MS SQL Server数据库 基准安全配置标准

目录

1. 2. 3. 4. 5.

将 SQL SERVER 身份验证设置为仅限 WINDOWS ....................................................................... 2 安装最新的补丁更新程序 ....................................................................................................................... 2 优化服务 .................................................................................................................................................. 2 限制 SQL SERVER 只采用 TCP/IP ................................................................................................... 3 帐户 .......................................................................................................................................................... 3 5.1. 5.2. 5.3. 5.4. 5.5. 6.

使用最低权限帐户运行 SQL SERVER ............................................................................................ 3 为SA帐号设置强壮的口令 ........................................................................................................... 3 删除 SQL 来宾用户帐户 ................................................................................................................ 5 删除 BUILTIN\\ADMINISTRATORS 服务器登录 .............................................................................. 5 不为公共角色授予权限 .................................................................................................................. 5

文件和目录............................................................................................................................................... 5 6.1. 6.2. 6.3.

验证对 SQL SERVER 安装目录的访问权限 ................................................................................... 6 验证 EVERYONE 组是否不具有对 SQL SERVER 文件的访问权限 .............................................. 6 保证安装日志文件的安全 .............................................................................................................. 7

7. SQL SERVER 数据库对象 .................................................................................................................... 7 7.1. 7.2. 7.3.

删除示例数据库 .............................................................................................................................. 7 保证存储过程的安全 ...................................................................................................................... 7 限制 CMDEXEC 对 SYSADMIN 角色的访问权限 ........................................................................... 9

8. 审核和日志.............................................................................................................................................. 11

1. 将 SQL Server 身份验证设置为仅限 Windows

应当对 SQL Server 进行配置，使其支持仅限 Windows 身份验证，因为这种验证方式有诸多优点。不必在网络上传送凭据；可避免在数据库连接字符串中嵌入用户名和密码；更易于进行安全管理，因为只需要与一个 Windows 安全模块而不是另外的 SQL Server 安全模块打交道；密码到期期间的登录安全性得到提高；最低限度的长度要求及帐户锁定策略。

2. 安装最新的补丁更新程序

包括最新的 Windows 操作系统以及 SQL Server的Service Pack 。

3. 优化服务

SQL 服务安装程序运行期间将安装以下四个 Windows 服务：

? MSSQLSERVER（对于命名实例，则为 MSSQL$InstanceName）。此为 SQL

Server 数据库引擎，是唯一的强制安装服务。

? SQLSERVERAGENT（对于命名实例，则为 SQLAgent$InstanceName）。可

借助此支持服务制定命令执行计划及在出错时通知操作人员。

? MSSQLServerADHelper。它可提供 Active Directory 集成服务，包括数据

库实例注册。

? Microsoft Search。它可提供全文搜索能力。在任何情况下均须通过本地系

统帐户来运行此服务。

只有 MSSQLSERVER 数据库引擎是必备的。其余服务提供了附加功能，只在特定情况下才需要使用。如并非必需，请禁用这些服务。

注意：不应将 SQL Server 配置为以本地系统帐户或本地 Administrators 组的任何成员帐户运行。

《SQL Server基准安全配置标准》 第 2 页 共 13 页

4. 限制 SQL Server 只采用 TCP/IP

禁用“SQL Server 网络实用工具”中除 TCP/IP 外的所有协议。

SQL Server 2000数据库系统本身没有提供网络连接的安全解决办法，但是Windows 2000提供了这样的安全机制。使用操作系统自己的IPSec可以实现IP数据包的安全性。请对IP连接进行限制，只保证自己的IP能够访问，也拒绝其他IP进行的端口连接，把来自网络上的安全威胁进行有效的控制。

5. 帐户

5.1. 使用最低权限帐户运行 SQL Server

使用最低权限帐户运行 SQL Server 服务可将设法从 SQL Server 执行操作系统命令的攻击者所造成的危害降至最低水平。不应为 SQL Server 服务帐户授予诸如 Administrators 组成员身份等较高特权。

5.2. 为SA帐号设置强壮的口令

默认系统管理员 (sa) 帐户一直是无数攻击的目标。它是 SQL Server 管理固定服务器角色 sysadmin 的默认成员。请确保对此帐户使用强密码。

注意：应对所有帐户，尤其是特权帐户（如 sysadmin 和 db_owner 角色的成员）均使用强密码。如果使用复制，请给用于与远程分布式服务器建立连接的 distributor_admin 帐户也使用强密码。

具体实施步骤 ：

1、打开sqlserver企业管理器

《SQL Server基准安全配置标准》 第 3 页 共 13 页