Mssql数据库系统安全加固规范.docx

Mssq1.数据库系统安全基线规范2024年8月1 账号管理、认证授权.I1.1.1 E1.K-MssqI-O1.-O1.-Oi11.1.2 E1.KMasq1.-O1.-01-0221.1.3 E1.K-Mssq1.-OI-O1.-0331.1.4 E1.K-Mssq1.-O1.-01-0441.1.5 E1.K-Mssq1.-OI-O1.-OS51.1.6 E1.KMssqI-O1.-O1.-0652 日72.1.1 E1.K-Mssq1.-O1.-O1.-O1.7彳目82.1.2 E1.K-Mssq1.-OS-OhOI82.1.3 E1.K-MSSqM)3-01-0282.1.4 E1.K-MSSqi-O3-01-04104彳di114.1.1 E1.K-MSSq1.o4-01-O1.H4.1.2 E1.K-Masq1.-040i02141.1.1E1.K-Mssq1.-O1.-O1.-O1.编号E1.K-Mssq1.-O1.-O1.-O1.名称为不同的管理员分配不同的账号实施目的应按照用户分配账号，避免不同用户间共享账号，提高安全性。问题影响账号混淆，权限不明确，存在用户越权使用的可能。系统当前状态USemasterSe1.ectname,passwordfromsys1.oginsorderbyname记录用户列表实施步骤1、叁考配置操作sp_add1.ogin'user_name_1','password1,sp-addogn'user-name-2','pssword2,或在企业管理器中直接添加远程登陆用户建立角色，并给角色授权,把角色赋给不同的用户或修改用户属性中的角色和权限2、补充操作说明1、USer_name_1.和user_name_1.是两个不同的账号名称，可根据不同用户，取不同的名称：回退方案删除添加的用户编号E1.K-Mssq1-01-01-03名称限制启动账号权限实施目的限制账号过高的用户启动SqISerVer问题影响启动mssq1.的账号权限过高,会导致其子进程具有相同权限.系统当前状态Mssq1.企业管理器->SQ1.Server组->(1.oca1.)(WindowsT)-属性(右键A安全性实施步骤1、参考配置操作新建SQ1.server服务账号后，建议将其从User组中删除，且不要把该账号提升为Administrators组的成员。授予以下windowsSQ1.RunAs账户最少的权限启动SQ1.Server数据库。回退方案替换会原来启动账号判断依据判定条件查看启动账号权限.实施风险高重要等级备注编号E1.K-Mssq1.-O1.-O1.-O1.名称权限最小化实施目的在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。问题影响账号权限越大,时系统的威胁性越高系统当前状态记录用户拥有权限实施步骤1、弁考配置掾作a）更改数据库属性，取消业务数据摩帐号不需要的服务器角色：b）更改数据库属性，取消业务数据库帐号不需要的“数据库访问许可”和“数据库角色中允许”中不需要的角色。2、补充操作说明操作a）用于修改数据库帐号的最小系统角色操作b）用于修改用户多余数据库访问许可权限和数据库内角色回退方案还原添加或删除的权限判断依据业务测试正常实施风险高重要等级备注1.1.5E1.K-Mssq1.-01-01-05编号E1.K-MSSq1.-O1.-O1.-05名称数据库角色实施目的使用数据库角色（KO1.E）来管理对象的权限。问题影响账号管理混乱系统当前状态记录对应数据库用户角色权限实施步骤a）企业管理器-）数据库->对应数据库-）角色-中创建新角色：b）调整角色属性中的权限，赋予角色中拥有对象对应的SE1.ECTINSERT、UPDME、DE1.ETE,EXEC、DRI权限回退方案删除相应的角色判断依据对应用户不要赋予不必要的权限实施风险高重要等级备注1.1.6E1.K-MSSq1.-O1.Yn-O6名称空密码实施目的对用户的屈性进行安全检杳，包括空密码、宓码更新时间等。修改目前所有账号的口令，确认为强口令。特别是Sa账号，需要设置至少IO位的强口令。问题影响账号安全性低.系统当前状态se1.ect*fromsysusersSe1.ectname,PasswordCrOnIsys1.oginswherePaSSWordisnu1.1.orderbyname#查看口令为空的用户实施步骤UsemasterexecSP-PaSSWord，旧口令，,'新口令'，用户名回退方案恢熨用户密码到原来状态判断依据Se1.ectname,Passwordfromsys1.oginswherepasswordisnu1.1.orderbyname查看是否有账号为密码实施风险高重要等级备注3通信协议3.1.1 E1.K-MSSqIf3fIfI编号E1.K-Mssq1.