SQLServer数据库安全配置规范资料下载.pdf
《SQLServer数据库安全配置规范资料下载.pdf》由会员分享,可在线阅读,更多相关《SQLServer数据库安全配置规范资料下载.pdf(7页珍藏版)》请在冰豆网上搜索。
![SQLServer数据库安全配置规范资料下载.pdf](https://file1.bdocx.com/fileroot1/2022-10/7/14ee19a4-ed3b-4969-b2ae-d9a9743b5f82/14ee19a4-ed3b-4969-b2ae-d9a9743b5f821.gif)
2.2.网络配置网络配置2.2.1.隐藏服务器隐藏服务器【目的和操作】在企业管理器中选择数据库服务器的属性,网络配置,TCP/IP属性,选中其中的“隐藏服务器”选项。
该操作可以通过设置IPSE策略过滤UDP1434端口完成。
2.2.2.去掉不必要的协议去掉不必要的协议【目的和操作】默认情况下,SQLSERVER同时安装TCP/IP和管道,在企业管理器中选择数据库服务器的属性,网络配置,删除管道。
【影响】首先确认用户或者应用程序不使用管道来通讯。
只使用Windows进行身份验证并需要远程维护必须使用管道。
2.2.3.改变默认通信端口改变默认通信端口【目的和操作】在企业管理器中选择数据库服务器的属性,网络配置,TCP/IP属性,默认情况下是TCP1433端口,请修改该端口为新的端口。
再使用Windows的IPSEC安全策略,禁止非允许的IP地址访问此端口。
【影响】影响使用默认端口的远程访问,要求用户先确认不影响其他操作。
SQLServer数据库安全配置规范Page3of62.2.4.使用通讯协议加密使用通讯协议加密【目的和操作】使用SSL加密协议。
2.2.5.网络连接访问控制网络连接访问控制【目的】在操作系统或者相应的网络设备上设置网络访问控制【具体配置】1、禁止非数据库应用系统IP连接UDP1434、TCP1433(或者修改后的通讯端口)的连接2、禁止非数据库应用系统IP连接TCP445/139端口的连接。
【影响】根据需要选择。
会影响普通的数据库连接。
2.3.审核设置审核设置2.3.1.设置审核级别设置审核级别【目的】设置SQLServer的审核选项。
【具体配置】展开一个服务器组。
右击一个服务器,再单击属性。
在安全性选项卡的身份验证下,在审核级别中选择在SQLServer错误日志中记录的用户访问MicrosoftSQLServer的级别:
全部表示审核成功的和失败的登录尝试。
2.3.2.设置日志目录权限设置日志目录权限【目的】限制日志目录的权限,防止对日志目录的非授权访问。
【具体配置】日志通常保留在:
SQLServer安装目录MSSQLLOG设置目录权限为:
administrator,system(完全控制),如果有服务账号,也加上服务账号的权限。
【影响】如果SQLServer服务不是以localsystem而是以其他账号运行,那么也设置该账号有完全控制的权限SQLServer数据库安全配置规范Page4of62.4.帐号安全帐号安全2.4.1.设置身份认证设置身份认证【目的】恰当设置SQLServer的验证选项。
在安全性选项卡的身份验证下,单击仅Windows。
【影响】仅WINDOWS方式安全性高,但是将不能使用数据库账号进行登录和连接。
确认后才能实施。
2.4.2.加强用户口令加强用户口令【目的】加强数据库用户口令的强度。
【具体配置】修改目前所有账号的口令,确认为强口令。
特别是sa账号,需要设置至少10位的强口令。
2.4.3.删除多余帐号删除多余帐号【目的】确认目前使用的帐号,删除无用帐号。
2.5.数据库目录保护数据库目录保护2.5.1.数据库目录权限设置数据库目录权限设置【目的】加强数据库目录的权限管理。
【具体配置】设置整个数据库的安装数据库目录(比如:
C:
SQLServer)的权限:
设置目录权限为:
SQLServer数据库安全配置规范Page5of62.6.管理扩展存储过程管理扩展存储过程【目的】加强存储过程的安全管理。
【具体配置】首先确认下面的扩展存储过程不会被使用,然后删除下面的这些存储过程。
去掉xp_cmdshell扩展存储过程,使用:
usemastersp_dropextendedprocxp_cmdshell同上类似语句,删除以下的扩展存储过程:
Sp_OACreate、Sp_OADestroy、Sp_OAGetErrorInfoSp_OAGetProperty、Sp_OAMethod、Sp_OASetPropertySp_OAStopXp_regaddmultistringXp_regdeletekey、Xp_regdeletevalueXp_regenumvaluesXp_regremovemultistring、Xp_sdidebug、xp_availablemedia、xp_cmdshell、xp_deletemail、xp_dirtree、xp_dropwebtaskxp_dsninfo、xp_enumdsn、xp_enumerrorlogsxp_enumgroups、xp_enumqueuedtasks、xp_eventlogxp_findnextmsg、xp_fixeddrives、xp_getfiledetailsxp_getnetname、xp_grantlogin、xp_logeventxp_loginconfig、xp_logininfo、xp_makewebtaskxp_msverxp_perfend、xp_perfmonitorxp_perfsample、xp_perfstart、xp_readerrorlogxp_readmail、xp_revokelogin、xp_runwebtaskxp_schedulersignal、xp_sendmail、xp_servicecontrolxp_snmp_getstate、xp_snmp_raisetrap、xp_sprintfxp_sqlinventory、xp_sqlregisterxp_sqltrace、xp_sscanf、xp_startmailxp_stopmail、xp_subdirs、xp_unc_to_drive、xp_dirtree2.7.其他设置其他设置2.7.1.降低降低SQLServer服务的运行权限服务的运行权限【目的】SQLServer服务不以localsystem而是以其他系统账号运行。
SQLServer数据库安全配置规范Page6of6【具体配置】可以在系统中新创建一个users组的账号,在sqlserver“服务”属性中,以该账号运行。
【影响】可能造成某些功能失效。