数据库安全加固手册
SQL Server
目录
一、总则1
二、适用范围2
三、数据库的安装2
四、数据库的加固3
1.补丁检查3
2.安装补丁3
3.服务4
4.协议4
5.Windows SQL SERVER帐号4
6.SQL SERVER登陆组、帐户和角5
7.文件和目录6
8.共享及端口7
9.加固注册表7
10.存储过程7
11.审计和日志8
五、设置应用开发检查及控制措施9
六、设置良好的日志管理策略9
七、设置良好的数据库备份策略9
SQL SERVER安全加固手册
一、总则
sql server手机版下载1制定SQL Server数据库安全加固维护手册的目的是建立SQL Server安全配置、安全维护标准,并以此标准为指导,配置和审视SQL Server数据库服务器的安全性;降低系统存在的安全风险,确保系统安全可靠的运行。
2本手册既可以作为SQL Server管理员的安全加固维护手册,也可作为进行SQL Server数据库的定期风险评估的评估内容。
二、适用范围
1本手册适用于SQL Server数据库服务器,包括但不限于桌面计算机、笔记本计算机及个人使用的计算机设备等。
2本手册是管理员操作级的手册,SQL Server数据库系统的管理有责任认真遵照手册的规定进行SQL Server数据库系统的加固和日常维护,对于SQL Server数据库系统的个人使用者也有重要的参考作用和意义。
3本手册应当适用于SQL Server数据库系统的管理员。
4本手册忽略大小写,即SELECT与Select以及select相同。
三、数据库的安装
1保证SQL SERVER数据库主机物理安全。
2在安装SQL Server数据之前,应将所在的主机操作系统进行必要的安全加固,特别是操作系统的补丁。参见《主机系统安全加固维护手册》。
3安装SQL Server之前创建一个可以具有运行SQL Server服务权限的操作系统帐号。而不要用本地系统帐号或者administrator帐号进行数据库的安装。4不要将SQL Server数据库安装在域控制器服务器上。
5SQL Server数据库系统应当安装在非系统卷的ntfs分区上。
6建议选择定制安装数据库,如非特殊需要,去掉以下不必要的安装选项:upgrade tools、replication support、full text search、books online、development tools、code samples。
7安装时建议选择windows认证模式,除非特殊需要,否则不建议使用SQL Server认证模式。
8如选择混合模式则必须为sa以及所有用户帐号选择强壮的口令。
9删除缺省安装的sample database。
四、数据库的加固
1.补丁检查
➢用Isql或者SQL查询分析器登录到SQL Server
➢在ISQL中输入:
Select @@Version;
go
➢版本补丁情况:
i.SQL Server 6.5 Service Pack 5a with the post-5a hotfix
ii.SQL Server 7.0 Service Pack 4
iii.SQL Server 2000 Service Pack 3
iv.SQL Server 2000 desktop engine <MSDE 2000> sp3a
或使用查看数据库补丁发布情况
或从下载Windows补丁检查工具mbsa,查看数据库补丁安装情况
SQL Server补丁对应关系参照:
support.microsoft/default.aspx?scid=kb;zh-cn;321185 SQL Server 2000补丁对应关系如下:
8.00.194 -——————SQL Server 2000 RTM
8.00.384 -——————<SQL Server 2000 SP1>
8.00.534 -——————<SQL Server 2000 SP2>
8.00.760 -——————<SQL Server 2000 SP3>
8.00.760 -——————<SQL Server 2000 SP3a>
----------<SQL Server 2000 SP4>
2.安装补丁
➢在补丁安装之前建议先对数据库进行备份
➢停止SQL SERVER服务
➢在Microsoft SQL Server Downloads Web site下载补丁进行安装
3.服务
➢禁用不必要的服务
在sql server 缺省安装时,有MSSQLSERVER、QLSERVERAGENT、
SSQLServerADHelper、Microsoft Search这四个服务,除了
MSSQLSERVER之外,其他的如不需要,建议禁用。
➢禁用微软DTC服务
如不需要用到微软的DTC服务提供分布式事务处理,则禁用该服务。4.协议
➢限制sql server 使用的协议
在Microsoft SQL Server程序组, 运行服务网络实用工具。建议只使用
tcp/ip协议,禁用其他协议。
➢加固tcp/ip协议栈
对于tcp/ip协议栈的加固主要是某些注册表键值的修改。主要是以下几
个:
HKLM\System\CurrentControlSet\
Services\Tcpip\Parameters\DisableIPSourceRouting
说明:该键值应设为2,以防御源路由欺骗攻击。
HKLM\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters\
EnableICMPRedirect
说明:该键值应设为0,以ICMP重定向。
HKLM\System\CurrentControlSet\
Services\Tcpip\Parameters\SynAttackProtect
说明:该键值应设为2,防御SYN FLOOD攻击。
➢详细的内容可以参见:
5.Windows SQL SERVER帐号
➢服务帐号
对SQL Server服务帐号的授权应当加以限制。新建sql server服务帐
号后,建议将其从User组中删除,且不要把该帐号提升为Administrators
组的成员。授予如以下windows SQLRunAs帐户最少的权限启动SQL
Server数据库。
➢删除和禁用无用帐号
在SQL Server 2000sp3安装过程中,缺省创建了sql debugger帐号,由
于该帐号只用来支持debug,因此可以从production database server中
去掉。
6.SQL SERVER登陆组、帐户和角
➢取消windows 不必要的组和用户登陆,如windows
builtin\administrators组,数据库的guest用户帐户等。
➢使用"仅windows的身份验证"使sa用户帐户所具功能失效。
➢服务器角用于对登陆授予服务器范围内的安全特权,建议采用最小权限分配,特别要注意sysadmin,serveradmin,securityadmin和dbcreator
这四个角的权限分配。〔可以通过sp_helpsrvrole查看服务器角,
从sp_srvrolepermission查看服务器角特定权限
➢数据库角
对于数据库角的分配同样建议采用最小权限分配。〔可以从
sp_helpdbfixedrole 获得固定数据库角的列表,可以从
sp_dbfixedrolepermission 获得每个角的特定权限
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论