編號

ELK-Mssql-01-01-01

名稱

為不同的管理員分配不同的賬號

實施目的

應(yīng)按照用戶分配賬號，避免不同用戶間共享賬號,提高安全性。

問題影響

賬號混淆，權(quán)限不明確，存在用戶越權(quán)使用的可能。

系統(tǒng)當(dāng)前狀態(tài)

use master

Select name,password from syslogins order by name

記錄用戶列表

實施步驟

1. 參考配置操作

sp_addlogin 'user_name_1','password1'

sp_addlogin 'user_name_2','password2'

或在企業(yè)管理器中直接添加遠程登陸用戶

建立角色，并給角色授權(quán)，把角色賦給不同的用戶或修改用戶屬性中的角色和權(quán)限

1. 補充操作說明

1、user_name_1和user_name_1是兩個不同的賬號名稱，可根據(jù)不同用戶，取不同的名稱；

回退方案

刪除添加的用戶

?

判斷依據(jù)

詢問管理員是否安裝需求分配用戶賬號

實施風(fēng)險

高

重要等級

★★★

備注

?

編號

ELK-Mssql-01-01-02

名稱

刪除或鎖定無效賬號

實施目的

刪除或鎖定無效的賬號，減少系統(tǒng)安全隱患。

問題影響

允許非法利用系統(tǒng)默認賬號

系統(tǒng)當(dāng)前狀態(tài)

use master

Select name,password from syslogins order by name

記錄用戶列表

實施步驟

1、參考配置操作

Mssql企業(yè)管理器->?SQL Server組

->(Local)(Windows NT)->安全性->登錄

在用戶上點右鍵選擇刪除

回退方案

增加刪除的帳戶

判斷依據(jù)

詢問管理員,哪些賬號是無效賬號

實施風(fēng)險

高

重要等級

★★★

備注

?

編號

ELK-Mssql-01-01-03

名稱

限制啟動賬號權(quán)限

實施目的

限制賬號過高的用戶啟動sql server

問題影響

啟動mssql的賬號權(quán)限過高,會導(dǎo)致其子進程具有相同權(quán)限.

系統(tǒng)當(dāng)前狀態(tài)

Mssql企業(yè)管理器->?SQL Server組

->(Local)(Windows NT)-屬性(右鍵)-安全性

實施步驟

1、參考配置操作

新建SQL?server服務(wù)賬號后，建議將其從User組中刪除，且不要把該賬號提升為Administrators組的成員。授予以下windows SQLRunAs賬戶最少的權(quán)限啟動?SQL Server數(shù)據(jù)庫。

?

回退方案

替換會原來啟動賬號

判斷依據(jù)

判定條件

查看啟動賬號權(quán)限.

實施風(fēng)險

高

重要等級

★★★

備注

?

編號

ELK-Mssql-01-01-04

名稱

權(quán)限最小化

實施目的

在數(shù)據(jù)庫權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限。

問題影響

賬號權(quán)限越大,對系統(tǒng)的威脅性越高

系統(tǒng)當(dāng)前狀態(tài)

記錄用戶擁有權(quán)限

實施步驟

1. 參考配置操作

1. 更改數(shù)據(jù)庫屬性，取消業(yè)務(wù)數(shù)據(jù)庫帳號不需要的服務(wù)器角色；
2. 更改數(shù)據(jù)庫屬性，取消業(yè)務(wù)數(shù)據(jù)庫帳號不需要的“數(shù)據(jù)庫訪問許可”和“數(shù)據(jù)庫角色中允許”中不需要的角色。

1. 補充操作說明

操作a)用于修改數(shù)據(jù)庫帳號的最小系統(tǒng)角色

操作b)用于修改用戶多余數(shù)據(jù)庫訪問許可權(quán)限和數(shù)據(jù)庫內(nèi)角色

回退方案

還原添加或刪除的權(quán)限

判斷依據(jù)

業(yè)務(wù)測試正常

實施風(fēng)險

高

重要等級

★

備注

?

