SqlServer数据库系统加固规范V02.docx

1、SqlServer数据库系统加固规范V02Mssq数据库系统加固规范中国移动通信有限公司管理信息系统部2020年7月账号管理、认证授权1.1.11.1.21.1.31.1.41.1.51.1.6SHG-Mssql-01-01-01SHG-Mssql-01-01-02SHG-Mssql-01-01-03SHG-Mssql-01-01-04SHG-Mssql-01-01-05SHG-Mssql-01-01-06日志配置 2.1.1 SHG-Mssql-02-01-01通信协议 3.1.1SHG-Mssql-03-01-013.1.2SHG-Mssql-03-01-023.1.3SHG-Mssql-

2、03-01-04设备其他安全要求 4.1.1SHG-Mssql-04-01-014.1.2SHG-Mssql-04-01-02123455.7.81011.11.141账号管理、认证授权1.1. 1 SHSMSsql -01-01-011、参考配置操作sp_addlogin user_name_1, p assword1sp_addlogin user_name_2, p assword2或在企业管理器中直接添加远程登陆用户户属性中的角色和权限2、补充操作说明1、user_name_1 和user_name_1 是两个不同的账号名称，可根据不同用户，取不同的名称；回退方案删除添加的用户判断依据

3、询问管理员是否安装需求分配用户账号实施风险高重要等级备注1. 1.2 SHSMSsql -01-01-02编号SHG-Mssql-01-01-02名称删除或锁定无效账号实施目的删除或锁定无效的账号，减少系统安全隐患。问题影响允许非法利用系统默认账号系统当前状态use masterSelect n ame ,p assword from syslogi ns order by n ame记录用户列表实施步骤1、参考配置操作Mssql企业管理器- SQL Server组-(Local)(Windows NT)- 安全性- 登录在用户上点右键选择删除回退方案增加删除的帐户判断依据询问管理员，哪些账号

4、是无效账号实施风险高重要等级备注1.1.3 SHSMSsql -01-01-03编号SHG-Mssql-01-01-03名称限制启动账号权限实施目的限制账号过咼的用户启动sql server问题影响启动mssql的账号权限过高，会导致其子进程具有 相同权限.系统当前状态Mssql企业管理器- SQL Server组-(Local)(Windows NT)-属性(右键)-安全性实施步骤1、参考配置操作新建SQL server服务账号后，建议将其从 User组中删除， 且不要把该账号提升为 Admi nistrators 组的成员。授予以下windows SQLRunA账户最少的权限启动SQL S

5、erver数据 库。回退方案替换会原来启动账号判断依据判定条件 查看启动账号权限.实施风险高重要等级备注1. 1.4 SHSMSsql -01-01-04编号SHG-Mssql-01-01-04名称权限最小化实施目的在数据库权限配置能力内，根据用户的业务需要， 配置其所需的最小权限。问题影响账号权限越大，对系统的威胁性越高系统当前状态记录用户拥有权限实施步骤1、 参考配置操作a） 更改数据库属性，取消业务数据库帐号不需要的服务器 角色；b） 更改数据库属性，取消业务数据库帐号不需要的“数据 库访问许可”和“数据库角色中允许”中不需要的角色。2、 补充操作说明操作a）用于修改数据库帐号的最小系统

6、角色操作b）用于修改用户多余数据库访问许可权限和数据库内角色回退方案还原添加或删除的权限判断依据业务测试正常实施风险高重要等级备注1. 1.5 SHSMSsql -01-01-05编号SHG-Mssql-01-01-05名称数据库角色实施目的使用数据库角色（ROLE来管理对象的权限。问题影响账号管理混乱系统当前状态记录对应数据库用户角色权限实施步骤a） 企业管理器-数据库-对应数据库-角色-中创建新角色；b） 调整角色属性中的权限，赋予角色中拥有对象对应的SELECT、INSERT、UP DATE、DELETE、EXEC、DRI权限回退方案删除相应的角色判断依据对应用户不要赋予不必要的权限实施

