没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
MSSQL SERVER
安全加固说明文当
Contents
1. 网络.................................................................................................................2
1.1 不需要的网络协议建议关闭,如 Named Pipe...............................................2
1.2 防火墙配置最佳建议..................................................................................2
1.3 启用网络加密传输(可选 IPSEC or SSL)....................................................4
1.4 启 用 策 略 Network access: Do not allow anonymous enumeration of
SAM accounts and shares............................................................................7
1.5 启 用 策 略 Network access: Do not allow storage of passwords and
credentials for network authentication........................................................8
1.6 禁用 Netbios 和 SMB 协议.......................................................................10
3. 权限...............................................................................................................11
2.1 禁用 sa 账户,修改名称...........................................................................11
2.2 回收 Public 的 View any database 的权限................................................13
2.3 使用普通权限用户作为 SQL Server 服务启动账户.......................................13
2.4 对于标准登录账户开启 'Enforce Password Expiration' 强制密码过期(除了那
些无法定期修改密码应用/服务的账户)............................................................15
4. 审计...............................................................................................................16
3.1 开启 Common Criteria Compliance 选项................................................16
3.2 针对 SQL Server 特殊行为进行审计..........................................................17
3.3 审计 Windows 登入登出行为和账号管理行为..............................................23
5. 运维...............................................................................................................23
4.1 限制 tempdb 的大小,防止磁盘空间满......................................................23
4.2 杀毒软件需把 SQL 相关文件和 Windows 相关组件排除在扫描之外................24
4.3 如果使用了 linked server,尽量限制使用'Data Access', 'RPC' 和 'RPC Out'
选项.............................................................................................................25
6. 开发...............................................................................................................27
5.1 访问数据库的 Web 配置文件不可通过明文存储用户名和密码........................27
5.2 限制 OPENROWSET 和 OPENDATASOURCE 函数的使用,避免执行外部程序
的风险.........................................................................................................27
5.3 对敏感代码进行加密(数据库层加密存储过程)..........................................28
7. 加密...............................................................................................................28
5.4 采用 TDE(透明数据加密)......................................................................28
1. 网络
1.1 不需要的网络协议建议关闭,如 Named Pipe
1. 在“SQL Server 配置管理器”中,选择“ SQL Server 网络配置”->” 协议”确保只有
Shared Memory 和 TCP/IP 协议开启
1.2 防火墙配置最佳建议
运行 WF.msc 可以打开防火墙设置,对于 SQL 引擎来说,考虑设置以下项目:
1. 开启 SQL Server 监听的端口(默认实例为 TCP1433,1434 和 UDP1434);
2. 对于命名实例,其监听的端口可能会发生变化,因此可以将 SQL 的 EXE 文件加入到允
许访问的列表当中;
具 体 参 考 https://docs.microsoft.com/en-us/sql/sql-server/install/con?gure-the-
windows-?rewall-to-allow-sql-server-access
以下脚本可根据不同的环境选用:
@echo ========= SQL Server Ports ===================
@echo Enabling SQLServer default instance port 1433
netsh advrewall rewall add rule name="SQL Server" dir=in action=allow
protocol=TCP localport=1433
@echo Enabling Dedicated Admin Connection port 1434
netsh advrewall rewall add rule name="SQL Admin Connection" dir=in
action=allow protocol=TCP localport=1434
@echo Enabling conventional SQL Server Service Broker port 4022
netsh advrewall rewall add rule name="SQL Service Broker" dir=in
action=allow protocol=TCP localport=4022
@echo Enabling Transact-SQL Debugger/RPC port 135
netsh advrewall rewall add rule name="SQL Debugger/RPC" dir=in
action=allow protocol=TCP localport=135
@echo ========= Analysis Services Ports ==============
@echo Enabling SSAS Default Instance port 2383
netsh advrewall rewall add rule name="SQL Analysis Services" dir=in
action=allow protocol=TCP localport=2383
@echo Enabling SQL Server Browser Service port 2382
netsh advrewall rewall add rule name="SQL Browser TCP" dir=in
action=allow protocol=TCP localport=2382
@echo Enabling port for SQL Server Browser Service's 'Browse' Button
netsh advrewall rewall add rule name="SQL Browser UDP" dir=in
action=allow protocol=UDP localport=1434
@echo ========= Misc Applications ==============
@echo Enabling HTTP port 80 netsh advrewall rewall add rule
name="HTTP" dir=in action=allow protocol=TCP localport=80
@echo Enabling SSL port 443
netsh advrewall rewall add rule name="SSL" dir=in action=allow
protocol=TCP localport=443
@echo Allowing multicast broadcast response on UDP (Browser Service
Enumerations OK)
netsh advrewall set currentprole settings unicastresponsetomulticast
enable
1.3 启用网络加密传输(可选 IPSEC or SSL)
如果选用 SSL,配置如下:
1. 因为时 workstation,需要先向证书管理员(CA)申请一个 Computer 类型的内部证
书,然后运行 certmgr.msc 打开证书管理器;
2. 导入该证书文件(一般是 pfx 文件)
3. 打开 SQL Server 配置管理器,选择 SQL Server 网络配置,右键“SQL Server 网络
协议“,再 certi?cate 栏选择刚刚导入的证书,在 Flags 栏选择 Force Encryption 为
true;
剩余30页未读,继续阅读
资源评论
huike008
- 粉丝: 14
- 资源: 10
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- 什么是后端开发-关于后端开发的一些小介绍分享
- Jurassic Pack Vol. II Dinosaurs 侏罗纪包卷恐龙二号Unity游戏模型资源unitypackage
- Jurassic Pack Vol. III Dinosaurs 侏罗纪包卷恐龙三号Unity游戏模型资源unitypackag
- Ultimate Seating Controller 终极座椅控制器Unity游戏开发插件资源unitypackage
- 什么是人工智能-关于人工智能的相关介绍说明
- Figma Converter for Unity适用Unity的Figma转换器Unity游戏开发插件unitypackage
- Creepy Animatronic Anims 令人毛骨悚然的电子动画Unity游戏动画插件资源unitypackage
- Rankings & Leaderboards 排名和排行榜Unity游戏开发插件资源unitypackage
- Semantic Color Palette 语义调色板Unity游戏开发插件资源unitypackage
- Low Poly Nature:Lush and Diverse Environments低聚自然郁郁Unity低多边形模型资源
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功