Microsoft SQL Server安全配置风险评估检查表.doc

Microsoft SQL Server数据库系统安全配置基线 目 录 第1章 概述 2 1.1 目的 2 1.2 适用范围 2 1.3 适用版本 2 第2章 口令 3 2.1 口令安全 3 2.1.1 SQLServer用户口令安全 3 第3章 日志 4 3.1 日志审计 4 3.1.1 SQLServer登录审计 4 3.1.2 SQLServer安全事件审计 4 第4章 其他 6 4.1 安全策略 6 4.1.1 通讯协议安全策略 6 4.2 更新补丁 6 4.2.1 补丁要求 6  概述 目的 本文档规定了应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行的安全。本的使用者包括：管理员、应用管理员、网络安全管理员。 安全基线 SBL-SQLServer-02-01-01 安全基线项说明 对用户的属性进行安全检查，包括空密码、密码更新时间等。修改目前所有账号的口令，确认为强口令。特别是sa 账号，需要设置至少10位的强口令。 检测操作步骤 1.检查password字段是否为null。 2.参考配置操作 查看用户状态 运行查询分析器，执行 select * from sysusers Select name,Password from syslogins where password is null order by name # 查看口令为空的用户 基线符合性判定依据 password字段不为null。 备注 日志 日志审计 SQLServer登录审计 安全基线项目名称 数据库管理系统SQLServer登录审计安全基线要求项 安全基线编号 SBL-SQLServer-03-01-01 安全基线项说明 数据库应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号、登录是否成功、登录时间。 检测操作步骤 打开数据库属性，选择安全性，将安全性中的审计级别调整为“全部” 基线符合性判定依据 登录成功和失败测试，检查相关信息是否被记录 备注 SQLServer安全事件审计 安全基线项目名称 数据库管理系统SQLServer安全事件审计安全基线要求项 安全基线编号 SBL-SQLServer-03-01-02 安全基线项说明 数据库应配置日志功能，记录对与数据库相关的安全事件。 检测操作步骤 打开企业管理器，查看数据库“管理”中的“SQL Server日志”，查看当前的日志记录和存档的日志记录是否包含相关数据库安全事件 1、 参考配置操作 数据库默认开启日志记录 2、 补充操作说明 增加帐号登陆审计：打开数据库属性，选择安全性，将安全性中的审计级别调整为“全部”。 基线符合性判定依据 SQL Server日志中是否存在数据库相关事件日志信息。 备注 其他 安全策略 通讯协议安全策略 安全基线项目名称 数据库管理系统SQLServer通讯协议安全基线要求项 安全基线编号 SBL-SQLServer-04-01-01 安全基线项说明 使用通讯协议加密。 检测操作步骤 1、 参考配置操作 启动服务器网络配置工具，查看“常规”设置 基线符合性判定依据 “常规”设置为“强制协议加密”。 更新补丁 补丁要求 安全基线项目名称 数据库管理系统SQLServer补丁安全基线要求项 安全基线编号 SBL-SQLServer-04-02-01 安全基线项说明 为系统打最新的补丁包。 检测操作步骤 检查当前所有已安装的数据库产品的版本信息，运行SQL查询分析器，执行： select @@version 安装补丁详细操作请参照其中的readme文件 基线符合性判定依据 确保SQL Server的补丁为最新的。下载并安装最新的补丁 SQL Server2000的版本和补丁号对应关系如下： 8.00.194 －------SQL Server 2000 RTM 8.00.384 －------(SP1) 8.00.534 －------(SP2) 8.00.760 －------(SP3) 8.00.2039－------(SP4) 备注