查数据库警告信息不会对数据库造成影响。如果设置SET AUTOTRACE ON应用系统会产生大量的警告信息，造成硬盘空间大量占用，请管理员权衡利弊。5 限制访问客户端IP 实施步骤：数据库监听客户端IP地址的连接记录，存储在/$oracle/log/listener.log文件里，请管理员定期查看和分析该日志文件。在/$oracle/network/admin目录下修改SQLNET.ORA文件，增加如下内容：tcp.validnode_checking=YEStcp.invalidnodes=(.test)对于访问数据库客户端IP的限制，借助操作系统或者防火墙等设备实现也是可行的。WIN2003服务器安全加固方案阅读提示：因为IIS(即Internet Information Server)的方便性和易用性，使它成为最受欢迎的Web服务器软件之一。但是，IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web服务器，是很多人关心的话题。 因为IIS(即Internet Information Server)的方便性和易用性，使它成为最受欢迎的Web服务器软件之一。但是，IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web服务器，是很多人关心的话题。要创建一个安全可靠的Web服务器，必须要实现Windows 2003和IIS的双重安全，因为IIS的用户同时也是Windows 2003的用户，并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全，所以要对服务器进行安全加固，以免遭到黑客的攻击，造成严重的后果。二我们通过一下几个方面对您的系统进行安全加固：1 系统的安全加固：我们通过配置目录权限，系统安全策略，协议栈加强，系统服务和访问控制加固您的系统，整体提高服务器的安全性。2 IIS手工加固：手工加固iis可以有效的提高iweb站点的安全性，合理分配用户权限，配置相应的安全策略，有效的防止iis用户溢出提权。3 系统应用程序加固，提供应用程序的安全性，例如sql的安全配置以及服务器应用软件的安全加固。三系统的安全加固：1目录权限的配置：1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权限并对特殊的目录作可写权限。1.2 系统所在分区下的根目录都要设置为不继承父权限，之后为该分区只赋予Administrators和SYSTEM有完全控制权。1.3 因为服务器只有管理员有本地登录权限，所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权，其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以轻松的调取这个配置文件。1.4 配置Program files目录，为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。1.5 配置Windows目录，其实这一块主要是根据自身的情况如果使用默认的安全设置也是可行的，不过还是应该进入SYSTEM32目录下，将 cmd.exe、ftp.exe、net.exe、scrrun.dll、shell.dll这些杀手锏程序赋予匿名帐号拒绝访问。16审核MetBase.bin，C:WINNTsystem32inetsrv目录只有administrator只允许Administrator用户读写。2组策略配置:在用户权利指派下，从通过网络访问此计算机中删除Power Users和Backup Operators；启用不允许匿名访问SAM帐号和共享；启用不允许为网络验证存储凭据或Passport；从文件共享中删除允许匿名登录的DFS$和COMCFG；启用交互登录：不显示上次的用户名；启用在下一次密码变更时不存储LANMAN哈希值；禁止IIS匿名用户在本地登录；3.本地安全策略设置:开始菜单管理工具本地安全策略A、本地策略审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪无审核审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败注：在设置审核登陆事件时选择记失败，这样在事件查看器里的安全日志就会记录登陆失败的信息。B、本地策略用户权限分配关闭系统：只有Administrators组、其它全部删除。通过终端服务拒绝登陆：加入Guests、User组通过终端服务允许登陆：只加入Administrators组，其他全部删除C、本地策略安全选项交互式登陆：不显示上次的用户名启用网络访问：不允许SAM帐户和共享的匿名枚举启用网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿名访问的共享全部删除网络访问：可匿名访问的命全部删除网络访问：可远程访问的注册表路径全部删除网络访问：可远程访问的注册表路径和子路径全部删除帐户：重命名来宾帐户重命名一个帐户帐户：重命名系统管理员帐户重命名一个帐户4本地账户策略：在账户策略-密码策略中设定：密码复杂性要求启用密码长度最小值 6位强制密码历史 5次最长存留期 30天在账户策略-账户锁定策略中设定：账户锁定 3次错误登录锁定时间 20分钟复位锁定计数 20分钟5. 修改注册表配置：5.1 通过更改注册表local_machinesystemcurrentcontrolsetcontrollsa-restrictanonymous = 1来禁止139空连接5.2 修改数据包的生存时间(ttl)值hkey_local_machinesystemcurrentcontrolsetservicestcpipparametersdefaultttl reg_dword 0-0xff(0-255 十进制,默认值128) 5.3 防止syn洪水攻击hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters synattackprotect reg_dword 0x2(默认值为0x0) 5.4禁止响应icmp路由通告报文hkey_local_machinesystemcurrentcontrolsetservicestcpipparametersinterfacesinterface performrouterdiscovery reg_dword 0x0(默认值为0x2) 5.5防止icmp重定向报文的攻击hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters enableicmpredirects reg_dword 0x0(默认值为0x1) 5.6不支持igmp协议hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters5.7修改3389默认端口:运行 Regedt32 并转到此项：HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp, 找到“PortNumber”子项，您会看到值 000