共用方式為

  • 發行項

檢查清單:Database Engine 安全性設定

此檢查清單會檢閱 SQL Server Database Engine 的主要安全性組態選項。使用此檢查清單定期稽核您的 Database Engine 環境。這些建議設定應該根據您的安全性與業務需求進行調整。

實體安全性

...

描述
布林欄位圖示
裝載 Database Engine 的電腦是否位於具備有限存取的安全資料中心?

提示:如需詳細資訊,請參閱<範例安全性規劃:Adventure Works>(英文)。
布林欄位圖示
備份是否儲存在安全的位置?

提示:如需詳細資訊,請參閱<備份和還原的安全性考量因素>。
布林欄位圖示
Database Engine 檔案 (.mdf、.ndf、.ldf 檔) 的存取是否受到檔案系統權限的限制?

提示:取得資料庫檔案存取權的惡意使用者可以將檔案附加到 Database Engine 的其他執行個體。如需詳細資訊,請參閱<保護資料和記錄檔>。
布林欄位圖示
Database Engine 二進位檔案 (binn 資料夾中的 sqlservr.exe) 的存取是否受到檔案系統權限的限制?

提示:可以存取 SQL Server 二進位檔案的惡意使用者可能會造成損毀和拒絕服務。
布林欄位圖示
稽核檔案的存取是否受到檔案系統權限的限制?

提示:在高度安全性的環境中,Windows 安全性記錄檔是寫入記錄物件存取之事件的適當位置。雖然支援其他稽核位置,但是這些位置容易遭到竄改。如需詳細資訊,請參閱<如何:將伺服器稽核事件寫入安全性記錄檔>。
布林欄位圖示
公開和私密加密金鑰的備份是否儲存在安全的位置?

提示:如果將加密金鑰備份到抽取式媒體 (CD、隨身碟),金鑰備份應該儲存在安全的位置,例如可控制存取的安全位置。如果備份到其他硬碟,該電腦必須受到適當的保護。
布林欄位圖示
如果您要使用可延伸金鑰管理 (EKM),硬體安全性模組 (HSM) 是否受到適當保護?

提示:如需建議,請洽詢 HSM 廠商。

作業系統組態

...

描述
布林欄位圖示
SQL Server 電腦是否受到僅具備必要例外狀況的防火牆所保護?

提示:請使用 wf.msc (或 firewall.cpl) 設定 Windows 防火牆。如需詳細資訊,請參閱<將 Windows 防火牆設定成允許 SQL Server 存取>。
布林欄位圖示
伺服器與用戶端作業系統是否設定為使用延伸驗證的保護?

提示:如需詳細資訊,請參閱<使用擴充保護連接到 Database Engine>和<延伸驗證的保護>。
布林欄位圖示
作業系統是否設定為允許自動更新 (如果可行)?

提示:實際執行環境通常需要在套用更新之前進行測試。更新應該定期經過測試後套用。如果沒有執行測試,自動安裝更新可能是最好的選擇。

資料庫執行個體組態

...

描述
布林欄位圖示
Database Engine 是否設定為使用具有業務需求所需之最少權限的帳戶執行?

提示:如需詳細資訊,請參閱<設定 Windows 服務帳戶>。
布林欄位圖示
SQL Server 驗證是否在業務需求的要求下才啟用?

提示:請參閱<選擇驗證模式>。
布林欄位圖示
如果啟用 SQL Server 驗證,是否已經停用 SA 帳戶?

提示:SA 帳戶眾所周知,因此通常是惡意使用者的目標。請使用 ALTER LOGIN 陳述式停用帳戶。將 sysadmin 固定伺服器角色的成員資格限制為使用 Windows 驗證的登入。
布林欄位圖示
如果啟用 SQL Server 驗證,是否已經重新命名 SA 帳戶?

提示:SA 帳戶眾所周知,因此通常是惡意使用者的目標。使用 ALTER LOGIN 陳述式重新命名帳戶有助於保護帳戶。
布林欄位圖示
SA 帳戶是否有增強式密碼?

提示:SA 帳戶密碼是在 SQL Server 安裝期間所指定。不過,該密碼可以使用 ALTER LOGIN 陳述式變更。
布林欄位圖示
如果啟用 SQL Server 驗證,SQL Server 是否需要增強式密碼?

提示:除非明確豁免,否則 SQL Server 登入會繼承電腦的密碼原則。如需詳細資訊,請參閱 CREATE LOGINALTER LOGINCHECK_POLICY 選項。
布林欄位圖示
是否停用不必要的 SQL Server 功能?

提示:請使用原則式管理的介面區組態 Facet。如需詳細資訊,請參閱<了解介面區組態>。
布林欄位圖示
xp_cmdshell 是否只在絕對必要的情況下才停用?

提示:如需詳細資訊,請參閱<xp_cmdshell (Transact-SQL)>。
布林欄位圖示
跨資料庫擁有權鏈結是否只在多個資料庫部署為單一單位的情況下才設為 OFF?

提示:如需詳細資訊,請參閱<cross db ownership chaining 選項>。
布林欄位圖示
您是否對 SQL Server 定期執行 Best Practices Analyzer (BPA)?

提示:請使用 Microsoft SQL Server 2008 R2 Best Practices AnalyzerSQL Server 2005 Best Practices Analyzer (2008 年 8 月)
布林欄位圖示
Database Engine 是否已經套用最新的 Service Pack?

提示:實際執行環境通常需要在套用 Service Pack 之前進行測試。如果沒有執行測試,自動安裝 Service Pack 可能是最好的選擇。
布林欄位圖示
您是否已經確認範例資料庫 (如 AdventureWorks2008R2) 沒有安裝在實際執行資料庫上?

提示:請使用 SQL Server Management Studio 檢查範例資料庫。