Microsoft SQL Server数据库系统安全配置基线中国移动通信公司管理信息系统部2012年 4月版本版本控制信息更新日期更新人审批人V1.0 创建2009年1月V2.0 更新2012年4月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (4)1.1适用范围 (4)1.2适用版本 (4)1.3实施 (4)1.4例外条款 (4)第2章帐号与口令 (5)2.1口令安全 (5)2.1.1删除不必要的帐号* (5)2.1.2SQLServer用户口令安全 (5)2.1.3根据用户分配帐号避免帐号共享* (6)2.1.4分配数据库用户所需的最小权限* (6)2.1.5网络访问限制* (7)第3章日志 (8)3.1日志审计 (8)3.1.1SQLServer登录审计* (8)3.1.2SQLServer安全事件审计* (8)第4章其他 (10)4.1安全策略 (10)4.1.1通讯协议安全策略* (10)4.2更新补丁 (10)4.2.1补丁要求* (10)4.3存储保护 (11)4.3.1停用不必要存储过程* (11)第5章评审与修订 (13)第1章概述本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的SQL Server 数据库应当遵循的数据库安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行SQL Server 数据库的安全合规性检查和配置。

1.1 适用范围本配置标准的使用者包括：数据库管理员、应用管理员、网络安全管理员。

本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的SQL Server数据库系统。

1.2 适用版本SQL Server系列数据库。

1.3 实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.4 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

第2章帐号与口令2.1 口令安全2.1.1删除不必要的帐号*安全基线项目名称数据库管理系统SQLServer用户安全基线要求项安全基线SBL-SQLServer-02-01-01安全基线项说明应删除与数据库运行、维护等工作无关的帐号。

检测操作步骤参考配置操作SQL SERVER企业管理器-〉安全性-〉登陆中删除无关帐号；SQL SERVER企业管理器-〉数据库-〉对应数据库-〉用户中删除无关帐号；基线符合性判定依据首先删除不需要的用户，已删除数据库不能登陆使用在MS SQL SERVER查询分析器的登陆界面中使用已删除帐号登陆备注手工检查2.1.2SQLServer用户口令安全安全基线项目名称数据库管理系统SQLServer用户口令安全基线要求项安全基线SBL-SQLServer-02-01-02安全基线项说明对用户的属性进行安全检查，包括空密码、密码更新时间等。

修改目前所有帐号的口令，确认为强口令。

特别是sa 帐号，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。

且5次以内不得设置相同的口令。

密码应至少每90天进行更换。

检测操作步骤1.检查password字段是否为null。

2.参考配置操作查看用户状态运行查询分析器，执行select * from sysusersSelect name,Password from syslogins where password is null order by name # 查看口令为空的用户基线符合性password字段不为null。

判定依据备注2.1.3根据用户分配帐号避免帐号共享*安全基线项数据库管理系统SQLServer共享帐号安全基线要求项目名称安全基线SBL-SQLServer-02-01-03安全基线项应按照用户分配帐号，避免不同用户间共享帐号。

说明检测操作步1、参考配置操作骤sp_addlogin 'user_name_1','password1'sp_addlogin 'user_name_2','password2'或在企业管理器中直接添加远程登陆用户建立角色，并给角色授权，把角色赋给不同的用户或修改用户属性中的角色和权限2、检测方法：在查询分析器中用user_name_1/password1连接数据库成功3、补充操作说明user_name_1和user_name_1是两个不同的帐号名称，可根据不同用户，取不同的名称；基线符合性不同名称的用户可以连接数据库判定依据备注建议手工检查2.1.4分配数据库用户所需的最小权限*安全基线项数据库管理系统SQLServer共享帐号安全基线要求项目名称安全基线SBL-SQLServer-02-01-04安全基线项说明在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。

检测操作步骤1.更改数据库属性，取消业务数据库帐号不需要的服务器角色；2.更改数据库属性，取消业务数据库帐号不需要的“数据库访问许可”和“数据库角色中允许”中不需要的角色。

基线符合性判定依据1.更改数据库属性，取消业务数据库帐号不需要的服务器角色；2.更改数据库属性，取消业务数据库帐号不需要的“数据库访问许可”和“数据库角色中允许”中不需要的角色。

备注建议手工检查2.1.5网络访问限制*安全基线项目名称数据库管理系统SQLServer共享帐号安全基线要求项安全基线SBL-SQLServer-02-01-05安全基线项说明通过数据库所在操作系统或防火墙限制，只有信任的IP 地址才能通过监听器访问数据库。

