SqlServer数据库测评（最新文档）.pdf

(10条消息)SqlServer数据库测评_phanx_kp的博客-CSDN博客_sqlserver数据库测评

笔记本：06其他工具

创建时间：2022/4/114:42

URL：/qqarticle/details

1、身份鉴别（6）

a、对登录操作系统和数据库系统的用户进行身份标识和鉴别

测评方法

11、检查数据库系统是否对登录用户进行身份标识和鉴别（默认符合）

结果记录

1#通过用户名/密码方式对登录操作系统的用户进行身份标识和鉴别。

b、用户身份标识应具有不易被冒用的特点，口令有复杂度要求并定期更换

测评方法

11、对象资源管理器-安全性-登录名，右键各用户-属性-常规-强制实施密码策略、强制密码过期策略

2勾选“强制实时密码策略”、“强制密码过期策略”

32、控制面板-管理工具-本地安全设置-账户策略-密码策略

4密码必须符合复杂性要求：已启用

5密码长度最小值：8个字符

6密码最长使用期限：42天

7密码最短使用期限:2天

8强制密码历史：24个记住密码

93、在sql查询分析器中执行usemaster;selectname,passwordfromsysloginswherepasswordisnull或使用数据库扫描软件，查看扫描结果中是否存在空

10未发现弱口令、空口令用户

结果记录

1#勾选强制实施密码策略，用户密码由数字、字母、字符组成，长度最少8位，但未勾选强制密码过期策略，未定期修改密码。

2#启用数据库密码复杂度要求，勾选“强制实施密码策略”和“强制密码过期策略”。

c、启用登录失败处理功能，采取结束会话、限制非法登录次数和自动推出等措施

测评方法

11、对象资源管理器-安全性-登录名，右键各用户-属性-常规-强制实施密码策略

2勾选“强制实施密码策略”

32、控制面板-管理工具-本地安全设置-账户策略-账户锁定策略

4复位账户锁定计数器：30分钟之后

5账户锁定时间：30分钟

6账户锁定阈值：5次无效登录

结果记录

1#未启用登录失败处理功能。

d、对服务器进行远程管理时，采取相应的措施，防止鉴别信息在网络传输的过程中被窃听

测评方法

11、询问是否使用默认客户端

2使用默认客户端

32、使用截包工具进行分析

4对数据进行加密

结果记录

1#通过SQLservermanagementstudio管理工具管理数据库，防止鉴别信息在传输过程中被窃听。

2#使用默认管理工具对服务器进行远程管理，防止鉴别信息在网络传输过程中被窃听。

e、为操作系统和数据库系统的不同用户分配不同的用户名，保证用户名的唯一性

测评方法

11、询问是否存在多个用户使用同一账户的情况

2不同用户使用不同账号登录数据库，且为应用连接数据库专门开设一个账户

结果记录

1#存在多人共用一个帐户的情况。

2#为操作系统不同用户分配不同且唯一的用户名。

f、采用两种或两种以上的鉴别技术对管理用户进行身份鉴别

测评方法

11、查看数据库是否采用了两种以上身份鉴别机制（默认不符合）

结果记录

1#仅通过用户名/密码一种鉴别技术对管理用户进行身份鉴别。

2#

2、访问控制（7）

a、启用访问控制功能，依据安全策略控制用户对资源的访问

测评方法

11、对象资源管理器-安全性-登录名-右键用户列表中各用户-属性

2-服务器角色

32、查看设置的用户是否与权限表一致

4应符合安全策略中合法用户的权限分配机制；能够提供用户权限表并与实际设置相同

53、询问数据库管理员应用系统连接数据库所使用的账户权限

6应为应用系统连接数据库新建一账户，并限制器访问权限

结果记录

1#启用访问控制功能，依据安全策略控制用户对资源的访问。

b、根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限