记录用户列表
实施步骤
1、参考配置操作
sp_addlogin 'user_name_1','password1'
sp_addlogin 'user_name_2','password2'
或在企业管理器中直接添加远程登陆用户
建立角色，并给角色授权，把角色赋给不同的用户或修改用户属性中的角色和权限
2、补充操作说明
回退方案
替换会原来启动账号
判断依据
判定条件
查看启动账号权限.
实施风险
高
重要等级
★★★
备注
1.1.4
编号
SHG-Mssql-01-01-04
名称
权限最小化
实施目的
在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。
问题影响
账号权限越大,对系统的威胁性越高
系统当前状态
记录用户拥有权限
实施步骤
判断依据
业务测试正常
实施风险
高
重要等级
★
备注
1.1.5
编号
SHG-Mssql-01-01-05
名称
数据库角色
实施目的
使用数据库角色（ROLE）来管理对象的权限。
问题影响
账号管理混乱
系统当前状态
记录对应数据库用户角色权限
实施步骤
a)企业管理器-〉数据库-〉对应数据库-〉角色-中创建新角色；
b)调整角色属性中的权限，赋予角色中拥有对象对应的SELECT、INSERT、UPDATE、DELETE、EXEC、DRI权限
在用户上点右键选择删除
回退方案
增加删除的帐户
判断依据
询问管理员,哪些账号是无效账号
实施风险
高
重要等级
★★★
备注
1.1.3
编号
SHG-Mssql-01-01-03
名称
限制启动账号权限
实施目的
限制账号过高的用户启动sql server
问题影响
启动mssql的账号权限过高,会导致其子进程具有相同权限.
系统当前状态
回退方案
设置安全属性到原先状态
判断依据
判定条件
登录测试，检查相关信息是否被记录
实施风险
低
重要等级
★★★
备注
3
3.1.1
编号
SHG-Mssql-03-01-01
名称
网络协议
实施目的
除去不必要的服务
问题影响
增加数据库安全隐患
系统当前状态
在Microsoft SQL Server程序组,运行服务网络实用工具,查看协议列表
实施步骤
参考配置操作
在Microsoft SQL Server程序组,运行服务网络实用工具。建议只使用TCP/IP协议，禁用其他协议。
回退方案
添加删除的协议
判断依据
判定条件
在Microsoft SQL Server程序组,运行服务网络实用工具,查看协议列表,查看是否有多余协议.
实施风险
高
重要等级
★★
问题影响
允许非法利用系统默认账号
系统当前状态
use master
Select name,password from syslogins order by name
记录用户列表
实施步骤
1、考配置操作
Mssql企业管理器->SQL Server组
->(Local)(Windows NT)->安全性->登录
Mssql企业管理器->SQL Server组
->(Local)(Windows NT)-属性(右键)-安全性
实施步骤
1、参考配置操作
新建SQL server服务账号后，建议将其从User组中删除，且不要把该账号提升为Administrators组的成员。授予以下windows SQLRunAs账户最少的权限启动SQL Server数据库。
回退方案
恢复用户密码到原来状态
判断依据
Select name,Password from syslogins where password is null order by name
查看是否有账号为密码
实施风险
高
重要等级
★
备注
2
2.1.1
编号
SHG-Mssql-02-01-01
名称
启用日志记录功能
实施目的
Mssql数据库系统加固规范
2019年8月
目 录
1
1.1.1
编号
SHG-Mssql-01-01-01
名称
为不同的管理员分配不同的账号
实施目的
应按照用户分配账号，避免不同用户间共享账号,提高安全性。
问题影响
账号混淆，权限不明确，存在用户越权使用的可能。
系统当前状态
use master
Select name,password from syslogins order by name
回退方案
删除相应的角色
判断依据
对应用户不要赋予不必要的权限
实施风险
高
重要等级
★
备注
1.1.6
编号
SHG-Mssql-01-01-06
名称
空密码
实施目的
对用户的属性进行安全检查，包括空密码、密码更新时间等。修改目前所有账号的口令，确认为强口令。特别是sa账号，需要设置至少10位的强口令。
问题影响
账号安全性低.
1、user_name_1和user_name_1是两个不同的账号名称，可根据不同用户，取不同的名称；
回退方案
删除添加的用户
判断依据
询问管理员是否安装需求分配用户账号
实施风险
高
重要等级
★★★
备注
1.1.2
编号
SHG-Mssql-01-01-02
名称
删除或锁定无效账号
实施目的
删除或锁定无效的账号，减少系统安全隐患。
备注
3.1.2
编号
SHG-Mssql-03-01-02
名称
加固TCP/IP协议栈
实施目的
加固TCP/IP协议栈,加强系统防御网络攻击能力.
1、参考配置操作
a)更改数据库属性，取消业务数据库帐号不需要的服务器角色；
b)更改数据库属性，取消业务数据库帐号不需要的“数据库访问许可”和“数据库角色中允许”中不需要的角色。
2、补充操作说明
操作a)用于修改数据库帐号的最小系统角色
操作b)用于修改用户多余数据库访问许可权限和数据库内角色
回退方案
还原添加或删除的权限
数据库应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址。
问题影响
无法对用户的登陆进行日志记录
系统当前状态
打开数据库属性,查看安全属性
实施步骤
打开数据库属性，选择安全性，将安全性中的审计级别调整为“全部”，身份验证调整为“SQL Server和Windows”
系统当前状态
select * from sysusers
Select name,Password from syslogins where password is null order by name #查看口令为空的用户
实施步骤
Use master
exec sp_password‘旧口令’，‘新口令’,用户名