MicrosoftSQLServer安全配置基线

《MicrosoftSQLServer安全配置基线》由会员分享，可在线阅读，更多相关《MicrosoftSQLServer安全配置基线（16页珍藏版）》请在装配图网上搜索。

1、Microsoft SQL Server数据库系统平安配置基线中国移动通信公司 管理信息系统部2023年 4月版本版本限制信息更新日期更新人审批人V1.0创建2023年1月V2.0更新2023年4月备注：1. 若此文档须要日后更新，请创建人填写版本限制表格，否则删除版本限制表格。目 录第1章概述41.1适用范围41.2适用版本41.3实施41.4例外条款4第2章帐号与口令52.1口令平安5删除不必要的帐号*5SQLServer用户口令平安5依据用户安排帐号避开帐号共享*6安排数据库用户所需的最小权限*6网络访问限制*7第3章日志83.1日志审计8SQLServer登录审计*8SQLServer

2、平安事务审计*8第4章其他104.1平安策略10通讯协议平安策略*104.2更新补丁10补丁要求*104.3存储爱护11停用不必要存储过程*11第5章评审与修订13第1章 概述本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的SQL Server 数据库应当遵循的数据库平安性设置标准，本文档旨在指导系统管理人员或平安检查人员进行SQL Server 数据库的平安合规性检查和配置。1.1 适用范围本配置标准的运用者包括：数据库管理员、应用管理员、网络平安管理员。本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的SQL Server数据库系统。1.2 适用版本SQL S

3、erver系列数据库。1.3 实施本标准的说明权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应刚好反馈。本标准发布之日起生效。1.4 例外条款欲申请本标准的例外条款，申请人必需打算书面申请文件，说明业务需求和缘由，送交中国移动通信有限公司管理信息系统部进行审批备案。第2章 帐号及口令2.1 口令平安2.1.1 删除不必要的帐号*平安基线项目名称数据库管理系统SQLServer用户平安基线要求项平安基线SBL-SQLServer-02-01-01 平安基线项说明 应删除及数据库运行、维护等工作无关的帐号。检测操作步骤参考配置操作SQL SERVER企业管理器-

4、平安性-登陆中删除无关帐号；SQL SERVER企业管理器-数据库-对应数据库-用户中删除无关帐号；基线符合性判定依据首先删除不须要的用户，已删除数据库不能登陆运用在MS SQL SERVER查询分析器的登陆界面中运用已删除帐号登陆备注手工检查2.1.2 SQLServer用户口令平安平安基线项目名称数据库管理系统SQLServer用户口令平安基线要求项平安基线SBL-SQLServer-02-01-02 平安基线项说明 对用户的属性进行平安检查，包括空密码、密码更新时间等。修改目前全部帐号的口令，确认为强口令。特殊是sa 帐号，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中

5、至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤1.检查password字段是否为null。2.参考配置操作查看用户状态运行查询分析器，执行select * from sysusersSelect name,Password from syslogins where password is null order by name # 查看口令为空的用户基线符合性判定依据password字段不为null。备注2.1.3 依据用户安排帐号避开帐号共享*平安基线项目名称数据库管理系统SQLServer共享帐号平安基线要求项平安基线SBL-SQLServer-02-01-

6、03 平安基线项说明 应依据用户安排帐号，避开不同用户间共享帐号。检测操作步骤1、 参考配置操作sp_addlogin user_name_1,password1sp_addlogin user_name_2,password2或在企业管理器中干脆添加远程登陆用户建立角色，并给角色授权，把角色赋给不同的用户或修改用户属性中的角色和权限2、 检测方法：在查询分析器中用user_name_1/password1连接数据库胜利3、 补充操作说明user_name_1和user_name_1是两个不同的帐号名称，可依据不同用户，取不同的名称； 基线符合性判定依据不同名称的用户可以连接数据库备注建议手工

7、检查2.1.4 安排数据库用户所需的最小权限*平安基线项目名称数据库管理系统SQLServer共享帐号平安基线要求项平安基线SBL-SQLServer-02-01-04 平安基线项说明 在数据库权限配置实力内，依据用户的业务须要，配置其所需的最小权限。检测操作步骤1. 更改数据库属性，取消业务数据库帐号不须要的服务器角色；2. 更改数据库属性，取消业务数据库帐号不须要的“数据库访问许可”和“数据库角色中允许”中不须要的角色。基线符合性判定依据1. 更改数据库属性，取消业务数据库帐号不须要的服务器角色；2. 更改数据库属性，取消业务数据库帐号不须要的“数据库访问许可”和“数据库角色中允许”中不须

