SqlServer数据库系统加固规范V0.2
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Mssq数据库系统加固规范
中国移动通信有限公司管理信息系统部
2020年7月
账号管理、认证授权
1.1.1 1.1.2 1.1.3 1.1.4 1.1.5 1.1.6 SHG-Mssql-01-01-01 SHG-Mssql-01-01-02 SHG-Mssql-01-01-03 SHG-Mssql-01-01-04 SHG-Mssql-01-01-05 SHG-Mssql-01-01-06
日志配置.................
2.1.1 SHG-Mssql-02-01-01 通信协议..................
3.1.1SHG-Mssql-03-01-01
3.1.2SHG-Mssql-03-01-02
3.1.3SHG-Mssql-03-01-04
设备其他安全要求 ..........
4.1.1SHG-Mssql-04-01-01
4.1.2SHG-Mssql-04-01-02
1
2
3
4
5
5
.7
.8
10
11
.11. (14)
1账号管理、认证授权
1.1. 1 SHSMSsql -01-01-01
编号
名称
实施目的问题影响SHG-Mssql-01-01-01
为不同的管理员分配不同的账号
应按照用户分配账号,避免不同用户间共享账号提高安全性。
账号混淆,权限不明确,存在用户越权使用的可能。use master
系统当前状态
Select n ame ,p assword from syslogi ns order by
n ame
记录用户列表
1、参考配置操作
sp_addlogin 'user_name_1', 'p assword1'
sp_addlogin 'user_name_2', 'p assword2'
或在企业管理器中直接添加远程登陆用户
实施步骤建立角色,并给角色授权,把角色赋给不同的用户或修改用
户属性中的角色和权限
2、补充操作说明
1、user_name_1 和user_name_1 是两个不同的账号名
称,可根据不同用户,取不同的名称;
回退方案
删除添加的用户
1. 1.2 SHSMSsql -01-01-02
1. 1.6 SHSMSsql -01-01-06
2日志配置
2.1. 1 SHSMSsql -02-01-01
编号SHG-Mssql-02-01-01
3通信协议
3.1.2 SHSMSsql -03-01-02
HKLM\S YSTEM'Curre ntCon trolSet\Services\ Tcpip'P arameters\ En ablelC MP Redirect HKLM\System\Curre ntCo ntrolSet\Services\ Tcpip'P arameters\S yn Attack Protect 注
册表键值 参考配置操作 对于TCP/IP 协议栈的加固主要是某些注册表键值的 修改。主要是以下几个:
HKLM\System\Curre ntCo ntrolSet\Services\Tc pip\ P arameters'Disable IP SourceRout ing
说明:该键值应设为2,以防御源路由欺骗攻击。
HKLM'S YSTEM'Curre ntCo ntrolSet\Services\Tc pip\ Parameters'E nablelC MP Redirect
说明:该键值应设为0,以ICMP 重定向。
HKLM\System\Curre ntCon trolSet\Services\Tc pip\ P arameters'S yn Attack Protect
说明:该键值应设为 2,防御SYN FLOP 攻击。 还原注册表更改键值 判定条件
读取
HKLM\System\Curre ntCon trolSet\Services\Tc pip\ P arameters\ Disable IP SourceRouti ng
HKLM\S YSTEM'Curre ntC on trolSet\Services\Tc pip\ Parameters' En ablelC MP Redirect
HKLM\System\Curre ntCo ntrolSet\Services\Tc pip\ P arameters'S yn Attack Protect
键值.
实施步骤
回退方案
判断依据
实施风险
3.1.3 SHSMSsql -03-01-04
4设备其他安全要求
4. 1. 1 SHSMfesql -04-01-01
查看存储过程列表
y 世M 吉am 丁具① e - 岂 m I A 因屛訂g 11皆 4 即帀g 宓
参考配置操作
use master
exec sp_drop exte nded proc 'xp _cmdshell' exec sp_drop exte nded proc 'xp_dirtree' exec sp_drop exte nded proc 'xp_enu mgro ups'
exec sp_drop exte nded proc 'xp _fixeddrives'
exec sp_drop exte nded proc 'xp _log inconfig' exec sp_drop exte nded proc 'xp_enu merrorlogs' exec sp_drop exte nded proc 'xp_getfiledetails'
exec sp_drop exte nded proc 'Sp_OACreate' exec sp drop exte nded proc 'Sp OADestroy'
编号 SHG-Mssql-04-01-01
名称 停用不必要的存储过程
实施目的 停用sql server 中存在的危险存储过程 问题影响
数据库的不安全性增加
系统当前状态
I S
厭樹尸亡切乜巳门
aku
EEfcJ
从富■EfiL 连0厂|[型 r-
旳儒户戶即 Ittt
臣H?站总
◎
..
普 T ftrtl7(ClrqO&^_C3l
3 2 如 g 吃阳fvK 蓉叩_必:t i u
iriJi B i±cM¥
rt
空 d ■:出-iSOfid 』MMFTbff
2SpiO_iJd_(Jiti.fl 应仝Ortr 5 卉 KJ aijd srrg _Mti-'D^ 臺耳疔am ■^寸 耳 jtidaiwb 占 ic Wdd&tptiijhaf 蓉 if]_Ktldiitrbjtcn[lb 呷 R fdddctrtutDi srrvn 实施步骤