安全策略SQLServer標(biāo)準(zhǔn)檢查表SQL-Server標(biāo)準(zhǔn)檢查表分類(lèi)測(cè)評(píng)項(xiàng)預(yù)期結(jié)果評(píng)估操作示例整改建議身份鑒別SQLServer用戶(hù)身份驗(yàn)證方式SQLServer和Windows結(jié)合驗(yàn)證企業(yè)管理器>右鍵單擊服務(wù)器屬性>安全性>服務(wù)器身份驗(yàn)證選擇SQLserver和Windows結(jié)合的驗(yàn)證方式查看是否存在空口令用戶(hù)不存在空口令用戶(hù)新建查詢(xún)：

usemaster；

selectname,passwordfromsysloginswherepasswordisnull；在企業(yè)管理器>安全性>找到登錄名>右鍵屬性>SQLserver身份驗(yàn)證中設(shè)置新的密碼sa賬戶(hù)口令強(qiáng)度口令長(zhǎng)度至少10位以上，包含數(shù)字，字母（大小寫(xiě)），特殊字符三種形式詢(xún)問(wèn)管理員口令的強(qiáng)度在企業(yè)管理器>安全性>登錄名>sa賬戶(hù)>右鍵屬性>修改密碼符合要求SQLserver賬戶(hù)口令強(qiáng)度口令長(zhǎng)度至少10位以上，包含數(shù)字，字母（大小寫(xiě)），特殊字符三種形式詢(xún)問(wèn)管理員口令的強(qiáng)度在企業(yè)管理器>安全性>找到登錄名>右鍵屬性>修改密碼符合要求遠(yuǎn)程超時(shí)設(shè)置遠(yuǎn)程登錄超時(shí)時(shí)間一般為20分鐘在企業(yè)管理器>右鍵服務(wù)器屬性>高級(jí)>遠(yuǎn)程登錄超時(shí)值在企業(yè)管理器>右鍵服務(wù)器屬性>高級(jí)>遠(yuǎn)程登錄超時(shí)值，直接修改保存遠(yuǎn)程查詢(xún)超時(shí)設(shè)置遠(yuǎn)程查詢(xún)超時(shí)設(shè)置為300秒在企業(yè)管理器>右鍵服務(wù)器屬性>連接>遠(yuǎn)程查詢(xún)超時(shí)值在企業(yè)管理器>右鍵服務(wù)器屬性>連接>遠(yuǎn)程查詢(xún)超時(shí)值，直接修改后保存數(shù)據(jù)庫(kù)身份鑒別方式是否采用除用戶(hù)名/密碼外其他鑒別方式采用了除用戶(hù)名/密碼之外的第二種方式可以詢(xún)問(wèn)管理員或在登錄時(shí)查看對(duì)于等保三級(jí)系統(tǒng)必須采用兩種或兩種以上的身份鑒別方式；

對(duì)于非等保三級(jí)的系統(tǒng)我們只是建議采用多種身份鑒別方式，也可以加強(qiáng)密碼強(qiáng)度訪問(wèn)控制應(yīng)啟用訪問(wèn)控制功能，依據(jù)安全策略控制用戶(hù)的訪問(wèn)權(quán)限

