1、Mssql數(shù)據(jù)庫(kù)系統(tǒng)安全基線(xiàn)規(guī)范2019年10月聯(lián)皿ss90二0二0寺sw呂H0二0二0言寸0二0二0亍也0二0二0肓2必畐Z0二0二0肓97777777577077ITIis1Qeoo寸IZ0二O4OZT寸II10二Odo肓I.寸s寸0二0:0言SW呂H07.0ooZ0二omo丄bsss必H07.00010二omo寺4W呂H二川賬號(hào)管理、認(rèn)證授權(quán)ELK-Mssql-01-01-01編號(hào)ELK-Mssql-01-01-01名稱(chēng)為不同的管理員分配不同的賬號(hào)實(shí)施目的應(yīng)按照用戶(hù)分配賬號(hào)，避免不同用戶(hù)間共享賬號(hào)，提高安全性。問(wèn)題影響賬號(hào)混淆，權(quán)限不明確，存在用戶(hù)越權(quán)使用的可能。系統(tǒng)當(dāng)前狀態(tài)usemas

2、terSelectname,passwordfromsysloginsorderbyname記錄用戶(hù)列表實(shí)施步驟1、參考配置操作sp_addloginuser_name_1,password1sp_addloginuser_name_2,password2或在企業(yè)管理器中直接添加遠(yuǎn)程登陸用戶(hù)建立角色，并給角色授權(quán)，把角色賦給不同的用戶(hù)或修改用戶(hù)屬性中的角色和權(quán)限2、補(bǔ)充操作說(shuō)明1、user_name_1和user_name_1是兩個(gè)不同的賬號(hào)名稱(chēng)，可根據(jù)不同用戶(hù)，取不同的名稱(chēng)；回退方案刪除添加的用戶(hù)判斷依據(jù)詢(xún)問(wèn)管理員是否安裝需求分配用戶(hù)賬號(hào)實(shí)施風(fēng)險(xiǎn)高重要等級(jí)備注1.1.2ELK-Mssql-0

3、1-01-02編號(hào)ELK-Mssql-01-01-02名稱(chēng)刪除或鎖定無(wú)效賬號(hào)實(shí)施目的刪除或鎖定無(wú)效的賬號(hào)，減少系統(tǒng)安全隱患。問(wèn)題影響允許非法利用系統(tǒng)默認(rèn)賬號(hào)系統(tǒng)當(dāng)前狀態(tài)usemasterSelectname,passwordfromsysloginsorderbyname記錄用戶(hù)列表實(shí)施步驟1、參考配置操作Mssql企業(yè)管理器SQLServer組-(Local)(WindowsNT)-安全性-登錄在用戶(hù)上點(diǎn)右鍵選擇刪除回退方案增加刪除的帳戶(hù)判斷依據(jù)詢(xún)問(wèn)管理員，哪些賬號(hào)是無(wú)效賬號(hào)實(shí)施風(fēng)險(xiǎn)高重要等級(jí)備注ELK-Mssql-01-01-03編號(hào)ELK-Mssql-01-01-03名稱(chēng)限制啟動(dòng)賬號(hào)權(quán)限

4、實(shí)施目的限制賬號(hào)過(guò)咼的用戶(hù)啟動(dòng)sqlserver問(wèn)題影響啟動(dòng)mssql的賬號(hào)權(quán)限過(guò)高,會(huì)導(dǎo)致其子進(jìn)程具有相同權(quán)限.系統(tǒng)當(dāng)前狀態(tài)Mssql企業(yè)官理器SQLServer組-(Local)(WindowsNT)-屬性(右鍵)-安全性實(shí)施步驟1、參考配置操作新建SQLserver服務(wù)賬號(hào)后，建議將其從User組中刪除，且不要把該賬號(hào)提升為Administrators組的成貝。授予以下windowsSQLRunAs賬戶(hù)最少的權(quán)限啟動(dòng)SQLServer數(shù)據(jù)庫(kù)?；赝朔桨柑鎿Q會(huì)原來(lái)啟動(dòng)賬號(hào)判斷依據(jù)判定條件查看啟動(dòng)賬號(hào)權(quán)限.實(shí)施風(fēng)險(xiǎn)高重要等級(jí)備注ELK-Mssql-01-01-04編號(hào)ELK-Mssql-01-

