數(shù)據(jù)庫安全檢查報告

1、1.1數(shù)據(jù)庫安全檢查報告編號臨盆廠商/型號12-5-4物理地位中間訃心境房地點收集檢査日期檢査人義務人審核人編號檢査 項目檢査內(nèi)容操作辦法成果檢査記錄1通 用 安 全機 制操作體系檢査檢査數(shù)據(jù)庫安裝目次的權(quán)限， 確保只有體系治理員才能拜訪 該目次對Windows操作體系而言，采取 regedt32 檢 査 HKLMSoftwareSybase 中的權(quán) 限鍵值2辦爭器信息列舉收集上的長途辦事器exec sp_helpserver檢査輸出內(nèi)容：收集暗碼加密的部份可能如下： net password encryption= truenet password encryption= false安然機制

2、部份可能如下：rpc security model A 是不 供給安然機制rpc security model B是供 給不合的安然辦爭.如互相認 證、消息加密.完全性校驗等。列舉特定辦爭器的信息exec sp_helpdb3上岸設(shè)備檢査認證模式是否開啟exec sp_logmconf ig loginmode檢査默認上岸exec splogmconfig default account在集成認證模式中，確認默認上 岸角色不是sa,設(shè)宜為NULL或 者一個低權(quán)限的用戶。4補丁査看辦爭器版木信息select AVERSION5數(shù)據(jù)庫設(shè)備通用數(shù)據(jù)庫參數(shù)獲合適前Server的設(shè)備exec sp_co

3、nfigure6檢査輸出allow updates to system tables假如是“on”狀況，DBA可以經(jīng) 由過程存儲過程修改體系表C建 議ss。將其設(shè)迓為“off”狀況。因為已經(jīng)建 立的存儲過程可以被履行.建議 審計數(shù)據(jù)庫的存儲過程列表 exec sp_configure allow updates to system tables7檢查并包管allow resource limit*的值設(shè)為“Vexec sp_configure allow resource limit8包管體系表syscomments*已 經(jīng)被保護該休系表界常重要.但 默認情況下被設(shè)迓為m確認 該值被設(shè)迓為OS

4、exec sp_configure select on syscomments text9缺點日記設(shè)備檢査是否設(shè)宜掉敗上岸日記，確 認該值設(shè)宜為(Texec sp_configure log audit logon failure10檢査是否設(shè)宜成功上岸日記確 認該數(shù)值設(shè)為(Texec sp_configure log audit logon success11用 戶 級 安 全組列舉某數(shù)據(jù)庫的所有組：use DBNameexec sp_helpgroup12列舉某組內(nèi)的用戶：use DBNameexec sp_helpgroup GroupName13角色檢查辦爭器角色和用戶定義的 角色：s

5、elect name, password, pwdate, status from syssrvroles14檢査每個角色的具體信息：execsp_displayrol.esRo1eName, expand_up15檢査每個用戶的具體信息：execsp_displayrolesUserName, expand_down16檢査角色中空口令用戶：select name from syssrvroleswhere password = NULL17用戶檢査某數(shù)據(jù)庫的所有效戶：exec sp_helpuser18檢査散列用戶口令：select name, password from syslogin

6、s19檢査每個數(shù)據(jù)庫的用戶權(quán)限：use DBNameexec sp_helprotect20口令安然參數(shù)檢査口令過不時光，建議設(shè)迓為14天exec sp_configure password expiration interval0 -暗碼從不過時-天數(shù)21檢查口令是否至少包含一位數(shù) 字exec sp_configure check password for digitO 強迫用戶口令中至少包 含一個數(shù)字22檢査最小暗碼長度,建議為8位以上exec sp_configure minimumpassword length23數(shù) 據(jù) 級 安 全權(quán)限檢査關(guān)鍵表.過程.觸發(fā)器的權(quán) 限檢査付與publi

7、c組權(quán)限的 對象:use DBNameexecsp_helprotectObjectName 輸出：1.用戶權(quán)限列表2. 所有對象的權(quán)限類型3. 是否設(shè)S WITH GRANT權(quán)限24存儲過程列出數(shù)據(jù)庫中所有擴大存儲過程：use sybsystemprocsselect name from sysobjectswhere type二XP25刪除擴大存儲過程 xp_cmdshell 并刪除sybsyesp dllexecsp_dropextendedprocxp_cmdshell假如必定須要應用 xp_cmdshell,則審核其權(quán)限分 派：use sybsystemprocsexecsp_hel

8、protect“xp_cmdshellM26檢査其它存儲過程如sendmail,freemail,readmail,deletemail,startmail, stopmail 刪除無 用的存儲過程，并刪除mail帳 號sybrnaiT 27網(wǎng) 絡(luò) 層 安 全遠端辦事器信息檢査遠端辦事器是否許可拜訪 use masterexec sp_configure allow remote access1許可長途拜訪o-不許可長途拜訪檢査信賴用戶的存在情況 exec sp_helpremoteserver28長途連接機制檢査安然機制和其供給的安然 辦事select * from syssecmechs

9、Syssecmech表默認并不存在， 僅在査詢的時刻創(chuàng)建.它由以下 的列構(gòu)成：sec_mech_name辦爭器供給的 安然機制名available_service 安然機制 供給的安然辦爭舉例Windows收集治理員.其 內(nèi)容將為：sec_mech_name = NT LAN MANAGERavailable_service = unified login29檢査libctl.cfg文件內(nèi)部包含了收集驅(qū)動的信息，安 然.目次磁盤和其他初始化信 息。1. 假如LDAP暗碼加密。2. 安然機制：”dce”DCE安然機制。Hcsfkrb5M CyberSAFE Kerberos 安然機制。“LIBSMSSP” Windows NT 或Windows 95（僅客戶端）上的 Windows收集治理員。留意：libtcl.cfg的地位:UNIX 模式：$SYBASE/con