SQLServer数据库安全配置基线加固操作指
导书
佛山供电局信息中心
2014年4月
目录
1.1 SQLServer数据库安全基线要求 ...................................................................................... 3 1.1.1 应对登录操作系统的用户进行身份标识和鉴别 ......................................................... 3 1.1.2 禁止用Administrator或System用户启动数据库 ....................................................... 4 1.1.3 密码策略......................................................................................................................... 4 1.1.4 用户名的唯一性 ............................................................................................................. 5 1.1.5 应启用访问控制功能 ..................................................................................................... 5 1.1.6 管理用户的角色分配权限 ............................................................................................. 6 1.1.7 实现操作系统和数据库系统特权用户的权限 ............................................................. 6 1.1.8 删除多余账户 ................................................................................................................. 6 1.1.9 审计功能......................................................................................................................... 7 1.1.10 审计记录要求 ............................................................................................................... 7 1.1.11 安装最新补丁 ............................................................................................................... 8 1.1.12 删除默认安装数据库 ................................................................................................... 8 1.1.13 删除不必要的存储过程 ............................................................................................... 9
1.1 SQLServer数据库安全基线要求
1.1.1 应对登录操作系统的用户进行身份标识和鉴别
基线要求 基线标准 检查方法 加固方法 应对登录操作系统的用户进行身份标识和鉴别。 启用登陆功能,并进行密码验证,禁止通过操作系统直接登录。 尝试登录数据库,应出现登陆认证画面,只能以数据库账户登录。 控制台根目录下的SQL Server组/数据库,右建打开数据库属性,选择安全性,将安全性中的审计级别调整为“全部”,身份验证调整为“SQL Server 和Windows” SQL Server 2000 SQL Server 2005 1.1.2 禁止用Administrator或System用户启动数据库
基线要求 基线标准 检查方法 禁止用Administrator或System用户启动数据库 启用数据库用户不应是Administrator或System用户 Mssql 企业管理器-> SQL Server 组 ->(Local)(Windows NT)-属性(右键)-安全性 查看启用服务器代理用户不应为Administrator或System用户 为SQLSERVER数据库建一个专门的操作系统用户启动数据库。(账户需要管理员权限) 加固方法 1.1.3 密码策略
基线要求 对用户的属性进行安全检查,包括空密码、密码更新时间等。修改目前所有账号的口令,确认为强口令。特别是 sa 账号,需要设置至少10 位的强口令 1、启用密码强制策略 2、密码长度8位,须有大小写字母与数字 3、禁用SA账户 1、启用密码强制策略 右击用户名->属性->常规,应勾选“强制实施密码策略” 2、密码复杂性策略参照Windows配置加固项 3、进入“SQLServer管理器->安全性->登陆名->sa(右键)->状态”,选择连接到数据库与禁用登录 基线标准 检查方法 加固方法 1、右击用户名->属性->常规,应勾选“强制实施密码策略” 2、口令策略的支持是基于Windows2003以上操作系统,使用操作系统本地安全策略中的密码策略,对该密码策略进行配置修改。(可参考Windows系统安全基线加固要求中对应的配置项) 3、进入“SQLServer管理器->安全性->登陆名->sa(右键)->状态”,选择连接到数据库与禁用登录 1.1.4 用户名的唯一性
基线要求 应为数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性 为每个管理员建立专门的实名制账户 使用select name from syslogins查看用名名,不存在相同的用户名。 为每个管理员添加专门的用户名,建议实名制。 进入“SQLServer管理器->安全性->登陆名(右键)->新建用户名”进行添加数据库用户名。 基线标准 检查方法 加固方法 1.1.5 应启用访问控制功能
基线要求 基线标准 检查方法 应启用访问控制功能,依据安全策略控制用户对资源的访问; 对重要文件启用访问控制功能 检查数据库安装、数据文件、备份等目录,windows则everyone用户没有写权限; 将数据库安装、数据文件、备份等目录,去除everyone用户的写权限; 加固方法