5、01-04名稱(chēng)權(quán)限最小化實(shí)施目的在數(shù)據(jù)庫(kù)權(quán)限配置能力內(nèi)，根據(jù)用戶(hù)的業(yè)務(wù)需要，配置其所需的最小權(quán)限。問(wèn)題影響賬號(hào)權(quán)限越大，對(duì)系統(tǒng)的威脅性越高系統(tǒng)當(dāng)前狀態(tài)記錄用戶(hù)擁有權(quán)限實(shí)施步驟1、參考配置操作a）更改數(shù)據(jù)庫(kù)屬性，取消業(yè)務(wù)數(shù)據(jù)庫(kù)帳號(hào)不需要的服務(wù)器角色；b）更改數(shù)據(jù)庫(kù)屬性，取消業(yè)務(wù)數(shù)據(jù)庫(kù)帳號(hào)不需要的“數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)許可”和“數(shù)據(jù)庫(kù)角色中允許”中不需要的角色。2、補(bǔ)充操作說(shuō)明操作a）用于修改數(shù)據(jù)庫(kù)帳號(hào)的最小系統(tǒng)角色操作b）用于修改用戶(hù)多余數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)許可權(quán)限和數(shù)據(jù)庫(kù)內(nèi)角色回退方案還原添加或刪除的權(quán)限判斷依據(jù)業(yè)務(wù)測(cè)試正常實(shí)施風(fēng)險(xiǎn)高重要等級(jí)備注編號(hào)ELK-Mssql-01-01-06ELK-Mssql-01-0

6、1-05編號(hào)ELK-Mssql-01-01-05名稱(chēng)數(shù)據(jù)庫(kù)角色實(shí)施目的使用數(shù)據(jù)庫(kù)角色（ROLE）來(lái)管理對(duì)象的權(quán)限。問(wèn)題影響賬號(hào)管理混亂系統(tǒng)當(dāng)前狀態(tài)記錄對(duì)應(yīng)數(shù)據(jù)庫(kù)用戶(hù)角色權(quán)限實(shí)施步驟a）企業(yè)管理器-數(shù)據(jù)庫(kù)-對(duì)應(yīng)數(shù)據(jù)庫(kù)-角色-中創(chuàng)建新角色；b）調(diào)整角色屬性中的權(quán)限，賦予角色中擁有對(duì)象對(duì)應(yīng)的SELECT、INSERT、UPDATE、DELETE、EXEC、DRI權(quán)限回退方案刪除相應(yīng)的角色判斷依據(jù)對(duì)應(yīng)用戶(hù)不要賦予不必要的權(quán)限實(shí)施風(fēng)險(xiǎn)高重要等級(jí)備注ELK-Mssql-01-01-06名稱(chēng)空密碼實(shí)施目的對(duì)用戶(hù)的屬性進(jìn)行安全檢查，包括空密碼、密碼更新時(shí)間等。修改目前所有賬號(hào)的口令，確認(rèn)為強(qiáng)口令。特別是sa賬

7、號(hào)，需要設(shè)置至少10位的強(qiáng)口令。問(wèn)題影響賬號(hào)安全性低.系統(tǒng)當(dāng)前狀態(tài)select*fromsysusersSelectname,Passwordfromsysloginswherepasswordisnullorderbyname#查看口令為空的用戶(hù)實(shí)施步驟Usemasterexecsp_password舊口令新口令，用戶(hù)名回退方案恢復(fù)用戶(hù)密碼到原來(lái)狀態(tài)判斷依據(jù)Selectname,Passwordfromsysloginswherepasswordisnullorderbyname查看是否有賬號(hào)為密碼實(shí)施風(fēng)險(xiǎn)高重要等級(jí)備注日志配置ELK-Mssql-02-01-01編號(hào)ELK-Mssql-02

