1.身份鑒别
1.1避免使用空密碼和弱密碼
要求:應對登入作業系統和資料庫系統的使用者進行身份辨別和鑒别。
目的:作業系統和資料庫系統管理使用者身份鑒别資訊應具有不易被冒用的特點,密碼應有複雜度要求并定期更換。
參考操作步驟:
對使用者的屬性進行安全檢查,包括空密碼、密碼更新時間等。修改目前所有賬号的密碼,確定密碼達到至少12位長度,包括數字、字母、符号混排,無規律的方式。
打開SQL Server Management Studio管理界面,在左側展開“登入名”,對 sa和其它登入名逐一右鍵點選檢視屬性,勾選“強制實施密碼政策”。
1.2通訊協定加密
要求:當對伺服器進行遠端管理時,應采取必要措施,防止鑒别資訊在網絡傳輸過程中被竊聽。
目的:為了防止包括鑒别資訊等敏感資訊在網絡傳輸過程中被竊聽,應使用加密通訊協定,提高安全性。
SQL Server配置管理器>>SQL Server網絡配置>>MSSQLSERVER的協定,右鍵點選>>屬性>>标志
把“強行加密”(ForceEncryption)設為“是”。
2.通路控制
2.1資料庫角色配置設定最低權限
要求:應根據管理使用者的角色配置設定權限,實作管理使用者的權限分離,僅授予管理使用者所需的最小權限。
目的:根據使用者的業務需要,配置其所需的最小權限。
在“SQL Server管理器”>>“安全性”中,選中每個登陸使用者,在右鍵菜單中選擇“屬性”,檢視每個登陸使用者的角色和權限,檢視是否是該使用者所需的最小權限。
1、更改資料庫屬性,取消業務資料庫帳号不需要的伺服器角色;
2、更改資料庫屬性,取消業務資料庫帳号不需要的“資料庫通路許可”和“資料庫角色中允許”中不需要的角色。
2.2限制guest賬戶對資料庫的通路
目的:取消guest賬戶對master和tempdb之外的資料庫的通路權限。
參考配置操作:
方法一:打SQL Server管理界面,在左側展開除了master和tempdb之外的所有資料庫>>安全性>>使用者,删除guest賬戶。
方法二:用指令去除guest賬戶對指定資料庫的通路權限:
use 資料庫名
exec sp_revokedbaccess guest
2.3設定身份認證
要求:應實作作業系統和資料庫系統特權使用者的權限分離。
目的:防止作業系統使用者對SQL Server資料庫進行非授權管理。
1.展開伺服器組,右鍵單擊伺服器->在彈出的右鍵菜單中單擊“屬性”,在“安全性”頁籤中選擇“伺服器身份驗證”認證方式為“SQL Server和Windows身份驗證模式”。
2.在“SQL Server管理器”-〉“安全性”中,選擇賬号“BUILTIN\Administrators”,右擊選擇“屬性”,更改“狀态”設定“拒絕允許連接配接到資料庫引擎”和“禁用登入”。
2.4删除或鎖定多餘賬号
要求:應及時删除多餘的、過期的賬戶,避免共享賬戶的存在。
目的:删除系統不需要的帳号,減少系統安全隐患。
SQL Server管理器->安全性->登入,詢問資料庫管理者每個賬戶的用途,檢視是否存在多餘的、過期的賬戶,點右鍵可選擇删除。
3.安全審計
3.1啟用日志記錄功能
要求:審計範圍應覆寫到伺服器和重要用戶端上的每個作業系統使用者和資料庫使用者。
目的:資料庫應配置日志功能,對使用者登入進行記錄,記錄内容包括使用者登入使用的賬号、登入是否成功、登入時間以及遠端登入時使用者使用的IP 位址。
1、在“SQL Server管理器”->右鍵單擊伺服器->單擊“屬性”->“安全性”,選擇每個登入的“稽核級别”為“失敗和成功的登入”。
2、詢問資料庫管理者,是否采取第三方工具或其他措施增強SQL Server的日志功能,如果有則檢視這些工具記錄的審計記錄是否符合等級保護的安全審計要求。
3.2設定日志目錄權限
目的:限制日志所在目錄的權限,防止對日志檔案的非授權通路。
4.資源控制
4.1設定連接配接協定和監聽的IP範圍
要求:應通過設定終端接入方式、網絡位址範圍等條件限制終端登入。
目的:設定SQL Server允許的連接配接協定,以及TCP/IP協定中監聽端口時綁定的IP位址。限制不必要的遠端用戶端通路到資料庫資源。
1、 從開始菜單打開SQL Server配置管理器,展開“SQL SERVER 2008網絡配置>>SQL SERVER的協定,在右側将不需要的協定禁用,如:VIA和Share Memory方式可能一般不需要使用。
在以上界面輕按兩下“TCP/IP”協定>>IP位址,如有不必要監聽的IP項,則把“活動”屬性設定為“否”。如:通路資料庫的應用程式也裝在該伺服器上,則隻需要監聽127.0.0.1即可,其它IP不需要監聽。在應用程式中配置為使用127.0.0.1通路資料庫。
4.2連接配接逾時
要求:應根據安全政策設定登入終端的操作逾時鎖定。
目的:設定連接配接逾時功能,提高資料庫的性能。
1.從開始菜單打開SQL Server管理界面,再展開菜單欄的“工具”>>“選項”>>“設計器”>>“Analysis Services設計器”,在“連接配接”下的“連接配接逾時值”輸入合适的數字(預設值15)。
2.在SQL Server管理界面左側,右鍵點選伺服器名稱>>屬性>>進階,在右側找到“遠端登入逾時值”,設定為合适的數字,
選項—連接配接屬性—将連接配接逾時值設定為一個較大的數字(預設值20)。
4.3限制遠端使用者連接配接數量
要求:應限制單個使用者對系統資源的最大或最小使用限度。
目的:限制遠端使用者連接配接數量,確定資料庫伺服器穩定運作,提升性能。
在SQL Server管理界面左側,右鍵點選伺服器名稱>>屬性>>連接配接,設定“并發最大連接配接數”,如2500。
4.4記憶體限制
目的:使運作在伺服器上的應用程式都能達到比較滿意的效果,同時也為了能給其他應用程式保留足夠的記憶體。
在SQL Server管理界面左側,右鍵點選伺服器名稱>>屬性>>記憶體,設定最小值和最大值在一個範圍段内,如我們将它設定成最小0MB,最大為實體記憶體的80%左右。
5.最佳經驗實踐
5.1隐藏執行個體
目的:防止資料庫系統的相關資訊洩露。
在SQL Server配置管理器中選擇“SQL Server 2005網絡配置”中的“MSSQLSERVER的協定”,右鍵選擇“屬性”,選中其中的“隐藏執行個體”選項。
5.2修改預設通信端口
目的:修改預設通信端口,防止黑客通過1433登入資料庫伺服器。
在SQL Server配置管理器中選擇“SQL Server 2005網絡配置”中的“MSSQLSERVER的協定”,選中“TCP/IP”,右鍵選擇“屬性”,在TCP/IP屬性對話框,選擇“IP位址”頁籤,修改所有“TCP端口”右邊的文本欄為新的要修改的端口号(預設端口号為1433),然後重新開機SQL Server生效。