MicrosoftSQLServer安全配置基线

第页MicrosoftSQLServer数据库系统安全配置基线中国移动通信公司管理信息系统部2019年4月版本版本控制信息更新日期更新人审批人V1.0创建2009年1月V2.0更新2019年4月备注：若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章 概述 41.1 适用范围 41.2 适用版本 41.3 实施 41.4 例外条款 4第2章 帐号与口令 52.1 口令安全 52.1.1 删除不必要的帐号* 52.1.2 SQLServer用户口令安全 52.1.3 根据用户分配帐号避免帐号共享* 62.1.4 分配数据库用户所需的最小权限* 62.1.5 网络访问限制* 7第3章 日志 83.1 日志审计 83.1.1 SQLServer登录审计* 83.1.2 SQLServer安全事件审计* 8第4章 其他 104.1 安全策略 104.1.1 通讯协议安全策略* 104.2 更新补丁 104.2.1 补丁要求* 104.3 存储保护 114.3.1 停用不必要存储过程* 11第5章 评审与修订 13概述本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的SQLServer数据库应当遵循的数据库安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行SQLServer数据库的安全合规性检查和配置。适用范围本配置标准的使用者包括：数据库管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的SQLServer数据库系统。适用版本SQLServer系列数据库。实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。帐号及口令口令安全删除不必要的帐号*安全基线项目名称数据库管理系统SQLServer用户安全基线要求项安全基线SBL-SQLServer-02-01-01安全基线项说明应删除及数据库运行、维护等工作无关的帐号。检测操作步骤参考配置操作SQLSERVER企业管理器-〉安全性-〉登陆中删除无关帐号；SQLSERVER企业管理器-〉数据库-〉对应数据库-〉用户中删除无关帐号；基线符合性判定依据首先删除不需要的用户，已删除数据库不能登陆使用在MSSQLSERVER查询分析器的登陆界面中使用已删除帐号登陆备注手工检查SQLServer用户口令安全安全基线项目名称数据库管理系统SQLServer用户口令安全基线要求项安全基线SBL-SQLServer-02-01-02安全基线项说明对用户的属性进行安全检查，包括空密码、密码更新时间等。修改目前所有帐号的口令，确认为强口令。特别是sa帐号，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤1.检查password字段是否为null。2.参考配置操作查看用户状态运行查询分析器，执行select*fromsysusersSelectname,Passwordfromsysloginswherepasswordisnullorderbyname#查看口令为空的用户基线符合性判定依据password字段不为null。备注根据用户分配帐号避免帐号共享*安全基线项目名称数据库管理系统SQLServer共享帐号安全基线要求项安全基线SBL-SQLServer-02-01-03安全基线项说明应按照用户分配帐号，避免不同用户间共享帐号。检测操作步骤参考配置操作sp_addlogin'user_name_1','password1'sp_addlogin'user_name_2','password2'或在企业管理器中直接添加远程登陆用户建立角色，并给角色授权，把角色赋给不同的用户或修改用户属性中的角色和权限检测方法：在查询分析器中用user_name_1/password1连接数据库成功补充操作说明user_name_1和user_name_1是两个不同的帐号名称，可根据不同用户，取不同的名称；基线符合性判定依据不同名称的用户可以连接数据库备注建议手工检查分配数据库用户所需的最小权限*安全基线项目名称数据库管理系统SQLServer共享帐号安全基线要求项安全基线SBL-SQLServer-02-01-04安全基线项说明在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。检测操作步骤更改数据库属性，取消业务数据库帐号不需要的服务器角色；更改数据库属性，取消业务数据库帐号不需要的“数据库访问许可”和“数据库角色中允许”中不需要的角色。基线符合性判定依据更改数据库属性，取消业务数据库帐号不需要的服务器角色；更改数据库属性，取消业务数据库帐号不需要的“数据库访问许可”和“数据库角色中允许”中不需要的角色。备注建议手工检查网络访问限制*安全基线项目名称数据库管理系统SQLServer共享帐号安全基线要求项安全基线SBL-SQLServer-02-01-05安全基线项说明通过数据库所在操作系统或防火墙限制，只有信任的IP地址才能通过监听器访问数据库。