MicrosoftSQLServer安全配置基线.doc

《MicrosoftSQLServer安全配置基线.doc》由会员分享，可在线阅读，更多相关《MicrosoftSQLServer安全配置基线.doc（17页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、Microsoft SQL Server数据库系统安全配置基线中国移动通信公司 管理信息系统部2019年 4月版本版本控制信息更新日期更新人审批人V1.0创建2009年1月V2.0更新2019年4月备注：1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。目 录第1章概述41.1适用范围41.2适用版本41.3实施41.4例外条款4第2章帐号与口令52.1口令安全52.1.1删除不必要的帐号*52.1.2SQLServer用户口令安全52.1.3根据用户分配帐号避免帐号共享*62.1.4分配数据库用户所需的最小权限*62.1.5网络访问限制*7第3章日志83.1日志审计

2、83.1.1SQLServer登录审计*83.1.2SQLServer安全事件审计*8第4章其他104.1安全策略104.1.1通讯协议安全策略*104.2更新补丁104.2.1补丁要求*104.3存储保护114.3.1停用不必要存储过程*11第5章评审与修订13第1章 概述本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的SQL Server 数据库应当遵循的数据库安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行SQL Server 数据库的安全合规性检查和配置。1.1 适用范围本配置标准的使用者包括：数据库管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括：

3、中国移动总部和各省公司信息化部门维护管理的SQL Server数据库系统。1.2 适用版本SQL Server系列数据库。1.3 实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。1.4 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。第2章 帐号与口令2.1 口令安全2.1.1 删除不必要的帐号*安全基线项目名称数据库管理系统SQLServer用户安全基线要求项安全基线SBL-SQLServer-02-01-01 安全基线项说明

4、 应删除与数据库运行、维护等工作无关的帐号。检测操作步骤参考配置操作SQL SERVER企业管理器-安全性-登陆中删除无关帐号；SQL SERVER企业管理器-数据库-对应数据库-用户中删除无关帐号；基线符合性判定依据首先删除不需要的用户，已删除数据库不能登陆使用在MS SQL SERVER查询分析器的登陆界面中使用已删除帐号登陆备注手工检查2.1.2 SQLServer用户口令安全安全基线项目名称数据库管理系统SQLServer用户口令安全基线要求项安全基线SBL-SQLServer-02-01-02 安全基线项说明 对用户的属性进行安全检查，包括空密码、密码更新时间等。修改目前所有帐号的口

5、令，确认为强口令。特别是sa 帐号，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤1.检查password字段是否为null。2.参考配置操作查看用户状态运行查询分析器，执行select * from sysusersSelect name,Password from syslogins where password is null order by name # 查看口令为空的用户基线符合性判定依据password字段不为null。备注2.1.3 根据用户分配帐号避免帐号共享*安全基线项目名称数

6、据库管理系统SQLServer共享帐号安全基线要求项安全基线SBL-SQLServer-02-01-03 安全基线项说明 应按照用户分配帐号，避免不同用户间共享帐号。检测操作步骤1、 参考配置操作sp_addlogin user_name_1,password1sp_addlogin user_name_2,password2或在企业管理器中直接添加远程登陆用户建立角色，并给角色授权，把角色赋给不同的用户或修改用户属性中的角色和权限2、 检测方法：在查询分析器中用user_name_1/password1连接数据库成功3、 补充操作说明user_name_1和user_name_1是两个不同的

7、帐号名称，可根据不同用户，取不同的名称； 基线符合性判定依据不同名称的用户可以连接数据库备注建议手工检查2.1.4 分配数据库用户所需的最小权限*安全基线项目名称数据库管理系统SQLServer共享帐号安全基线要求项安全基线SBL-SQLServer-02-01-04 安全基线项说明 在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。检测操作步骤1. 更改数据库属性，取消业务数据库帐号不需要的服务器角色；2. 更改数据库属性，取消业务数据库帐号不需要的“数据库访问许可”和“数据库角色中允许”中不需要的角色。基线符合性判定依据1. 更改数据库属性，取消业务数据库帐号不需要的服务器

8、角色；2. 更改数据库属性，取消业务数据库帐号不需要的“数据库访问许可”和“数据库角色中允许”中不需要的角色。备注建议手工检查2.1.5 网络访问限制*安全基线项目名称数据库管理系统SQLServer共享帐号安全基线要求项安全基线SBL-SQLServer-02-01-05 安全基线项说明 通过数据库所在操作系统或防火墙限制，只有信任的IP 地址才能通过监听器访问数据库。检测操作步骤在防火墙中做限制，只允许与指定的 IP 地址建立1433 的通讯。当然，从更为安全的角度来考虑，应该把1433 端口改成其他的端口。1. 在“Windows 防火墙”对话框中，单击“例外”选项卡。2. 单击“添加端