8、-01-01名稱(chēng)啟用日志記錄功能實(shí)施目的數(shù)據(jù)庫(kù)應(yīng)配置日志功能，對(duì)用戶(hù)登錄進(jìn)行記錄，記錄內(nèi)容包括用戶(hù)登錄使用的賬號(hào)、登錄是否成功、登錄時(shí)間以及遠(yuǎn)程登錄時(shí)用戶(hù)使用的IP地址。問(wèn)題影響無(wú)法對(duì)用戶(hù)的登陸進(jìn)行日志記錄系統(tǒng)當(dāng)前狀態(tài)打開(kāi)數(shù)據(jù)庫(kù)屬性,查看安全屬性實(shí)施步驟打開(kāi)數(shù)據(jù)庫(kù)屬性，選擇安全性，將安全性中的審計(jì)級(jí)別調(diào)整為“全部”身份驗(yàn)證調(diào)整為“SQLServer和Windows回退方案設(shè)置安全屬性到原先狀態(tài)判斷依據(jù)判定條件登錄測(cè)試，檢查相關(guān)信息是否被記錄實(shí)施風(fēng)險(xiǎn)低重要等級(jí)備注通信協(xié)議ELK-Mssql-03-01-01編號(hào)ELK-Mssql-03-01-01名稱(chēng)網(wǎng)絡(luò)協(xié)議實(shí)施目的除去不必要的服務(wù)問(wèn)題影響增加數(shù)

9、據(jù)庫(kù)安全隱患系統(tǒng)當(dāng)前狀態(tài)在MicrosoftSQLServer程序組，運(yùn)行服務(wù)網(wǎng)絡(luò)實(shí)用工具，查看協(xié)議列表實(shí)施步驟參考配置操作在MicrosoftSQLServer程序組，運(yùn)行服務(wù)網(wǎng)絡(luò)實(shí)用工具。建議只使用TCP/IP協(xié)議，禁用其他協(xié)議?；赝朔桨柑砑觿h除的協(xié)議判斷依據(jù)判定條件在MicrosoftSQLServer程序組，運(yùn)行服務(wù)網(wǎng)絡(luò)實(shí)用工具，查看協(xié)議列表，查看是否有多余協(xié)議.實(shí)施風(fēng)險(xiǎn)高重要等級(jí)備注ELK-Mssql-03-01-02編號(hào)ELK-Mssql-03-01-02名稱(chēng)加固TCP/IP協(xié)議棧實(shí)施目的加固TCP/IP協(xié)議棧，加強(qiáng)系統(tǒng)防御網(wǎng)絡(luò)攻擊能力.問(wèn)題影響網(wǎng)絡(luò)防御能力弱.系統(tǒng)當(dāng)前狀態(tài)查看HK

10、LMSystemCurrentControlSetServicesTcpipParametersDisablelPSourceRoutingHKLMSYSTEMCurrentControlSetServicesTcpipParametersEnableICMPRedirectHKLMSystemCurrentControlSetServicesTcpipParametersSynAttackProtect注冊(cè)表鍵值實(shí)施步驟參考配置操作對(duì)于TCP/IP協(xié)議棧的加固主要是某些注冊(cè)表鍵值的修改。主要是以下幾個(gè)：HKLMSystemCurrentControlSetServicesTcpipParam

11、etersDisableIPSourceRouting說(shuō)明：該鍵值應(yīng)設(shè)為2,以防御源路由欺騙攻擊。HKLMSYSTEMCurrentControlSetServicesTcpipParametersEnableICMPRedirect說(shuō)明：該鍵值應(yīng)設(shè)為0,以ICMP重定向。HKLMSystemCurrentControlSetServicesTcpipParametersSynAttackProtect說(shuō)明：該鍵值應(yīng)設(shè)為2,防御SYNFLOOD攻擊?；赝朔桨高€原注冊(cè)表更改鍵值判斷依據(jù)判定條件讀取HKLMSystemCurrentControlSetServicesTcpipParameters

12、DisableIPSourceRoutingHKLMSYSTEMCurrentControlSetServicesTcpipParametersEnablelCMPRedirectHKLMSystemCurrentControlSetServicesTcpipParametersSynAttackProtect鍵值.實(shí)施風(fēng)險(xiǎn)高重要等級(jí)備注3.1.3ELK-Mssql-03-01-04編號(hào)ELK-Mssql-03-01-04名稱(chēng)通訊協(xié)議加密實(shí)施目的使用通訊協(xié)議加密問(wèn)題影響數(shù)據(jù)庫(kù)的不安全性增加系統(tǒng)當(dāng)前狀態(tài)啟動(dòng)服務(wù)器網(wǎng)絡(luò)配置工具，杳看“常規(guī)”設(shè)置實(shí)施步驟參考配置操作啟動(dòng)服務(wù)器網(wǎng)絡(luò)配置工具，更改“常規(guī)