明確了各賬戶(hù)的權(quán)限在企業(yè)管理器>安全性>登錄名>每個(gè)用戶(hù)的屬性中，我們可以看到該用戶(hù)的服務(wù)器角色和擁有的權(quán)限，如：db_securityadmin,db_owner(全部權(quán)限)根據(jù)實(shí)際需求，對(duì)每個(gè)用戶(hù)的訪問(wèn)權(quán)限進(jìn)行限制，對(duì)敏感的文件夾限制訪問(wèn)用戶(hù)的權(quán)限每個(gè)登錄用戶(hù)的角色和權(quán)限應(yīng)該是該用戶(hù)所需的最小權(quán)限每個(gè)用戶(hù)都只有該用戶(hù)功能所需的權(quán)限，沒(méi)有其他特殊權(quán)限訪談管理員，了解每個(gè)用戶(hù)的作用、權(quán)限，并在企業(yè)管理器中對(duì)每個(gè)用戶(hù)的權(quán)限進(jìn)行查看：企業(yè)管理器>安全性>登錄名>右鍵用戶(hù)屬性>用戶(hù)映射，查看每個(gè)用戶(hù)的權(quán)限給予賬戶(hù)所需最小權(quán)限，避免出現(xiàn)特權(quán)用戶(hù)應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)用戶(hù)由不同用戶(hù)擔(dān)任操作系統(tǒng)和數(shù)據(jù)庫(kù)的特權(quán)用戶(hù)的權(quán)限必須分離，避免一些特權(quán)用戶(hù)擁有過(guò)大的權(quán)限，減少人為誤操作詢(xún)問(wèn)管理員，操作系統(tǒng)管理員和數(shù)據(jù)庫(kù)管理員是否分離分離數(shù)據(jù)庫(kù)和操作系統(tǒng)的特權(quán)用戶(hù)，不能使一個(gè)用戶(hù)權(quán)限過(guò)大應(yīng)及時(shí)刪除多余的、過(guò)期的賬戶(hù)不存在多余、過(guò)期和共享賬戶(hù)在企業(yè)管理器中新建查詢(xún)，輸入：selectnamefromsyslogins

查所有的用戶(hù)名刪除多余、過(guò)期無(wú)用的賬戶(hù)安全審計(jì)數(shù)據(jù)庫(kù)審核級(jí)別數(shù)據(jù)庫(kù)登錄審核全部開(kāi)啟企業(yè)管理器>右鍵單擊服務(wù)器屬性>安全性>登錄審核企業(yè)管理器>右鍵單擊服務(wù)器屬性>安全性>登錄審核選擇：成功和失敗得登錄都審核SQL日志記錄是否包括重要用戶(hù)行為（如登錄系統(tǒng)、增加/刪除用戶(hù)等）、系統(tǒng)資源異常和重要系統(tǒng)命令的使用（如xp_cmdshell存儲(chǔ)過(guò)程）的日志記錄審計(jì)功能已開(kāi)啟，包括：登錄系統(tǒng)、增加/刪除用戶(hù)等）、系統(tǒng)資源異常和重要系統(tǒng)命令的使用（如xp_cmdshell存儲(chǔ)過(guò)程）企業(yè)管理器>管理>SQLserver日志對(duì)每個(gè)命令的操作都要進(jìn)行記錄，可以在安全性>審核，新建審核來(lái)對(duì)系統(tǒng)的操作進(jìn)行記錄審計(jì)記錄應(yīng)包括事件的日期、觸發(fā)事件的主體與客體標(biāo)識(shí)、事件類(lèi)型、事件結(jié)果審計(jì)記錄信息中應(yīng)包括日期、時(shí)間、事件類(lèi)型、主體標(biāo)識(shí)（如用戶(hù)名等）、客體標(biāo)識(shí)（如數(shù)據(jù)庫(kù)表、字段戒記錄等）和事件操作結(jié)果等內(nèi)容管理>SQLserver日志>選擇當(dāng)前日期的日志打開(kāi)若未開(kāi)啟日志記錄則開(kāi)啟資源控制是否在防火墻或其他網(wǎng)絡(luò)設(shè)備/安全設(shè)備上限制終端登錄，防止數(shù)據(jù)庫(kù)被非授權(quán)訪問(wèn)數(shù)據(jù)庫(kù)的訪問(wèn)受到限制詢(xún)問(wèn)管理員是否在防火墻等安全設(shè)備上對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)做了限制建議在安全設(shè)備上對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)做限制數(shù)據(jù)庫(kù)是否設(shè)置登錄終端操作超時(shí)鎖定時(shí)間查詢(xún)結(jié)果remotelogintimeout的run_