SQL server作业指导书.docVIP

SQL Server审计作业指导书  SQL Server检查列表 签署页 文件 SQL Server检查列表 编制 黄俊强 签名： 日期： 祝宇琳 签名： 日期： 马遥 签名：马遥 日期： 王洪彬 签名： 日期： 王大萌 签名： 王大萌 日期： 张清江 签名： 日期： 编辑 马遥 签名：马遥 日期： 审核 黄俊强 签名： 日期： 批准 王希忠 签名： 日期： 更改记录 备注 目录 1. 数据库系统应用用户的身份鉴别 4 2. 数据库系统的失败处理 5 3. 检查加密设置 5 4. 数据库系统用户的身份标识应具有唯一性 6 5. 数据库系统用户的身份鉴别方式 7 6. 检查Xp_cmdshell权限 8 7. 检查跨数据库所有权链接 10 8. 检查程序文件的权限 10 9. 检查数据文件的权限 11 10. 数据库系统sa用户的身份鉴别 12 11. 应严格限制默认用户的访问权限 13 12. 检查SQL Server调试账户 14 13. 应依据安全策略控制主体对客体的访问 15 14. 权限分离 16 15. 检查安装日志文件 17 16. 安全审计范围 17 17. SQL Server数据库是否安装最新的补丁 18 18. 系统启用不需要的服务 19 19. 特定事件的实时报警 20 20. 重要信息的恢复 21 21. 系统资源控制 22 22. 表空间的利用率 23 23. 检查监听端口 24 24. 系统重要信息的备份 25 25. 重要业务系统级热备 26 26. 检查示例数据库 26 27. 检查服务器属性 27 28. 检查SQL Server使用的协议 28 29. 应由授权主体设置对客体访问和操作的权限 29 30. 检查服务器独立性 31 数据库系统应用用户的身份鉴别 审计项编号 DAT-DB-SQL-01 主机安全：身份鉴别 b)?? 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换 审计项名称 数据库系统应用用户的身份鉴别 审计项描述 数据库系统用户的身份鉴别信息应具有不易被冒用的特点，例如口令长度、复杂性和定期更新等。 审计步骤 执行：在master库中，select * from syslogins where password is null,查看有无空口令用户。 询问：数据库管理员 询问口令的管理要求（口令的长度，口令复杂性，口令更新周期）。 适用版本： SQL Server 2000 审计项结果 关联脆弱性 脆弱性名称 应用用户弱口令 脆弱性编号 DB-SQL-05 脆弱性说明 应用系统访问数据库的用户使用了弱口令,导致攻击者可能利用此用户对应用数据执行任意操作。 严重程度 很高 加固方法 在开始菜单中，指向程序，接着指向Microsoft SQL Server，然后单击SQL Server 企业管理器，“安全性”“登录”右键单击用户名，属性，更改其密码。 实施风险 如不能及时通知各用户新密码，可能造成临时性的无法访问。 备注 数据库系统的失败处理 审计项编号 DAT-DB-SQL-02 主机安全：身份鉴别 c)?? 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施 审计项名称 数据库系统的失败处理 审计项描述 应具有登录失败处理功能，如：结束会话、限制非法登录次数，当登录连接超时，自动退出。 审计步骤 执行：使用sp_configure查看有无鉴别失败和超时等方面的设置。 询问：数据库管理员，是否采取其他措施保证上述安全功能的实现。 适用版本： SQL Server 2000 审计项结果 关联脆弱性 脆弱性名称 缺少数据库登录失败处理 脆弱性编号 DB-SQL-08 脆弱性说明 缺少数据库登录失败处理，无法对某些登录尝试、恶意访问等进行相应的处理。 严重程度 高 加固方法 实施风险 备注 检查加密设置 审计项编号 DAT-DB-SQL-03 主机安全：身份鉴别 d)?? 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听 审计项名称 检查加密设置 审计项描述 检查并记录是否安装证书以启用 SSL 连接 审计步骤 执行：使用 SQLServer 网络实用工具，看是否选中 “强制协议加密”。 适用版本： ALL 审计项结果 “强制协议加密”已选中。 关联脆弱性 脆弱性名称 没有加密网络通信 脆弱性编号 DB-SQL-29 脆弱性说明 使用了明文方式的协议传输数据，在传输过程中不能保证其中的数据被窃听乃至修改，因此最好对传输进行加密。 严重程度 低