1、MS SQL Server數(shù)據(jù)庫基準(zhǔn)安全配置標(biāo)準(zhǔn)目錄1.將 SQL SERVER 身份驗(yàn)證設(shè)置為僅限 WINDOWS42.安裝最新的補(bǔ)丁更新程序43.優(yōu)化服務(wù)44.限制 SQL SERVER 只采用 TCP/IP55.帳戶55.1.使用最低權(quán)限帳戶運(yùn)行 SQL Server55.2.為SA帳號(hào)設(shè)置強(qiáng)壯的口令55.3.刪除 SQL 來賓用戶帳戶55.4.刪除 BUILTINAdministrators 服務(wù)器登錄65.5.不為公共角色授予權(quán)限66.文件和目錄66.1.驗(yàn)證對(duì) SQL Server 安裝目錄的訪問權(quán)限66.2.驗(yàn)證 Everyone 組是否不具有對(duì) SQL Server 文件的訪問

2、權(quán)限76.3.保證安裝日志文件的安全77.SQL SERVER 數(shù)據(jù)庫對(duì)象87.1.刪除示例數(shù)據(jù)庫87.2.保證存儲(chǔ)過程的安全87.3.限制 cmdExec 對(duì) sysadmin 角色的訪問權(quán)限88.審核和日志91. 將 SQL Server 身份驗(yàn)證設(shè)置為僅限 Windows應(yīng)當(dāng)對(duì) SQL Server 進(jìn)行配置，使其支持僅限 Windows 身份驗(yàn)證，因?yàn)檫@種驗(yàn)證方式有諸多優(yōu)點(diǎn)。不必在網(wǎng)絡(luò)上傳送憑據(jù)；可避免在數(shù)據(jù)庫連接字符串中嵌入用戶名和密碼；更易于進(jìn)行安全管理，因?yàn)橹恍枰c一個(gè) Windows 安全模塊而不是另外的 SQL Server 安全模塊打交道；密碼到期期間的登錄安全性得到提高；

3、最低限度的長(zhǎng)度要求及帳戶鎖定策略。2. 安裝最新的補(bǔ)丁更新程序包括最新的 Windows 操作系統(tǒng)以及 SQL Server的Service Pack 。3. 優(yōu)化服務(wù)SQL 服務(wù)安裝程序運(yùn)行期間將安裝以下四個(gè) Windows 服務(wù)：n MSSQLSERVER（對(duì)于命名實(shí)例，則為 MSSQL$InstanceName）。此為 SQL Server 數(shù)據(jù)庫引擎，是唯一的強(qiáng)制安裝服務(wù)。n SQLSERVERAGENT（對(duì)于命名實(shí)例，則為 SQLAgent$InstanceName）。可借助此支持服務(wù)制定命令執(zhí)行計(jì)劃及在出錯(cuò)時(shí)通知操作人員。n MSSQLServerADHelper。它可提供 Act

4、ive Directory 集成服務(wù)，包括數(shù)據(jù)庫實(shí)例注冊(cè)。n Microsoft Search。它可提供全文搜索能力。在任何情況下均須通過本地系統(tǒng)帳戶來運(yùn)行此服務(wù)。只有 MSSQLSERVER 數(shù)據(jù)庫引擎是必備的。其余服務(wù)提供了附加功能，只在特定情況下才需要使用。如并非必需，請(qǐng)禁用這些服務(wù)。注意：不應(yīng)將 SQL Server 配置為以本地系統(tǒng)帳戶或本地 Administrators 組的任何成員帳戶運(yùn)行。4. 限制 SQL Server 只采用 TCP/IP禁用“SQL Server 網(wǎng)絡(luò)實(shí)用工具”中除 TCP/IP 外的所有協(xié)議。SQL Server 2000數(shù)據(jù)庫系統(tǒng)本身沒有提供網(wǎng)絡(luò)連接的

5、安全解決辦法，但是Windows 2000提供了這樣的安全機(jī)制。使用操作系統(tǒng)自己的IPSec可以實(shí)現(xiàn)IP數(shù)據(jù)包的安全性。請(qǐng)對(duì)IP連接進(jìn)行限制，只保證自己的IP能夠訪問，也拒絕其他IP進(jìn)行的端口連接，把來自網(wǎng)絡(luò)上的安全威脅進(jìn)行有效的控制。5. 帳戶5.1. 使用最低權(quán)限帳戶運(yùn)行 SQL Server使用最低權(quán)限帳戶運(yùn)行 SQL Server 服務(wù)可將設(shè)法從 SQL Server 執(zhí)行操作系統(tǒng)命令的攻擊者所造成的危害降至最低水平。不應(yīng)為 SQL Server 服務(wù)帳戶授予諸如 Administrators 組成員身份等較高特權(quán)。5.2. 為SA帳號(hào)設(shè)置強(qiáng)壯的口令默認(rèn)系統(tǒng)管理員 (sa) 帳戶一直是

