MicrosoftSQLServer安全配置基線

第頁MicrosoftSQLServer數(shù)據(jù)庫系統(tǒng)安全配置基線中國移動通信公司管理信息系統(tǒng)部2019年4月版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2009年1月V2.0更新2019年4月備注：若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。

目錄第1章 概述 41.1 適用范圍 41.2 適用版本 41.3 實施 41.4 例外條款 4第2章 帳號與口令 52.1 口令安全 52.1.1 刪除不必要的帳號* 52.1.2 SQLServer用戶口令安全 52.1.3 根據(jù)用戶分配帳號避免帳號共享* 62.1.4 分配數(shù)據(jù)庫用戶所需的最小權(quán)限* 62.1.5 網(wǎng)絡(luò)訪問限制* 7第3章 日志 83.1 日志審計 83.1.1 SQLServer登錄審計* 83.1.2 SQLServer安全事件審計* 8第4章 其他 104.1 安全策略 104.1.1 通訊協(xié)議安全策略* 104.2 更新補丁 104.2.1 補丁要求* 104.3 存儲保護 114.3.1 停用不必要存儲過程* 11第5章 評審與修訂 13概述本文檔規(guī)定了中國移動通信有限公司管理信息系統(tǒng)部門所維護管理的SQLServer數(shù)據(jù)庫應(yīng)當(dāng)遵循的數(shù)據(jù)庫安全性設(shè)置標(biāo)準，本文檔旨在指導(dǎo)系統(tǒng)管理人員或安全檢查人員進行SQLServer數(shù)據(jù)庫的安全合規(guī)性檢查和配置。適用范圍本配置標(biāo)準的使用者包括：數(shù)據(jù)庫管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。本配置標(biāo)準適用的范圍包括：中國移動總部和各省公司信息化部門維護管理的SQLServer數(shù)據(jù)庫系統(tǒng)。適用版本SQLServer系列數(shù)據(jù)庫。實施本標(biāo)準的解釋權(quán)和修改權(quán)屬于中國移動集團管理信息系統(tǒng)部，在本標(biāo)準的執(zhí)行過程中若有任何疑問或建議，應(yīng)及時反饋。本標(biāo)準發(fā)布之日起生效。例外條款欲申請本標(biāo)準的例外條款，申請人必須準備書面申請文件，說明業(yè)務(wù)需求和原因，送交中國移動通信有限公司管理信息系統(tǒng)部進行審批備案。帳號及口令口令安全刪除不必要的帳號*安全基線項目名稱數(shù)據(jù)庫管理系統(tǒng)SQLServer用戶安全基線要求項安全基線SBL-SQLServer-02-01-01安全基線項說明應(yīng)刪除及數(shù)據(jù)庫運行、維護等工作無關(guān)的帳號。檢測操作步驟參考配置操作SQLSERVER企業(yè)管理器-〉安全性-〉登陸中刪除無關(guān)帳號；SQLSERVER企業(yè)管理器-〉數(shù)據(jù)庫-〉對應(yīng)數(shù)據(jù)庫-〉用戶中刪除無關(guān)帳號；基線符合性判定依據(jù)首先刪除不需要的用戶，已刪除數(shù)據(jù)庫不能登陸使用在MSSQLSERVER查詢分析器的登陸界面中使用已刪除帳號登陸備注手工檢查SQLServer用戶口令安全安全基線項目名稱數(shù)據(jù)庫管理系統(tǒng)SQLServer用戶口令安全基線要求項安全基線SBL-SQLServer-02-01-02安全基線項說明對用戶的屬性進行安全檢查，包括空密碼、密碼更新時間等。修改目前所有帳號的口令，確認為強口令。特別是sa帳號，口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進行更換。檢測操作步驟1.檢查password字段是否為null。2.參考配置操作查看用戶狀態(tài)運行查詢分析器，執(zhí)行select*fromsysusersSelectname,Passwordfromsysloginswherepasswordisnullorderbyname#查看口令為空的用戶基線符合性判定依據(jù)password字段不為null。