检测操作步骤在防火墙中做限制，只允许及指定的IP地址建立1433的通讯。当然，从更为安全的角度来考虑，应该把1433端口改成其他的端口。1.在“Windows防火墙”对话框中，单击“例外”选项卡。2.单击“添加端口”。3.键入您要允许的端口名称，键入端口号，然后单击“TCP”或“UDP”以提示这是TCP还是UDP端口。4.单击“更改范围”。5.指定要为其阻止此端口的一系列计算机，然后单击“确定”。基线符合性判定依据无关IP不允许连接1433端口备注建议手工检查日志日志审计SQLServer登录审计*安全基线项目名称数据库管理系统SQLServer登录审计安全基线要求项安全基线编号SBL-SQLServer-03-01-01安全基线项说明数据库应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的帐号、登录是否成功、登录时间。检测操作步骤打开数据库属性，选择安全性，将安全性中的审计级别调整为“全部”基线符合性判定依据登录成功和失败测试，检查相关信息是否被记录备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。SQLServer安全事件审计*安全基线项目名称数据库管理系统SQLServer安全事件审计安全基线要求项安全基线编号SBL-SQLServer-03-01-02安全基线项说明数据库应配置日志功能，记录对及数据库相关的安全事件。检测操作步骤打开企业管理器，查看数据库“管理”中的“SQLServer日志”，查看当前的日志记录和存档的日志记录是否包含相关数据库安全事件1、参考配置操作数据库默认开启日志记录2、补充操作说明增加帐号登陆审计：打开数据库属性，选择安全性，将安全性中的审计级别调整为“全部”。基线符合性判定依据SQLServer日志中是否存在数据库相关事件日志信息。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。其他安全策略通讯协议安全策略*安全基线项目名称数据库管理系统SQLServer通讯协议安全基线要求项安全基线编号SBL-SQLServer-04-01-01安全基线项说明使用通讯协议加密。检测操作步骤参考配置操作启动服务器网络配置工具，查看“常规”设置基线符合性判定依据“常规”设置为“强制协议加密”。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。更新补丁补丁要求*安全基线项目名称数据库管理系统SQLServer补丁安全基线要求项安全基线编号SBL-SQLServer-04-02-01安全基线项说明为系统打最新的补丁包。检测操作步骤检查当前所有已安装的数据库产品的版本信息，运行SQL查询分析器，执行：select@@version安装补丁详细操作请参照其中的readme文件基线符合性判定依据确保SQLServer的补丁为最新的。下载并安装最新的补丁对于如下SQLServer2000的版本相应的补丁号是必须的：8.00.194－SQLServer2000RTM8.00.384－(SP1)8.00.534－(SP2)8.00.760－(SP3)8.00.2039－(SP4)备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。存储保护停用不必要存储过程*安全基线项目名称数据库管理系统SQLServer存储保护基线要求项安全基线编号SBL-SQLServer-04-03-01安全基线项说明停用不必要的存储过程检测操作步骤参考配置操作首先确认下面的扩展存储过程不会被使用，然后删除下面的这些存储过程。去掉xp_cmdshell扩展存储过程，使用：usemastersp_dropextendedproc'xp_cmdshell'同上类似语句，删除以下的扩展存储过程：Sp_OACreateSp_OADestroySp_OAGetErrorInfoSp_OAGetPropertySp_OAMethodSp_OASetPropertySp_OAStopXp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvaluesXp_regremovemultistringxp_sdidebugxp_availablemediaxp_cmdshellxp_deletemailxp_dirtreexp_dropwebtaskxp_dsninfoxp_enumdsnxp_enumerrorlogsxp_enumgroupsxp_enumqueuedtasksxp_eventlogxp_findnextmsgxp_fixeddrivesxp_getfiledetailsxp_getnetnamexp_grantloginxp_logeventxp_loginconfigxp_logininfoxp_makewebtaskxp_msverxp_perfendxp_perfmonitorxp_perfsamplexp_perfstartxp_readerrorlogxp_readmailxp_revokeloginxp_runwebtaskxp_schedulersignalxp_sendmailxp_servicecontrolxp