Mssql數(shù)據(jù)庫系統(tǒng)加固規(guī)范V_第1頁
Mssql數(shù)據(jù)庫系統(tǒng)加固規(guī)范V_第2頁
Mssql數(shù)據(jù)庫系統(tǒng)加固規(guī)范V_第3頁
Mssql數(shù)據(jù)庫系統(tǒng)加固規(guī)范V_第4頁
Mssql數(shù)據(jù)庫系統(tǒng)加固規(guī)范V_第5頁
已閱讀5頁,還剩11頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、Mssql數(shù)據(jù)庫系統(tǒng)加固規(guī)范2022年1月目錄1賬號管理、認(rèn)證授權(quán)1SHG-Mssql-01-01-011SHG-Mssql-01-01-022SHG-Mssql-01-01-033SHG-Mssql-01-01-044SHG-Mssql-01-01-055SHG-Mssql-01-01-0652日志配置7SHG-Mssql-02-01-0173通信協(xié)議8SHG-Mssql-03-01-018SHG-Mssql-03-01-028SHG-Mssql-03-01-04104設(shè)備其他安全要求11SHG-Mssql-04-01-0111SHG-Mssql-04-01-02141 賬號管理、認(rèn)證授權(quán)1

2、.1.1 SHG-Mssql-01-01-01編號SHG-Mssql-01-01-01名稱為不同的管理員分配不同的賬號實施目的應(yīng)按照用戶分配賬號,避免不同用戶間共享賬號,提高安全性。問題影響賬號混淆,權(quán)限不明確,存在用戶越權(quán)使用的可能。系統(tǒng)當(dāng)前狀態(tài)use masterSelect name,password from syslogins order by name記錄用戶列表實施步驟1、 參考配置操作sp_addlogin 'user_name_1','password1'sp_addlogin 'user_name_2','passwo

3、rd2'或在企業(yè)管理器中直接添加遠(yuǎn)程登陸用戶建立角色,并給角色授權(quán),把角色賦給不同的用戶或修改用戶屬性中的角色和權(quán)限2、 補(bǔ)充操作說明1、user_name_1和user_name_1是兩個不同的賬號名稱,可根據(jù)不同用戶,取不同的名稱;回退方案刪除添加的用戶判斷依據(jù)詢問管理員是否安裝需求分配用戶賬號實施風(fēng)險高重要等級備注1.1.2 SHG-Mssql-01-01-02編號SHG-Mssql-01-01-02名稱刪除或鎖定無效賬號實施目的刪除或鎖定無效的賬號,減少系統(tǒng)安全隱患。問題影響允許非法利用系統(tǒng)默認(rèn)賬號系統(tǒng)當(dāng)前狀態(tài)use masterSelect name,password fro

4、m syslogins order by name記錄用戶列表實施步驟1、參考配置操作Mssql企業(yè)管理器-> SQL Server組->(Local)(Windows NT)->安全性->登錄在用戶上點右鍵選擇刪除回退方案增加刪除的帳戶判斷依據(jù)詢問管理員,哪些賬號是無效賬號實施風(fēng)險高重要等級備注1.1.3 SHG-Mssql-01-01-03編號SHG-Mssql-01-01-03名稱限制啟動賬號權(quán)限實施目的限制賬號過高的用戶啟動sql server問題影響啟動mssql的賬號權(quán)限過高,會導(dǎo)致其子進(jìn)程具有相同權(quán)限.系統(tǒng)當(dāng)前狀態(tài)Mssql企業(yè)管理器-> SQL S

5、erver組->(Local)(Windows NT)-屬性(右鍵)-安全性實施步驟1、參考配置操作新建SQL server服務(wù)賬號后,建議將其從User組中刪除,且不要把該賬號提升為Administrators組的成員。授予以下windows SQLRunAs賬戶最少的權(quán)限啟動 SQL Server數(shù)據(jù)庫。回退方案替換會原來啟動賬號判斷依據(jù)判定條件查看啟動賬號權(quán)限.實施風(fēng)險高重要等級備注1.1.4 SHG-Mssql-01-01-04編號SHG-Mssql-01-01-04名稱權(quán)限最小化實施目的在數(shù)據(jù)庫權(quán)限配置能力內(nèi),根據(jù)用戶的業(yè)務(wù)需要,配置其所需的最小權(quán)限。問題影響賬號權(quán)限越大,對系