8、要的角色。备注建议手工检查2.1.5 网络访问限制*平安基线项目名称数据库管理系统SQLServer共享帐号平安基线要求项平安基线SBL-SQLServer-02-01-05 平安基线项说明 通过数据库所在操作系统或防火墙限制，只有信任的IP 地址才能通过监听器访问数据库。检测操作步骤在防火墙中做限制，只允许及指定的 IP 地址建立1433 的通讯。当然，从更为平安的角度来考虑，应当把1433 端口改成其他的端口。1. 在“Windows 防火墙”对话框中，单击“例外”选项卡。2. 单击“添加端口”。3. 键入您要允许的端口名称，键入端口号，然后单击“TCP”或“UDP”以提示这是 TCP 还

9、是 UDP 端口。4. 单击“更改范围”。5. 指定要为其阻挡此端口的一系列计算机，然后单击“确定”。基线符合性判定依据无关IP不允许连接1433端口备注建议手工检查第3章 日志3.1 日志审计3.1.1 SQLServer登录审计*平安基线项目名称数据库管理系统SQLServer登录审计平安基线要求项平安基线编号SBL-SQLServer-03-01-01 平安基线项说明 数据库应配置日志功能，对用户登录进行记录，记录内容包括用户登录运用的帐号、登录是否胜利、登录时间。检测操作步骤打开数据库属性，选择平安性，将平安性中的审计级别调整为“全部”基线符合性判定依据登录胜利和失败测试，检查相关信息

10、是否被记录备注依据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.1.2 SQLServer平安事务审计*平安基线项目名称数据库管理系统SQLServer平安事务审计平安基线要求项平安基线编号SBL-SQLServer-03-01-02 平安基线项说明 数据库应配置日志功能，记录对及数据库相关的平安事务。检测操作步骤打开企业管理器，查看数据库“管理”中的“SQL Server日志”，查看当前的日志记录和存档的日志记录是否包含相关数据库平安事务1、 参考配置操作数据库默认开启日志记录2、 补充操作说明增加帐号登陆审计：打开数据库属性，选择平安性，将平安性中的审计级别调整为“全部”。基

11、线符合性判定依据SQL Server日志中是否存在数据库相关事务日志信息。备注依据应用场景的不同，如部署场景需开启此功能，则强制要求此项。第4章 其他4.1 平安策略4.1.1 通讯协议平安策略*平安基线项目名称数据库管理系统SQLServer通讯协议平安基线要求项平安基线编号SBL-SQLServer-04-01-01 平安基线项说明 运用通讯协议加密。检测操作步骤参考配置操作启动服务器网络配置工具，查看“常规”设置基线符合性判定依据“常规”设置为“强制协议加密”。备注依据应用场景的不同，如部署场景需开启此功能，则强制要求此项。4.2 更新补丁4.2.1 补丁要求*平安基线项目名称数据库管理

12、系统SQLServer补丁平安基线要求项平安基线编号SBL-SQLServer-04-02-01 平安基线项说明 为系统打最新的补丁包。检测操作步骤检查当前全部已安装的数据库产品的版本信息，运行SQL查询分析器，执行：select version安装补丁具体操作请参照其中的readme文件基线符合性判定依据确保SQL Server的补丁为最新的。下载并安装最新的补丁对于如下SQL Server2000的版本相应的补丁号是必需的： 8.00.194 -SQL Server 2000 RTM 8.00.384 -(SP1) 8.00.534 -(SP2) 8.00.760 -(SP3)8.00.2

13、039-(SP4)备注依据应用场景的不同，如部署场景需开启此功能，则强制要求此项。4.3 存储爱护4.3.1 停用不必要存储过程*平安基线项目名称数据库管理系统SQLServer存储爱护基线要求项平安基线编号SBL-SQLServer-04-03-01 平安基线项说明 停用不必要的存储过程检测操作步骤1、 参考配置操作首先确认下面的扩展存储过程不会被运用，然后删除下面的这些存储过程。去掉xp_cmdshell扩展存储过程，运用：use master sp_dropextendedproc xp_cmdshell同上类似语句，删除以下的扩展存储过程：Sp_OACreate Sp_OADestro

14、y Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regremovemultistring xp_sdidebug xp_availablemedia xp_cmdshell xp_deletemail xp_dirtree xp_dropwebtask xp_dsninfo xp_enumdsn xp_enumerrorlogs xp_enum

15、groups xp_enumqueuedtasks xp_eventlog xp_findnextmsg xp_fixeddrives xp_getfiledetails xp_getnetname xp_grantlogin xp_logevent xp_loginconfig xp_logininfo xp_makewebtask xp_msver xp_perfend xp_perfmonitor xp_perfsample xp_perfstart xp_readerrorlog xp_readmail xp_revokelogin xp_runwebtask xp_schedulersignal xp_sendmail xp_servicecontrol xp_snmp_getstate xp_snmp_raisetrap xp_sprintf xp_sqlinventory xp_sqlregister xp_sqltrace xp_sscanf xp_startmail xp_stopmail xp_subdirs xp_unc_to_drive xp_dirtree基线符合性判定依据调用存储过程，检查是否存在备注建议手工检查第5章 评审及修订本标准由中国移动通信有限公司管理信息系统部定期进行审查，依据谛视结果修订标准，并颁发执行。