Mssql数据库系统加固规范VWord下载.doc
《Mssql数据库系统加固规范VWord下载.doc》由会员分享,可在线阅读,更多相关《Mssql数据库系统加固规范VWord下载.doc(17页珍藏版)》请在冰豆网上搜索。
4.1.2 SHG-Mssql-04-01-02 14
1账号管理、认证授权
1.1.1SHG-Mssql-01-01-01
编号
SHG-Mssql-01-01-01
名称
为不同的管理员分配不同的账号
实施目的
应按照用户分配账号,避免不同用户间共享账号,提高安全性。
问题影响
账号混淆,权限不明确,存在用户越权使用的可能。
系统当前状态
usemaster
Selectname,passwordfromsysloginsorderbyname
记录用户列表
实施步骤
1、参考配置操作
sp_addlogin'
user_name_1'
'
password1'
user_name_2'
password2'
或在企业管理器中直接添加远程登陆用户
建立角色,并给角色授权,把角色赋给不同的用户或修改用户属性中的角色和权限
2、补充操作说明
1、user_name_1和user_name_1是两个不同的账号名称,可根据不同用户,取不同的名称;
回退方案
删除添加的用户
判断依据
询问管理员是否安装需求分配用户账号
实施风险
高
重要等级
★★★
备注
1.1.2SHG-Mssql-01-01-02
SHG-Mssql-01-01-02
删除或锁定无效账号
删除或锁定无效的账号,减少系统安全隐患。
允许非法利用系统默认账号
1、参考配置操作
Mssql企业管理器->
SQLServer组
->
(Local)(WindowsNT)->
安全性->
登录
在用户上点右键选择删除
增加删除的帐户
询问管理员,哪些账号是无效账号
1.1.3SHG-Mssql-01-01-03
SHG-Mssql-01-01-03
限制启动账号权限
限制账号过高的用户启动sqlserver
启动mssql的账号权限过高,会导致其子进程具有相同权限.
(Local)(WindowsNT)-属性(右键)-安全性
新建SQLserver服务账号后,建议将其从User组中删除,且不要把该账号提升为Administrators组的成员。
授予以下windowsSQLRunAs账户最少的权限启动SQLServer数据库。
替换会原来启动账号
判定条件
查看启动账号权限.
1.1.4SHG-Mssql-01-01-04
SHG-Mssql-01-01-04
权限最小化
在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
账号权限越大,对系统的威胁性越高
记录用户拥有权限
a)更改数据库属性,取消业务数据库帐号不需要的服务器角色;
b)更改数据库属性,取消业务数据库帐号不需要的“数据库访问许可”和“数据库角色中允许”中不需要的角色。
操作a)用于修改数据库帐号的最小系统角色
操作b)用于修改用户多余数据库访问许可权限和数据库内角色
还原添加或删除的权限
业务测试正常
★
1.1.5SHG-Mssql-01-01-05
SHG-Mssql-01-01-05
数据库角色
使用数据库角色(ROLE)来管理对象的权限。
账号管理混乱
记录对应数据库用户角色权限
a)企业管理器-〉数据库-〉对应数据库-〉角色-中创建新角色;
b)调整角色属性中的权限,赋予角色中拥有对象对应的SELECT、INSERT、UPDATE、DELETE、EXEC、DRI权限
删除相应的角色
对应用户不要赋予不必要的权限
1.1.6SHG-Mssql-01-01-06
SHG-Mssql-01-01-06
空密码
对用户的属性进行安全检查,包括空密码、密码更新时间等。
修改目前所有账号的口令,确认为强口令。
特别是sa账号,需要设置至少10位的强口令。
账号安全性低.
select*fromsysusers
Selectname,Passwordfromsysloginswherepasswordisnullorderbyname#查看口令为空的用户
Usemaster
execsp_password‘旧口令’,‘新口令’,用户名
恢复用户密码到原来状态
Selectname,Passwordfromsysloginswherepasswordisnullorderbyname
查看是否有账号为密码
2日志配置
2.1.1SHG-Mssql-02-01-01
SHG-Mssql-02-01-01
启用日志记录功能
数据库应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址。
无法对用户的登陆进行日志记录
打开数据库属性,查看安全属性
打开数据库属性,选择安全性,将安全性中的审计级别调整为“全部”,身份验证调整为“SQLServer和Windows”
设置安全属性到原先状态
登录测试,检查相关信息是否被记录
低
3通信协议
3.1.1SHG-Mssql-03-01-01
SHG-Mssql-03-01-01
网络协议
除去不必要的服务
增加数据库安全隐患
在MicrosoftSQLServer程序组,运行服务网络实用工具,查看协议列表
参考配置操作
在MicrosoftSQLServer程序组,运行服务网络实用工具。
建议只使用TCP/IP协议,禁用其他协议。
添加删除的协议
在MicrosoftSQLServer程序组,运行服务网络实用工具,查看协议列表,查看是否有多余协议.
★★
3.1.2SHG-Mssql-03-01-02
SHG-Mssql-03-01-02
加固TCP/IP协议栈
加固TCP/IP协议栈,加强系统防御网络攻击能力.
网络防御能力弱.
查看
HKLM\System\CurrentControlSet\Services\
Tcpip\Parameters\DisableIPSourceRouting
HKLM\SYSTEM\CurrentControlSet\Services\
Tcpip\Parameters\EnableICMPRedirect
Tcpip\Parameters\SynAttackProtect
注册表键值
对于TCP/IP协议栈的加固主要是某些注册表键值的修改。
主要是以下几个:
HKLM\System\CurrentControlSet\Services\Tcpip\
Parameters\DisableIPSourceRouting
说明:
该键值应设为2,以防御源路由欺骗攻击。
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\
Parameters\EnableICMPRedirect
该键值应设为0,以ICMP重定向。
Parameters\SynAttackProtect
该键值应设为2,防御SYNFLOOD攻击。
还原注册表更改键值
读取
Parameters\DisableIPSourceRouting
Parameters\EnableICMPRedirect
键值.
3.1.3SHG-Mssql-03-01-04
SHG-Mssql-03-01-04
通讯协议加密
使用通讯协议加密
数据库的不安全性增加
启动服务器网络配置工具,查看“常规”设置
启动服务器网络配置工具,更改“常规”设置为“强制协议加密”。
恢复“强制协议加密”到原状态
4设备其他安全要求
4.1.1SHG-Mssql-04-01-01
SHG-Mssql-04-01-01
停用不必要的存储过程
停用sqlserver中存在的危险存储过程
查看存储过程列表
usemaster
execsp_dropextendedpr
升级会员 