安全政策-SQL-Server标準檢查表

SQL-Server标準檢查表
分類	測評項	預期結果	評估操作示例	整改建議
身份鑒别	SQL Server使用者身份驗證方式	SQL Server和Windows結合驗證	企業管理器>右鍵單擊伺服器屬性>安全性>伺服器身份驗證	選擇SQLserver和Windows結合的驗證方式
檢視是否存在空密碼使用者	不存在空密碼使用者	建立查詢： use master； select name,password from syslogins where password is null；	在企業管理器>安全性>找到登入名>右鍵屬性>SQLserver身份驗證中設定新的密碼
sa賬戶密碼強度	密碼長度至少10位以上，包含數字，字母（大小寫），特殊字元三種形式	詢問管理者密碼的強度	在企業管理器>安全性>登入名>sa賬戶>右鍵屬性>修改密碼符合要求
SQLserver賬戶密碼強度	密碼長度至少10位以上，包含數字，字母（大小寫），特殊字元三種形式	詢問管理者密碼的強度	在企業管理器>安全性>找到登入名>右鍵屬性>修改密碼符合要求
遠端逾時設定	遠端登入逾時時間一般為20分鐘	在企業管理器>右鍵伺服器屬性>進階>遠端登入逾時值	在企業管理器>右鍵伺服器屬性>進階>遠端登入逾時值，直接修改儲存
遠端查詢逾時設定	遠端查詢逾時設定為300秒	在企業管理器>右鍵伺服器屬性>連接配接>遠端查詢逾時值	在企業管理器>右鍵伺服器屬性>連接配接>遠端查詢逾時值，直接修改後儲存
資料庫身份鑒别方式是否采用除使用者名/密碼外其他鑒别方式	采用了除使用者名/密碼之外的第二種方式	可以詢問管理者或在登入時檢視	對于等保三級系統必須采用兩種或兩種以上的身份鑒别方式； 對于非等保三級的系統我們隻是建議采用多種身份鑒别方式，也可以加強密碼強度
通路控制	應啟用通路控制功能，依據安全政策控制使用者的通路權限	明确了各賬戶的權限	在企業管理器>安全性>登入名>每個使用者的屬性中，我們可以看到該使用者的伺服器角色和擁有的權限，如：db_securityadmin,db_owner(全部權限)	根據實際需求，對每個使用者的通路權限進行限制，對敏感的檔案夾限制通路使用者的權限
每個登入使用者的角色和權限應該是該使用者所需的最小權限	每個使用者都隻有該使用者功能所需的權限，沒有其他特殊權限	訪談管理者，了解每個使用者的作用、權限，并在企業管理器中對每個使用者的權限進行檢視：企業管理器>安全性>登入名>右鍵使用者屬性>使用者映射，檢視每個使用者的權限	給予賬戶所需最小權限，避免出現特權使用者
應實作作業系統和資料庫系統特權使用者由不同使用者擔任	作業系統和資料庫的特權使用者的權限必須分離，避免一些特權使用者擁有過大的權限，減少人為誤操作	詢問管理者，作業系統管理者和資料庫管理者是否分離	分離資料庫和作業系統的特權使用者，不能使一個使用者權限過大
應及時删除多餘的、過期的賬戶	不存在多餘、過期和共享賬戶	在企業管理器中建立查詢，輸入：select name from syslogins 查所有的使用者名	删除多餘、過期無用的賬戶
安全審計	資料庫稽核級别	資料庫登入稽核全部開啟	企業管理器>右鍵單擊伺服器屬性>安全性>登入稽核	企業管理器>右鍵單擊伺服器屬性>安全性>登入稽核選擇：成功和失敗得登入都稽核
SQL日志記錄是否包括重要使用者行為（如登入系統、增加/删除使用者等）、系統資源異常和重要系統指令的使用（如xp_cmdshell存儲過程）的日志記錄	審計功能已開啟，包括：登入系統、增加/删除使用者等）、系統資源異常和重要系統指令的使用（如xp_cmdshell存儲過程）	企業管理器>管理>SQLserver日志	對每個指令的操作都要進行記錄，可以在安全性>稽核，建立稽核來對系統的操作進行記錄
審計記錄應包括事件的日期、觸發事件的主體與客體辨別、事件類型、事件結果	審計記錄資訊中應包括日期、時間、事件類型、主體辨別（如使用者名等）、客體辨別（如資料庫表、字段戒記錄等）和事件操作結果等内容	管理>SQLserver日志>選擇目前日期的日志打開	若未開啟日志記錄則開啟
資源控制	是否在防火牆或其他網絡裝置/安全裝置上限制終端登入，防止資料庫被非授權通路	資料庫的通路受到限制	詢問管理者是否在防火牆等安全裝置上對資料庫的通路做了限制	建議在安全裝置上對資料庫的通路做限制
資料庫是否設定登入終端操作逾時鎖定時間	查詢結果remote login timeout的run_value有最大時間的限制	sp_configure 'remote login timeout (s)'	在企業管理器>右鍵伺服器屬性>連接配接>使用查詢調控器防止查詢長時間運作，直接修改後儲存