数据库安全检查报告

1.1数据库安全检查报告编号生产厂商/型号12-5-4物理位置中心机房所在网络检查日期检查人责任人审核人编号检査项目检査内容操作方法结果检査记录1通用安全机制操作系统检查检查数据库安装名目的权限，，确保只有系统治理员才能访问该名目对Windows操作系统而言，采纳regedt32检查HKLM\Software\Sybase中的权限键值2服务器信息列举网络上的远程服务器execsp_helpserver检查输出内容：网络密码加密的部份可能如下：""netpasswordencryption"=true""netpasswordencryption"=false安全机制部份可能如下："rpcsecuritymodelA"是不提供安全机制"rpcsecuritymodelB"是提供不同的安全服务，如互相认证、消息加密、完整性校验等。列举特定服务器的信息execsp_helpdb3登陆配置检查认证模式是否开启execsp_loginconfig""loginmode"检查默认登陆execsp_loginconfig""defaultaccount"在集成认证模式中,确认默认登陆角色不是sa,设置为NULL或者一个低权限的用户。4补丁查看服务器版本信息select@@VERSION5数据库配置通用数据库参数获得当前Server的配置execsp_configure6检查输出'allowupdatestosystemtables'假如是“on”状态，DBA能够通过储备过程修改系统表。建议sso将其设置为“off”状态。因为差不多建立的储备过程能够被执行，建议审计数据库的储备过程列表。execsp_configure"allowupdatestosystemtables"7检查并保证'allowresourcelimit'的值设为“1”execsp_configure"allowresourcelimit"8保证系统表'syscomments'差不多被爱护该系统表专门重要，但默认情形下被设置为"1",确认该值被设置为"0"。execsp_configure""selectonsyscomments.text""9错误日志配置检查是否设置失败登陆日志，确认该值设置为""0〃execsp_configure""logauditlogonfailure"10检查是否设置成功登陆日志，确认该数值设为""0""execsp_configure""logauditlogonsuccess"11用户级安全组列举某数据库的所有组：useDBNameexecsp_helpgroup12列举某组内的用户：useDBNameexecsp_helpgroupGroupName13角色检查服务器角色和用户定义的角色：selectname,password,pwdate,statusfromsyssrvroles14检查每个角色的详细信息：execsp_displayroles""RoleName",expand_up15检查每个用户的详细信息：execsp_displayrolesUserName,expand_down16检查角色中空口令用户：selectnamefromsyssrvroleswherepassword=NULL17用户检查某数据库的所有用户：execsp_helpuser18检查散列用户口令：selectname,passwordfromsyslogins19检查每个数据库的用户权限：useDBNameexecsp_helprotect20口令安全参数检查口令过期时刻，建议设置为14天execsp_configure""passwordexpirationinterval"'o'-密码从只是期'n'-天数.21检查口令是否至少包含一位数字execsp_configure""checkpasswordfordigit"'o'—强制用户口令中至少包含一个数字22检查最小密码长度，建议为8位以上execsp_configure""minimumpasswordlength"23数据级安全权限检查关键表、过程、触发器的权限，检查给予public组权限的对象：useDBNameexecsp_helprotectObjectName输出：1.用户权限列表所有对象的权限类型是否设置WITHGRANT权限24储备过程列出数据库中所有扩展储备过程：usesybsystemprocsselectnamefromsysobjectswheretype='XP'25删除扩展储备过程xp_cmdshell，并删除sybsyesp・dllexecsp_dropextendedprocxp_cmdshell假如一定需要使用xp_cmdshell,则审核其权限分配：usesybsystemprocsexecsp_helprotect“xp_cmdshell”26检查其它储备过程女口sendmail,freemail,readmail,deletemail,startmail,stopmail,删除无用的储备过程，并删除mail帐号’sybmail'.27网络层安全远端服务器信息检查远端服务器是否承诺访问usemasterexecsp_configure""allowremoteaccess"T'-承诺远程访问'O'-不承诺远程访问检查信任用户的存在情形execsp_helpremoteserver28远程连接机制检查安全机制和其提供的安全服务select*fromsyssecmechsSyssecmech表默认并不存在，仅在查询的时候创建，它由以下的列组成：sec_mech_name服务器提供的安全机制名available_service安全机制提供的安全服务举例，Windows网络治理员，其内容将为：sec_mech_name=NTLANMANAGERavailable_service=unifiedlogin29检查libctl.cfg文件内部包含了网络驱动的信息，安全，名目磁盘和其他初始化信息。假如LDAP密码加密。安全机制："dee"DCE安全机制。"csfkrb5"CyberSAFEKerberos安全机制。"LIBSMSSP"WindowsNT或Windows95（仅客户端）上的Windows网络治理员。注意：libtcl.cfg的位置：UNIX模式：$SYBASE/config/桌面模式：SYBASE_home\ini\30检查统一登陆需要的参数execsp_configureunifiedloginrequired"假如网络安全被设置为启用，则保证其设置为"I"。设置为"0",将会承诺传统的用户密码方式登陆到ASE，如此跟信任连接一样会对网络的安全性造成阻碍。