備注根據(jù)用戶分配帳號避免帳號共享*安全基線項目名稱數(shù)據(jù)庫管理系統(tǒng)SQLServer共享帳號安全基線要求項安全基線SBL-SQLServer-02-01-03安全基線項說明應(yīng)按照用戶分配帳號，避免不同用戶間共享帳號。檢測操作步驟參考配置操作sp_addlogin'user_name_1','password1'sp_addlogin'user_name_2','password2'或在企業(yè)管理器中直接添加遠程登陸用戶建立角色，并給角色授權(quán)，把角色賦給不同的用戶或修改用戶屬性中的角色和權(quán)限檢測方法：在查詢分析器中用user_name_1/password1連接數(shù)據(jù)庫成功補充操作說明user_name_1和user_name_1是兩個不同的帳號名稱，可根據(jù)不同用戶，取不同的名稱；基線符合性判定依據(jù)不同名稱的用戶可以連接數(shù)據(jù)庫備注建議手工檢查分配數(shù)據(jù)庫用戶所需的最小權(quán)限*安全基線項目名稱數(shù)據(jù)庫管理系統(tǒng)SQLServer共享帳號安全基線要求項安全基線SBL-SQLServer-02-01-04安全基線項說明在數(shù)據(jù)庫權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限。檢測操作步驟更改數(shù)據(jù)庫屬性，取消業(yè)務(wù)數(shù)據(jù)庫帳號不需要的服務(wù)器角色；更改數(shù)據(jù)庫屬性，取消業(yè)務(wù)數(shù)據(jù)庫帳號不需要的“數(shù)據(jù)庫訪問許可”和“數(shù)據(jù)庫角色中允許”中不需要的角色?；€符合性判定依據(jù)更改數(shù)據(jù)庫屬性，取消業(yè)務(wù)數(shù)據(jù)庫帳號不需要的服務(wù)器角色；更改數(shù)據(jù)庫屬性，取消業(yè)務(wù)數(shù)據(jù)庫帳號不需要的“數(shù)據(jù)庫訪問許可”和“數(shù)據(jù)庫角色中允許”中不需要的角色。備注建議手工檢查網(wǎng)絡(luò)訪問限制*安全基線項目名稱數(shù)據(jù)庫管理系統(tǒng)SQLServer共享帳號安全基線要求項安全基線SBL-SQLServer-02-01-05安全基線項說明通過數(shù)據(jù)庫所在操作系統(tǒng)或防火墻限制，只有信任的IP地址才能通過監(jiān)聽器訪問數(shù)據(jù)庫。檢測操作步驟在防火墻中做限制，只允許及指定的IP地址建立1433的通訊。當(dāng)然，從更為安全的角度來考慮，應(yīng)該把1433端口改成其他的端口。1.在“Windows防火墻”對話框中，單擊“例外”選項卡。2.單擊“添加端口”。3.鍵入您要允許的端口名稱，鍵入端口號，然后單擊“TCP”或“UDP”以提示這是TCP還是UDP端口。4.單擊“更改范圍”。5.指定要為其阻止此端口的一系列計算機，然后單擊“確定”?；€符合性判定依據(jù)無關(guān)IP不允許連接1433端口備注建議手工檢查日志日志審計SQLServer登錄審計*安全基線項目名稱數(shù)據(jù)庫管理系統(tǒng)SQLServer登錄審計安全基線要求項安全基線編號SBL-SQLServer-03-01-01安全基線項說明數(shù)據(jù)庫應(yīng)配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的帳號、登錄是否成功、登錄時間。檢測操作步驟打開數(shù)據(jù)庫屬性，選擇安全性，將安全性中的審計級別調(diào)整為“全部”基線符合性判定依據(jù)登錄成功和失敗測試，檢查相關(guān)信息是否被記錄備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強制要求此項。SQLServer安全事件審計*安全基線項目名稱數(shù)據(jù)庫管理系統(tǒng)SQLServer安全事件審計安全基線要求項安全基線編號SBL-SQLServer-03-01-02安全基線項說明數(shù)據(jù)庫應(yīng)配置日志功能，記錄對及數(shù)據(jù)庫相關(guān)的安全事件。