附录K-Microsoft-SQL-Server安全基线配置要求

MicrosoftSQLServer数据库系统安全基线配置要求二〇一四年六月附录KMicrosoft_SQL_Server安全基线配置要求I目录1概述.....................................................................................................11.1目的.....................................................................................................11.2适用范围..............................................................................................11.3适用版本..............................................................................................12口令.....................................................................................................22.1口令安全..............................................................................................22.1.1SQLServer用户口令安全........................................................23日志.....................................................................................................33.1日志审计..............................................................................................33.1.1SQLServer登录审计...............................................................33.1.2SQLServer安全事件审计........................................................34其他.....................................................................................................54.1安全策略..............................................................................................54.1.1通讯协议安全策略...................................................................54.2更新补丁..............................................................................................54.2.1补丁要求.................................................................................5附录KMicrosoft_SQL_Server安全基线配置要求11概述1.1目的本文档规定了SQLServer数据库应当遵循的数据库安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行SQLServer数据库的安全合规性检查和配置。1.2适用范围本配置标准的使用者包括：数据库管理员、应用管理员、网络安全管理员。1.3适用版本SQLServer系列数据库。附录KMicrosoft_SQL_Server安全基线配置要求22口令2.1口令安全2.1.1SQLServer用户口令安全安全基线项目名称数据库管理系统SQLServer用户口令安全基线要求项安全基线SBL-SQLServer-02-01-01安全基线项说明对用户的属性进行安全检查，包括空密码、密码更新时间等。修改目前所有账号的口令，确认为强口令。特别是sa账号，需要设置至少10位的强口令。检测操作步骤1.检查password字段是否为null。2.参考配置操作查看用户状态运行查询分析器，执行select*fromsysusersSelectname,Passwordfromsysloginswherepasswordisnullorderbyname#查看口令为空的用户基线符合性判定依据password字段不为null。备注附录KMicrosoft_SQL_Server安全基线配置要求33日志3.1日志审计3.1.1SQLServer登录审计安全基线项目名称数据库管理系统SQLServer登录审计安全基线要求项安全基线编号SBL-SQLServer-03-01-01安全基线项说明数据库应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号、登录是否成功、登录时间。检测操作步骤打开数据库属性，选择安全性，将安全性中的审计级别调整为“全部”基线符合性判定依据登录成功和失败测试，检查相关信息是否被记录备注3.1.2SQLServer安全事件审计安全基线项目名称数据库管理系统SQLServer安全事件审计安全基线要求项安全基线SBL-SQLServer-03-01-02附录KMicrosoft_SQL_Server安全基线配置要求4编号安全基线项说明数据库应配置日志功能，记录对与数据库相关的安全事件。检测操作步骤打开企业管理器，查看数据库“管理”中的“SQLServer日志”，查看当前的日志记录和存档的日志记录是否包含相关数据库安全事件1、参考配置操作数据库默认开启日志记录2、补充操作说明增加帐号登陆审计：打开数据库属性，选择安全性，将安全性中的审计级别调整为“全部”。基线符合性判定依据SQLServer日志中是否存在数据库相关事件日志信息。备注附录KMicrosoft_SQL_Server安全基线配置要求54其他4.1安全策略4.1.1通讯协议安全策略安全基线项目名称数据库管理系统SQLServer通讯协议安全基线要求项安全基线编号SBL-SQLServer-04-01-01安全基线项说明使用通讯协议加密。检测操作步骤1、参考配置操作启动服务器网络配置工具，查看“常规”设置基线符合性判定依据“常规”设置为“强制协议加密”。4.2更新补丁4.2.1补丁要求安全基线项目名称数据库管理系统SQLServer补丁安全基线要求项附录KMicrosoft_SQL_Server安全基线配置要求6安全基线编号SBL-SQLServer-04-02-01安全基线项说明为系统打最新的补丁包。检测操作步骤检查当前所有已安装的数据库产品的版本信息，运行SQL查询分析器，执行：select@@version安装补丁详细操作请参照其中的readme文件基线符合性判定依据确保SQLServer的补丁为最新的。下载并安装最新的补丁SQLServer2000的版本和补丁号对应关系如下：8.00.194－------SQLServer2000RTM8.00.384－------(SP1)8.00.534－------(SP2)8.00.760－------(SP3)8.00.2039－------(SP4)备注