MS SQL Server数据库 基准安全配置标准
目录
1. 2. 3. 4. 5.
将 SQL SERVER 身份验证设置为仅限 WINDOWS ....................................................................... 2 安装最新的补丁更新程序 ....................................................................................................................... 2 优化服务 .................................................................................................................................................. 2 限制 SQL SERVER 只采用 TCP/IP ................................................................................................... 3 帐户 .......................................................................................................................................................... 3 5.1. 5.2. 5.3. 5.4. 5.5. 6.
使用最低权限帐户运行 SQL SERVER ............................................................................................ 3 为SA帐号设置强壮的口令 ........................................................................................................... 3 删除 SQL 来宾用户帐户 ................................................................................................................ 5 删除 BUILTIN\\ADMINISTRATORS 服务器登录 .............................................................................. 5 不为公共角色授予权限 .................................................................................................................. 5
文件和目录............................................................................................................................................... 5 6.1. 6.2. 6.3.
验证对 SQL SERVER 安装目录的访问权限 ................................................................................... 6 验证 EVERYONE 组是否不具有对 SQL SERVER 文件的访问权限 .............................................. 6 保证安装日志文件的安全 .............................................................................................................. 7
7. SQL SERVER 数据库对象 .................................................................................................................... 7 7.1. 7.2. 7.3.
删除示例数据库 .............................................................................................................................. 7 保证存储过程的安全 ...................................................................................................................... 7 限制 CMDEXEC 对 SYSADMIN 角色的访问权限 ........................................................................... 9
8. 审核和日志.............................................................................................................................................. 11
1. 将 SQL Server 身份验证设置为仅限 Windows
应当对 SQL Server 进行配置,使其支持仅限 Windows 身份验证,因为这种验证方式有诸多优点。不必在网络上传送凭据;可避免在数据库连接字符串中嵌入用户名和密码;更易于进行安全管理,因为只需要与一个 Windows 安全模块而不是另外的 SQL Server 安全模块打交道;密码到期期间的登录安全性得到提高;最低限度的长度要求及帐户锁定策略。
2. 安装最新的补丁更新程序
包括最新的 Windows 操作系统以及 SQL Server的Service Pack 。
3. 优化服务
SQL 服务安装程序运行期间将安装以下四个 Windows 服务:
? MSSQLSERVER(对于命名实例,则为 MSSQL$InstanceName)。此为 SQL
Server 数据库引擎,是唯一的强制安装服务。
? SQLSERVERAGENT(对于命名实例,则为 SQLAgent$InstanceName)。可
借助此支持服务制定命令执行计划及在出错时通知操作人员。
? MSSQLServerADHelper。它可提供 Active Directory 集成服务,包括数据
库实例注册。
? Microsoft Search。它可提供全文搜索能力。在任何情况下均须通过本地系
统帐户来运行此服务。
只有 MSSQLSERVER 数据库引擎是必备的。其余服务提供了附加功能,只在特定情况下才需要使用。如并非必需,请禁用这些服务。
注意:不应将 SQL Server 配置为以本地系统帐户或本地 Administrators 组的任何成员帐户运行。
《SQL Server基准安全配置标准》 第 2 页 共 13 页
4. 限制 SQL Server 只采用 TCP/IP
禁用“SQL Server 网络实用工具”中除 TCP/IP 外的所有协议。
SQL Server 2000数据库系统本身没有提供网络连接的安全解决办法,但是Windows 2000提供了这样的安全机制。使用操作系统自己的IPSec可以实现IP数据包的安全性。请对IP连接进行限制,只保证自己的IP能够访问,也拒绝其他IP进行的端口连接,把来自网络上的安全威胁进行有效的控制。
5. 帐户
5.1. 使用最低权限帐户运行 SQL Server
使用最低权限帐户运行 SQL Server 服务可将设法从 SQL Server 执行操作系统命令的攻击者所造成的危害降至最低水平。不应为 SQL Server 服务帐户授予诸如 Administrators 组成员身份等较高特权。
5.2. 为SA帐号设置强壮的口令
默认系统管理员 (sa) 帐户一直是无数攻击的目标。它是 SQL Server 管理固定服务器角色 sysadmin 的默认成员。请确保对此帐户使用强密码。
注意:应对所有帐户,尤其是特权帐户(如 sysadmin 和 db_owner 角色的成员)均使用强密码。如果使用复制,请给用于与远程分布式服务器建立连接的 distributor_admin 帐户也使用强密码。
具体实施步骤 :
1、打开sqlserver企业管理器
《SQL Server基准安全配置标准》 第 3 页 共 13 页