檢測操作步驟打開企業(yè)管理器，查看數(shù)據(jù)庫“管理”中的“SQLServer日志”，查看當(dāng)前的日志記錄和存檔的日志記錄是否包含相關(guān)數(shù)據(jù)庫安全事件1、參考配置操作數(shù)據(jù)庫默認開啟日志記錄2、補充操作說明增加帳號登陸審計：打開數(shù)據(jù)庫屬性，選擇安全性，將安全性中的審計級別調(diào)整為“全部”?；€符合性判定依據(jù)SQLServer日志中是否存在數(shù)據(jù)庫相關(guān)事件日志信息。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強制要求此項。其他安全策略通訊協(xié)議安全策略*安全基線項目名稱數(shù)據(jù)庫管理系統(tǒng)SQLServer通訊協(xié)議安全基線要求項安全基線編號SBL-SQLServer-04-01-01安全基線項說明使用通訊協(xié)議加密。檢測操作步驟參考配置操作啟動服務(wù)器網(wǎng)絡(luò)配置工具，查看“常規(guī)”設(shè)置基線符合性判定依據(jù)“常規(guī)”設(shè)置為“強制協(xié)議加密”。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強制要求此項。更新補丁補丁要求*安全基線項目名稱數(shù)據(jù)庫管理系統(tǒng)SQLServer補丁安全基線要求項安全基線編號SBL-SQLServer-04-02-01安全基線項說明為系統(tǒng)打最新的補丁包。檢測操作步驟檢查當(dāng)前所有已安裝的數(shù)據(jù)庫產(chǎn)品的版本信息，運行SQL查詢分析器，執(zhí)行：select@@version安裝補丁詳細操作請參照其中的readme文件基線符合性判定依據(jù)確保SQLServer的補丁為最新的。下載并安裝最新的補丁對于如下SQLServer2000的版本相應(yīng)的補丁號是必須的：8.00.194－SQLServer2000RTM8.00.384－(SP1)8.00.534－(SP2)8.00.760－(SP3)8.00.2039－(SP4)備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強制要求此項。存儲保護停用不必要存儲過程*安全基線項目名稱數(shù)據(jù)庫管理系統(tǒng)SQLServer存儲保護基線要求項安全基線編號SBL-SQLServer-04-03-01安全基線項說明停用不必要的存儲過程檢測操作步驟參考配置操作首先確認下面的擴展存儲過程不會被使用，然后刪除下面的這些存儲過程。去掉xp_cmdshell擴展存儲過程，使用：usemastersp_dropextendedproc'xp_cmdshell'同上類似語句，刪除以下的擴展存儲過程：Sp_OACreateSp_OADestroySp_OAGetErrorInfoSp_OAGetPropertySp_OAMethodSp_OASetPropertySp_OAStopXp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvaluesXp_regremovemultistringxp_sdidebugxp_availablemediaxp_cmdshellxp_deletemailxp_dirtreexp_dropwebtaskxp_dsninfoxp_enumdsnxp_enumerrorlogsxp_enumgroupsxp_enumqueuedtasksxp_eventlogxp_findnextmsgxp_fixeddrivesxp_getfiledetailsxp_getnetnamexp_grantloginxp_logeventxp_loginconfigxp_logininfoxp_makewebtaskxp_msverxp_perfendxp_perfmonitorxp_perfsamplexp_perfstartxp_readerrorlogxp_readmailxp_revokeloginxp_runwebtaskxp_schedulersignalxp_sendmailxp_servicecontrolxp