6、統(tǒng)的威脅性越高系統(tǒng)當(dāng)前狀態(tài)記錄用戶擁有權(quán)限實施步驟1、 參考配置操作a) 更改數(shù)據(jù)庫屬性,取消業(yè)務(wù)數(shù)據(jù)庫帳號不需要的服務(wù)器角色;b) 更改數(shù)據(jù)庫屬性,取消業(yè)務(wù)數(shù)據(jù)庫帳號不需要的“數(shù)據(jù)庫訪問許可”和“數(shù)據(jù)庫角色中允許”中不需要的角色。2、 補(bǔ)充操作說明操作a)用于修改數(shù)據(jù)庫帳號的最小系統(tǒng)角色操作b)用于修改用戶多余數(shù)據(jù)庫訪問許可權(quán)限和數(shù)據(jù)庫內(nèi)角色回退方案還原添加或刪除的權(quán)限判斷依據(jù)業(yè)務(wù)測試正常實施風(fēng)險高重要等級備注1.1.5 SHG-Mssql-01-01-05編號SHG-Mssql-01-01-05名稱數(shù)據(jù)庫角色實施目的使用數(shù)據(jù)庫角色(ROLE)來管理對象的權(quán)限。問題影響賬號管理混亂 系統(tǒng)當(dāng)前

7、狀態(tài)記錄對應(yīng)數(shù)據(jù)庫用戶角色權(quán)限實施步驟a) 企業(yè)管理器-數(shù)據(jù)庫-對應(yīng)數(shù)據(jù)庫-角色-中創(chuàng)建新角色;b) 調(diào)整角色屬性中的權(quán)限,賦予角色中擁有對象對應(yīng)的SELECT、INSERT、UPDATE、DELETE、EXEC、DRI權(quán)限回退方案刪除相應(yīng)的角色判斷依據(jù)對應(yīng)用戶不要賦予不必要的權(quán)限實施風(fēng)險高重要等級備注1.1.6 SHG-Mssql-01-01-06編號SHG-Mssql-01-01-06名稱空密碼實施目的對用戶的屬性進(jìn)行安全檢查,包括空密碼、密碼更新時間等。修改目前所有賬號的口令,確認(rèn)為強(qiáng)口令。特別是sa 賬號,需要設(shè)置至少10位的強(qiáng)口令。問題影響賬號安全性低. 系統(tǒng)當(dāng)前狀態(tài)select *

8、 from sysusersSelect name,Password from syslogins where password is null order by name # 查看口令為空的用戶實施步驟Use masterexec sp_password 舊口令,新口令,用戶名回退方案恢復(fù)用戶密碼到原來狀態(tài)判斷依據(jù)Select name,Password from syslogins where password is null order by name查看是否有賬號為密碼實施風(fēng)險高重要等級備注2 日志配置2.1.1 SHG-Mssql-02-01-01編號SHG-Mssql-02-01-

9、01名稱啟用日志記錄功能實施目的數(shù)據(jù)庫應(yīng)配置日志功能,對用戶登錄進(jìn)行記錄,記錄內(nèi)容包括用戶登錄使用的賬號、登錄是否成功、登錄時間以及遠(yuǎn)程登錄時用戶使用的IP地址。問題影響無法對用戶的登陸進(jìn)行日志記錄系統(tǒng)當(dāng)前狀態(tài)打開數(shù)據(jù)庫屬性,查看安全屬性實施步驟打開數(shù)據(jù)庫屬性,選擇安全性,將安全性中的審計級別調(diào)整為“全部”,身份驗證調(diào)整為“SQL Server 和Windows”回退方案設(shè)置安全屬性到原先狀態(tài)判斷依據(jù)判定條件登錄測試,檢查相關(guān)信息是否被記錄實施風(fēng)險低重要等級備注3 通信協(xié)議3.1.1 SHG-Mssql-03-01-01編號SHG-Mssql-03-01-01名稱網(wǎng)絡(luò)協(xié)議實施目的除去不必要的服

10、務(wù)問題影響增加數(shù)據(jù)庫安全隱患系統(tǒng)當(dāng)前狀態(tài)在Microsoft SQL Server程序組, 運行服務(wù)網(wǎng)絡(luò)實用工具,查看協(xié)議列表實施步驟參考配置操作在Microsoft SQL Server程序組, 運行服務(wù)網(wǎng)絡(luò)實用工具。建議只使用TCP/IP協(xié)議,禁用其他協(xié)議。回退方案添加刪除的協(xié)議 判斷依據(jù)判定條件在Microsoft SQL Server程序組, 運行服務(wù)網(wǎng)絡(luò)實用工具,查看協(xié)議列表,查看是否有多余協(xié)議.實施風(fēng)險高重要等級備注3.1.2 SHG-Mssql-03-01-02編號SHG-Mssql-03-01-02名稱加固TCP/IP協(xié)議棧實施目的加固TCP/IP協(xié)議棧,加強(qiáng)系統(tǒng)防御網(wǎng)絡(luò)攻擊能

