当前位置:
文档之家› sqlserver数据库系统加固规范
sqlserver数据库系统加固规范
1、 参考配置操作
sp_addlogin 'user_name_1','password1' sp_addlogin 'user_name_2','password2'
或在企业管理器中直接添加远程登陆用户
实施步骤
建立角色,并给角色授权,把角色赋给不同的用户或修改用 户属性中的角色和权限 2、 补充操作说明 1、user_name_1 和 user_name_1 是两个不同的账号名 称,可根据不同用户,取不同的名称;
1.1.4 SHG-Mssql-01-01-04 编号 名称 实施目的 问题影响 系统当前状态 SHG-Mssql-01-01-04 权限最小化 在数据库权限配置能力内,根据用户的业务需要, 配置其所需的最小权限。 账号权限越大,对系统的威胁性越高 记录用户拥有权限
1、 参考配置操作 a) 更改数据库属性,取消业务数据库帐号不需要的服务器 角色; b) 更改数据库属性,取消业务数据库帐号不需要的“数据
2
日志配置 ........................................................................................................................... 7 2.1.1 SHG-Mssql-02-01-01 ........................................................................................... 7
1 账号管理、认证授权
1.1.1 SHG-Mssql-01-01-01 编号 名称 实施目的 问题影响 SHG-Mssql-01-01-01 为不同的管理员分配不同的账号 应按照用户分配账号,避免不同用户间共享账号, 提高安全性。 账号混淆,权限不明确,存在用户越权使用的可能。 use master 系统当前状态 Select name,password from syslogins order by name 记录用户列表
实施风险 重要等级 备注
高 ★
2 日志配置
2.1.1 SHG-Mssql-02-01-01 编号 名称 实施目的 问题影响 系统当前状态 SHG-Mssql-02-01-01 启用日志记录功能 数据库应配置日志功能,对用户登录进行记录,记 录内容包括用户登录使用的账号、登录是否成功、 登录时间以及远程登录时用户使用的 IP 地址。 无法对用户的登陆进行日志记录
实施风险 重要等级 备注
高 ★★
3.1.2 SHG-Mssql-03-01-02 编号 SHG-Mssql-03-01-02
名称 实施目的 问题影响
ห้องสมุดไป่ตู้
加固 TCP/IP 协议栈 加固 TCP/IP 协议栈,加强系统防御网络攻击能力.
网络防御能力弱. 查看 HKLM\System\CurrentControlSet\Services\ Tcpip\Parameters\ DisableIPSourceRouting HKLM\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters\ EnableICMPRedirect HKLM\System\CurrentControlSet\Services\ Tcpip\Parameters\SynAttackProtect 注册表键值 参考配置操作 对于 TCP/IP 协议栈的加固主要是某些注册表键值的 修改。主要是以下几个: HKLM\System\CurrentControlSet\Services\Tcpip\ Parameters\DisableIPSourceRouting 说明:该键值应设为 2,以防御源路由欺骗攻击。 HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\ Parameters\EnableICMPRedirect 说明:该键值应设为 0,以 ICMP 重定向。 HKLM\System\CurrentControlSet\Services\Tcpip\ Parameters\SynAttackProtect 说明:该键值应设为 2,防御 SYN FLOOD 攻击。
回退方案
删除添加的用户
判断依据 实施风险 重要等级 备注
询问管理员是否安装需求分配用户账号 高 ★★★
1.1.2 SHG-Mssql-01-01-02 编号 名称 实施目的 问题影响 SHG-Mssql-01-01-02 删除或锁定无效账号 删除或锁定无效的账号,减少系统安全隐患。 允许非法利用系统默认账号 use master 系统当前状态 Select name,password from syslogins order by name 记录用户列表 1、参考配置操作 Mssql 企业管理器-> SQL Server 组 实施步骤 ->(Local)(Windows NT)->安全性->登录 在用户上点右键选择删除 回退方案 判断依据 实施风险 重要等级 备注 增加删除的帐户 询问管理员,哪些账号是无效账号 高 ★★★
新建 SQL server 服务账号后,建议将其从 User 组中删除, 且不要把该账号提升为 Administrators 组的成员。授予以
系统当前状态
实施步骤
下 windows SQLRunAs 账户最少的权限启动 SQL Server 数据 库。
回退方案 判断依据 实施风险 重要等级 备注
替换会原来启动账号 判定条件 查看启动账号权限. 高 ★★★
系统当前状态
null order by name # 查看口令为空的用户
Use master exec sp_password ‘旧口令’‘新口令’,用户名 ,
实施步骤
回退方案 判断依据
恢复用户密码到原来状态
Select name,Password from syslogins where password is null order by name 查看是否有账号为密码
3
通信协议 ........................................................................................................................... 8 3.1.1 3.1.2 3.1.3 SHG-Mssql-03-01-01 ........................................................................................... 8 SHG-Mssql-03-01-02 ........................................................................................... 8 SHG-Mssql-03-01-04 ......................................................................................... 10
4
设备其他安全要求 .........................................................................................................11 4.1.1 4.1.2 SHG-Mssql-04-01-01 ..........................................................................................11 SHG-Mssql-04-01-02 ......................................................................................... 14
a) 企业管理器-〉数据库-〉对应数据库-〉角色-中创建新角 色; b) 调整角色属性中的权限,赋予角色中拥有对象对应的 SELECT、INSERT、UPDATE、DELETE、EXEC、DRI 权限
实施步骤
回退方案 判断依据 实施风险 重要等级 备注
删除相应的角色 对应用户不要赋予不必要的权限 高 ★
打开数据库属性,查看安全属性 打开数据库属性,选择安全性,将安全性中的审计级别调整
实施步骤
为“全部” ,身份验证调整为“SQL Server 和 Windows”
回退方案 判断依据
设置安全属性到原先状态 判定条件 登录测试,检查相关信息是否被记录
实施风险 重要等级 备注
低 ★★★
3 通信协议
3.1.1 SHG-Mssql-03-01-01 编号 名称 实施目的 问题影响 系统当前状态 SHG-Mssql-03-01-01 网络协议 除去不必要的服务 增加数据库安全隐患
1.1.3 SHG-Mssql-01-01-03 编号 名称 实施目的 问题影响 SHG-Mssql-01-01-03 限制启动账号权限 限制账号过高的用户启动 sql server 启动 mssql 的账号权限过高,会导致其子进程具有 相同权限. Mssql 企业管理器-> SQL Server 组 ->(Local)(Windows NT)-属性(右键)-安全性 1、参考配置操作
实施步骤
库访问许可”和“数据库角色中允许”中不需要的角色。 2、 补充操作说明
操作 a)用于修改数据库帐号的最小系统角色
操作 b)用于修改用户多余数据库访问许可权限和数据库内 角色
回退方案 判断依据 实施风险 重要等级 备注
还原添加或删除的权限 业务测试正常 高 ★