7、风险高重要等级备注1. 1.6 SHSMSsql -01-01-06编号SHG-Mssql-01-01-06名称空密码实施目的对用户的属性进仃安全检查，包括空密码、密码更新时间等。修改目前所有账号的口令，确认为强口令。特别是sa账号， 需要设置至少10位的强口令。问题影响账号安全性低.系统当前状态select * from sysusersSelect n ame ,P assword from syslog ins where p assword isn ull order by name # 查看口令为空的用户实施步骤Use masterexec sp_password 旧 口令，新口令,

8、用户名回退方案恢复用户密码到原来状态判断依据Select n ame ,P assword from syslog ins where p assword is n ull order by n ame查看是否有账号为密码实施风险高重要等级备注2日志配置2.1. 1 SHSMSsql -02-01-01名称启用日志记录功能实施目的数据库应配置日志功能，对用户登录进行记录，记 录内容包括用户登录使用的账号、登录是否成功、 登录时间以及远程登录时用户使用的IP地址。问题影响无法对用户的登陆进行日志记录系统当前状态打开数据库属性，查看安全属性实施步骤打开数据库属性，选择安全性，将安全性中的审计级别调

9、整为“全部”，身份验证调整为“ SQL Server和Windows”回退方案设置安全属性到原先状态判断依据判定条件登录测试，检查相关信息是否被记录实施风险低重要等级备注3通信协议3. 1. 1 SHSMSsql -03-01-01编号SHG-Mssql-03-01-01名称网络协议实施目的除去不必要的服务问题影响增加数据库安全隐患系统当前状态在Microsoft SQLServer程序组,运行服务网络实用工具,查看协议列表实施步骤参考配置操作在Microsoft SQLServer程序组,运行服务网络实用工具。建 议只使用TCP/IP协议，禁用其他协议。回退方案添加删除的协议判断依据判定条件

10、在Microsoft SQLServer程序组，运行服务网络实用工具，查看 协议列表,查看是否有多余协议.实施风险高重要等级备注3.1.2 SHSMSsql -03-01-02编号SHG-Mssql-03-01-02名称加固TCP/IP协议栈实施目的加固TCP/IP协议栈，加强系统防御网络攻击能力.问题影响网络防御能力弱.系统当前状态查看HKLMSystemCurre ntCo ntrolSetServices Tc pipP arameters DisableI PSourceRouti ng实施步骤回退方案判断依据HKLMS YSTEMCurre ntCon trolSetServices

11、 TcpipP arameters En ablelC MP Redirect HKLMSystemCurre ntCo ntrolSetServices TcpipP arametersS yn Attack Protect 注册表键值 参考配置操作 对于TCP/IP协议栈的加固主要是某些注册表键值的 修改。主要是以下几个：HKLMSystemCurre ntCo ntrolSetServicesTc pipP arametersDisable IP SourceRout ing说明：该键值应设为2,以防御源路由欺骗攻击。HKLMS YSTEMCurre ntCo ntrolSetServi

12、cesTc pip ParametersE nablelC MP Redirect说明：该键值应设为0，以ICMP重定向。HKLMSystemCurre ntCon trolSetServicesTc pipP arametersS yn Attack Protect说明：该键值应设为 2,防御SYN FLOP攻击。 还原注册表更改键值判定条件读取HKLMSystemCurre ntCon trolSetServicesTc pip P arameters Disable IP SourceRouti ngHKLMS YSTEMCurre ntC on trolSetServicesTc pi

13、p Parameters En ablelC MP RedirectHKLMSystemCurre ntCo ntrolSetServicesTc pipP arametersS yn Attack Protect实施风险键值.重要等级备注3.1.3 SHSMSsql -03-01-04编号SHG-Mssql-03-01-04名称通讯协议加密实施目的使用通讯协议加密问题影响数据库的不安全性增加系统当前状态启动服务器网络配置工具，查看“常规”设置实施步骤参考配置操作启动服务器网络配置工具，更改“常规”设置为“强制协议加密” 0回退方案恢复“强制协议加密”到原状态判断依据启动服务器网络配置工具，查