11、力.問題影響網(wǎng)絡(luò)防御能力弱.系統(tǒng)當(dāng)前狀態(tài)查看HKLMSystemCurrentControlSetServicesTcpipParameters DisableIPSourceRoutingHKLMSYSTEMCurrentControlSetServicesTcpipParameters EnableICMPRedirectHKLMSystemCurrentControlSetServicesTcpipParametersSynAttackProtect注冊表鍵值實施步驟參考配置操作對于TCP/IP協(xié)議棧的加固主要是某些注冊表鍵值的修改。主要是以下幾個:HKLMSystemCurrentCo

12、ntrolSetServicesTcpipParametersDisableIPSourceRouting說明:該鍵值應(yīng)設(shè)為2,以防御源路由欺騙攻擊。HKLMSYSTEMCurrentControlSetServicesTcpipParametersEnableICMPRedirect說明:該鍵值應(yīng)設(shè)為0,以ICMP重定向。HKLMSystemCurrentControlSetServicesTcpipParametersSynAttackProtect說明:該鍵值應(yīng)設(shè)為2,防御SYN FLOOD攻擊?;赝朔桨高€原注冊表更改鍵值判斷依據(jù)判定條件讀取HKLMSystemCurrentContro

13、lSetServicesTcpipParameters DisableIPSourceRoutingHKLMSYSTEMCurrentControlSetServicesTcpipParameters EnableICMPRedirectHKLMSystemCurrentControlSetServicesTcpipParametersSynAttackProtect鍵值.實施風(fēng)險高重要等級備注3.1.3 SHG-Mssql-03-01-04編號SHG-Mssql-03-01-04名稱通訊協(xié)議加密實施目的使用通訊協(xié)議加密問題影響數(shù)據(jù)庫的不安全性增加系統(tǒng)當(dāng)前狀態(tài)啟動服務(wù)器網(wǎng)絡(luò)配置工具,查看“常規(guī)

14、”設(shè)置實施步驟參考配置操作啟動服務(wù)器網(wǎng)絡(luò)配置工具,更改“常規(guī)”設(shè)置為“強(qiáng)制協(xié)議加密”?;赝朔桨富謴?fù)“強(qiáng)制協(xié)議加密”到原狀態(tài)判斷依據(jù)啟動服務(wù)器網(wǎng)絡(luò)配置工具,查看“常規(guī)”設(shè)置實施風(fēng)險高重要等級備注4 設(shè)備其他安全要求4.1.1 SHG-Mssql-04-01-01編號SHG-Mssql-04-01-01名稱停用不必要的存儲過程實施目的停用sql server中存在的危險存儲過程問題影響數(shù)據(jù)庫的不安全性增加系統(tǒng)當(dāng)前狀態(tài)查看存儲過程列表實施步驟參考配置操作use master exec sp_dropextendedproc 'xp_cmdshell' exec sp_dropexte

15、ndedproc 'xp_dirtree'exec sp_dropextendedproc 'xp_enumgroups'exec sp_dropextendedproc 'xp_fixeddrives'exec sp_dropextendedproc 'xp_loginconfig'exec sp_dropextendedproc 'xp_enumerrorlogs'exec sp_dropextendedproc 'xp_getfiledetails'exec sp_dropextendedpr

16、oc 'Sp_OACreate' exec sp_dropextendedproc 'Sp_OADestroy' exec sp_dropextendedproc 'Sp_OAGetErrorInfo' exec sp_dropextendedproc 'Sp_OAGetProperty' exec sp_dropextendedproc 'Sp_OAMethod' exec sp_dropextendedproc 'Sp_OASetProperty' exec sp_dropextendedpro

17、c 'Sp_OAStop' exec sp_dropextendedproc 'Xp_regaddmultistring' exec sp_dropextendedproc 'Xp_regdeletekey' exec sp_dropextendedproc 'Xp_regdeletevalue' exec sp_dropextendedproc 'Xp_regenumvalues' exec sp_dropextendedproc 'Xp_regread' exec sp_dropextended

18、proc 'Xp_regremovemultistring' exec sp_dropextendedproc 'Xp_regwrite' drop procedure sp_makewebtaskGo刪除測試或不必要的存儲過程,一般情況下建議刪除的存儲過程有:sp_OACreate sp_OADestroy sp_OAGetErrorInfo sp_OAGetProperty sp_OAMethod sp_OASetProperty sp_OAStop sp_regaddmultistring xp_regdeletekey xp_regdeletevalue

19、 xp_regenumvalues xp_regremovemultistring 除非應(yīng)用程序需要否則以下存儲過程也建議刪除:xp_perfend xp_perfmonitor xp_perfsample xp_perfstart xp_readerrorlog xp_readmail xp_revokelogin xp_runwebtask xp_schedulersignal xp_sendmail xp_servicecontrol xp_snmp_getstate xp_snmp_raisetrap xp_sprintf xp_sqlinventory xp_sqlregister xp_sqltrace xp_sscanf xp_startmail xp_stopmail xp_subdirs xp_unc_to_drive xp_dirtree sp_sdidebug xp_availablemedia xp_cmdsh

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論