SQL总结-最佳做法检查表

1、总结：最佳做法检查表以下检查表总结了本白皮书中讨论的各种最佳做法。有关详细信息，请参阅上面的讨论。管理员检查表在安装之前设置环境物理安全 确保服务器的物理安全。防火墙 在服务器和internet之间放置防火墙。 总是在外围防火墙上阻止tcp端口 1433和udp端口 1434。 如果命名实例在其他端口上侦听，则还要阻止这歧端口。 在多层环境中，使用多个防火墙创建屏蔽子网。服务隔离 隔离服务，降低受到威胁的服务被利用来危害其他服务的风险。 绝对不要在域控制器上安装sql server. 以单独的windows帐户身份运行单独的sql server服务。 在多层环境中，在单独的计算机上运行web逻

2、辑和业务逻辑。服务帐户 创建windows帐户，尽可能只让其具有运行sql server服务 所需的最小特权。文件系统 使用ntfs。 对关键的数据文件使用raldo安装最新版本和service pack总是安装最新的service pack和安全修补程序。服务帐户 使川尽可能具有故低特权的帐户运行sql server 服务。 使用企业管理器将服务与windows帐户相关联。身份验证模式要求使用windows身份验证与sql server连接。强密码 即使在使用windows身份验证时，也总是为sa帐户指派强密 码。 对所有sql server帐户都总是使用强密码。安装之后的配置选项和设置删除

3、或保护旧安装文件 在安装之后删除或存档下列文件:sqlstp. log、sqlsp. log和 setup, isso对于默认安装，这些文件位于 系统驱动器:program filesmicrosoft sql servermssqlinstal1 文 件夹中；对于命名实例，这些文件位于系统驱动器:program filesmicrosoft sql server mssql$实例名称instal 1 文 件夹中。 如果当前系统是从sql server 7.0升级的，请删除下列文 件：%windir%文件夹中的setup, iss； windows temp文件夹中 的 sqlsp. logo

4、安装之后的配置选项和设置（续）设置登录审核级别将登录审核级别设置为“失败”或"全部”。启用安全审核 对sysadmin操作、周定角色成员身份更改、所有与登录相关的 活动以及密码更改启用安全审核。 在选择适当的审核选项之后，应该编写审核脚木，将它包装在存 储过程中，并将该存储过程标记为autostarto即使在windows身份验证模式下也要保 护sa帐户的安全即使在配置为要求进行windows身份验证的服务器上，也要为sa帐户指派强密码。删除示例数据库 从生产服务器中删除示例数据库。安全操作安全模型学会使用sql server安全模型。备份策略 定期备份所有数据并将副本存放在安全的非

5、现场位置。 测试灾难恢复系统。减少功能、减小受攻击范围 通过只运行环境所必需的服务和功能，减小系统受到攻击的范 围。减少管理员限制少数儿个受信任用户拥有sysadmin固定服务器角色的成员身份。强密码确保对于所有的sql server帐户使用复杂密码。跨数据库所有权链接 如果系统不使用跨数据库所有权链接，请禁用它。xp_cmdshel 1 在默认情况下，只有sysadmin角色的成员能够执行 xp_cmdshello不应更改此默认设置。 水耍将执彳丁 xp_cmdshell的权限授予sysadmin角色成员以外 的用户。加密 安装证书以启川ssl连接。 证书应该使用服务器的完全限定的dns名称

6、。 在sql server服务帐户下使用efs加密数据库 文件。 如果应用程序要求加密数据，销考虑使用诸如protegrity和 application security inc. z类的供应商的产品。角色和组 将用户汇集到sql server角色或windows组中以简化权限管 理。权限绝对不要向public数据库角色授予权限。分布式查询 在支持分布式查询的环境中设置sql server时，使用链接服务 器（而不要使用远程服务器）。 仅将链接服务器的访问权限授予那些需要它的登录。 对于除sysadmin固定服务器角色的成员以外的所有用户，禁止 对除sql ole db以外的所有提供程序进行特

7、殊（ad hoc）数据 访问。 只允许对受信任的提供程序进行特殊数据访问。来宾帐户 不要启用來宾帐户。安全操作（续）服务帐户 如果需要更改与sql server服务柏关联的帐户，请使用sql server企业管理器。 如果更改多个服务，则必须使用企业管理器将所做的更改分别应 用于每个服务。建议的定期管理过程microsoft基准安全分析器（mbsa） 将mbsa添加到每周维护计划中，并按照计划屮的任何安全建议 操作。扫描登录 定期扫描帐户，查看是否有使用空密码的帐户，并删除使用空密 码的帐户或为它们指派强密码。 删除不再使用的帐户。枚举固定角色成员成份 定期扫描固定服务器和数据库角色，确保只将

8、成员身份授予受信 任用户。启动过程验证已被标记为autostart.的存储过程是否安全。登录到用户的映射 确保数据库用户与服务器级登录之间的映射正确无误。 尬期运行带有report选项的sp_change_usersjogin,确保映射 按预期方式工作。直接更新目录 不允许直接更新h录。跨数据库所有权链接 使用sp_dboption枚举和验证启用了跨数据库所有权链接的数 据库。修补实例的最佳做法实例检测和枚举 保留您所负责的sql server的所有版本和语言清单。 在潸单中包括msde实例。 使用 sql scan 和 sql check （可从 microsoft 网站获取）, 扫描域中的

