数据库安全检查报告

1、1.1数据库安全检查报告编号生产厂商/型号12-5-4物理位宜中心机房所在网络检査日期检査人责任人审核人编号检査 项目检査内容操作方法结果检査记录1通 用 安 全机 制操作系统检査检査数据库安装名目的权限， 确保只有系统治理员才能访问 该名目对Windows操作系统而言，采纳 regedt32 检 査 HKLMSoftwareSybase 中的权 限键值2服务器信息列举网络上的远程服务器exec sp_helpserver检査输出内容：网络密码加密的部份可能如下： net password encryption= truenet password encryption= false安全机制部份

2、可能如下：rpc security model A 是不 提供安全机制rpc security model B是提 供不同的安全服务.如互相认 证、消息加密、完整性校验等。列举特定服务器的信息exec sp_helpdb3登陆配宜检査认证模式是否开启exec sp_logmconf ig loginmode检査默认登陆exec splogmconfig default account在集成认证模式中，确认默认登 陆角色不是sa,设宜为NULL或 者一个低权限的用户。4补丁査看服务器版木信息select AVERSION5数据库配通用数据库参数获得当前Server的配宜exec sp_confi

3、gure6检査输出allow updates to system tables假如是“on”状态，DBA能够通 过储备过程修改系统表。建议 SSO将其设迓为“off”状态。因为差不多 建立的储备过程能够被执行，建 议审计数据库的储备过程列表。exec sp_configure allow updates to system tables7检查并保证allow resource limit*的值设为“Vexec sp_configure allow resource limit8保证系统表syscomments*差 不多被爱护该系统表专门重要. 但默认情形下被设置为确 认该值被设宜为0。exec

4、 sp_configure select on syscomments text9错误日志配逻检査是否设宜失败登陆日忐，确 认该值设宜为(Texec sp_configure log audit logon failure10检査是否设宜成功登陆日志，确 认该数值设为(Texec sp_configure log audit logon success11用 户 级 安 全组列举某数据库的所有组：use DBNameexec sp_helpgroup12列举某组内的用户：use DBNameexec sp_helpgroup GroupName13角色检查服务器角色和用户定义的 角色：sele

5、ct name, password, pwdate, status from syssrvroles14检査每个角色的详细信息：execsp_displayrol.esRo1eName, expand_up15检査每个用户的详细信息：execsp_displayrolesUserName, expand_down16检査角色中空口令用户：select name from syssrvroleswhere password = NULL17用户检査某数据库的所有用户：exec sp_helpuser18检査散列用户口令：select name, password from syslogins19

6、检査每个数据库的用户权限：use DBNameexec sp_helprotect20口令安全参数检査口令过期时刻，建议设迓为14天exec sp_configure password expiration interval0 -密码从只是期-天数21检查口令是否至少包含一位数 字exec sp_configure check password for digitO 强制用户口令中至少包 含一个数字22检査昴小密码长度.建议为8位以上exec sp_configure minimumpassword length23数 据 级 安 全权限检査关键表.过程.触发器的权 限检査给予public组权

7、限的 对象:use DBNameexecsp_helprotectObjectName 输出：1.用户权限列表2. 所有对象的权限类型3. 是否设S WITH GRANT权限24储备过程列出数据库中所有扩展储备过 程：use sybsystemprocsselect name from sysobjectswhere type二XP25删除扩展储备过程 xp_cmdshell 并删除sybsyesp dllexecsp_dropextendedprocxp_cmdshell假如一定需要使用 xp_cmdshell,则审核其权限分 配：use sybsystemprocsexecsp_helpr

8、otect“xp_cmdshellM26检査其它储备过程如sendmail,freemail,readmail,deletemail,startmail, stopmail 删除无 用的储备过程，并删除mail帐 号sybrnaiT 27网 络 层 安 全远端服务器信息检査远端服务器是否承诺访问 use masterexec sp_configure allowremote access1承诺远程访问0 -不承诺远程访问检査信任用户的存在情形 exec sp_helpremoteserver28远程连接机制检査安全机制和其提供的安全 服务select * from syssecmechs Sy

9、ssecmech表默认并不存在， 仅在査询的时候创建.它由以下 的列组成：sec_mech_name服务湍提供的 安全机制名available_service 安全机制 提供的安全服务举例Windows网络治理员.其 内容将为：sec_mech_name = NT LAN MANAGERavailable_service = unified login29检査libctl.cfg文件内部包含了网络驱动的信息，安 全.名目磁盘和其他初始化信 息。1. 假如LDAP密码加密。2. 安全机制：”dce”DCE安全机制。Hcsfkrb5M CyberSAFE Kerberos 安全机制。“LIBSMSSP” Windows NT 或Windows 95（仅客户端）上的 Windows网络治理员。注意：libtcl.cfg的位宜：UNIX 模式：$SYBASE/conf