《MS-SQL-Server数据库安全检查方案》由会员分享,可在线阅读,更多相关《MS-SQL-Server数据库安全检查方案(10页珍藏版)》请在金锄头文库上搜索。
1、技 术 文 件技术文件名称:MS SQL Server数据库安全检查方案 技术文件编号: 版 本:V1.0 文件质量等级:共8页(包括封面) 拟 制 审 核 会 签 标准化 批 准 中兴通讯股份有限公司11 / 11修改记录文件编号版本号拟制人/修改人拟制/修改日期更改理由主要更改内容(写要点即可)1.0王华刚2009/07/21无无注1:每次更改归档文件(指归档到事业部或公司档案室的文件)时,需填写此表。注2:文件第一次归档时,“更改理由”、“主要更改内容”栏写“无”。MS SQL Server数据库安全检查方案目录(包括封面)1修改记录21概述4内部适用性说明4外部引用说明4术语和定义4符
2、号和缩略语42MSSQL安全检查操作指导52.1ZTE-MSSQL-S01检查帐号安全52.1.1ZTE-MSSQL-SM01-01检查已安装组件及版本52.1.2ZTE-MSSQL-SH01-02检查危险存储过程52.2ZTE-MSSQL-S02检查帐号加固62.2.1ZTE-MSSQL-SM02-01检查数据库登录和用户62.2.2ZTE-MSSQL-SH02-02检查强制使用强密码配置82.2.3ZTE-MSSQL-SL02-03检查口令生存期配置82.2.4ZTE-MSSQL-SL02-04检查禁止使用重复密码配置92.2.5ZTE-MSSQL-SM02-05检查禁止手动更新数据字典9
3、2.3ZTE-MSSQL-S03检查审计配置102.3.1ZTE-MSSQL-SL03-01检查是否打开审计102.4ZTE-ASE-S04检查数据库版本102.4.1ZTE-MSSQL-SM04-01检查数据库版本10MSSQL数据库基本检查方案1 概述内部适用性说明本方案是在业务研究院网络安全规范中各项要求的基础上,提出MS SQL Server数据库安全检查方案。外部引用说明中国移动设备通用安全功能和配置规范中国移动数据库设备安全功能规范MS SQLServer数据库基本加固方案术语和定义符号和缩略语缩写英文描述中文描述本文件中的字体标识如下:蓝色斜体 在具体执行时需要替换的内容检查/加
4、固项编码意义如下:公司名称-操作系统-条目性质 风险级别 数字编号-小项数字编号条目性质中:S意为检查;E意为加固风险级别中:H意为高风险;M意为中等风险;L意为低风险,风险级别仅存于具体条目中约定:没有特别说明的情况下,本文档中的SQL语句和MS SQL Server命令均为使用sa登录执行2 MSSQL安全检查操作指导2.1 ZTE-MSSQL-S01检查帐号安全2.1.1 ZTE-MSSQL-SM01-01检查已安装组件及版本操作输出打开控制面板-添加删除程序,找到MS SQL Server 2005,选择更改(change),点击下图中的Report:复制Report内容后,点击取消(
5、Cancel)关闭窗口输出report内容为:本项检查仅适用于MS SQL Server 2005版2.1.2 ZTE-MSSQL-SH01-02检查危险存储过程操作期望输出是否满足SQL Server2000:执行SQL语句:Select * from master.dbo.sysobjects where xtype=X and name like xp_%输出中不包含如下存储过程:xp_cmdshellxp_sendmailxp_deletemailxp_readmailxp_regaddmultistringxp_regdeletekeyxp_regdeletevaluexp_rege
6、numvaluesxp_regreadxp_regremovemultistringxp_regwriteSQL Server2005:执行数据库命令:sp_configure show advanced options,1goreconfigure with overridegosp_configure xp_cmdshellgosp_configure show advanced options,0goreconfigure with overridegosp_configure xp_cmdshell命令的输出中Config_value和run_value均为02.2 ZTE-MSSQL
7、-S02检查帐号加固2.2.1 ZTE-MSSQL-SM02-01检查数据库登录和用户操作输出MS SQL Server 2005:步骤1:打开SQL Server Management Studio,连接服务器后,在对象资源管理器中找到安全性-登录:步骤2:打开SQL Server Management Studio,连接服务器后,在对象资源管理器中找到数据库(Database)-某个具体数据库-安全性-用户:步骤1:数据库中存在的登录有:步骤2:每个数据库中存在的用户有:MS SQL Server 2000:步骤1:打开企业管理器,连接数据库后,选择安全性-登录:步骤2:打开企业管理器,连
8、接数据库后,选择用户:步骤1:数据库中存在的登录有:步骤2:每个数据库中存在的用户有:记录登录MS SQL Server 2000:Select username,password,account_status from dba_users;输出内容为:usernamepasswordaccount_status2.2.2 ZTE-MSSQL-SH02-02检查强制使用强密码配置操作期望输出是否满足步骤1:进入“控制面板-管理工具-本地安全策略”,查看“帐户策略-密码策略”:“密码必须符合复杂性要求”配置项和“密码长度最小值”配置项步骤2:打开SQL Server Management Stu
9、dio,连接服务器后,在对象资源管理器中找到安全性-登录,打开每个登录,检查如下配置:步骤1:“密码必须符合复杂性要求”配置项为“已启动”“密码长度最小值”配置项为8。步骤2:“强制实施密码策略”已经勾选本项检查仅适用于MS SQL Server 2005版2.2.3 ZTE-MSSQL-SL02-03检查口令生存期配置操作期望输出是否满足步骤1:进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略”中,检查“密码必须符合复杂性要求” 配置项和“密码最长存留期”配置项。步骤2:打开SQL Server Management Studio,连接服务器后,在对象资源管理器中找到安全性-
10、登录,打开每个登录,检查如下配置:步骤1:“密码必须符合复杂性要求”配置项为“已启动”“密码最长存留期”配置项为90。步骤2:“强制实施密码策略”和“强制密码过期”都已勾选本项检查仅适用于MS SQL Server 2005版2.2.4 ZTE-MSSQL-SL02-04检查禁止使用重复密码配置操作期望输出是否满足步骤1:进入“控制面板-管理工具-本地安全策略”,在“帐户策略-密码策略”中检查“密码必须符合复杂性要求” 配置项和“强制密码历史”配置项。步骤2:打开SQL Server Management Studio,连接服务器后,在对象资源管理器中找到安全性-登录,打开每个登录,检查如下配
11、置:步骤1: “密码必须符合复杂性要求”配置项为“已启动”“强制密码历史”配置项.为5步骤2:“强制实施密码策略”已经勾选本项检查仅适用于MS SQL Server 2005版2.2.5 ZTE-MSSQL-SM02-05检查禁止手动更新数据字典操作期望输出是否满足执行语句:sp_configure allow updateConfig_value和Run_Value均为02.3 ZTE-MSSQL-S03检查审计配置2.3.1 ZTE-MSSQL-SL03-01检查是否打开审计操作期望输出是否满足检查master库中,是否存在zteaudittrace表zteaudittrace表存在2.4 ZTE-ASE-S04检查数据库版本2.4.1 ZTE-MSSQL-SM04-01检查数据库版本操作输出执行SQL语句:Select version
