MSSQLserver安全加固配置基线.docxVIP

MS-SQLserver安全加固配置基线

MS-SQLServer数据库安全加固

MS-SQLServer数据库

目录

TOC\o1-2\h\z\u3968976351.概述 2

5743438631.1适用范围 2

1.2规范依据 2

8001990001.3实施策略 2

14019954862.安全配置基线标准 4

11475583182.1身份鉴别 4

4620169192.2访问控制 9

19649737282.3安全审计 14

13099229302.4其他安全项 15

概述

适用范围

本配置基线适用于的MS_SQLServer数据库，主要涉及MS_SQLServer数据库安全配置方面的基本要求，用于指导安全例行工作、新系统入网安全检查等场合。

在未特别说明的情况下，均适用于所有运行的MS_SQLServer数据库。

规范依据

根据目前MS_SQLServer数据库的安全现状，综合参考安全运维专家的意见，结合相关规范性文件指引，制定适合的基线配置规范。

规范性引用文件：

GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》

GB/T28453-2012《信息安全技术信息系统安全管理评估要求》

GB/T25063-2010《信息安全技术服务器安全测评要求》

GB/Z24364-2009《信息安全技术信息安全风险管理指南》

GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》

GB/T20270-2006《信息安全技术网络基础安全技术要求》

GB/T20271-2006《信息安全技术信息系统通用安全技术要求》

GB/T20269-2006《信息安全技术信息系统安全管理要求》

YD/T2701-2014《电信网和互联网安全防护基线配置要求及检测要求_数据库》

实施策略

结合网络和信息系统建设情况，考虑安全配置项影响的范围，结合以往工作经验，提出如下安全项目实施策略：

基础项：实施安全基线能够明显提升安全水平，实施风险小，可操作性强。

建议项：实施安全基线能够提升一定安全水平，具有一定风险，可操作性较强。

序号

配置类别

基线名称

实施策略

1

身份鉴别

删除不必要账户

基础项

2

身份鉴别

设置密码并保证复杂度

基础项

3

身份鉴别

禁用共享账户

基础项

4

身份鉴别

设置认证失败锁定策略

基础项

5

访问控制

配置数据库启动账户安全

基础项

6

访问控制

设置用户权限最小化

基础项

7

访问控制

限制数据库验证方式

基础项

8

访问控制

限制登录IP

建议项

9

安全审计

配置数据库审计

建议项

10

其它要求项

配置安装最小化

基础项

11

其它要求项

设置通讯传输加密

建议项

12

其它要求项

更新数据库补丁

建议项

安全配置基线标准

身份鉴别

删除不必要账户

基线名称

删除不必要账户（基础项）

基线编号

Tophant-MS_SQLServer-1

基线说明

应删除或锁定与数据库运行、维护等工作无关的账户。

配置方法

开始-〉所有程序-〉MicrosoftSQLServer2005-〉SQLServerMangementStudio-〉（连接、登录数据库；若没自动弹出登录对话框则选择窗口左上角文件菜单，选择连接对象资源管理器）-〉安全性-〉登录名，然后删除无关账户；

SQLSERVER企业管理器-〉数据库-〉对应数据库-〉用户中删除无关账户；

最后和管理员（数据库、应用管理员）沟通确认哪些为无关删号。

无关账户：guest、test、share_dba123、default。

检查方法

可参考配置方法中（操作步骤）的截图，和管理员（数据库、应用管理员）沟通确认无关删号是否存在。

备注

需要手工判断，实际情况应与具体需求为准，谨慎操作。

禁用共享账户

基线名称

禁用共享账户（基础项）

基线编号

Tophant-MS_SQLServer-2

基线说明

数据库应按照用户分配账户，避免不同用户间共享账户。

共享账户带来管理和操作记录无法对应到各个用户使用者，以造成审计和记录不便，存在安全风险。

配置方法

建立角色，并给角色授权，把角色赋给不同的用户或修改用户属性中的角色和权限。禁用操作系统账户登录数据库，禁止单数据库用户被赋予多项权限、被多人共享使用。

禁用的共享账户：administrator、guest。

参考操作见下图：

检查方法

在查询分析器中用user_name_1/password1连接数据库成功。

此项检查可以采取问询的方式，然后登录到数据库用户界面后进行查证。

备注