數(shù)據(jù)庫服務器安全配置檢查表

1、數(shù)據(jù)庫服務器安全配置檢查表更新日期：2004年04月12日本頁內(nèi)容如何使用本檢查表產(chǎn)品服務器的安裝注意事項修補程序和更新程序服務協(xié)議帳戶文件和目錄共享端口注冊表審核與日志記錄SQL Server安全性SQL Server登錄、用戶和角色SQL Server數(shù)據(jù)庫對象其他注意事項保持安全如何使用本檢查表本檢查表隨模塊18保證數(shù)據(jù)庫服務器的安全一起提供。本檢查表可幫助您保護數(shù)據(jù)庫服務器，并可用作相應模塊的快照。返回頁首產(chǎn)品服務器的安裝注意事項檢查說明不在產(chǎn)品服務器上安裝升級工具、調(diào)試符號、復制支持、聯(lián)機圖書和開發(fā)工具。不在域控制器上安裝Microso代 SQL Server。如果沒有任何應用程序使

2、用SQL Server代理，則不安裝它。將SQL Server安裝在專用的數(shù)據(jù)庫服務器上。將SQL Server安裝在NTFS分區(qū)上。除非專門需要SQL Server身份驗證（此時選擇混合模式”），否則選擇“Windows身份驗證”模式。將強密碼應用于sa帳戶或sysadmin角色的任何其他成員。（對所有帳戶使用強密碼。）物理保護數(shù)據(jù)庫服務器的安全。返回頁首修補程序和更新程序檢查說明已經(jīng)對SQL Server應用最新的Service Pack和修補程序。（請參閱INF：如何獲取最新的SQL Server 2000 ServicePack。）已經(jīng)對SQL Server應用Service Pack

3、以后的修補程序。(請參閱 /technet/treeview/default.asp?url=/technet/security/current.asp?productid = 30& servicepackid=0)返回頁首服務檢查說明口在數(shù)據(jù)庫服務器上禁用不必要的Microso代Windows服務。對于所有可選服務（包括 Microso代 Search Service、MSSQLServerADHelper 和 SQLServerAgent），如果所 有應用程序都不使用它們，則禁用它們?？谌绻袘贸绦蚨疾皇褂肕icroso代Distributed Transaction Coordin

4、ator （MS DTC），則禁用它?？谑褂镁哂凶钌贆?quán)限的本地/域帳戶運行各種SQL Server服務，如備份和復制。協(xié)議檢查說明在SQL Server內(nèi)，禁用除TCP/IP外的所有協(xié)議。使用服務器網(wǎng)絡實用工具檢查這一點。在數(shù)據(jù)庫服務器上強化TCP/IP堆棧的安全。返回頁首帳戶檢查說明使用具有最少權(quán)限的本地帳戶運行SQL Server（或者，如果需要網(wǎng)絡服務，可以使用具有最少權(quán)限的域帳戶運行）。從 Windows和SQL Server中刪除未使用的帳戶。禁用 Windows的guest帳戶。重命名administrator帳戶，并使其具有強密碼。強制執(zhí)行強密碼策略。限制遠程登錄。限制使用空會話

5、（匿名登錄）。帳戶委派必須經(jīng)過審批。不使用共享帳戶。限制使用本地administrators組的成員（理想情況是，不超過兩個管理帳戶）。文件和目錄檢查說明（根據(jù)本指南）在SQL Server安裝目錄中配置限制性權(quán)限。Everyone組沒有權(quán)限訪問SQL Server安裝目錄。保護安裝日志文件。刪除或保護工具、實用程序和SDK。使用EFS加密敏感數(shù)據(jù)文件（這一步是可選的。如果使用EFS進行加密，則只加密MDF文件而不加密LDF日志 文件）。返回頁首共享說明從服務器中刪除所有不必要的共享。限制對必需的共享的訪問（Everyone組沒有訪問權(quán)）。如果不需要管理性共享（C$和Admin$），則刪除它們

6、（Microsoft Management Server （SMS）和Microsoft Operations Manager （MOM）需要這些共享）。返回頁首端口檢查說明限制對服務器上的所有端口進行訪問，但為SQL Server和數(shù)據(jù)庫實例所配置的端口除外（默認情況下是TCP 1433和 UDP 1434）。配置在同一端口偵聽命名實例。如果端口 3389為了遠程終端服務管理而保持打開狀態(tài)，則使用IPSec保護該端口。將防火墻配置為支持DTC通信（如果應用程序需要）。在服務器網(wǎng)絡實用工具中，選中隱藏服務器”選項（可選）。返回頁首注冊表檢查說明使用受限制的權(quán)限保護SQL Server注冊表項。

7、保護SAM （僅限獨立服務器）。返回頁首審核與日志記錄檢查說明記錄所有失敗的Windows登錄嘗試。記錄文件系統(tǒng)中的所有失敗的操作。啟用SQL Server登錄審核。將日志文件從默認位置移走，并使用訪問控制列表加以保護。將日志文件配置為適當大小，具體取決于應用程序的安全需要。在數(shù)據(jù)庫內(nèi)容高度敏感或重要的情況下，將Windows設置為在安全日志溢出時使用關機模式。SQL Server安全性檢查說明將SQL Server身份驗證設置為僅Windows”（如果應用程序支持）。將SQL Server審核級別設置為失敗或全部。使用具有最少權(quán)限的帳戶運行SQL Server。返回頁首SQL Server登

8、錄、用戶和角色說明使用強sa密碼（對于所有帳戶）。刪除SQL Server guest用戶帳戶。刪除 BUILTINAdministrators 服務器登錄。不要將權(quán)限授予公共角色。限制sysadmin固定服務器角色的成員數(shù)（理想情況下，不超過兩個用戶）。授予受限制的數(shù)據(jù)庫權(quán)限。避免使用內(nèi)置角色（如db_datareader和db_datawriter），因為它們提供有限的授權(quán)粒度。不要更改應用于SQL Server對象的默認權(quán)限。返回頁首刪除示例數(shù)據(jù)庫（包括Pubs和Northwind）。檢查說明保護存儲過程和擴展存儲過程。對cmdExec的訪問權(quán)僅限于sysadmin角色的成員。返回頁首其他注意事項檢查說明將證書安裝在數(shù)據(jù)庫服務器上，以支持SSL通信和SQL帳戶證書的自動加密（可選）。將LMCompatibilityLevel設置為5以啟用NTLM版本2。|口 |返回頁首保持安全檢查說明執(zhí)行定期備份。審核組成員。定期檢查審核日志。定期執(zhí)行安全性評估。訂閱SQL安全公告，網(wǎng)址為:/technet/tr