MicrosoftSQLServer安全配置基線(xiàn)

第頁(yè)MicrosoftSQLServer數(shù)據(jù)庫(kù)系統(tǒng)安全配置基線(xiàn)中國(guó)移動(dòng)通信公司管理信息系統(tǒng)部2019年4月版本版本控制信息更新日期更新人審批人V1.0創(chuàng)建2009年1月V2.0更新2019年4月備注：若此文檔需要日后更新，請(qǐng)創(chuàng)建人填寫(xiě)版本控制表格，否則刪除版本控制表格。

目錄第1章 概述 41.1 適用范圍 41.2 適用版本 41.3 實(shí)施 41.4 例外條款 4第2章 帳號(hào)與口令 52.1 口令安全 52.1.1 刪除不必要的帳號(hào)* 52.1.2 SQLServer用戶(hù)口令安全 52.1.3 根據(jù)用戶(hù)分配帳號(hào)避免帳號(hào)共享* 62.1.4 分配數(shù)據(jù)庫(kù)用戶(hù)所需的最小權(quán)限* 62.1.5 網(wǎng)絡(luò)訪(fǎng)問(wèn)限制* 7第3章 日志 83.1 日志審計(jì) 83.1.1 SQLServer登錄審計(jì)* 83.1.2 SQLServer安全事件審計(jì)* 8第4章 其他 104.1 安全策略 104.1.1 通訊協(xié)議安全策略* 104.2 更新補(bǔ)丁 104.2.1 補(bǔ)丁要求* 104.3 存儲(chǔ)保護(hù) 114.3.1 停用不必要存儲(chǔ)過(guò)程* 11第5章 評(píng)審與修訂 13概述本文檔規(guī)定了中國(guó)移動(dòng)通信有限公司管理信息系統(tǒng)部門(mén)所維護(hù)管理的SQLServer數(shù)據(jù)庫(kù)應(yīng)當(dāng)遵循的數(shù)據(jù)庫(kù)安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員或安全檢查人員進(jìn)行SQLServer數(shù)據(jù)庫(kù)的安全合規(guī)性檢查和配置。適用范圍本配置標(biāo)準(zhǔn)的使用者包括：數(shù)據(jù)庫(kù)管理員、應(yīng)用管理員、網(wǎng)絡(luò)安全管理員。本配置標(biāo)準(zhǔn)適用的范圍包括：中國(guó)移動(dòng)總部和各省公司信息化部門(mén)維護(hù)管理的SQLServer數(shù)據(jù)庫(kù)系統(tǒng)。適用版本SQLServer系列數(shù)據(jù)庫(kù)。實(shí)施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國(guó)移動(dòng)集團(tuán)管理信息系統(tǒng)部，在本標(biāo)準(zhǔn)的執(zhí)行過(guò)程中若有任何疑問(wèn)或建議，應(yīng)及時(shí)反饋。本標(biāo)準(zhǔn)發(fā)布之日起生效。例外條款欲申請(qǐng)本標(biāo)準(zhǔn)的例外條款，申請(qǐng)人必須準(zhǔn)備書(shū)面申請(qǐng)文件，說(shuō)明業(yè)務(wù)需求和原因，送交中國(guó)移動(dòng)通信有限公司管理信息系統(tǒng)部進(jìn)行審批備案。帳號(hào)及口令口令安全刪除不必要的帳號(hào)*安全基線(xiàn)項(xiàng)目名稱(chēng)數(shù)據(jù)庫(kù)管理系統(tǒng)SQLServer用戶(hù)安全基線(xiàn)要求項(xiàng)安全基線(xiàn)SBL-SQLServer-02-01-01安全基線(xiàn)項(xiàng)說(shuō)明應(yīng)刪除及數(shù)據(jù)庫(kù)運(yùn)行、維護(hù)等工作無(wú)關(guān)的帳號(hào)。