数据库服务器安全配置检查表.docVIP

数据库服务器安全配置检查表 更新日期： 2004年04月12日 本页内容 如何使用本检查表 产品服务器的安装注意事项 修补程序和更新程序 服务 协议 帐户 文件和目录 共享 端口 注册表 审核与日志记录 SQL Server 安全性 SQL Server 登录、用户和角色 SQL Server 数据库对象 其他注意事项 保持安全 如何使用本检查表 本检查表随模块 18 保证数据库服务器的安全一起提供。本检查表可帮助您保护数据库服务器，并可用作相应模块的快照。 返回页首 产品服务器的安装注意事项 检查 说明   不在产品服务器上安装升级工具、调试符号、复制支持、联机图书和开发工具。   不在域控制器上安装 Microsoft® SQL Server™。   如果没有任何应用程序使用 SQL Server 代理，则不安装它。   将 SQL Server 安装在专用的数据库服务器上。   将 SQL Server 安装在 NTFS 分区上。   除非专门需要 SQL Server 身份验证（此时选择“混合模式”），否则选择“Windows 身份验证”模式。   将强密码应用于 sa 帐户或 sysadmin 角色的任何其他成员。（对所有帐户使用强密码。）   物理保护数据库服务器的安全。 返回页首 修补程序和更新程序 检查 说明   已经对 SQL Server 应用最新的 Service Pack 和修补程序。（请参阅 INF：如何获取最新的 SQL Server 2000 Service Pack。）   已经对 SQL Server 应用 Service Pack 以后的修补程序。（请参阅 /technet/treeview/default.asp?url=/technet/security/current.asp?productid=30servicepackid=0） 返回页首 服务 检查 说明   在数据库服务器上禁用不必要的 Microsoft Windows® 服务。   对于所有可选服务（包括 Microsoft Search Service、MSSQLServerADHelper 和 SQLServerAgent），如果所有应用程序都不使用它们，则禁用它们。   如果所有应用程序都不使用 Microsoft Distributed Transaction Coordinator (MS DTC)，则禁用它。   使用具有最少权限的本地/域帐户运行各种 SQL Server 服务，如备份和复制。 返回页首 协议 检查 说明   在 SQL Server 内，禁用除 TCP/IP 外的所有协议。使用服务器网络实用工具检查这一点。   在数据库服务器上强化 TCP/IP 堆栈的安全。 返回页首 帐户 检查 说明   使用具有最少权限的本地帐户运行 SQL Server（或者，如果需要网络服务，可以使用具有最少权限的域帐户运行）。   从 Windows 和 SQL Server 中删除未使用的帐户。   禁用 Windows 的 guest 帐户。   重命名 administrator 帐户，并使其具有强密码。   强制执行强密码策略。   限制远程登录。   限制使用空会话（匿名登录）。   帐户委派必须经过审批。   不使用共享帐户。   限制使用本地 administrators 组的成员（理想情况是，不超过两个管理帐户）。 返回页首 文件和目录 检查 说明   （根据本指南）在 SQL Server 安装目录中配置限制性权限。   Everyone 组没有权限访问 SQL Server 安装目录。   保护安装日志文件。   删除或保护工具、实用程序和 SDK。   使用 EFS 加密敏感数据文件（这一步是可选的。如果使用 EFS 进行加密，则只加密 MDF 文件而不加密 LDF 日志文件）。 返回页首 共享 检查 说明   从服务器中删除所有不必要的共享。   限制对必需的共享的访问（Everyone 组没有访问权）。   如果不需要管理性共享（C$ 和 Admin$），则删除它们（Microsoft Management Server (SMS) 和 Microsoft Operations Manager (MOM) 需要这些共享）。 返回页首 端口 检查 说明   限制对服务器上的所有端口进行访问，但为 SQL Server 和数据库实例所配置的端口除外（默认情况下是 TCP 1433 和 UDP 1434）。   配置在同一端口侦听命名实例。   如果端口 3389 为