MicrosoftSQLServer数据库系统配置安全基线标准与操作指引-网络

图书与信息中心MicrosoftSQLServer数据库系统配置安全基线标准与操作指南南京农业大学图书与信息中心2018年6月图书与信息中心目录第1章概述............................................................................................................................................11.1安全基线概念...........................................................................................................................11.2文档编制目的...........................................................................................................................11.3文档适用范围...........................................................................................................................11.4文档修订...................................................................................................................................1第2章帐号与口令................................................................................................................................12.1口令安全...................................................................................................................................12.1.1删除不必要的帐号.......................................................................................................12.1.2用户口令安全...............................................................................................................12.1.3帐号分配管理...............................................................................................................22.1.4分配数据库用户所需的最小权限................................................................................22.1.5网络访问限制...............................................................................................................2第3章日志............................................................................................................................................33.1日志审计...................................................................................................................................33.1.1登录审计.......................................................................................................................33.1.2安全事件审计...............................................................................................................3第4章其他安全配置............................................................................................................................44.1安全策略...................................................................................................................................44.1.1通讯协议安全策略.......................................................................................................44.2更新补丁...................................................................................................................................44.2.1补丁要求.......................................................................................................................44.3存储保护...................................................................................................................................54.3.1停用不必要存储过程....................................................................................................5图书与信息中心1第1章概述1.1安全基线概念安全基线是指满足最小安全保证的基本要求。1.2文档编制目的本文档针对安装运行MicrosoftSQLServer数据库系统的服务器主机所应当遵循的基本安全设置要求提供了参考建议，供校园网用户在安装使用MicrosoftSQLServer数据库系统提供数据存储服务过程中进行安全合规性自查、检查、加固提供标准依据与操作指导。1.3文档适用范围本文档适用于MicrosoftSQLServer数据库系统的各类版本。1.4文档修订本文档的解释权和修改权属于南京农业大学图书与信息中心，欢迎校园网用户提供意见或建议，请发送至security@njau.edu.cn。图书与信息中心1第2章帐号与口令2.1口令安全2.1.1删除不必要的帐号安全基线项目名称MicrosoftSQLServer数据库帐号管理安全基线要求项安全基线编号NJAUSBL-MicrosoftSQLServer-V01-02-01-01安全基线项说明应删除或锁定与数据库运行、维护等工作无关的帐号。设置操作步骤SQLSERVER企业管理器-〉安全性-〉登陆中删除无关帐号；SQLSERVER企业管理器-〉数据库-〉对应数据库-〉用户中删除无关帐号；基线符合性判定依据在MSSQLSERVER查询分析器的登陆界面中使用已删除帐号应无法登录。备注2.1.2用户口令安全安全基线项目名称MicrosoftSQLServer数据库用户口令管理安全基线要求项安全基线编号NJAUSBL-MicrosoftSQLServer-V01-02-01-02安全基线项说明对用户的属性进行安全检查，包括空密码、密码更新时间等。修改目前所有帐号的口令，确认为强口令。特别是sa帐号，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。设置操作步骤1.检查password字段是否为null；2.查看用户状态，运行查询分析器，执行select*fromsysusersSelectname,Passwordfromsysloginswherepasswordisnullorderbyname#查看口令为空的用户。基线符合性判定依据查看password字段应不为null备注图书与信息中心22.1.3帐号分配管理安全基线项目名称MicrosoftSQLServer数据库帐号分配管理安全基线要求项安全基线编号NJAUSBL-MicrosoftSQLServer-V01-02-01-03安全基线项说明应按照用户分配帐号，避免不同用户间共享帐号。设置操作步骤1、参考配置操作sp_addlogin'user_name_1','password1'sp_addlogin'user_name_2','password2'或在企业管理器中直接添加远程登陆用户建立角色，并给角色授权，把角色赋给不同的用户或修改用户属性中的角色和权限2、检测方法：在查询分析器中用user_name_1/password1连接数据库成功3、补充操作说明user_name_1和user_name_1是两个不同的帐号名称，可根据不同用户，取不同的名称；基线符合性判定依据不同名称的用户可以连接数据库。备注2.1.4分配数据库用户所需的最小权限安全基线项目名称MicrosoftSQLServer数据库用户权限管理安全基线要求项安全基线编号NJAUSBL-MicrosoftSQLServer-V01-02-01-04安全基线项说明在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。设置操作步骤1.更改数据库属性，取消业务数据库帐号不需要的服务器角色；2.更改数据库属性，取消业务数据库帐号不需要的“数据库访问许可”和“数据库角色中允许”中不需要的角色。基线符合性判定依据查看数据库用户角色设置。备注2.1.5网络访问限制安全基线项目名称MicrosoftSQLServer数据库网络访问限制安全基线要求项安全基线编号NJAUSBL-MicrosoftSQLServer-V01-02-01-05安全基线项说明通过数据库所在操作系统或防火墙限制，只有信任的IP地址才能通过监听器访问数据库。图书与信息中心3设置操作步骤在防火墙中做限制，只允许与指定的IP地址建立1433的通讯。当然，从更为安全的角度来考虑，应该把1433端口改成其他的端口。1.在“Windows防火墙”对话框中，单击“例外”选项卡。2.单击“添加端口”。3.键入您要允许的端口名称，键入端口号，然后单击“TCP”或“UDP”以提示这是TCP还是U