檢測(cè)操作步驟參考配置操作SQLSERVER企業(yè)管理器-〉安全性-〉登陸中刪除無(wú)關(guān)帳號(hào)；SQLSERVER企業(yè)管理器-〉數(shù)據(jù)庫(kù)-〉對(duì)應(yīng)數(shù)據(jù)庫(kù)-〉用戶(hù)中刪除無(wú)關(guān)帳號(hào)；基線(xiàn)符合性判定依據(jù)首先刪除不需要的用戶(hù)，已刪除數(shù)據(jù)庫(kù)不能登陸使用在MSSQLSERVER查詢(xún)分析器的登陸界面中使用已刪除帳號(hào)登陸備注手工檢查SQLServer用戶(hù)口令安全安全基線(xiàn)項(xiàng)目名稱(chēng)數(shù)據(jù)庫(kù)管理系統(tǒng)SQLServer用戶(hù)口令安全基線(xiàn)要求項(xiàng)安全基線(xiàn)SBL-SQLServer-02-01-02安全基線(xiàn)項(xiàng)說(shuō)明對(duì)用戶(hù)的屬性進(jìn)行安全檢查，包括空密碼、密碼更新時(shí)間等。修改目前所有帳號(hào)的口令，確認(rèn)為強(qiáng)口令。特別是sa帳號(hào)，口令長(zhǎng)度至少8位，并包括數(shù)字、小寫(xiě)字母、大寫(xiě)字母和特殊符號(hào)四類(lèi)中至少兩類(lèi)。且5次以?xún)?nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進(jìn)行更換。檢測(cè)操作步驟1.檢查password字段是否為null。2.參考配置操作查看用戶(hù)狀態(tài)運(yùn)行查詢(xún)分析器，執(zhí)行select*fromsysusersSelectname,Passwordfromsysloginswherepasswordisnullorderbyname#查看口令為空的用戶(hù)基線(xiàn)符合性判定依據(jù)password字段不為null。備注根據(jù)用戶(hù)分配帳號(hào)避免帳號(hào)共享*安全基線(xiàn)項(xiàng)目名稱(chēng)數(shù)據(jù)庫(kù)管理系統(tǒng)SQLServer共享帳號(hào)安全基線(xiàn)要求項(xiàng)安全基線(xiàn)SBL-SQLServer-02-01-03安全基線(xiàn)項(xiàng)說(shuō)明應(yīng)按照用戶(hù)分配帳號(hào)，避免不同用戶(hù)間共享帳號(hào)。檢測(cè)操作步驟參考配置操作sp_addlogin'user_name_1','password1'sp_addlogin'user_name_2','password2'或在企業(yè)管理器中直接添加遠(yuǎn)程登陸用戶(hù)建立角色，并給角色授權(quán)，把角色賦給不同的用戶(hù)或修改用戶(hù)屬性中的角色和權(quán)限檢測(cè)方法：在查詢(xún)分析器中用user_name_1/password1連接數(shù)據(jù)庫(kù)成功補(bǔ)充操作說(shuō)明user_name_1和user_name_1是兩個(gè)不同的帳號(hào)名稱(chēng)，可根據(jù)不同用戶(hù)，取不同的名稱(chēng)；基線(xiàn)符合性判定依據(jù)不同名稱(chēng)的用戶(hù)可以連接數(shù)據(jù)庫(kù)備注建議手工檢查分配數(shù)據(jù)庫(kù)用戶(hù)所需的最小權(quán)限*安全基線(xiàn)項(xiàng)目名稱(chēng)數(shù)據(jù)庫(kù)管理系統(tǒng)SQLServer共享帳號(hào)安全基線(xiàn)要求項(xiàng)安全基線(xiàn)SBL-SQLServer-02-01-04安全基線(xiàn)項(xiàng)說(shuō)明在數(shù)據(jù)庫(kù)權(quán)限配置能力內(nèi)，根據(jù)用戶(hù)的業(yè)務(wù)需要，配置其所需的最小權(quán)限。檢測(cè)操作步驟更改數(shù)據(jù)庫(kù)屬性，取消業(yè)務(wù)數(shù)據(jù)庫(kù)帳號(hào)不需要的服務(wù)器角色；更改數(shù)據(jù)庫(kù)屬性，取消業(yè)務(wù)數(shù)據(jù)庫(kù)帳號(hào)不需要的“數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)許可”和“數(shù)據(jù)庫(kù)角色中允許”中不需要的角色?；€(xiàn)符合性判定依據(jù)更改數(shù)據(jù)庫(kù)屬性，取消業(yè)務(wù)數(shù)據(jù)庫(kù)帳號(hào)不需要的服務(wù)器角色；更改數(shù)據(jù)庫(kù)屬性，取消業(yè)務(wù)數(shù)據(jù)庫(kù)帳號(hào)不需要的“數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)許可”和“數(shù)據(jù)庫(kù)角色中允許”中不需要的角色。