9、sql server实例。公告 订阅microsoft安全公告。修补应用程序 维护与生产系统的配曽-相匹配并且可用于测试新修补程序的测 试系统。 在将修补程序应用于生产系统之前，认真测试修补 程序。 考虑修补不需要太多测试的开发系统。开发人员检查表除上而的所有项h外，开发人员应将下列内容视为最佳做法。常规有效地使用所有权链接 在单个数据库中使用所有权链接来简化权限管理。 尽可能避免使用跨数据库所有权链接。 如果必须使川跨数据库所有权链接，请确保这两个数据库总是部 署为单个管理单元。使用角色來简化权限管理和所有权 向角色指派权限，而不耍直接向用户指派权限。 如果希望在删除拥有对彖的用户时不必更改

10、应用程序，则可以让 角色拥有对象，而不是让用户直接拥有对象。打开加密功能（ssl或ipsec） 对服务器启用加密连接，并考虑只允许建立加密连接。 如果允许使用sql server身份验证，则强烈建议您使用ipsec 加密网络层或者使用ssl加密会话。不将sql server错误传播回到 用户您的应用程序不应该将sql server错误返回给最终用户，而是将它们记录到日志中或者将它们传输给系统管理员。防止受到sql插入攻击 通过先验证所有的用户输入，然后将其传输到服务器，防止受到 sql插入攻击。 只允许具有最小特权的帐户将用户输入的内容发送到服务器，从 而限制可能受损的范围。 使用必需的最小特

11、权运行sql server本身。多层选项同一个域/受信任域（完整的windows身 如果应用程序服务器和数据库服务器位于同一个域中或者位于受信 份验证）任域中，则应使用windows身份验证，并配置“完全提供”功能（所有客户端上下文都与sql server建立通道连接）。这样，可以审核 访问sql server的所有用户，允许执行windows安全策略,并且 无需将凭据存储在屮间层。在该方案屮，客户端连接到应用程序服务 器，应用程序服务器从而模拟客户端并连接到sql servero 应用程序服务器上的每个用户都必须在数据库服务器上有-个 有效的windows登录，且必须启用委派功能。 该方案中

12、进行交互的所有系统（包括域控制器）都必须运行 windows 2000或更高版本。 川来运行应川程序的帐户必须能够委派其他帐户（即，必须针对 此帐户打开active directory用户帐户选项"帐户可委派其他 帐户”）。 客户端帐户必须能够被委派（确保取消选中active directory 川户帐戸选项“敏感帐户，不能被委派”）。 应用程序服务必须有一个有效的服务主体名称（spn）。注意如果安全计划要求故小化用户对数据库服务器的访 问权限或者企业策略禁止委派，建议不要在跨数据库或 internet级别的安装中使用“完全提供”功能。多层选项（续）混合方案（部分windows身份验

13、证）如果在面向internet的层中，并非每个用户都有一个单独的 windows域帐户，则建议将身份验证分成儿个阶段。在验证用户身份 的外层，如果不加密整个会话，至少应该使用ssl加密凭据。应该 使用windows身份验证连接到数据库服务器，并在特权很小、只具 有执行数据库服务器功能所必需的权限的单独安全上下文中转发事 务信息。这样，可以将中间层有效地作为服务器和internet之间的 附加防御层。注意 建议不要在屮间层和sql server之间使用sql server 身份验证，因为使用sqlserver身份验证需要存储凭据。如果 必须在中间层和sql server之间使用sql serve

14、r身份验证, 那么应该创建几个帐户，并让它们分别具有与不同种类的用户对 应的不同级别的特权。这要求您向屮间层屮添加逻辑，以便按照 所需的特权级别分配连接。不同的非信任域或没有域（不进行windows身份验证）如果不能在各层之间使川windows身份验证，则应要求对登录序列 进行ssl加密。最好加密整个会话。 还应使用dpap1加密必须存储的凭据、 应将加密凭据存储在用acl保护的注册表项屮。软件供应商检查表安全过程了解各种安全问题除上面的所有项目外，下列安全开发做法也己被证明对于提高各种开发环境中代码的质量及安全性非常有用。 确保开发小组的成员了解主要的安全问题：当前存在的威胁、安 全趋势、更改安全环境以及受到攻击的悄形。 耍求对所有开发人员和测试人员进行相关的安全培训。 增强对跨站点脚本、缓冲区溢出、sql插入和危险的api等问 题的认识。 确定对产品构成威胁的各种具体类型，例如拒绝服务、特权升级、 欺骗、篡改数据、信息泄漏和丢弃。 针对每个组件逐一分析产品受到的安全威胁。 基于产詁构建安全威胁检查衣。 在产品开发周期的每个阶段（从设计到测试）增加安全审核步骤。安全过程（续）安装msde如果将msde与应用程序一起分发，则应遵守下列附加 准则： 使用“windows安全模式”作为默认设置安装msde。 绝对不要使用空的sa密码。