SqlServer数据库安全加固Word格式文档下载.docx
《SqlServer数据库安全加固Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《SqlServer数据库安全加固Word格式文档下载.docx(12页珍藏版)》请在冰豆网上搜索。
SQLServer2005
一.1.2禁止用Administrator或System用户启动数据库
禁止用Administrator或System用户启动数据库
启用数据库用户不应是Administrator或System用户
Mssql企业管理器->
SQLServer组->
(Local)(WindowsNT)-属性(右键)-安全性查看启用服务器代理用户不应为Administrator或System用户
为SQLSERVER数据库建一个专门的操作系统用户启动数据库。
(账户需要管理员权限)
一.1.3密码策略
对用户的属性进行安全检查,包括空密码、密码更新时间等。
修改目前所有账号的口令,确认为强口令。
特别是sa账号,需要设置至少10位的强口令
1、启用密码强制策略
2、密码长度8位,须有大小写字母与数字
3、禁用SA账户
右击用户名->
属性->
常规,应勾选“强制实施密码策略”
2、密码复杂性策略参照Windows配置加固项
3、进入“SQLServer管理器->
安全性->
登陆名->
sa(右键)->
状态”,选择连接到数据库与禁用登录
1、右击用户名->
2、口令策略的支持是基于Windows2003以上操作系统,使用操作系统本地安全策略中的密码策略,对该密码策略进行配置修改。
(可参考Windows系统安全基线加固要求中对应的配置项)
一.1.4用户名的唯一性
应为数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性
为每个管理员建立专门的实名制账户
使用selectnamefromsyslogins查看用名名,不存在相同的用户名。
为每个管理员添加专门的用户名,建议实名制。
进入“SQLServer管理器->
登陆名(右键)->
新建用户名”进行添加数据库用户名。
一.1.5应启用访问控制功能
应启用访问控制功能,依据安全策略控制用户对资源的访问;
对重要文件启用访问控制功能
检查数据库安装、数据文件、备份等目录,windows则everyone用户没有写权限;
将数据库安装、数据文件、备份等目录,去除everyone用户的写权限;
一.1.6管理用户的角色分配权限
应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;
合理分配用户权限
服务器角色->
sysadmin(双击)”,查看sysadmin角色不包含应用账户。
将应用账户中从sysadmin角色中删除
一.1.7实现操作系统和数据库系统特权用户的权限
应实现操作系统和数据库系统特权用户的权限分离
管理设有:
系统管理员,安全管理员,安全审计员等。
访问管理员,设置数据库管理员的角色要有系统管理员,安全管理员,安全审计员等。
添加数据库的系统管理员,安全管理员,安全审计员。
一.1.8删除多余账户
应及时删除多余的、过期的帐户,避免共享帐户的存在;
不存在多余账户
登录名”,查看用户,不存在多余用户
登录名”,查看用户,删除多余用户
一.1.9审计功能
数据库应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址。
启用日志功能
查看SQLSERVER服务器--“管理”--SQLSERVER日志,应启用。
进入“SQLSERVER服务器--管理--SQLSERVER日志”,选择“启用”
一.1.10审计记录要求
审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;
审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等.
能够记录重要用户行为,异常使用等相关事件,能够记录事件的日期,类型等信息
C:
\ProgramFiles\MicrosoftSQLServer\90\NotificationServices\9.0.242\bin\NSservice.exe.config文件,value值应为3:
<
addname="
LogAdministrative"
value="
3"
/>
//SQLServerManagementStudio和nscontrol实用工具事件
LogService"
//NS$instanceNameMicrosoftWindows服务事件
LogEventProvider"
//事件提供程序事件
LogEventCollector"
//EventCollector对象事件
LogGenerator"
//生成器事件
LogDistributor"
//分发服务器事件
LogVacuumer"
//Vacuumer事件
LogOther"
//所有其他组件(如标准内容格式化程序和传递协议)的事件
LogPerformanceMonitor"
//性能监视器事件
\ProgramFiles\MicrosoftSQLServer\90\NotificationServices\9.0.242\bin\NSservice.exe.config文件,value修改为3:
即记录管理组件的错误、警告和提示性事件
重新启动NotificationServices实例
一.1.11安装最新补丁
应为数据库打最新的补丁包。
已是最新版本
查看sqlserver数据库版本,通过命令select@@version查看
下载补丁或者下载最新版本重新安装数据库。
KB2494120
一.1.12删除默认安装数据库
应对已经被利用的公开数据库漏洞进行安全防护
分离pubs、NorthWind数据库。
在企业管理器上,点击数据库,不应存在pubs、NorthWind数据库
在企业管理器上,点击数据库,分别右建点击pubs和NorthWind数据库,选择
“所有任务”——“分离数据库”。
#在以上命令执行不成功时所采用的操作步骤。
一.1.13删除不必要的存储过程
删除不必要的存储过程
不存在多余的存储过程
访问管理员是否存在不必要的较危险的存储过程,如:
sp_OACreate
sp_OADestroy
sp_OAGetErrorInfo
sp_OAGetProperty
sp_OAMethod
sp_OASetProperty
sp_OAStop
sp_regaddmultistring
xp_regdeletekey
xp_regdeletevalue
xp_regenumvalues
xp_regremovemultistring
除非应用程序需要否则以下存储过程也建议删除:
xp_perfendxp_perfmonitor
xp_perfsamplexp_perfstart
xp_readerrorlogxp_readmail
xp_revokeloginxp_runwebtask
xp_schedulersignalxp_sendmail
xp_servicecontrolxp_snmp_getstate
xp_snmp_raisetrapxp_sprintf
xp_sqlinventoryxp_sqlregister
xp_sqltracexp_sscanf
xp_startmailxp_stopmail
xp_subdirsxp_unc_to_drive
xp_dirtreesp_sdidebug
xp_availablemediaxp_cmdshellxp_deletemailxp_dirtree
xp_dropwebtaskxp_dsninfo
xp_enumdsnxp_enumerrorlogs
xp_enumgroupsxp_enumqueuedtasks
xp_eventlogxp_findnextmsg
xp_fixeddrivesxp_getfiledetails
xp_getnetnamexp_grantlogin
xp_logeventxp_loginconfig
xp_logininfoxp_makewebtask
xp_msver
加固前系统库须备份
使用命令
usemaster
execsp_dropextendedproc"
xp_cmdshell"
删除