數(shù)據(jù)庫(kù)安全檢查報(bào)告

1、1.1數(shù)據(jù)庫(kù)安全檢查報(bào)告編號(hào)臨盆廠商/型號(hào)12-5-4物理地位中間訃心境房地點(diǎn)收集檢査日期檢査人義務(wù)人審核人編號(hào)檢査 項(xiàng)目檢査內(nèi)容操作辦法成果檢査記錄1通 用 安 全機(jī) 制操作體系檢査檢査數(shù)據(jù)庫(kù)安裝目次的權(quán)限， 確保只有體系治理員才能拜訪 該目次對(duì)Windows操作體系而言，采取 regedt32 檢 査 HKLMSoftwareSybase 中的權(quán) 限鍵值2辦爭(zhēng)器信息列舉收集上的長(zhǎng)途辦事器exec sp_helpserver檢査輸出內(nèi)容：收集暗碼加密的部份可能如下： net password encryption= truenet password encryption= false安然機(jī)制

2、部份可能如下：rpc security model A 是不 供給安然機(jī)制rpc security model B是供 給不合的安然辦爭(zhēng).如互相認(rèn) 證、消息加密.完全性校驗(yàn)等。列舉特定辦爭(zhēng)器的信息exec sp_helpdb3上岸設(shè)備檢査認(rèn)證模式是否開啟exec sp_logmconf ig loginmode檢査默認(rèn)上岸exec splogmconfig default account在集成認(rèn)證模式中，確認(rèn)默認(rèn)上 岸角色不是sa,設(shè)宜為NULL或 者一個(gè)低權(quán)限的用戶。4補(bǔ)丁査看辦爭(zhēng)器版木信息select AVERSION5數(shù)據(jù)庫(kù)設(shè)備通用數(shù)據(jù)庫(kù)參數(shù)獲合適前Server的設(shè)備exec sp_co

3、nfigure6檢査輸出allow updates to system tables假如是“on”狀況，DBA可以經(jīng) 由過(guò)程存儲(chǔ)過(guò)程修改體系表C建 議ss。將其設(shè)迓為“off”狀況。因?yàn)橐呀?jīng)建 立的存儲(chǔ)過(guò)程可以被履行.建議 審計(jì)數(shù)據(jù)庫(kù)的存儲(chǔ)過(guò)程列表 exec sp_configure allow updates to system tables7檢查并包管allow resource limit*的值設(shè)為“Vexec sp_configure allow resource limit8包管體系表syscomments*已 經(jīng)被保護(hù)該休系表界常重要.但 默認(rèn)情況下被設(shè)迓為m確認(rèn) 該值被設(shè)迓為OS

4、exec sp_configure select on syscomments text9缺點(diǎn)日記設(shè)備檢査是否設(shè)宜掉敗上岸日記，確 認(rèn)該值設(shè)宜為(Texec sp_configure log audit logon failure10檢査是否設(shè)宜成功上岸日記確 認(rèn)該數(shù)值設(shè)為(Texec sp_configure log audit logon success11用 戶 級(jí) 安 全組列舉某數(shù)據(jù)庫(kù)的所有組：use DBNameexec sp_helpgroup12列舉某組內(nèi)的用戶：use DBNameexec sp_helpgroup GroupName13角色檢查辦爭(zhēng)器角色和用戶定義的 角色：s

5、elect name, password, pwdate, status from syssrvroles14檢査每個(gè)角色的具體信息：execsp_displayrol.esRo1eName, expand_up15檢査每個(gè)用戶的具體信息：execsp_displayrolesUserName, expand_down16檢査角色中空口令用戶：select name from syssrvroleswhere password = NULL17用戶檢査某數(shù)據(jù)庫(kù)的所有效戶：exec sp_helpuser18檢査散列用戶口令：select name, password from syslogin

6、s19檢査每個(gè)數(shù)據(jù)庫(kù)的用戶權(quán)限：use DBNameexec sp_helprotect20口令安然參數(shù)檢査口令過(guò)不時(shí)光，建議設(shè)迓為14天exec sp_configure password expiration interval0 -暗碼從不過(guò)時(shí)-天數(shù)21檢查口令是否至少包含一位數(shù) 字exec sp_configure check password for digitO 強(qiáng)迫用戶口令中至少包 含一個(gè)數(shù)字22檢査最小暗碼長(zhǎng)度,建議為8位以上exec sp_configure minimumpassword length23數(shù) 據(jù) 級(jí) 安 全權(quán)限檢査關(guān)鍵表.過(guò)程.觸發(fā)器的權(quán) 限檢査付與publi

7、c組權(quán)限的 對(duì)象:use DBNameexecsp_helprotectObjectName 輸出：1.用戶權(quán)限列表2. 所有對(duì)象的權(quán)限類型3. 是否設(shè)S WITH GRANT權(quán)限24存儲(chǔ)過(guò)程列出數(shù)據(jù)庫(kù)中所有擴(kuò)大存儲(chǔ)過(guò)程：use sybsystemprocsselect name from sysobjectswhere type二XP25刪除擴(kuò)大存儲(chǔ)過(guò)程 xp_cmdshell 并刪除sybsyesp dllexecsp_dropextendedprocxp_cmdshell假如必定須要應(yīng)用 xp_cmdshell,則審核其權(quán)限分 派：use sybsystemprocsexecsp_hel

8、protect“xp_cmdshellM26檢査其它存儲(chǔ)過(guò)程如sendmail,freemail,readmail,deletemail,startmail, stopmail 刪除無(wú) 用的存儲(chǔ)過(guò)程，并刪除mail帳 號(hào)sybrnaiT 27網(wǎng) 絡(luò) 層 安 全遠(yuǎn)端辦事器信息檢査遠(yuǎn)端辦事器是否許可拜訪 use masterexec sp_configure allow remote access1許可長(zhǎng)途拜訪o-不許可長(zhǎng)途拜訪檢査信賴用戶的存在情況 exec sp_helpremoteserver28長(zhǎng)途連接機(jī)制檢査安然機(jī)制和其供給的安然 辦事select * from syssecmechs

9、Syssecmech表默認(rèn)并不存在， 僅在査詢的時(shí)刻創(chuàng)建.它由以下 的列構(gòu)成：sec_mech_name辦爭(zhēng)器供給的 安然機(jī)制名available_service 安然機(jī)制 供給的安然辦爭(zhēng)舉例Windows收集治理員.其 內(nèi)容將為：sec_mech_name = NT LAN MANAGERavailable_service = unified login29檢査libctl.cfg文件內(nèi)部包含了收集驅(qū)動(dòng)的信息，安 然.目次磁盤和其他初始化信 息。1. 假如LDAP暗碼加密。2. 安然機(jī)制：”dce”DCE安然機(jī)制。Hcsfkrb5M CyberSAFE Kerberos 安然機(jī)制。“LIBSMSSP” Windows NT 或Windows 95（僅客戶端）上的 Windows收集治理員。留意：libtcl.cfg的地位:UNIX 模式：$SYBASE/con