13、”設(shè)置為“強(qiáng)制協(xié)議加密”?；赝朔桨富謴?fù)“強(qiáng)制協(xié)議加密”到原狀態(tài)判斷依據(jù)啟動(dòng)服務(wù)器網(wǎng)絡(luò)配置工具，杳看“常規(guī)”設(shè)置實(shí)施風(fēng)險(xiǎn)高重要等級(jí)備注4設(shè)備其他安全要求4.1.1ELK-Mssql-04-01-01編號(hào)名稱(chēng)實(shí)施目的問(wèn)題影響ELK-Mssql-04-01-01停用不必要的存儲(chǔ)過(guò)程停用sqlserver中存在的危險(xiǎn)存儲(chǔ)過(guò)程數(shù)據(jù)庫(kù)的不安全性增加查看存儲(chǔ)過(guò)程列表|7inSQLServerEnterpriseManager-EHo1BSS.MicrosoftSQLServersSQLServerfflSKY(WindowsNT控制臺(tái)窗口血幫助（出操作過(guò)查看伯工具J4*I圍跑IX酉國(guó)屜程共|輒囤恵帀樹(shù)I存儲(chǔ)

14、過(guò)程930-r項(xiàng)目-數(shù)據(jù)庫(kù)10master系統(tǒng)當(dāng)前狀態(tài)F綁M5_5qlctrs_j.5p_ActiveDirectory_Obj5p_ActiveDirectory_5CF5p_ActiveDirectory_5tartsp_addsp_addsp_addsp_addsp_addsp_addsp_addsp_add5p_addalia55p_.3dd.3pproli5p_add.3rticleF綁5p_adddi5tpubli5hersp_adddistributiondbfsoadddistributorusers.agentjziarameter已已it_p門(mén)二il已d.3t.3jile_

15、recover_5U5pect_dbd.3tatype_rri.3ppingfile_recover_5U5pect_dbli：igJile_recover_5U5口已匚server_sortinfoserver5ortirifo75ledbodbodbodbodbodbodbodbodbodbodbodbodbodbodbodbodbodbo參考配置操作usemasterexecsp_dropextendedprocxp_cmdshellexecsp_dropextendedprocxp_dirtree實(shí)施步驟execsp_dropextendedprocxp_enumgroupsexecs

16、p_dropextendedprocxp_fixeddrivesexecsp_dropextendedprocxp_loginconfigexecsp_dropextendedprocxp_enumerrorlogsexecsp_dropextendedprocxp_getfiledetailsexecsp_dropextendedprocSp_OACreateexecsp_dropextendedprocSp_OADestroyexecsp_dropextendedprocSp_OAGetErrorInfoexecsp_dropextendedprocSp_OAGetPropertyexec

17、sp_dropextendedprocSp_OAMethodexecsp_dropextendedprocSp_OASetPropertyexecsp_dropextendedprocSp_OAStopexecsp_dropextendedprocXp_regaddmultistringexecsp_dropextendedprocXp_regdeletekeyexecsp_dropextendedprocXp_regdeletevalueexecsp_dropextendedprocXp_regenumvaluesexecsp_dropextendedprocXp_regreadexecsp

18、_dropextendedprocXp_regremovemultistringexecsp_dropextendedprocXp_regwritedropproceduresp_makewebtaskGo刪除測(cè)試或不必要的存儲(chǔ)過(guò)程，一般情況下建議刪除的存儲(chǔ)過(guò)程有：sp_OACreatesp_OADestroysp_OAGetErrorInfosp_OAGetPropertysp_OAMethodsp_OASetPropertysp_0AStopsp_regaddmultistringxp_regdeletekeyxp_regdeletevaluexp_regenumvaluesxp_regr

19、emovemultistring除非應(yīng)用程序需要否則以下存儲(chǔ)過(guò)程也建議刪除:xp_perfendxp_perfmonitorxp_perfsamplexp_perfstartxp_readerrorlogxp_readmailxp_revokeloginxp_runwebtaskxp_schedulersignalxp_sendmailxp_servicecontrolxp_snmp_getstatexp_snmp_raisetrapxp_sprintfxp_sqlinventoryxp_sqlregisterxp_sqltracexp_sscanfxp_startmailxp_stopmailxp_subdirsxp_unc_to_drivexp_dirtreesp_sdi