▼
针对SQL Server数据库管理系统的身份鉴别机制,安全测评工作主要有以下6个方面。
1)通过访谈,询问是否设置有专门的安全管理员和数据库管理员。
2)通过与管理员的访谈,询问是否为应用程序设置了单独的账户。
3)通过与管理员的访谈,询问是否在安装SQL Server数据库时为sa设置了复杂口令。
4)访谈数据库管理员,询问数据库的身份标识与鉴别机制采取何种措施实现,目前,系统提供了哪些身份鉴别措施和鉴别失败处理措施。
6)检查用户口令设置情况,如下图所示,确认是否存在空口令的用户。
SQL Server数据库在访问控制方面的测评内容主要涉及数据库终端非授权访问、不必要服务、默认端口等方面。测评工作主要有以下5个方面。
1)访谈管理员,询问终端访问是否设置了超时锁定功能,如果超过时限则数据库自动断开连接,此项措施用于防止数据库终端的非授权访问。
2)检查SQL邮件功能是否启用。单击“管理”→“SQL Server日志”→“数据库邮件”,查看“数据库邮件配置向导”是否弹出“是否要启用此功能”对话框。
3)检查SQL Server使用的网络协议。单击“开始”→“所有程序”→“Microsoft SQL Server 2012”→“配置工具”→“SQL Server 配置管理器”→“SQL Server 网络配置”→“MSSQLSERVER的协议”,确认SQLServer使用的网络协议为TCP/IP。
4)检查是否启用了强制协议加密。单击“开始”→“所有程序”→“Microsoft SQL Server 2012”→“配置工具”→“SQL Server 配置管理器”→“SQL Server 网络配置”→右击“MSSQLSERVER的协议”选择“属性”,查看“强行加密”后面的字段是否为“是”。
5)测试强制协议加密是否生效。通过使用网络抓包工具进行数据分组分析,检查口令或账号等敏感信息是否存在明文传输情况。
SQL Server数据库在安全审计方面的测评内容主要涉及系统的审计级别设置、日志记录情况、日志目录和日志文件的访问权限设置等方面。测评工作主要有以下2个方面。
1)访谈管理员,询问数据库审计数据的备份策略及采取的相关安全措施。
2)检查登录审核设置及审计级别。右击“**-PC”,选择“属性”,单击“安全性”,从下图中可以看出本数据库仅对失败的登录做记录,“启用C2审核跟踪”选项已被勾选,表明审计级别为二级。
3)验证安全审计机制的效果。使用不同的用户登录数据库系统并进行不同的操作,查看审计记录是否满足要求。
SQL Server数据库在入侵防范方面的测评内容主要涉及主机系统及补丁安装情况、数据库版本、不必要的存储过程等方面,测评工作主要包括以下3个方面。
1)访谈数据库管理员,询问数据库系统补丁安装或版本升级情况。
2)检查数据库版本,并与官方网站的最新版本进行对比。
▲
- The end -
原文始发于微信公众号(计算机与网络安全):HW:SQL Server测评
评论