MSSQL SERVER安全加固配置步骤

MSSQL SERVER

安全加固说明文当

Contents

1. 网络.................................................................................................................2

1.1 不需要的网络协议建议关闭，如 Named Pipe...............................................2

1.2 防火墙配置最佳建议..................................................................................2

1.3 启用网络加密传输（可选 IPSEC or SSL）....................................................4

1.4 启 用 策 略 Network access: Do not allow anonymous enumeration of

2.2 回收 Public 的 View any database 的权限................................................13

2.3 使用普通权限用户作为 SQL Server 服务启动账户.......................................13

2.4 对于标准登录账户开启 'Enforce Password Expiration' 强制密码过期（除了那

些无法定期修改密码应用/服务的账户）............................................................15

4. 审计...............................................................................................................16

3.1 开启 Common Criteria Compliance 选项................................................16

3.2 针对 SQL Server 特殊行为进行审计..........................................................17

3.3 审计 Windows 登入登出行为和账号管理行为..............................................23

5. 运维...............................................................................................................23

4.1 限制 tempdb 的大小，防止磁盘空间满......................................................23

的风险.........................................................................................................27

5.3 对敏感代码进行加密（数据库层加密存储过程）..........................................28

7. 加密...............................................................................................................28

5.4 采用 TDE（透明数据加密）......................................................................28

1. 网络

1.1 不需要的网络协议建议关闭，如 Named Pipe

1. 在“SQL Server 配置管理器”中，选择“ SQL Server 网络配置”->” 协议”确保只有

Shared Memory 和 TCP/IP 协议开启

1.2 防火墙配置最佳建议

运行 WF.msc 可以打开防火墙设置，对于 SQL 引擎来说，考虑设置以下项目：

@echo ========= SQL Server Ports ===================

@echo Enabling SQLServer default instance port 1433

netsh advrewall rewall add rule name="SQL Server" dir=in action=allow

protocol=TCP localport=1433

@echo Enabling Dedicated Admin Connection port 1434

netsh advrewall rewall add rule name="SQL Admin Connection" dir=in

action=allow protocol=TCP localport=1434

@echo Enabling conventional SQL Server Service Broker port 4022

netsh advrewall rewall add rule name="SQL Service Broker" dir=in

action=allow protocol=TCP localport=4022

action=allow protocol=TCP localport=2383

@echo Enabling SQL Server Browser Service port 2382

netsh advrewall rewall add rule name="SQL Browser TCP" dir=in

action=allow protocol=TCP localport=2382

@echo Enabling port for SQL Server Browser Service's 'Browse' Button

netsh advrewall rewall add rule name="SQL Browser UDP" dir=in

action=allow protocol=UDP localport=1434

@echo ========= Misc Applications ==============

@echo Enabling HTTP port 80 netsh advrewall rewall add rule

name="HTTP" dir=in action=allow protocol=TCP localport=80

protocol=TCP localport=443

Enumerations OK)

netsh advrewall set currentprole settings unicastresponsetomulticast

enable

书，然后运行 certmgr.msc 打开证书管理器；

2. 导入该证书文件（一般是 pfx 文件）

3. 打开 SQL Server 配置管理器，选择 SQL Server 网络配置，右键“SQL Server 网络

协议“，再 certi?cate 栏选择刚刚导入的证书，在 Flags 栏选择 Force Encryption 为

true；