MSSQLServer數(shù)據(jù)庫安全檢查方案

1、zw內(nèi)部公開技術(shù)文件技術(shù)文件名稱：MS SQL Server數(shù)據(jù)庫安全檢查方案技術(shù)文件編號：版本：V1.0文件質(zhì)量等級：共8頁（包括封面）擬制審核 會簽標(biāo)準(zhǔn)化 批準(zhǔn)中興通訊股份有限公司修改記錄文件編號版本號擬制人/修改人擬制/修改 日期更改理由主要更改內(nèi)容 （寫要點(diǎn)即可）1.0王華剛2009/07/21無無注1:每次更改歸檔文件（指歸檔到事業(yè)部或公司檔案室的文件）時，需填寫此表。 注2 :文件第一次歸檔時，“更改理由”、“主要更改內(nèi)容”欄寫“無”。本文所有信息為中興通訊股份有限公司內(nèi)部信息，未經(jīng)允許，不得外傳第3頁，共10頁中興內(nèi)部公開MS SQL Server數(shù)據(jù)庫安全檢查方案目錄（包括封面

2、）i修改記錄21 概述4內(nèi)部適用性說明4外部引用說明4術(shù)語和定義4符號和縮略語42 MSSQL安全檢查操作指導(dǎo) 52.1 ZTE-MSSQL-S01檢查帳號安全 52.1.1 ZTE-MSSQL-SM01-01檢查已安裝組件及版本 52.1.2 ZTE-MSSQL-SH01-02檢查危險存儲過程 52.2 ZTE-MSSQL-S02檢查帳號加固 62.2.1 ZTE-MSSQL-SM02-01檢查數(shù)據(jù)庫登錄和用戶 62.2.2 ZTE-MSSQL-SH02-02檢查強(qiáng)制使用強(qiáng)密碼配置 82.2.3 ZTE-MSSQL-SL02-03檢查口令生存期配置82.2.4 ZTE-MSSQL-SL02-

3、04檢查禁止使用重復(fù)密碼配置 92.2.5 ZTE-MSSQL-SM02-05檢查禁止手動更新數(shù)據(jù)字典 92.3 ZTE-MSSQL-S03檢查審計配置102.3.1 ZTE-MSSQL-SL03-01檢查是否打開審計102.4 ZTE-ASE-S04檢查數(shù)據(jù)庫版本 102.4.1 ZTE-MSSQL-SM04-01檢查數(shù)據(jù)庫版本10本文所有信息為中興通訊股份有限公司內(nèi)部信息，未經(jīng)允許，不得外傳第4頁，共10頁ZTE4>»內(nèi)部公開MSSQL數(shù)據(jù)庫基本檢查方案1概述內(nèi)部適用性說明本方案是在業(yè)務(wù)研究院網(wǎng)絡(luò)安全規(guī)范中各項要求的基礎(chǔ)上，提出MS SQL Server數(shù)據(jù)庫安全檢查方案。

4、外部引用說明中國移動設(shè)備通用安全功能和配置規(guī)范中國移動數(shù)據(jù)庫設(shè)備安全功能規(guī)范MS SQLServer數(shù)據(jù)庫基本加固方案術(shù)語和定義符號和縮略語縮寫英文描述中文描述本文件中的字體標(biāo)識如下：藍(lán)色斜體在具體執(zhí)行時需要替換的內(nèi)容檢查/加固項編碼意義如下：公司名稱-操作系統(tǒng)-條目性質(zhì) 風(fēng)險級別 數(shù)字編號-小項數(shù)字編號條目性質(zhì)中：S意為檢查；E意為加固風(fēng)險級別中：H意為高風(fēng)險；M意為中等風(fēng)險；L意為低風(fēng)險，風(fēng)險級別僅存于具體條目中 約定：沒有特別說明的情況下，本文檔中的 SQL語句和MS SQL Server命令均為使用sa登錄執(zhí)行2 MSSQL安全檢查操作指導(dǎo)2.1 ZTE-MSSQL-S01 檢查帳號安

5、全2.1.1 ZTE-MSSQL-SM01-01 檢查已安裝組件及版本輸出輸出report內(nèi)容為:操作打開控制面板-添加刪除程序，找到MS SQL Server2005，選擇更改（change）,點(diǎn)擊下圖中的 Report:復(fù)制Report內(nèi)容后，點(diǎn)擊取消（Can cel）關(guān)閉窗口本項檢查僅適用于 MS SQL Server 2005版2.1.2 ZTE-MSSQL-SH01-02 檢查危險存儲過程操作期望輸出是否滿足SQL Server2000 :執(zhí)行SQL語句：Select * from master.dbo.sysobjects where xtype='X' and n

6、 ame like 'xp_%'輸出中不包含如下存儲過程： xp_cmdshellxp_se ndmail xp_deletemail xp_readmail xp_regaddmultistri ng xp regdeletekey本文所有信息為中興通訊股份有限公司內(nèi)部信息，未經(jīng)允許，不得外傳第8頁，共10頁zw內(nèi)部公開xp_regdeletevalue xp_rege nu mvalues xp_regread xp_regremovemultistri ng xp_regwriteSQL Server2005 :執(zhí)行數(shù)據(jù)庫命令：sp_c on figure 'sh