检测操作步骤在防火墙中做限制，只允许与指定的IP 地址建立1433 的通讯。

当然，从更为安全的角度来考虑，应该把1433 端口改成其他的端口。

1. 在“Windows 防火墙”对话框中，单击“例外”选项卡。

2. 单击“添加端口”。

3. 键入您要允许的端口名称，键入端口号，然后单击“TCP”或“UDP”以提示这是TCP 还是UDP 端口。

4. 单击“更改范围”。

5. 指定要为其阻止此端口的一系列计算机，然后单击“确定”。

基线符合性判定依据无关IP不允许连接1433端口备注建议手工检查第3章日志3.1 日志审计3.1.1SQLServer登录审计*安全基线项数据库管理系统SQLServer登录审计安全基线要求项目名称安全基线编SBL-SQLServer-03-01-01号安全基线项数据库应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用说明的帐号、登录是否成功、登录时间。

检测操作步打开数据库属性，选择安全性，将安全性中的审计级别调整为“全部”骤登录成功和失败测试，检查相关信息是否被记录基线符合性判定依据备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。

3.1.2SQLServer安全事件审计*安全基线项数据库管理系统SQLServer安全事件审计安全基线要求项目名称安全基线编SBL-SQLServer-03-01-02号安全基线项数据库应配置日志功能，记录对与数据库相关的安全事件。

说明检测操作步打开企业管理器，查看数据库“管理”中的“SQL Server日志”，查看当前的骤日志记录和存档的日志记录是否包含相关数据库安全事件1、参考配置操作数据库默认开启日志记录2、补充操作说明增加帐号登陆审计：打开数据库属性，选择安全性，将安全性中的审计级别调整为“全部”。

基线符合性SQL Server日志中是否存在数据库相关事件日志信息。

判定依据备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。

第4章其他4.1 安全策略4.1.1通讯协议安全策略*安全基线项目名称数据库管理系统SQLServer通讯协议安全基线要求项安全基线编号SBL-SQLServer-04-01-01安全基线项说明使用通讯协议加密。

检测操作步骤参考配置操作启动服务器网络配置工具，查看“常规”设置基线符合性判定依据“常规”设置为“强制协议加密”。

备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。

4.2 更新补丁4.2.1补丁要求*安全基线项目名称数据库管理系统SQLServer补丁安全基线要求项安全基线编号SBL-SQLServer-04-02-01安全基线项说明为系统打最新的补丁包。

检测操作步骤检查当前所有已安装的数据库产品的版本信息，运行SQL查询分析器，执行：select @@version安装补丁详细操作请参照其中的readme文件基线符合性判定依据确保SQL Server的补丁为最新的。

下载并安装最新的补丁对于如下SQL Server2000的版本相应的补丁号是必须的：8.00.194 －------SQL Server 2000 RTM8.00.384 －------(SP1)8.00.534 －------(SP2)8.00.760 －------(SP3)8.00.2039－------(SP4)备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。

4.3 存储保护4.3.1停用不必要存储过程*安全基线项目名称数据库管理系统SQLServer存储保护基线要求项安全基线编号SBL-SQLServer-04-03-01安全基线项说明停用不必要的存储过程检测操作步骤1、参考配置操作首先确认下面的扩展存储过程不会被使用，然后删除下面的这些存储过程。

去掉xp_cmdshell扩展存储过程，使用：use mastersp_dropextendedproc 'xp_cmdshell'同上类似语句，删除以下的扩展存储过程：Sp_OACreateSp_OADestroySp_OAGetErrorInfoSp_OAGetPropertySp_OAMethodSp_OASetPropertySp_OAStopXp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvaluesXp_regremovemultistringxp_sdidebugxp_availablemediaxp_cmdshellxp_deletemailxp_dirtreexp_dropwebtaskxp_dsninfoxp_enumdsnxp_enumerrorlogsxp_enumgroupsxp_enumqueuedtasksxp_eventlogxp_findnextmsgxp_fixeddrivesxp_getfiledetailsxp_getnetnamexp_grantloginxp_logeventxp_loginconfigxp_logininfoxp_makewebtaskxp_msver xp_perfendxp_perfmonitorxp_perfsamplexp_perfstartxp_readerrorlogxp_readmailxp_revokeloginxp_runwebtaskxp_schedulersignalxp_sendmailxp_servicecontrolxp_snmp_getstatexp_snmp_raisetrapxp_sprintfxp_sqlinventoryxp_sqlregisterxp_sqltracexp_sscanfxp_startmailxp_stopmailxp_subdirsxp_unc_to_drivexp_dirtree基线符合性调用存储过程，检查是否存在判定依据备注建议手工检查第5章评审与修订本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。