MicrosoftSQLServer安全配置基线.doc
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_05.gif)
《MicrosoftSQLServer安全配置基线.doc》由会员分享,可在线阅读,更多相关《MicrosoftSQLServer安全配置基线.doc(17页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、Microsoft SQL Server数据库系统安全配置基线中国移动通信公司 管理信息系统部2019年 4月版本版本控制信息更新日期更新人审批人V1.0创建2009年1月V2.0更新2019年4月备注:1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。目 录第1章概述41.1适用范围41.2适用版本41.3实施41.4例外条款4第2章帐号与口令52.1口令安全52.1.1删除不必要的帐号*52.1.2SQLServer用户口令安全52.1.3根据用户分配帐号避免帐号共享*62.1.4分配数据库用户所需的最小权限*62.1.5网络访问限制*7第3章日志83.1日志审计
2、83.1.1SQLServer登录审计*83.1.2SQLServer安全事件审计*8第4章其他104.1安全策略104.1.1通讯协议安全策略*104.2更新补丁104.2.1补丁要求*104.3存储保护114.3.1停用不必要存储过程*11第5章评审与修订13第1章 概述本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的SQL Server 数据库应当遵循的数据库安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行SQL Server 数据库的安全合规性检查和配置。1.1 适用范围本配置标准的使用者包括:数据库管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括:
3、中国移动总部和各省公司信息化部门维护管理的SQL Server数据库系统。1.2 适用版本SQL Server系列数据库。1.3 实施本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。本标准发布之日起生效。1.4 例外条款欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。第2章 帐号与口令2.1 口令安全2.1.1 删除不必要的帐号*安全基线项目名称数据库管理系统SQLServer用户安全基线要求项安全基线SBL-SQLServer-02-01-01 安全基线项说明
4、 应删除与数据库运行、维护等工作无关的帐号。检测操作步骤参考配置操作SQL SERVER企业管理器-安全性-登陆中删除无关帐号;SQL SERVER企业管理器-数据库-对应数据库-用户中删除无关帐号;基线符合性判定依据首先删除不需要的用户,已删除数据库不能登陆使用在MS SQL SERVER查询分析器的登陆界面中使用已删除帐号登陆备注手工检查2.1.2 SQLServer用户口令安全安全基线项目名称数据库管理系统SQLServer用户口令安全基线要求项安全基线SBL-SQLServer-02-01-02 安全基线项说明 对用户的属性进行安全检查,包括空密码、密码更新时间等。修改目前所有帐号的口
5、令,确认为强口令。特别是sa 帐号,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤1.检查password字段是否为null。2.参考配置操作查看用户状态运行查询分析器,执行select * from sysusersSelect name,Password from syslogins where password is null order by name # 查看口令为空的用户基线符合性判定依据password字段不为null。备注2.1.3 根据用户分配帐号避免帐号共享*安全基线项目名称数
6、据库管理系统SQLServer共享帐号安全基线要求项安全基线SBL-SQLServer-02-01-03 安全基线项说明 应按照用户分配帐号,避免不同用户间共享帐号。检测操作步骤1、 参考配置操作sp_addlogin user_name_1,password1sp_addlogin user_name_2,password2或在企业管理器中直接添加远程登陆用户建立角色,并给角色授权,把角色赋给不同的用户或修改用户属性中的角色和权限2、 检测方法:在查询分析器中用user_name_1/password1连接数据库成功3、 补充操作说明user_name_1和user_name_1是两个不同的
7、帐号名称,可根据不同用户,取不同的名称; 基线符合性判定依据不同名称的用户可以连接数据库备注建议手工检查2.1.4 分配数据库用户所需的最小权限*安全基线项目名称数据库管理系统SQLServer共享帐号安全基线要求项安全基线SBL-SQLServer-02-01-04 安全基线项说明 在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限。检测操作步骤1. 更改数据库属性,取消业务数据库帐号不需要的服务器角色;2. 更改数据库属性,取消业务数据库帐号不需要的“数据库访问许可”和“数据库角色中允许”中不需要的角色。基线符合性判定依据1. 更改数据库属性,取消业务数据库帐号不需要的服务器
8、角色;2. 更改数据库属性,取消业务数据库帐号不需要的“数据库访问许可”和“数据库角色中允许”中不需要的角色。备注建议手工检查2.1.5 网络访问限制*安全基线项目名称数据库管理系统SQLServer共享帐号安全基线要求项安全基线SBL-SQLServer-02-01-05 安全基线项说明 通过数据库所在操作系统或防火墙限制,只有信任的IP 地址才能通过监听器访问数据库。检测操作步骤在防火墙中做限制,只允许与指定的 IP 地址建立1433 的通讯。当然,从更为安全的角度来考虑,应该把1433 端口改成其他的端口。1. 在“Windows 防火墙”对话框中,单击“例外”选项卡。2. 单击“添加端
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- MicrosoftSQLServer 安全 配置 基线
![提示](https://www.deliwenku.com/images/bang_tan.gif)
限制150内