基線覈查之SQLSERVER(MSSQL)
以下有關路徑只在MSSQL2000上面測試過
1.MSSQL共享賬號覈查
使用sql語句:select name from syslogins group by name having count(name)>1 查看是否存在共享賬戶的情況
參考配置:建立角色,並給角色授權,把角色賦給不同的用戶或修改用戶屬性中的角色和權限。以此來達到安全規範
2.MSSQL檢查是否存在與數據庫工作、維護無關的賬號
使用sql語句:select b.name from syslogins a left outer join sysusers b on a.sid = b.sid where b.name is null and a.password is not null 查看是否存在於數據庫工作、維護無關的賬號
參考配置:SQL SERVER 企業管理器-> 安全性-> 登錄中刪除無關賬號 或者 SQL SERVER 企業管理器-> 數據庫-> 對應數據庫-> 用戶中刪除無關賬號
3.覈查MSSQL數據庫是否根據用戶的業務需要,配置其所需的最小權限
使用存儲過程:EXEC sp_helpuser 查看數據庫所有用戶以及其對應權限
參考配置:更改數據庫屬性,取消業務數據庫賬號不需要的服務器角色;
更改數據庫屬性,取消業務數據庫賬號不需要的“數據庫訪問”和“數據庫角色中允許”中不需要的角色。
服務器角色對應權限:
sysadmin 在SQLSERVER中進行任何活動,該角色的權限跨越其他固定服務器角色。一般sa和Buildin/Administrator都屬於該角色
serveradmin 配置服務器範圍的設置
setupadmin 添加和刪除鏈接服務器,並執行某些系統存儲過程
securityadmin 管理服務器登錄
processadmin 管理在SQLSERVER實例中運行的進程
dbcreator 創建和改變數據庫
diskadmin 管理磁盤文件
bulkadmin 執行BULK INSERT語句
更改數據庫屬性,取消業務數據庫賬號不需要的“數據庫訪問”和“數據庫角色中允許”中不需要的角色。
服務器角色對應權限:
sysadmin 在SQLSERVER中進行任何活動,該角色的權限跨越其他固定服務器角色。一般sa和Buildin/Administrator都屬於該角色
serveradmin 配置服務器範圍的設置
setupadmin 添加和刪除鏈接服務器,並執行某些系統存儲過程
securityadmin 管理服務器登錄
processadmin 管理在SQLSERVER實例中運行的進程
dbcreator 創建和改變數據庫
diskadmin 管理磁盤文件
bulkadmin 執行BULK INSERT語句
4.MSSQL使用數據庫角色來管理對象的權限
使用sql語句:select count(*) from sysusers where issqlrole=1 查看結果值是否大於10,如果小於等於10不符合安全基線標準
參考配置:在數據庫的角色中查看對應角色的權限,檢查是否包含不需要訪問的對象
在數據庫中查看錶、存儲過程等對象屬性中的權限、檢查是否存在不必須的賬號或角色訪問該對象
企業管理器->數據庫->對應數據庫->角色-中創建新角色;
調整角色屬性中的權限,賦予角色中擁有對象對應的select、insert、update、delete、exec、dri權限
調整角色屬性中的權限,賦予角色中擁有對象對應的select、insert、update、delete、exec、dri權限
5.MSSQL查看是否存在口令爲空的用戶
使用sql語句:select name from syslogins where sid in(select sid from sysusers where issqluser=1) and password is null 查看是否存在口令爲空的用戶
參考配置:在表syslogins中檢查createdate、updatedate是否爲確定時間
在表syslogins中查看password字段是否爲null
在表syslogins中查看password字段是否爲null
如果存在口令爲null的用戶,建議刪除
6.MSSQL檢查是否存在不必要的存儲過程
使用sql語句查看是否存在以下存儲過程,如果存在切非必要請刪除:xp_cmdshell Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regremovemultistring xp_sdidebug xp_availablemedia
xp_cmdshell xp_deletemail xp_dirtree xp_dropwebtask xp_dsninfo xp_enumdsn xp_enumerrorlogs xp_enumgroups xp_enumqueuedtasks xp_eventlog xp_findnextmsg xp_fixeddrives xp_getfiledetails xp_getnetname xp_grantlogin xp_logevent xp_loginconfig xp_logininfo xp_makewebtask
xp_msver xp_perfend xp_perfmonitor xp_perfsample xp_perfstart xp_readerrorlog xp_readmail xp_revokelogin xp_runwebtask xp_schedulersignal xp_sendmail xp_servicecontrol xp_snmp_getstate xp_snmp_raisetrap xp_sprintf xp_sqlinventory xp_sqlregister xp_sqltrace
xp_sscanf xp_startmail xp_stopmail xp_subdirs xp_unc_to_drive xp_dirtree
參看配置:停用不必要的存儲過程,刪除不會被使用的一些存儲過程
刪除存儲過程方法:
use master
sp_dropextendedproc '存儲過程名稱';
比如:
use master
sp_dropextendedproc 'xp_cmdshell'
刪除存儲過程方法:
use master
sp_dropextendedproc '存儲過程名稱';
比如:
use master
sp_dropextendedproc 'xp_cmdshell'
7.MSSQL數據庫是否記錄用戶登錄信息
使用sql語句:master..xp_instance_regread N'HKEY_LOCAL_MACHINE', N'SOFTWARE\Microsoft\MSSQLServer\Setup', N'SQLPath'查看MSSQL安裝路徑,對路徑做處理,查看日誌文件,是否存在用戶登錄信息,包括登錄時間,登錄狀態等等。(Windows7條件下可以用:wmic process get name,executablepath | findstr "sqlservr.exe"查看MSSQL服務路徑)
參考配置:打開數據庫屬性,選擇安全性,將安全性中的審計級別調整爲“全部”,身份驗證調整爲“SQL Server 和 Windows”
8.MSSQL數據庫是否記錄對於數據庫相關的安全事件
檢測方法同上7
9.MSSQL數據庫是否使用強制協議加密
在終端輸入:reg export HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer myconfig.inf | type myconfig.inf 查看返回信息是否存在字段Encrypt,不存在則沒有使用強制協議加密
參考配置:啓動服務器網絡配置工具,在“常規”中選擇“強制協議加密”
10.MSSQL判斷系統是否打包最新的補丁包
使用sql語句:select @@version 查看當前版本
參考配置:去SQLSERVER官網,查看當前版本是否是最新的補丁包,如果不是請下載最新的補丁包進行安裝,安裝詳細操作請參照其中的readme文件
11.MSSQL判斷是否設置最大併發連接數
使用sql語句:select value from master.dbo.sysconfigures where [config]=103 查看最大併發連接數
參考配置:參考配置操作啓動Microsoft SQL Server Management Studio->以管理員身份登錄服務器,左側對象資源管理器->選擇目標服務器->右鍵服務器屬性->連接->將“最大併發連接數(0 = 無限制)(M)”設置爲評估後的值
12.啓用 C2 審覈跟蹤
使用存儲過程:EXEC sp_configure 'c2 audit mode' 查看C2狀態
參考配置:參考配置操作啓動Microsoft SQL Server Management Studio->左側對象資源管理器->選擇目標服務器->右鍵服務器屬性->安全性->勾選“啓用C2審覈跟蹤”。