Mssql数据库系统加固规范V02Word文档格式.docx

Mssql数据库系统加固规范V02Word文档格式.docx

《Mssql数据库系统加固规范V02Word文档格式.docx》由会员分享，可在线阅读，更多相关《Mssql数据库系统加固规范V02Word文档格式.docx（14页珍藏版）》请在冰豆网上搜索。

或在企业管理器中直接添加远程登陆用户

建立角色，并给角色授权，把角色赋给不同的用户或修改用户属性中的角色和权限

2、补充操作说明

1、user_name_1和user_name_1是两个不同的账号名称，可根据不同用户，取不同的名称；

回退方案

删除添加的用户

判断依据

询问管理员是否安装需求分配用户账号

实施风险

高

重要等级

★★★

备注

1.1.2SHG-Mssql-01-01-02

SHG-Mssql-01-01-02

删除或锁定无效账号

删除或锁定无效的账号，减少系统安全隐患。

允许非法利用系统默认账号

1、参考配置操作

Mssql企业管理器->

SQLServer组

->

（Local）（WindowsNT）->

安全性->

登录

在用户上点右键选择删除

增加删除的帐户

询问管理员,哪些账号是无效账号

1.1.3SHG-Mssql-01-01-03

SHG-Mssql-01-01-03

限制启动账号权限

限制账号过高的用户启动sqlserver

启动mssql的账号权限过高,会导致其子进程具有相同权限.

（Local）（WindowsNT）-属性（右键）-安全性

新建SQLserver服务账号后，建议将其从User组中删除，且不要把该账号提升为Administrators组的成员。

授予以下windowsSQLRunAs账户最少的权限启动SQLServer数据库。

替换会原来启动账号

判定条件

查看启动账号权限.

1.1.4SHG-Mssql-01-01-04

SHG-Mssql-01-01-04

权限最小化

在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。

账号权限越大,对系统的威胁性越高

记录用户拥有权限

a）更改数据库属性，取消业务数据库帐号不需要的服务器角色；

b）更改数据库属性，取消业务数据库帐号不需要的“数据库访问许可”和“数据库角色中允许”中不需要的角色。

操作a）用于修改数据库帐号的最小系统角色

操作b）用于修改用户多余数据库访问许可权限和数据库内角色

还原添加或删除的权限

业务测试正常

★

1.1.5SHG-Mssql-01-01-05

SHG-Mssql-01-01-05

数据库角色

使用数据库角色（ROLE）来管理对象的权限。

账号管理混乱

记录对应数据库用户角色权限

a）企业管理器-〉数据库-〉对应数据库-〉角色-中创建新角色；

b）调整角色属性中的权限，赋予角色中拥有对象对应的SELECT、INSERT、UPDATE、DELETE、EXEC、DRI权限

删除相应的角色

对应用户不要赋予不必要的权限

1.1.6SHG-Mssql-01-01-06

SHG-Mssql-01-01-06

空密码

对用户的属性进行安全检查，包括空密码、密码更新时间等。

修改目前所有账号的口令，确认为强口令。

特别是sa账号，需要设置至少10位的强口令。

账号安全性低.

select*fromsysusers

Selectname,Passwordfromsysloginswherepasswordisnullorderbyname#查看口令为空的用户

Usemaster

execsp_password‘旧口令’，‘新口令’,用户名

恢复用户密码到原来状态

Selectname,Passwordfromsysloginswherepasswordisnullorderbyname

查看是否有账号为密码

2日志配置

2.1.1SHG-Mssql-02-01-01

SHG-Mssql-02-01-01

启用日志记录功能

数据库应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址。

无法对用户的登陆进行日志记录

打开数据库属性,查看安全属性

打开数据库属性，选择安全性，将安全性中的审计级别调整为“全部”，身份验证调整为“SQLServer和Windows”

设置安全属性到原先状态

登录测试，检查相关信息是否被记录

低

3通信协议

3.1.1SHG-Mssql-03-01-01

SHG-Mssql-03-01-01

网络协议

除去不必要的服务

增加数据库安全隐患

在MicrosoftSQLServer程序组,运行服务网络实用工具,查看协议列表

参考配置操作

在MicrosoftSQLServer程序组,运行服务网络实用工具。

建议只使用TCP/IP协议，禁用其他协议。

添加删除的协议

在MicrosoftSQLServer程序组,运行服务网络实用工具,查看协议列表,查看是否有多余协议.