-03-01-01名称网络协议实施目的除去不必要的服务问题影响增加数据库安全隐患系统当前状态在MicrosoftSQ1.Server程序组，运行服务网络实用工具，查看协议列表实施步骤参考配置操作在MiCroSOftSQ1.SerVer程序组，运行股务网络实用工具.建议只使用TCP/IP协议，禁用其他协议。回退方案添加删除的协议判断依据判定条件在MicrosoftSQ1.Server程序组，运行服务网络实用工具，查看协议列表,查看是否有多余协议.实施风险高重要等级备注3.1.2 E1.KTSSq1-O3-C1-O2名称加固TCP/IP协议栈实施目的加固TCP/IP协议栈,加强系统防御网络攻击能力.问题影响网络防御能力弱.系统当前状态查看HK1.MSystemCurrentContro1.SetServicesTcpipParametersDisab1e1PSourceRoutingHK1.MSYSTEMCurrentContro1.SetServicesTcpipParametersEnab1eICMPRedirectHK1.MSystemCurrentContro1.SetServicesTcpipXParametersXSynAtIackProtect注册表键值实施步骤参考配置操作对于TCP/IP协议栈的加固主要是某些注册表键值的修改。主要是以下几个：HK1.MSystemCrrentContro1.SetServicesTcpipParametersDisab1.eIPSourceRouting说明：该键值应设为2,以防御源路由欺骗攻击。HK1.MSYSTEMCurrentContro1SetServicesTcpipParamctersXEnab1.eICMPRedircct说明：该键值应设为0，以IevP重定向。HK1.MSystemCrrentContro1.SetServicesTcpipParainctersXSynAttackProtect说明：该键值应设为2,防御SYF1.oOD攻击。回退方案还原注册表更改键值判断依据判定条件读取HK1.MSystemCurrentContro1.SetServicesTcpipParametersDisab1eIPSourceRoutingHK1.MSYSTEMCurrentContro1.SetServicesTcpipParameters'Enab1eICMPRedirectHK1.MSystemCurrentContro1SetServicesTcpipParamctersxSynAttackProtcct键值.实施风险高重要等级备注3.1.3 E1.K-MSSqI-O3-01-04编号E1.K-Mssq1.-OS-O1.-O1.名称通讯协议加密实施目的使用通讯协议加密问题影响数据库的不安全性憎加系统当前状态启动服务器网络配餐工具，查看“常规”设置实施步骤参考配置操作启动服务器网络配置工具，更改“常规”设置为“强制协议加密工回退方案恢复“强制协议加箔”到原状态判断依据启动服务器网络配置工具，查看“常规”设置实施风险高重要等级备注4设备其他安全要求4.1.1E1.K-MSSq1-04-0IfI编号E1.K-Mssq1-04-01-01名称停用不必要的存储过程实施目的停用Sq1.SerVer中存在的危险存储过程问题影响数据库的不安全性增加系统当前状态查看存储过程列表.tqtUvwrtntfvprtw(ff*n*trM<AQCtarwr«MXrwSOe1.¾fiJO口MA0M三jUkDaeS)0zz*EU0蹲J、3。S口IPCX.iN*mH三W1.uD各赚MEGtWP着IDOSJ*ji，式摩？Cj用咤室方总明Q金一-白U三MH®夕砂力11用户IABI>C.CtT*.UCMt<<M夫.kfrct<3r>CPdM5<P.*M.J*A*f*4电M>.>M.>r<jFx4左Q.W6R>w<tq4»S*P.M.<i*fPJMpt三*3tng*.i1.gJ6F.Mncertqd»电5©.，”3如今dgM虹Xw<±»八gAMrtUtt<±»实施步骤参考配置操作usemasterexecsp-dropextendedproc'xp-cnx1.she1.cxccsp-dropcxtcndc<1.proc'xp-dirtrcc'execsp_dropextendedproc'xp-enumgroups'execsp_dropextendedproc'xp-fixeddrives'exccsp-dropcxtcndcdproc,xp-1.oginconfig'cxccsp-dropextcndcdprc'xp-cnumcrork>gs,execsp_dropextendedproc'x-get1.1.1.edetai1.s,exccsp-dropcxtcndcdproc'Sp-OACrcatc,CXCCsp_<1.ropextendcdpn)c'Sp_OADestroy'CXCCsp-(1