SQLServer数据库安全配置规范资料下载.pdf

SQLServer数据库安全配置规范资料下载.pdf

《SQLServer数据库安全配置规范资料下载.pdf》由会员分享，可在线阅读，更多相关《SQLServer数据库安全配置规范资料下载.pdf（7页珍藏版）》请在冰豆网上搜索。

2.2.网络配置网络配置2.2.1.隐藏服务器隐藏服务器【目的和操作】在企业管理器中选择数据库服务器的属性，网络配置，TCP/IP属性，选中其中的“隐藏服务器”选项。

该操作可以通过设置IPSE策略过滤UDP1434端口完成。

2.2.2.去掉不必要的协议去掉不必要的协议【目的和操作】默认情况下，SQLSERVER同时安装TCP/IP和管道，在企业管理器中选择数据库服务器的属性，网络配置，删除管道。

【影响】首先确认用户或者应用程序不使用管道来通讯。

只使用Windows进行身份验证并需要远程维护必须使用管道。

2.2.3.改变默认通信端口改变默认通信端口【目的和操作】在企业管理器中选择数据库服务器的属性，网络配置，TCP/IP属性，默认情况下是TCP1433端口，请修改该端口为新的端口。

再使用Windows的IPSEC安全策略，禁止非允许的IP地址访问此端口。

【影响】影响使用默认端口的远程访问，要求用户先确认不影响其他操作。

SQLServer数据库安全配置规范Page3of62.2.4.使用通讯协议加密使用通讯协议加密【目的和操作】使用SSL加密协议。

2.2.5.网络连接访问控制网络连接访问控制【目的】在操作系统或者相应的网络设备上设置网络访问控制【具体配置】1、禁止非数据库应用系统IP连接UDP1434、TCP1433（或者修改后的通讯端口）的连接2、禁止非数据库应用系统IP连接TCP445/139端口的连接。

【影响】根据需要选择。

会影响普通的数据库连接。

2.3.审核设置审核设置2.3.1.设置审核级别设置审核级别【目的】设置SQLServer的审核选项。

【具体配置】展开一个服务器组。

右击一个服务器，再单击属性。

在安全性选项卡的身份验证下，在审核级别中选择在SQLServer错误日志中记录的用户访问MicrosoftSQLServer的级别：

全部表示审核成功的和失败的登录尝试。

2.3.2.设置日志目录权限设置日志目录权限【目的】限制日志目录的权限，防止对日志目录的非授权访问。

【具体配置】日志通常保留在：

SQLServer安装目录MSSQLLOG设置目录权限为：

administrator,system（完全控制），如果有服务账号，也加上服务账号的权限。

【影响】如果SQLServer服务不是以localsystem而是以其他账号运行，那么也设置该账号有完全控制的权限SQLServer数据库安全配置规范Page4of62.4.帐号安全帐号安全2.4.1.设置身份认证设置身份认证【目的】恰当设置SQLServer的验证选项。

在安全性选项卡的身份验证下，单击仅Windows。

【影响】仅WINDOWS方式安全性高，但是将不能使用数据库账号进行登录和连接。

确认后才能实施。

2.4.2.加强用户口令加强用户口令【目的】加强数据库用户口令的强度。

【具体配置】修改目前所有账号的口令，确认为强口令。

特别是sa账号，需要设置至少10位的强口令。

2.4.3.删除多余帐号删除多余帐号【目的】确认目前使用的帐号，删除无用帐号。

2.5.数据库目录保护数据库目录保护2.5.1.数据库目录权限设置数据库目录权限设置【目的】加强数据库目录的权限管理。

【具体配置】设置整个数据库的安装数据库目录（比如：

C:

SQLServer）的权限：

设置目录权限为：

SQLServer数据库安全配置规范Page5of62.6.管理扩展存储过程管理扩展存储过程【目的】加强存储过程的安全管理。

【具体配置】首先确认下面的扩展存储过程不会被使用，然后删除下面的这些存储过程。

去掉xp_cmdshell扩展存储过程，使用：

usemastersp_dropextendedprocxp_cmdshell同上类似语句，删除以下的扩展存储过程：

Sp_OACreate、Sp_OADestroy、Sp_OAGetErrorInfoSp_OAGetProperty、Sp_OAMethod、Sp_OASetPropertySp_OAStopXp_regaddmultistringXp_regdeletekey、Xp_regdeletevalueXp_regenumvaluesXp_regremovemultistring、Xp_sdidebug、xp_availablemedia、xp_cmdshell、xp_deletemail、xp_dirtree、xp_dropwebtaskxp_dsninfo、xp_enumdsn、xp_enumerrorlogsxp_enumgroups、xp_enumqueuedtasks、xp_eventlogxp_findnextmsg、xp_fixeddrives、xp_getfiledetailsxp_getnetname、xp_grantlogin、xp_logeventxp_loginconfig、xp_logininfo、xp_makewebtaskxp_msverxp_perfend、xp_perfmonitorxp_perfsample、xp_perfstart、xp_readerrorlogxp_readmail、xp_revokelogin、xp_runwebtaskxp_schedulersignal、xp_sendmail、xp_servicecontrolxp_snmp_getstate、xp_snmp_raisetrap、xp_sprintfxp_sqlinventory、xp_sqlregisterxp_sqltrace、xp_sscanf、xp_startmailxp_stopmail、xp_subdirs、xp_unc_to_drive、xp_dirtree2.7.其他设置其他设置2.7.1.降低降低SQLServer服务的运行权限服务的运行权限【目的】SQLServer服务不以localsystem而是以其他系统账号运行。

SQLServer数据库安全配置规范Page6of6【具体配置】可以在系统中新创建一个users组的账号，在sqlserver“服务”属性中，以该账号运行。

【影响】可能造成某些功能失效。