★★

3.1.2SHG-Mssql-03-01-02

SHG-Mssql-03-01-02

加固TCP/IP协议栈

加固TCP/IP协议栈,加强系统防御网络攻击能力.

网络防御能力弱.

查看

HKLM\System\CurrentControlSet\Services\

Tcpip\Parameters\DisableIPSourceRouting

HKLM\SYSTEM\CurrentControlSet\Services\

Tcpip\Parameters\EnableICMPRedirect

Tcpip\Parameters\SynAttackProtect

注册表键值

对于TCP/IP协议栈的加固主要是某些注册表键值的修改。

主要是以下几个：

HKLM\System\CurrentControlSet\Services\Tcpip\

Parameters\DisableIPSourceRouting

说明：

该键值应设为2，以防御源路由欺骗攻击。

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\

Parameters\EnableICMPRedirect

该键值应设为0，以ICMP重定向。

Parameters\SynAttackProtect

该键值应设为2，防御SYNFLOOD攻击。

还原注册表更改键值

读取

Parameters\DisableIPSourceRouting

Parameters\EnableICMPRedirect

键值.

3.1.3SHG-Mssql-03-01-04

SHG-Mssql-03-01-04

通讯协议加密

使用通讯协议加密

数据库的不安全性增加

启动服务器网络配置工具，查看“常规”设置

启动服务器网络配置工具，更改“常规”设置为“强制协议加密”。

恢复“强制协议加密”到原状态

4设备其他安全要求

4.1.1SHG-Mssql-04-01-01

SHG-Mssql-04-01-01

停用不必要的存储过程

停用sqlserver中存在的危险存储过程

查看存储过程列表

usemaster

execsp_dropextendedproc'

xp_cmdshell'

xp_dirtree'

xp_enumgroups'

xp_fixeddrives'

xp_loginconfig'

xp_enumerrorlogs'

xp_getfiledetails'

Sp_OACreate'

Sp_OADestroy'

Sp_OAGetErrorInfo'

Sp_OAGetProperty'

Sp_OAMethod'

Sp_OASetProperty'

Sp_OAStop'

Xp_regaddmultistring'

Xp_regdeletekey'

Xp_regdeletevalue'

Xp_regenumvalues'

Xp_regread'

Xp_regremovemultistring'

Xp_regwrite'

dropproceduresp_makewebtask

Go

删除测试或不必要的存储过程，一般情况下建议删除的存储过程有：

sp_OACreate

sp_OADestroy

sp_OAGetErrorInfo

sp_OAGetProperty

sp_OAMethod

sp_OASetProperty

sp_OAStop

sp_regaddmultistring

xp_regdeletekey

xp_regdeletevalue

xp_regenumvalues

xp_regremovemultistring

除非应用程序需要否则以下存储过程也建议删除：

xp_perfend

xp_perfmonitor

xp_perfsample

xp_perfstart

xp_readerrorlog

xp_readmail

xp_revokelogin

xp_runwebtask

xp_schedulersignal

xp_sendmail

xp_servicecontrol

xp_snmp_getstate

xp_snmp_raisetrap

xp_sprintf

xp_sqlinventory

xp_sqlregister

xp_sqltrace

xp_sscanf

xp_startmail

xp_stopmail

xp_subdirs

xp_unc_to_drive

xp_dirtree

sp_sdidebug

xp_availablemedia

xp_cmdshell

xp_deletemail

xp_dropwebtask

xp_dsninfo

xp_enumdsn

xp_enumerrorlogs

xp_enumgroups

xp_enumqueuedtasks

xp_eventlog

xp_findnextmsg

xp_fixeddrives

xp_getfiledetails

xp_getnetname

xp_grantlogin

xp_logevent

xp_loginconfig

xp_logininfo

xp_makewebtask

xp_msver

新建存储过程将删除的手工建立或恢复备份的数据库

调用存储过程，检查是否存在

Exec存储过程（参数1，参数2）

4.1.2SHG-Mssql-04-01-02

SHG-Mssql-04-01-02

安装补丁

为系统打最新的补丁包。

select@@version

确保SQLServer的补丁为最新的。

下载并安装最新的补丁

SQLServer2000的版本和补丁号对应关系如下：

8.00.194－------SQLServer2000RTM

8.00.384－------（SP1）

8.00.534－------（SP2）

8.00.760－------（SP3）

8.00.2039－------（SP4）

无

微软自动升级工具查看未安装补丁