32SGISLOPSA4910MSSQLserver等级保护测评作业指导书二级文档格式.docx
《32SGISLOPSA4910MSSQLserver等级保护测评作业指导书二级文档格式.docx》由会员分享,可在线阅读,更多相关《32SGISLOPSA4910MSSQLserver等级保护测评作业指导书二级文档格式.docx(8页珍藏版)》请在冰豆网上搜索。
控制编号
版号/
章节号
修改人
修订原因
批准人
批准日期
备注
1
SGISL/OP-SA49-10
树娟
按公安部要求修订
詹雄
2010.3.8
测评项编号
ADT-DB-MSSQL-01
对应要求
操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。
测评项名称
补丁升级
测评分项:
检查系统补丁安装情况
操作步骤
执行:
1)查看SQLServer版本信息
selectserverproperty('
Edition'
)
ProductLevel'
2)查看SQLServer是否打补丁,及补丁的版本
SelectVersion
或者
SELECTSERVERPROPERTY('
ProductVersion'
查看:
版本及补丁信息
询问:
数据库管理员
适用版本
所有Sqlserver版本数据库
实施风险
无
符合性判定
数据库系统是最新的版本,判定结果为符合;
数据库系统不是最新的版本,判定结果为不符合。
ADT-DB-MSSQL-02
数据库系统中不应使用默认的监听端口。
监听端口
检查监听端口
1、在"
开始"
菜单中,指向"
程序"
,接着指向"
MicrosoftSQLServer"
,然后单击"
SQLServer网络实用工具"
。
2、在查询分析器中执行下列语句:
Usemaster
Go
Xp_readerrorlog
使用的端口“SQLServer正在监听IP:
端口,IP:
端口。
不存在默认的1433端口,判定结果为符合;
存在默认的1433端口,判定结果为不符合。
ADT-DB-MSSQL-03
应对登录操作系统和数据库系统的用户进行身份标识和鉴别。
检查WindowsSQLServer账户
1)在SQL查询分析器或其他工具中执行命令:
selectnamefromsyslogins,查看用户名。
Windows2000、WindowsXP、Windows2003
不存在多余,判定结果为符合;
存在多余,判定结果为不符合。
ADT-DB-MSSQL-04
应启用访问控制功能,依据安全策略控制用户对资源的访问。
程序文件权限
检查程序文件的权限分配
在\ProgramFiles\MicrosoftSQLServer\Mssql\Binn文件夹中右键,属性查看权限。
数据库管理员对程序文件的权限设置。
Windows2000系统中的所有Sqlserver版本数据库
完全控制、修改、读取及运行等权限设置为允许,判定结果为符合;
完全控制、修改、读取及运行等权限设置为拒绝,判定结果为不符合。
ADT-DB-MSSQL-05
数据文件权限
检查SQLServer数据文件的权限分配
在\ProgramFiles\MicrosoftSQLServer\Mssql\Data文件夹中右键,属性查看权限。
数据库管理员对数据文件的权限设置。
任何版本
ADT-DB-MSSQL-06
应严格限制默认的访问权限,重命名系统默认,修改这些的默认口令。
Sa用户
检查Sa用户
在master库中,select*fromsysloginswherepasswordisnull,查看有无空口令用户。
1)询问数据库管理员是否在安装时立刻修改sa口令。
2)询问口令的管理要求(口令的长度,口令复杂性,口令更新周期)。
如不能及时通知管理员新密码,可能造成临时无法管理数据库。
sa用户不存在空口令或弱口令,判定结果为符合;
sa用户存在空口令或弱口令,判定结果为不符合。
ADT-DB-MSSQL-07
应能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施。
示例数据库
检查示例数据库
在企业管理器中,检查并记录是否删除了数据库安装时生成的示例数据库pubs和northwind。
已删除示例数据库,判定结果为符合;
未删除示例数据库,判定结果为不符合。
ADT-DB-MSSQL-08
Xp_cmdshell权限
检查Xp_cmdshell权限
在企业管理器--数据库--扩展存储过程--右键--所有任务--管理权限或在查询分析器中sp_helpextendedprocxp_cmdshell
记录xp_cmdshell的权限。
只将Xp_cmdshell权限授予sysadmin角色的成员,判定结果为符合;
将Xp_cmdshell权限授予sysadmin角色以外的用户,判定结果为不符合。
ADT-DB-MSSQL-09
当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。
检查加密设置
检查并记录是否安装证书以启用SSL连接
使用SQLServer网络实用工具,看是否选中“强制协议加密”。
ForceEncryption选择为“是”,判定结果为符合;
ForceEncryption选择为“否”,判定结果为不符合。