6、無數(shù)攻擊的目標(biāo)。它是 SQL Server 管理固定服務(wù)器角色 sysadmin 的默認(rèn)成員。請(qǐng)確保對(duì)此帳戶使用強(qiáng)密碼。注意：應(yīng)對(duì)所有帳戶，尤其是特權(quán)帳戶（如 sysadmin 和 db_owner 角色的成員）均使用強(qiáng)密碼。如果使用復(fù)制，請(qǐng)給用于與遠(yuǎn)程分布式服務(wù)器建立連接的 distributor_admin 帳戶也使用強(qiáng)密碼。具體實(shí)施步驟 ：1、 打開sqlserver企業(yè)管理器 2、 單擊“安全性”的登錄 3、修改sa用戶口令 數(shù)據(jù)庫管理員應(yīng)該定期查看是否有不符合密碼要求的帳號(hào)。比如使用下面的SQL語句：Use masterSelect name,Password from syslog

7、ins where password is null5.3. 刪除 SQL 來賓用戶帳戶如果啟用了 Windows 2000 的來賓帳戶，則安裝 SQL Server 時(shí)會(huì)創(chuàng)建一個(gè)來賓用戶帳戶。如果登錄有對(duì) SQL Server 的訪問權(quán)限，但沒有通過數(shù)據(jù)庫用戶帳戶對(duì)數(shù)據(jù)庫進(jìn)行訪問的權(quán)限，則登錄便會(huì)具有來賓的身份。好的做法是禁用 Windows 的來賓帳戶。此外，還要從所有用戶定義數(shù)據(jù)庫中刪除來賓帳戶。請(qǐng)注意，無法從 master、tempdb、復(fù)制及分發(fā)數(shù)據(jù)庫中刪除來賓帳戶。5.4. 刪除 BUILTINAdministrators 服務(wù)器登錄默認(rèn)情況下，系統(tǒng)會(huì)將 BUILTINAdmini

8、strators 本地 Windows 組添加到 sysadmin 固定服務(wù)器角色，以對(duì) SQL Server 進(jìn)行管理。這意味著作為 BUILTINAdministrators 成員的域管理員可以不受限制地訪問 SQL Server 數(shù)據(jù)庫。大多數(shù)公司會(huì)對(duì)域管理員和數(shù)據(jù)庫管理員角色加以區(qū)分。如果要進(jìn)行這種區(qū)分，請(qǐng)刪除 BUILTINAdministrators SQL Server 登錄。5.5. 不為公共角色授予權(quán)限所有數(shù)據(jù)庫均包含一個(gè)公共數(shù)據(jù)庫角色。每個(gè)其他用戶、組和角色都是該公共角色的成員。您無法刪除公共角色的成員，不過，可以不為授予對(duì)應(yīng)用程序的數(shù)據(jù)庫表、存儲(chǔ)過程及其他對(duì)象訪問權(quán)限的公

9、共角色授予權(quán)限。否則，便無法利用用戶定義的數(shù)據(jù)庫角色獲得所需授權(quán)，因?yàn)楣步巧珪?huì)為數(shù)據(jù)庫中的用戶授予默認(rèn)權(quán)限。6. 文件和目錄除利用 ACL 保證操作系統(tǒng)文件的安全外，還要強(qiáng)化 NTFS 權(quán)限來限制對(duì) SQL Server 程序文件、數(shù)據(jù)文件、日志文件以及系統(tǒng)級(jí)工具的訪問。此外，還應(yīng)只允許 SQL Server 服務(wù)帳戶訪問其所需的內(nèi)容。6.1. 驗(yàn)證對(duì) SQL Server 安裝目錄的訪問權(quán)限根據(jù)下表中所列的權(quán)限對(duì) SQL Server 服務(wù)所賴以運(yùn)行的帳戶進(jìn)行驗(yàn)證。括號(hào)中指定的位置為默認(rèn)安裝位置，可能會(huì)視安裝的具體情況而不同。位置SQL 服務(wù)帳戶的NTFS 訪問權(quán)限安裝位置(Program

