Microsoft SQL Server安全配置.docVIP

Microsoft SQL Server数据库系统安全配置基线 中国移动通信公司 管理信息系统部 2012年 4月  版本 版本控制信息 更新日期 更新人 审批人 V1.0 创建 2009年1月 V2.0 更新 2012年4月 备注： 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 目 录 第1章 概述 4 1.1 适用范围 4 1.2 适用版本 4 1.3 实施 4 1.4 例外条款 4 第2章 帐号与口令 5 2.1 口令安全 5 2.1.1 删除不必要的帐号* 5 2.1.2 SQLServer用户口令安全 5 2.1.3 根据用户分配帐号避免帐号共享* 6 2.1.4 分配数据库用户所需的最小权限* 6 2.1.5 网络访问限制* 7 第3章 日志 8 3.1 日志审计 8 3.1.1 SQLServer登录审计* 8 3.1.2 SQLServer安全事件审计* 8 第4章 其他 10 4.1 安全策略 10 4.1.1 通讯协议安全策略* 10 4.2 更新补丁 10 4.2.1 补丁要求* 10 4.3 存储保护 11 4.3.1 停用不必要存储过程* 11 第5章 评审与修订 13  概述 本文档规定了应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行的安全。 本的使用者包括：管理员、应用管理员、网络安全管理员。 本适用的范围包括：的系统。 SQL Server系列数据库。 实施 本的解释权和修改权属于，在本标准的执行过程中若有任何疑问或建议，应及时反馈。 本标准生效。 例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交进行审批备案。  口令安全 删除不必要的帐号* 安全基线项目名称 数据库管理系统SQLServer用户安全基线要求项 安全基线 SBL-SQLServer-02-01-01 安全基线项说明 应删除与数据库运行、维护等工作无关的帐号。 检测操作步骤 参考配置操作 SQL SERVER企业管理器-〉安全性-〉登陆中删除无关帐号； SQL SERVER企业管理器-〉数据库-〉对应数据库-〉用户中删除无关帐号； 基线符合性判定依据 首先删除不需要的用户，已删除数据库不能登陆使用 在MS SQL SERVER查询分析器的登陆界面中使用已删除帐号登陆 备注 手工检查 SQLServer用户口令安全 安全基线项目名称 数据库管理系统SQLServer用户口令安全基线要求项 安全基线 SBL-SQLServer-02-01-02 安全基线项说明 对用户的属性进行安全检查，包括空密码、密码更新时间等。修改目前所有帐号的口令，确认为强口令。特别是sa 帐号，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号。5次以内不得设置相同的口令。密码应至少每90天进行更换。 检测操作步骤 1.检查password字段是否为null。 2.参考配置操作 查看用户状态 运行查询分析器，执行 select * from sysusers Select name,Password from syslogins where password is null order by name # 查看口令为空的用户 基线符合性判定依据 password字段不为null。 备注 根据用户分配帐号避免帐号共享* 安全基线项目名称 数据库管理系统SQLServer共享帐号安全基线要求项 安全基线 SBL-SQLServer-02-01-03 安全基线项说明 应按照用户分配帐号，避免不同用户间共享帐号。 检测操作步骤 参考配置操作 sp_addlogin user_name_1,password1 sp_addlogin user_name_2,password2 或在企业管理器中直接添加远程登陆用户 建立角色，并给角色授权，把角色赋给不同的用户或修改用户属性中的角色和权限 检测方法： 在查询分析器中用user_name_1/password1连接数据库成功 补充操作说明 user_name_1和user_name_1是两个不同的帐号名称，可根据不同用户，取不同的名称； 基线符合性判定依据 不同名称的用户可以连接数据库 备注 建议手工检查 分配数据库用户所需的最小权限* 安全基线项目名称 数据库管理系统SQLServer共享帐号安全基线要求项 安全基线 SBL-SQLServer-02-01-04 安全基线项说明 在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。 检测操作步骤 更改数据库属性，取消业务数据库帐号不需要的服务器角色； 更改数据