9、口”。3. 键入您要允许的端口名称，键入端口号，然后单击“TCP”或“UDP”以提示这是 TCP 还是 UDP 端口。4. 单击“更改范围”。5. 指定要为其阻止此端口的一系列计算机，然后单击“确定”。基线符合性判定依据无关IP不允许连接1433端口备注建议手工检查第3章 日志3.1 日志审计3.1.1 SQLServer登录审计*安全基线项目名称数据库管理系统SQLServer登录审计安全基线要求项安全基线编号SBL-SQLServer-03-01-01 安全基线项说明 数据库应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的帐号、登录是否成功、登录时间。检测操作步骤打开数据库属

10、性，选择安全性，将安全性中的审计级别调整为“全部”基线符合性判定依据登录成功和失败测试，检查相关信息是否被记录备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.1.2 SQLServer安全事件审计*安全基线项目名称数据库管理系统SQLServer安全事件审计安全基线要求项安全基线编号SBL-SQLServer-03-01-02 安全基线项说明 数据库应配置日志功能，记录对与数据库相关的安全事件。检测操作步骤打开企业管理器，查看数据库“管理”中的“SQL Server日志”，查看当前的日志记录和存档的日志记录是否包含相关数据库安全事件1、 参考配置操作数据库默认开启日志记录2

11、、 补充操作说明增加帐号登陆审计：打开数据库属性，选择安全性，将安全性中的审计级别调整为“全部”。基线符合性判定依据SQL Server日志中是否存在数据库相关事件日志信息。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。第4章 其他4.1 安全策略4.1.1 通讯协议安全策略*安全基线项目名称数据库管理系统SQLServer通讯协议安全基线要求项安全基线编号SBL-SQLServer-04-01-01 安全基线项说明 使用通讯协议加密。检测操作步骤参考配置操作启动服务器网络配置工具，查看“常规”设置基线符合性判定依据“常规”设置为“强制协议加密”。备注根据应用场景的不同，如部

12、署场景需开启此功能，则强制要求此项。4.2 更新补丁4.2.1 补丁要求*安全基线项目名称数据库管理系统SQLServer补丁安全基线要求项安全基线编号SBL-SQLServer-04-02-01 安全基线项说明 为系统打最新的补丁包。检测操作步骤检查当前所有已安装的数据库产品的版本信息，运行SQL查询分析器，执行：select version安装补丁详细操作请参照其中的readme文件基线符合性判定依据确保SQL Server的补丁为最新的。下载并安装最新的补丁对于如下SQL Server2000的版本相应的补丁号是必须的： 8.00.194 -SQL Server 2000 RTM 8.0

13、0.384 -(SP1) 8.00.534 -(SP2) 8.00.760 -(SP3)8.00.2039-(SP4)备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。4.3 存储保护4.3.1 停用不必要存储过程*安全基线项目名称数据库管理系统SQLServer存储保护基线要求项安全基线编号SBL-SQLServer-04-03-01 安全基线项说明 停用不必要的存储过程检测操作步骤1、 参考配置操作首先确认下面的扩展存储过程不会被使用，然后删除下面的这些存储过程。去掉xp_cmdshell扩展存储过程，使用：use master sp_dropextendedproc xp_

14、cmdshell同上类似语句，删除以下的扩展存储过程：Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regremovemultistring xp_sdidebug xp_availablemedia xp_cmdshell xp_deletemail xp_dirtree xp_dropwebt

15、ask xp_dsninfo xp_enumdsn xp_enumerrorlogs xp_enumgroups xp_enumqueuedtasks xp_eventlog xp_findnextmsg xp_fixeddrives xp_get xp_getnetname xp_grantlogin xp_logevent xp_loginconfig xp_logininfo xp_makewebtask xp_msver xp_perfend xp_perfmonitor xp_perfsample xp_perfstart xp_readerrorlog xp_readmail xp

16、_revokelogin xp_runwebtask xp_schedulersignal xp_sendmail xp_servicecontrol xp_snmp_getstate xp_snmp_raisetrap xp_sprintf xp_sqlinventory xp_sqlregister xp_sqltrace xp_sscanf xp_startmail xp_stopmail xp_subdirs xp_unc_to_drive xp_dirtree基线符合性判定依据调用存储过程，检查是否存在备注建议手工检查第5章 评审与修订本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。第 17 页