10、 FilesMicrosoft SQL ServerMSSQL)讀取并執(zhí)行列出文件夾內(nèi)容讀取數(shù)據(jù)庫文件目錄（.mdf、.ndf、.ldf 文件）(Program FilesMicrosoft SQL ServerMSSQLData)完全控制錯(cuò)誤日志文件目錄(Program FilesMicrosoft SQL ServerMSSQLLOG)完全控制備份文件目錄(Program FilesMicrosoft SQL ServerMSSQLBackup)完全控制作業(yè)臨時(shí)文件輸出目錄(Program FilesMicrosoft SQL ServerMSSQLJobs)完全控制如果使用“企業(yè)管理器”

11、來設(shè)置 SQL Server 服務(wù)帳戶，它將為帳戶授予對(duì) SQL Server 安裝目錄及所有子文件夾 (Program FilesMicrosoft SQL ServerMSSQL*) 的“完全控制”權(quán)限。取消對(duì)該文件夾及其所有子文件夾的寫入授權(quán)，然后有選擇性地授予對(duì)數(shù)據(jù)、錯(cuò)誤日志、備份及作業(yè)文件目錄的完全控制權(quán)限，便可使新帳戶無法覆蓋 SQL Server 二進(jìn)制文件。6.2. 驗(yàn)證 Everyone 組是否不具有對(duì) SQL Server 文件的訪問權(quán)限不應(yīng)使 Everyone 組具有對(duì) SQL Server 文件位置（默認(rèn)情況下為 Program FilesMicrosoft SQL S

12、erverMSSQL）的訪問權(quán)限，這可通過驗(yàn)證 Everyone 組并未經(jīng) ACL 獲得訪問權(quán)限和只為 SQL Service 帳戶、Administrators 組及本地系統(tǒng)帳戶提供顯式完全控制來實(shí)現(xiàn)。6.3. 保證安裝日志文件的安全安裝 SQL Server 2000 Service Pack 1 或 2 后，系統(tǒng)管理員或服務(wù)帳戶的密碼可能會(huì)遺留在 SQL 安裝目錄中。請(qǐng)使用 Killpwd.exe 實(shí)用程序從日志文件中刪除密碼實(shí)例。7. SQL Server 數(shù)據(jù)庫對(duì)象SQL Server 提供了兩個(gè)用于開發(fā)和訓(xùn)練的示例數(shù)據(jù)庫以及一系列內(nèi)置存儲(chǔ)過程和擴(kuò)展存儲(chǔ)過程。不應(yīng)將示例數(shù)據(jù)庫安裝在生

13、產(chǎn)服務(wù)器上，并應(yīng)保證功能強(qiáng)大的存儲(chǔ)過程和擴(kuò)展存儲(chǔ)過程的安全。7.1. 刪除示例數(shù)據(jù)庫使用 SQL Server 企業(yè)管理器來刪除任何示例數(shù)據(jù)庫。默認(rèn)情況下，SQL Server 包含 Pubs 和 Northwind 示例數(shù)據(jù)庫。7.2. 保證存儲(chǔ)過程的安全限制對(duì)應(yīng)用程序的存儲(chǔ)過程的訪問。請(qǐng)不要為公共角色或來賓用戶授予對(duì)所創(chuàng)建的任何存儲(chǔ)過程的訪問權(quán)限。保證存儲(chǔ)過程安全的主要防線先是要確保使用強(qiáng)身份驗(yàn)證，然后是提供精確授權(quán)，從而實(shí)現(xiàn)只允許必要的用戶權(quán)限來運(yùn)行存儲(chǔ)過程。建議的做法是：為應(yīng)用程序創(chuàng)建一個(gè) SQL Server 登錄，將登錄映射到數(shù)據(jù)庫用戶，再將用戶添加到用戶定義數(shù)據(jù)庫角色，然后為角色

14、授予權(quán)限。打開sql查詢分析器，粘貼如下的內(nèi)容到分析器：use masterexec dropextendedproc xp_availablemediaexec dropextendedproc xp_enumgroupsexec dropextendedproc xp_enumdsnexec dropextendedproc xp_dirtreeexec dropextendedproc dbo.xp_makecabexec dropextendedproc xp_unpackcabexec dropextendedproc xp_ntsec_enumdomainsexec dropext