14、看“常规”设置实施风险高重要等级备注4设备其他安全要求4.1. 1 SHSMfesql -04-01-01查看存储过程列表； MLtovtJi* El ilEtuf 3 Mjfhrij日fi |i| o 也 U JhKuowM SQ L 芬昭V占a S匕r 痢朗石y世M 吉am 丁具 e - 岂 m I A 因屛訂g 11皆 4 即帀g 宓参考配置操作use masterexec sp_drop exte nded proc xp _cmdshellexec sp_drop exte nded proc xp_dirtree实施步骤exec sp_drop exte nded proc xp_

15、enu mgro upsexec sp_drop exte nded proc xp _fixeddrivesexec sp_drop exte nded proc xp _log inconfigexec sp_drop exte nded proc xp_enu merrorlogsexec sp_drop exte nded proc xp_getfiledetailsexec sp_drop exte nded proc Sp_OACreate exec sp drop exte nded proc Sp OADestroyexec sp_drop exte nded proc Sp_

16、OAGetErrorl nfoexec sp_drop exte nded proc Sp_OAGet Propertyexec sp_drop exte nded proc Sp_OAMethodexec sp_drop exte nded proc Sp_OASet Propertyexec sp_drop exte nded proc Sp_OASt opexec sp_drop exte nded proc Xp _regaddmultistn ngexec sp_drop exte nded proc Xp_regdeletekeyexec sp_drop exte nded pro

17、c Xp_regdeletevalueexec sp_drop exte nded proc Xp _rege num valuesexec sp_drop exte nded proc Xp_regreadexec sp_drop exte nded proc Xp_regremovemultistri ngexec sp_drop exte nded proc Xp_regwritedrop p rocedure sp _makewebtaskGo删除测试或不必要的存储过程，一般情况下建议删除的存储 过程有：sp_OACreatesp_OADestroysp_OAGetErrorInfos

18、p_OAGet Propertysp_OAMethodsp_OASet Propertysp_OAStopsp_regaddmultistringxp_regdeletekeyxp_regdeletevaluexp_regenumvaluesxp_regremovemultistring除非应用程序需要否则以下存储过程也建议删除:xp_p erfendxp_p erfmonitorxp_p erfsa mplexp_p erfstartxp_readerrorlogxp_readmailxp_revokeloginxp_runwebtaskxp_schedulersignalxp_sendma

19、ilxp_servicecontrolxp_snmp_getstatexp_sn mp _raisetra pxp_s printfxp_sqlinventoryxp_sqlregisterxp_sqltracexp_sscanfxp_startmailxp_st op mailxp_subdirsxp_unc_to_drivexp_dirtreesp_sdidebugxp_availablemediaxp_cmdshellxp_deletemailxp_dirtreexp_dro pwebtaskxp_dsninfoxp_enumdsnxp_enumerrorlogsxp_enumgro u

20、psxp_enumqueuedtasksxp_eventlogxp_findnextmsgxp_fixeddrivesxp_getfiledetailsxp_getnetnamexp_grantloginxp_logeventxp_loginconfigxp_logininfoxp_makewebtaskxp_msver回退方案新建存储过程将删除的手工建立或恢复备份的数据库判断依据调用存储过程，检查是否存在Exec存储过程（参数1，参数2）实施风险高重要等级备注4.1.2 SHSMSsql -04-01-02编号SHG-Mssql-04-01-02名称安装补丁实施目的为系统打最新的补丁包。问题影响数据库的不安全性增加系统当前状态select versi on实施步骤参考配置操作select versi on确保SQL Server的补丁为最新的。下载并安装最新的补丁SQL Server2000的版本和补丁号对应关系如下：8.00.194 SQL Server 2000 RTM8.00.384 (SP1)8.00.534 (SP2)8.00.760 (SP3)8.00.2039 (SP 4)回退方案无判断依据微软自动升级工具查看未安装补丁实施风险高重要等级备注