編號

ELK-Mssql-01-01-05

名稱

數(shù)據(jù)庫角色

實施目的

使用數(shù)據(jù)庫角色（ROLE）來管理對象的權(quán)限。

問題影響

賬號管理混亂

系統(tǒng)當(dāng)前狀態(tài)

記錄對應(yīng)數(shù)據(jù)庫用戶角色權(quán)限

實施步驟

1. 企業(yè)管理器-〉數(shù)據(jù)庫-〉對應(yīng)數(shù)據(jù)庫-〉角色-中創(chuàng)建新角色；
2. 調(diào)整角色屬性中的權(quán)限，賦予角色中擁有對象對應(yīng)的SELECT、INSERT、UPDATE、DELETE、EXEC、DRI權(quán)限

?

回退方案

刪除相應(yīng)的角色

判斷依據(jù)

對應(yīng)用戶不要賦予不必要的權(quán)限

實施風(fēng)險

高

重要等級

★

備注

?

編號

ELK-Mssql-01-01-06

名稱

空密碼

實施目的

對用戶的屬性進行安全檢查，包括空密碼、密碼更新時間等。修改目前所有賬號的口令，確認為強口令。特別是sa 賬號，需要設(shè)置至少10位的強口令。

問題影響

賬號安全性低.

系統(tǒng)當(dāng)前狀態(tài)

select * from sysusers

Select name,Password from syslogins where password is null order by name # 查看口令為空的用戶

?

實施步驟

Use master

exec sp_password ‘舊口令’，‘新口令’,用戶名

回退方案

恢復(fù)用戶密碼到原來狀態(tài)

判斷依據(jù)

Select name,Password from syslogins where password is null order by name

查看是否有賬號為密碼

實施風(fēng)險

高

重要等級

★

備注

?

編號

ELK-Mssql-02-01-01

名稱

啟用日志記錄功能

實施目的

數(shù)據(jù)庫應(yīng)配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的賬號、登錄是否成功、登錄時間以及遠程登錄時用戶使用的IP地址。

問題影響

無法對用戶的登陸進行日志記錄

系統(tǒng)當(dāng)前狀態(tài)

打開數(shù)據(jù)庫屬性,查看安全屬性

實施步驟

打開數(shù)據(jù)庫屬性，選擇安全性，將安全性中的審計級別調(diào)整為“全部”，身份驗證調(diào)整為“SQL Server 和Windows”

?

回退方案

設(shè)置安全屬性到原先狀態(tài)

判斷依據(jù)

判定條件

登錄測試，檢查相關(guān)信息是否被記錄

實施風(fēng)險

低

重要等級

★★★

備注

?

編號

ELK-Mssql-03-01-01

名稱

網(wǎng)絡(luò)協(xié)議

實施目的

除去不必要的服務(wù)

問題影響

增加數(shù)據(jù)庫安全隱患

系統(tǒng)當(dāng)前狀態(tài)

在Microsoft SQL Server程序組, 運行服務(wù)網(wǎng)絡(luò)實用工具,查看協(xié)議列表

實施步驟

參考配置操作

在Microsoft SQL Server程序組, 運行服務(wù)網(wǎng)絡(luò)實用工具。建議只使用TCP/IP協(xié)議，禁用其他協(xié)議。

回退方案

添加刪除的協(xié)議?

判斷依據(jù)

判定條件

在Microsoft SQL Server程序組, 運行服務(wù)網(wǎng)絡(luò)實用工具,查看協(xié)議列表,查看是否有多余協(xié)議.

實施風(fēng)險

高

重要等級

★★

備注

?

編號

ELK-Mssql-03-01-02

名稱

加固TCP/IP協(xié)議棧

實施目的

加固TCP/IP協(xié)議棧,加強系統(tǒng)防御網(wǎng)絡(luò)攻擊能力.

問題影響

網(wǎng)絡(luò)防御能力弱.