15、endedproc xp_terminate_processexec dropextendedproc xp_servicecontrolexec dropextendedproc dbo.xp_subdirsexec dropextendedproc xp_cmdshellexec sp_dropextendedproc Xp_regaddmultistring exec sp_dropextendedproc Xp_regdeletekey exec sp_dropextendedproc Xp_regdeletevalue exec sp_dropextendedproc Xp_rege

16、numvalues exec sp_dropextendedproc Xp_regread exec sp_dropextendedproc Xp_regremovemultistring exec sp_dropextendedproc Xp_regwriteexec dropextendedproc xp_regwrite/刪除打部分reg打頭的過程exec sp_dropextendedproc Sp_OACreate exec sp_dropextendedproc Sp_OADestroy exec sp_dropextendedproc Sp_OAGetErrorInfo exec

17、 sp_dropextendedproc Sp_OAGetProperty exec sp_dropextendedproc Sp_OAMethod exec sp_dropextendedproc Sp_OASetProperty exec sp_dropextendedproc Sp_OAStop/刪除大部分oa打頭的過程exec sp_dropextendedproc xp_enumgroups exec sp_dropextendedproc xp_fixeddrives exec sp_dropextendedproc xp_loginconfig exec sp_dropexten

18、dedproc xp_enumerrorlogs exec sp_dropextendedproc xp_getfiledetailsdrop procdure sp_makewebtaskGo7.3. 限制 cmdExec 對(duì) sysadmin 角色的訪問權(quán)限SQL Server 代理使用 cmdExec 函數(shù)來執(zhí)行 Windows 命令行應(yīng)用程序和其排定的腳本。在 SQL Server Service Pack 3 之前的版本中，默認(rèn)情況下 SQL Server 代理允許非 sysadmin 角色所屬用戶排定可能需要特許系統(tǒng)訪問權(quán)限的作業(yè)。應(yīng)當(dāng)對(duì)此設(shè)置進(jìn)行更改，以只允許 sysadmin

19、角色的成員排定作業(yè)。1) 啟動(dòng)“SQL Server 企業(yè)管理器”，展開“SQL Server 組”，然后展開 SQL Server。2) 展開“管理”節(jié)點(diǎn)，右鍵單擊“SQL Server 代理”，然后單擊“屬性”。3) 此時(shí)將顯示“SQL Server 代理屬性”對(duì)話框。4) 單擊“作業(yè)系統(tǒng)”選項(xiàng)卡。5) 請(qǐng)選擇對(duì)話框底部的“只有具有系統(tǒng)管理特權(quán)的用戶才能執(zhí)行 CmdExec 和 ActiveScripting 作業(yè)步驟”復(fù)選框。6) 單擊“確定”。注意 進(jìn)行此項(xiàng)更改可能需要提供用戶名和密碼。如果 SQL Server 服務(wù)帳戶是最低權(quán)限用戶（按本模塊前文中的建議），系統(tǒng)會(huì)提示您輸入具有服務(wù)

20、修改特權(quán)的管理員帳戶的用戶名和密碼。具體實(shí)施步驟：1、 選擇SQLSERVER的屬性-“安全性”2、 選擇身份認(rèn)證為SQL SERVER和Windows(W)。注意事項(xiàng)：由于SQL Server不能更改sa用戶名稱，也不能刪除這個(gè)超級(jí)用戶，所以，我們必須對(duì)這個(gè)帳號(hào)進(jìn)行最強(qiáng)的保護(hù)，當(dāng)然，包括使用一個(gè)非常強(qiáng)壯的密碼，最好不要在數(shù)據(jù)庫應(yīng)用中使用sa帳號(hào)，只有當(dāng)沒有其它方法登錄到 SQL Server 實(shí)例（例如，當(dāng)其它系統(tǒng)管理員不可用或忘記了密碼）時(shí)才使用 sa。建議數(shù)據(jù)庫管理員新建立一個(gè)擁有與sa一樣權(quán)限的超級(jí)用戶來管理數(shù)據(jù)庫。安全的帳號(hào)策略還包括不要讓管理員權(quán)限的帳號(hào)泛濫。 SQL Server的認(rèn)證模式有Windows身份認(rèn)證和混合身份認(rèn)證兩種。如果數(shù)據(jù)庫管理員不希望操作系統(tǒng)管理員來通過操作系統(tǒng)登陸來接觸數(shù)據(jù)庫的話，可以在帳號(hào)管理中把系統(tǒng)帳號(hào)“BUILTINAdministrators”刪除。不過這樣做的結(jié)果是一旦sa帳