備注建議手工檢查網(wǎng)絡(luò)訪(fǎng)問(wèn)限制*安全基線(xiàn)項(xiàng)目名稱(chēng)數(shù)據(jù)庫(kù)管理系統(tǒng)SQLServer共享帳號(hào)安全基線(xiàn)要求項(xiàng)安全基線(xiàn)SBL-SQLServer-02-01-05安全基線(xiàn)項(xiàng)說(shuō)明通過(guò)數(shù)據(jù)庫(kù)所在操作系統(tǒng)或防火墻限制，只有信任的IP地址才能通過(guò)監(jiān)聽(tīng)器訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)。檢測(cè)操作步驟在防火墻中做限制，只允許及指定的IP地址建立1433的通訊。當(dāng)然，從更為安全的角度來(lái)考慮，應(yīng)該把1433端口改成其他的端口。1.在“Windows防火墻”對(duì)話(huà)框中，單擊“例外”選項(xiàng)卡。2.單擊“添加端口”。3.鍵入您要允許的端口名稱(chēng)，鍵入端口號(hào)，然后單擊“TCP”或“UDP”以提示這是TCP還是UDP端口。4.單擊“更改范圍”。5.指定要為其阻止此端口的一系列計(jì)算機(jī)，然后單擊“確定”?；€(xiàn)符合性判定依據(jù)無(wú)關(guān)IP不允許連接1433端口備注建議手工檢查日志日志審計(jì)SQLServer登錄審計(jì)*安全基線(xiàn)項(xiàng)目名稱(chēng)數(shù)據(jù)庫(kù)管理系統(tǒng)SQLServer登錄審計(jì)安全基線(xiàn)要求項(xiàng)安全基線(xiàn)編號(hào)SBL-SQLServer-03-01-01安全基線(xiàn)項(xiàng)說(shuō)明數(shù)據(jù)庫(kù)應(yīng)配置日志功能，對(duì)用戶(hù)登錄進(jìn)行記錄，記錄內(nèi)容包括用戶(hù)登錄使用的帳號(hào)、登錄是否成功、登錄時(shí)間。檢測(cè)操作步驟打開(kāi)數(shù)據(jù)庫(kù)屬性，選擇安全性，將安全性中的審計(jì)級(jí)別調(diào)整為“全部”基線(xiàn)符合性判定依據(jù)登錄成功和失敗測(cè)試，檢查相關(guān)信息是否被記錄備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開(kāi)啟此功能，則強(qiáng)制要求此項(xiàng)。SQLServer安全事件審計(jì)*安全基線(xiàn)項(xiàng)目名稱(chēng)數(shù)據(jù)庫(kù)管理系統(tǒng)SQLServer安全事件審計(jì)安全基線(xiàn)要求項(xiàng)安全基線(xiàn)編號(hào)SBL-SQLServer-03-01-02安全基線(xiàn)項(xiàng)說(shuō)明數(shù)據(jù)庫(kù)應(yīng)配置日志功能，記錄對(duì)及數(shù)據(jù)庫(kù)相關(guān)的安全事件。檢測(cè)操作步驟打開(kāi)企業(yè)管理器，查看數(shù)據(jù)庫(kù)“管理”中的“SQLServer日志”，查看當(dāng)前的日志記錄和存檔的日志記錄是否包含相關(guān)數(shù)據(jù)庫(kù)安全事件1、參考配置操作數(shù)據(jù)庫(kù)默認(rèn)開(kāi)啟日志記錄2、補(bǔ)充操作說(shuō)明增加帳號(hào)登陸審計(jì)：打開(kāi)數(shù)據(jù)庫(kù)屬性，選擇安全性，將安全性中的審計(jì)級(jí)別調(diào)整為“全部”。基線(xiàn)符合性判定依據(jù)SQLServer日志中是否存在數(shù)據(jù)庫(kù)相關(guān)事件日志信息。備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開(kāi)啟此功能，則強(qiáng)制要求此項(xiàng)。