《2022年数据库服务器安全配置检查共享 .pdf》由会员分享,可在线阅读,更多相关《2022年数据库服务器安全配置检查共享 .pdf(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、数据库服务器安全配置检查表更新日期:2004年04月12日本页内容如何使用本检查表产品服务器的安装注意事项修补程序和更新程序服务协议帐户文件和目录共享端口注册表审核与日志记录SQL Server 安全性SQL Server 登录、用户和角色SQL Server 数据库对象其他注意事项保持安全如何使用本检查表本检查表随模块18 保证数据库服务器的安全一起提供。本检查表可帮助您保护数据库服务器,并可用作相应模块的快照。返回页首产品服务器的安装注意事项检查说明不在产品服务器上安装升级工具、调试符号、复制支持、联机图书和开发工具。不在域控制器上安装Microsoft? SQL Server?。如果没有
2、任何应用程序使用SQL Server 代理,则不安装它。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 8 页 - - - - - - - - - 将 SQL Server 安装在专用的数据库服务器上。将 SQL Server 安装在 NTFS 分区上。除非专门需要SQL Server 身份验证(此时选择 “ 混合模式 ” ),否则选择 “Windows 身份验证 ” 模式。将强密码应用于sa帐户或 sysadmin角色的任何其他成员。(对所有帐户使用强密码。)物理保护数
3、据库服务器的安全。返回页首修补程序和更新程序检查说明已经对SQL Server 应用最新的Service Pack 和修补程序。 (请参阅INF : 如何获取最新的SQL Server 2000 Service Pack 。)已经对SQL Server 应用 Service Pack 以后的修补程序。(请参阅http:/ Windows? 服务。对于所有可选服务(包括Microsoft Search Service、MSSQLServerADHelper 和 SQLServerAgent),如果所有应用程序都不使用它们,则禁用它们。如果所有应用程序都不使用Microsoft Distribut
4、ed Transaction Coordinator (MS DTC),则禁用它。使用具有最少权限的本地/域帐户运行各种SQL Server 服务,如备份和复制。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 8 页 - - - - - - - - - 返回页首协议检查说明在 SQL Server 内,禁用除TCP/IP 外的所有协议。使用服务器网络实用工具检查这一点。在数据库服务器上强化TCP/IP 堆栈的安全。返回页首帐户检查说明使用具有最少权限的本地帐户运行SQL
5、Server(或者,如果需要网络服务,可以使用具有最少权限的域帐户运行)。从 Windows 和 SQL Server 中删除未使用的帐户。禁用 Windows 的 guest 帐户。重命名 administrator 帐户,并使其具有强密码。强制执行强密码策略。限制远程登录。限制使用空会话(匿名登录)。帐户委派必须经过审批。不使用共享帐户。限制使用本地administrators 组的成员(理想情况是,不超过两个管理帐户)。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共
6、 8 页 - - - - - - - - - 返回页首文件和目录检查说明(根据本指南)在SQL Server 安装目录中配置限制性权限。Everyone 组没有权限访问SQL Server 安装目录。保护安装日志文件。删除或保护工具、实用程序和SDK 。使用 EFS 加密敏感数据文件(这一步是可选的。如果使用EFS 进行加密,则只加密MDF 文件而不加密LDF 日志文件)。返回页首共享检查说明从服务器中删除所有不必要的共享。限制对必需的共享的访问(Everyone 组没有访问权)。如果不需要管理性共享(C$ 和 Admin$ ),则删除它们( Microsoft Management Serv
7、er (SMS) 和 Microsoft Operations Manager (MOM) 需要这些共享)。返回页首端口检查说明限制对服务器上的所有端口进行访问,但为SQL Server 和数据库实例所配置的端口除外(默认情况下是TCP 1433 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 8 页 - - - - - - - - - 和 UDP 1434)。配置在同一端口侦听命名实例。如果端口3389 为了远程终端服务管理而保持打开状态,则使用IPSec 保护该端口。
8、将防火墙配置为支持DTC 通信(如果应用程序需要)。在服务器网络实用工具中,选中“ 隐藏服务器 ” 选项(可选)。返回页首注册表检查说明使用受限制的权限保护SQL Server 注册表项。保护 SAM (仅限独立服务器)。返回页首审核与日志记录检查说明记录所有失败的Windows 登录尝试。记录文件系统中的所有失败的操作。启用 SQL Server 登录审核。将日志文件从默认位置移走,并使用访问控制列表加以保护。将日志文件配置为适当大小,具体取决于应用程序的安全需要。在数据库内容高度敏感或重要的情况下,将Windows 设置为在安全日志溢出时使用“ 关机” 模式。名师资料总结 - - -精品资
9、料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 8 页 - - - - - - - - - 返回页首SQL Server 安全性检查说明将 SQL Server 身份验证设置为 “ 仅 Windows ” (如果应用程序支持)。将 SQL Server 审核级别设置为 “ 失败或全部 ” 。使用具有最少权限的帐户运行SQL Server。返回页首SQL Server 登录、用户和角色检查说明使用强 sa密码(对于所有帐户)。删除 SQL Server guest 用户帐户。删除 BUILTINAdmi
10、nistrators 服务器登录。不要将权限授予公共角色。限制 sysadmin固定服务器角色的成员数(理想情况下,不超过两个用户)。授予受限制的数据库权限。避免使用内置角色(如db_datareader 和 db_datawriter),因为它们提供有限的授权粒度。不要更改应用于SQL Server 对象的默认权限。返回页首名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 8 页 - - - - - - - - - SQL Server 数据库对象检查说明删除示例数据库(
11、包括Pubs 和 Northwind)。保护存储过程和扩展存储过程。对 cmdExec 的访问权仅限于sysadmin 角色的成员。返回页首其他注意事项检查说明将证书安装在数据库服务器上,以支持SSL 通信和 SQL 帐户证书的自动加密(可选)。将 LMCompatibilityLevel设置为 5 以启用 NTLM 版本 2。返回页首保持安全检查说明执行定期备份。审核组成员。定期检查审核日志。定期执行安全性评估。订阅 SQL 安全公告,网址为:http:/ - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 8 页 - - - - - - - - - 订阅预订 Microsoft安全性通告服务 上的 Microsoft 安全性通告服务。返回页首名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 8 页 - - - - - - - - -