系統(tǒng)當(dāng)前狀態(tài)

查看

HKLM\System\CurrentControlSet\Services\

Tcpip\Parameters\ DisableIPSourceRouting

HKLM\SYSTEM\CurrentControlSet\Services\

Tcpip\Parameters\ EnableICMPRedirect

HKLM\System\CurrentControlSet\Services\

Tcpip\Parameters\SynAttackProtect

注冊表鍵值

實施步驟

參考配置操作

對于TCP/IP協(xié)議棧的加固主要是某些注冊表鍵值的修改。主要是以下幾個：

HKLM\System\CurrentControlSet\Services\Tcpip\

Parameters\DisableIPSourceRouting

說明：該鍵值應(yīng)設(shè)為2，以防御源路由欺騙攻擊。

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\

Parameters\EnableICMPRedirect

說明：該鍵值應(yīng)設(shè)為0，以ICMP重定向。

HKLM\System\CurrentControlSet\Services\Tcpip\

Parameters\SynAttackProtect

說明：該鍵值應(yīng)設(shè)為2，防御SYN FLOOD攻擊。

回退方案

還原注冊表更改鍵值

判斷依據(jù)

判定條件

讀取

HKLM\System\CurrentControlSet\Services\Tcpip\

Parameters\ DisableIPSourceRouting

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\

Parameters\ EnableICMPRedirect

HKLM\System\CurrentControlSet\Services\Tcpip\

Parameters\SynAttackProtect

鍵值.

實施風(fēng)險

高

重要等級

★★

備注

?

編號

ELK-Mssql-03-01-04

名稱

通訊協(xié)議加密

實施目的

使用通訊協(xié)議加密

問題影響

數(shù)據(jù)庫的不安全性增加

系統(tǒng)當(dāng)前狀態(tài)

啟動服務(wù)器網(wǎng)絡(luò)配置工具，查看“常規(guī)”設(shè)置

實施步驟

參考配置操作

啟動服務(wù)器網(wǎng)絡(luò)配置工具，更改“常規(guī)”設(shè)置為“強制協(xié)議加密”。

回退方案

恢復(fù)“強制協(xié)議加密”到原狀態(tài)

判斷依據(jù)

啟動服務(wù)器網(wǎng)絡(luò)配置工具，查看“常規(guī)”設(shè)置

實施風(fēng)險

高

重要等級

★

備注

?

編號

ELK-Mssql-04-01-01

名稱

停用不必要的存儲過程

實施目的

停用sql server中存在的危險存儲過程

問題影響

數(shù)據(jù)庫的不安全性增加

系統(tǒng)當(dāng)前狀態(tài)

查看存儲過程列表

實施步驟

參考配置操作

use master
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'xp_dirtree'
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_fixeddrives'
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'Sp_OACreate'
exec sp_dropextendedproc 'Sp_OADestroy'
exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
exec sp_dropextendedproc 'Sp_OAGetProperty'
exec sp_dropextendedproc 'Sp_OAMethod'
exec sp_dropextendedproc 'Sp_OASetProperty'
exec sp_dropextendedproc 'Sp_OAStop'
exec sp_dropextendedproc 'Xp_regaddmultistring'
exec sp_dropextendedproc 'Xp_regdeletekey'
exec sp_dropextendedproc 'Xp_regdeletevalue'
exec sp_dropextendedproc 'Xp_regenumvalues'
exec sp_dropextendedproc 'Xp_regread'
exec sp_dropextendedproc 'Xp_regremovemultistring'
exec sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask

Go

?

刪除測試或不必要的存儲過程，一般情況下建議刪除的存儲過程有：

?

除非應(yīng)用程序需要否則以下存儲過程也建議刪除：

?

回退方案

新建存儲過程將刪除的手工建立或恢復(fù)備份的數(shù)據(jù)庫

判斷依據(jù)

調(diào)用存儲過程，檢查是否存在

Exec 存儲過程(參數(shù)1，參數(shù)2)

實施風(fēng)險

高

重要等級

★

備注

?

編號

ELK-Mssql-04-01-02

名稱

安裝補丁

實施目的

為系統(tǒng)打最新的補丁包。

問題影響

數(shù)據(jù)庫的不安全性增加

系統(tǒng)當(dāng)前狀態(tài)

select @@version

實施步驟

參考配置操作

select @@version

確保SQL Server的補丁為最新的。下載并安裝最新的補丁

SQL Server2000的版本和補丁號對應(yīng)關(guān)系如下：

8.00.194 －------SQL Server 2000 RTM

8.00.384 －------(SP1)

8.00.534 －------(SP2)

8.00.760 －------(SP3)

8.00.2039－------(SP4)

回退方案

無

判斷依據(jù)

微軟自動升級工具查看未安裝補丁

實施風(fēng)險

高

重要等級

★

備注

?