其他安全策略通訊協(xié)議安全策略*安全基線(xiàn)項(xiàng)目名稱(chēng)數(shù)據(jù)庫(kù)管理系統(tǒng)SQLServer通訊協(xié)議安全基線(xiàn)要求項(xiàng)安全基線(xiàn)編號(hào)SBL-SQLServer-04-01-01安全基線(xiàn)項(xiàng)說(shuō)明使用通訊協(xié)議加密。檢測(cè)操作步驟參考配置操作啟動(dòng)服務(wù)器網(wǎng)絡(luò)配置工具，查看“常規(guī)”設(shè)置基線(xiàn)符合性判定依據(jù)“常規(guī)”設(shè)置為“強(qiáng)制協(xié)議加密”。備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開(kāi)啟此功能，則強(qiáng)制要求此項(xiàng)。更新補(bǔ)丁補(bǔ)丁要求*安全基線(xiàn)項(xiàng)目名稱(chēng)數(shù)據(jù)庫(kù)管理系統(tǒng)SQLServer補(bǔ)丁安全基線(xiàn)要求項(xiàng)安全基線(xiàn)編號(hào)SBL-SQLServer-04-02-01安全基線(xiàn)項(xiàng)說(shuō)明為系統(tǒng)打最新的補(bǔ)丁包。檢測(cè)操作步驟檢查當(dāng)前所有已安裝的數(shù)據(jù)庫(kù)產(chǎn)品的版本信息，運(yùn)行SQL查詢(xún)分析器，執(zhí)行：select@@version安裝補(bǔ)丁詳細(xì)操作請(qǐng)參照其中的readme文件基線(xiàn)符合性判定依據(jù)確保SQLServer的補(bǔ)丁為最新的。下載并安裝最新的補(bǔ)丁對(duì)于如下SQLServer2000的版本相應(yīng)的補(bǔ)丁號(hào)是必須的：8.00.194－SQLServer2000RTM8.00.384－(SP1)8.00.534－(SP2)8.00.760－(SP3)8.00.2039－(SP4)備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開(kāi)啟此功能，則強(qiáng)制要求此項(xiàng)。存儲(chǔ)保護(hù)停用不必要存儲(chǔ)過(guò)程*安全基線(xiàn)項(xiàng)目名稱(chēng)數(shù)據(jù)庫(kù)管理系統(tǒng)SQLServer存儲(chǔ)保護(hù)基線(xiàn)要求項(xiàng)安全基線(xiàn)編號(hào)SBL-SQLServer-04-03-01安全基線(xiàn)項(xiàng)說(shuō)明停用不必要的存儲(chǔ)過(guò)程檢測(cè)操作步驟參考配置操作首先確認(rèn)下面的擴(kuò)展存儲(chǔ)過(guò)程不會(huì)被使用，然后刪除下面的這些存儲(chǔ)過(guò)程。去掉xp_cmdshell擴(kuò)展存儲(chǔ)過(guò)程，使用：usemastersp_dropextendedproc'xp_cmdshell'同上類(lèi)似語(yǔ)句，刪除以下的擴(kuò)展存儲(chǔ)過(guò)程：Sp_OACreateSp_OADestroySp_OAGetErrorInfoSp_OAGetPropertySp_OAMethodSp_OASetPropertySp_OAStopXp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvaluesXp_regremovemultistringxp_sdidebugxp_availablemediaxp_cmdshellxp_deletemailxp_dirtreexp_dropwebtaskxp_dsninfoxp_enumdsnxp_enumerrorlogsxp_enumgroupsxp_enumqueuedtasksxp_eventlogxp_findnextmsgxp_fixeddrivesxp_getfiledetailsxp_getnetnamexp_grantloginxp_logeventxp_loginconfigxp_logininfoxp_makewebtaskxp_msverxp_perfendxp_perfmonitorxp_perfsamplexp_perfstartxp_readerrorlogxp_readmailxp_revokeloginxp_runwebtaskxp_schedulersignalxp_sendmailxp_servicecontrolxp