安全加固
安全加固的目的是提高操作系统安全防御能力。
安全加固概述
安全加固的目的是提高操作系统和数据库的防御能力。
安全加固将对eSight服务器做以下操作:
- 关闭eSight不需要使用的系统服务,降低被远程恶意攻击的可能性;
- 严格限制系统的文件权限和环境变量,降低系统被越权操作的可能性。
安全加固的对象
安全加固的主要对象是操作系统和数据库。
加固对象 |
加固方法 |
|---|---|
Windows操作系统 |
使用SetWin工具加固。 |
SQL Server数据库 |
使用加固脚本加固。 |
安全加固的场景
在业务安装调测后、备份恢复后需要进行安全加固。如果系统已被加固,则在卸载前,需要回退安全加固。
操作 |
场景 |
说明 |
|---|---|---|
执行安全加固 |
安装后 |
完成安装调测后,需要对各部件所在的系统进行安全加固,增强系统安全性。 |
回退安全加固 |
卸载前 |
卸载前,如果操作系统已经执行过安全加固,需要回退安全加固,否则可能导致卸载失败。 |
安全加固的影响
- 对操作系统的影响
- Windows操作系统加固后,由于加固策略中会限制部分服务,所以部分服务将不可使用。
具体请参见加固策略包中的加固项说明。
- Windows操作系统加固后,“Administrator”用户帐号将被重命名为“SWMaster”。
具体请参见加固策略包中的加固项说明。
- Windows操作系统加固后,部分加固项无法回退,如表10-3所示。
- Windows操作系统加固后,由于加固策略中会限制部分服务,所以部分服务将不可使用。
- 对数据库的影响
数据库加固后会调整部分数据库参数、用户权限等设置。
- 对业务的影响
加固和回退过程需要停止网管系统,此时网管业务不可用。
加固Windows操作系统
您可以参考本章内容加固Windows操作系统。
安装SetWin工具
SetWin工具用于加固Windows操作系统,本节介绍SetWin工具的详细安装步骤。
背景信息
SetWin是一个独立的工具,用来保护操作系统免受攻击和漏洞的威胁。SetWin根据全工业接受基准(如CIS)推荐的设置进行了预配置。
操作步骤
- 以Administrator用户登录需要执行加固的操作系统。
- 双击SetWin安装文件。选择安装语言,单击“OK”。
- 单击“下一步”。
- 选择“我接受“许可证协议”中的条款(A)”,单击“下一步”。
- 选择安装目录(默认为“C:\Program Files (x86)\Huawei\SetWin”),单击“下一步”。
- 选择“没有配置文件”,单击“安装”。
- 系统提示“没有任何配置文件,安装将继续进行”。单击“是”。
系统开始安装并显示安装进度和详细信息。
- 安装完成后,取消选中“运行 SecureCAT Setwin 3.0.0.1(R)”,单击“完成”。
- 安装成功后,请删除服务器上的安装包和临时文件。
使用SetWin加固Windows操作系统
您可以使用SetWin工具加固Windows操作系统。在执行加固操作时,请您务必遵循操作步骤。
前提条件
已经停止eSight,具体请参见停止eSight服务。
操作步骤
- 以Administrator用户登录服务器。
- 在“Windows 日志”界面检查应用程序日志、安全日志、设置日志和系统日志大小。
安全日志、应用程序日志、系统日志的大小应均不大于20MB,设置日志的大小不大于1MB。
表10-5 Windows 日志入口Windows版本
操作入口
Windows Server 2012 R2系统
右键单击“开始”,选择“计算机管理”。
在“计算机管理”界面,选择“计算机管理 > 系统工具 > 事件查看器 > Windows 日志”。
Windows Server 2008 R2系统
- 在“开始”菜单中,右键单击“计算机”,选择“管理”。
- 在“服务器管理器”界面,选择“诊断 > 事件查看器 > Windows 日志”。
- 通过右键选择“以管理员身份运行”来运行SetWin工具,弹出“初始化备份”对话框。
- 选择备份路径,单击“确定”。
备份完成后,系统显示“备份完成”。
- 单击“确定”。
系统会提示“没有配置文件或者配置文件损坏,请导入有效的配置文件”。单击“确定”。
- 在菜单栏上,选择“配置 > 导入配置文件”。
- 选择对应操作系统安全加固配置文件“eSight_Win2012R2_SetWin.zip”,单击“打开”。
- 系统提示“导入成功”。单击“OK”。
导入的策略显示在SetWin主界面中。
查看每个加固项详细说明的方法如下:
- 在SetWin工具上选择“帮助 > SetWin 帮助内容”。
- 在打开的帮助手册上单击“搜索”页签,并且输入加固项名称。
- 单击“列出主题”。
- 根据加固项导航,找到对应的主题页,了解加固项详细信息。
- 在菜单栏上,选择“策略 > 执行”。
- 在弹出的对话框中,单击“是”。
- 系统提示“你需要创建备份点吗?”,单击“是”,选择备份的路径进行备份。
保存当前策略并创建回退的策略备份点,否则无法进行回退安全加固。
- 备份完成后,系统提示“备份完成”。单击“确定”。
- 在“策略已配置”对话框中,单击“是”,执行安全加固。
- 加固完成后,系统提示“执行完成”,单击“确定”。
- 系统提示“请重启系统让所有策略生效。需要现在重启?”。单击“是”,重启系统。
- 策略生效后,管理员帐号由Administrator变更为SWMaster,访客帐号由guest变更为SWVisitor。对应的密码不会变更。
- 安全加固后,只允许使用“SWMaster”用户登录操作系统。
加固SQL Server数据库
您可以参看本章内容加固SQL Server数据库。
操作步骤
- 以administrator用户登录SQL Server服务器。
- 在eSight安装目录下,打开“eSight\mttools\tools\securityharden\SQLServer”。
- 运行“SQLServer.bat”文件启动数据库加固。
Please input the host IP:
- 输入需要加固的eSight数据库IP地址,IP为127.0.0.1,按“Enter”。
Please input the Dbuser:
- 输入数据库管理员用户名,默认数据库管理员用户名为“sa”,按“Enter”。
Please input the DbPassword:
- 输入数据库管理员用户密码,按“Enter”。初始密码请参见随版本发布的《eSight 用户清单》(Support网站获取路径:https://support.huawei.com/carrier/docview?nid=DOC1100897231;Support-E网站获取路径:https://support.huawei.com/enterprise/zh/doc/EDOC1100230258)。
- 输入数据库端口:1433,按“Enter”。
系统开始对SQL Server数据库进行安装加固。
加固完成后,显示类似如下信息。
harden SQLServer Success