7、ow adva need opti on s',1 gorecon figure with override gosp_c on figure 'xp_cmdshell' gosp_c on figure 'show adva need opti on s',0 gorecon figure with override gosp_c on figure 'xp_cmdshell'命 令的輸 出中Config_value 禾口 run_value 均為 02.2 ZTE-MSSQL-S02 檢查帳號加固2.2.1 ZTE-MSSQL-SM0

8、2-01 檢查數(shù)據(jù)庫登錄和用戶操作輸出MS SQL Server 2005 :步驟1：打開SQL Server Management Studio，連接服務(wù)器后， 在對象資源管理 器中找到安全性-登錄：步驟1：數(shù)據(jù)庫中存在的登 錄有：步驟2：每個數(shù)據(jù)庫中存在每丨數(shù)據(jù)庫中存在的用戶有：E CJ Lewg W JUJWfilWVSTCMF WKHCeOWSeKJOOSMSSQlUwffWKJtOeCM:*-樽亦gk帝 U 5#ir Objects*. j Repknatsn豈 m lWfK4iKnJ SQt srw ft® BWJlrS步驟2：打開SQL Server Managemen

9、t Studio，連接服務(wù)器后， 在對象資源管理器中找到數(shù)據(jù)庫（Database）-某個具體數(shù)據(jù)庫-安全性-用戶：本文所有信息為中興通訊股份有限公司內(nèi)部信息，未經(jīng)允許，不得外傳第12頁，共10頁a-；- JN-J-JnJazlMS SQL Server 2000 :步驟1:打開企業(yè)管理器，連接數(shù)據(jù)庫后，選擇安全性-> 登錄:也IJL打IWjmgFmWM M HI川厘丄血也rULM UHl丄屮刨L！團(tuán)理業(yè)証耳% ime-p »2K!«w «第iacd 寸 擔(dān)茹w住® a eq.j鐘口祠 巧i %ffl弧如iQ矩* b«'* hF芒

10、?«尊 Jit*_j 1dmLU% IBM "J0 W<1t*卜i> 3鼻J3DI”璋吁*咼申:“* -住*j- J Mwu C44步驟2：«:可 K 克耳*a.仇f|iUL IMMNrEi W 質(zhì)*RmtfftCthadi-OMM* "iprfptf OTrww9«! 3TEin打開企業(yè)管理器，連接數(shù)據(jù)庫后，選擇用戶:I獰忖轄!V 即 MkmoA;沌.Jqw: b附血啊a *U *«*A申rvi片葩戈3U!UC WudviMb記錄登錄MS SQL Server 2000 :Select username,password

11、,account status from dba users;步驟1：數(shù)據(jù)庫中存在的登 錄有：步驟2：每個數(shù)據(jù)庫中存在 的用戶有：ZTE4>»內(nèi)部公開輸出內(nèi)容為：user namepasswordacco un t_status2.2.2 ZTE-MSSQL-SH02-02 檢查強(qiáng)制使用強(qiáng)密碼配置本項檢查僅適用于 MS SQL Server 2005版2.2.3 ZTE-MSSQL-SL02-03 檢查口令生存期配置操作期望輸出是否滿足步驟1：進(jìn)入“控制面板-管理工具-本地安全策略”，在“帳 戶策略-密碼策略”中，檢查“密碼必須符合復(fù)雜 性要求” 配置項和“密碼最長存留期”配置

12、項。步驟1：“密碼必須符合復(fù)雜性 要求”配置項為“已啟動”“密碼最長存留期”配置項為90。步驟2：“強(qiáng)制實施密碼策略”和“強(qiáng)制密碼過期”都已勾 選步驟2:打開 SQL Server Management Studio，連接服務(wù)器后， 在對象資源管理器中找到安全性- 登錄，打開每個 登錄，檢查如下配置：迭頤”童IB車用瞰歸電酊也rlIf( liidm 證 M期 jy*甌慝迴:*丿辭曲期M匡翩劇帥寫本項檢查僅適用于 MS SQL Server 2005版2.2.4 ZTE-MSSQL-SL02-04 檢查禁止使用重復(fù)密碼配置操作步驟1：進(jìn)入“控制面板-管理工具-本地安全策略”，在“帳 戶策略-密碼

13、策略”中檢查“密碼必須符合復(fù)雜性要 求” 配置項和“強(qiáng)制密碼歷史”配置項。步驟2：打開 SQL Server Management Studio，連接服務(wù)器后，在對象資源管理器中找到安全性-登錄，打開每個登 錄，檢查如下配置：蘭甩RW扌a SflLSir期船正忖壬國曲；0纏舊鏈環(huán)剜儀期望輸出步驟1:“密碼必須符合復(fù)雜性要求”配置項為“已啟動”“強(qiáng)制密碼歷史”配置項為5步驟2:“強(qiáng)制實施密碼策略”已經(jīng)勾選是否滿足本項檢查僅適用于 MS SQL Server 2005版2.2.5 ZTE-MSSQL-SM02-05 檢查禁止手動更新數(shù)據(jù)字典操作期望輸出是否滿足執(zhí)行語句：Con fig value 禾口本文所有信息為中興通訊股份有限公司內(nèi)部信息，未經(jīng)允許，不得外傳第15頁，共10頁中興內(nèi)部公開sp_c on figure "allow update"Run_Value 均為02.3 ZTE-MSSQL-S03 檢查審計配置2.