1.1数据库

编号生产厂商/型号12-5-4

物理位置中心机房所在网络

检查曰期检查人

负责人审核人

编检查检查内容操作措施

号项目

成果检查记录

检查数据库安装目录的权限,,

保证只有系统管理员才能访问

该目录

1

操作系统检查

对Windows 操作系统而言,采用

regedt32 检查

HKLM\Software\Sybase 中的权

限键值

列举网络上的远程服务器

exec sp_helpserver

检查输出内容:

网络密码加密的部份也許如下:

"net password encryption" =

true

"net password encryption" =

false

安全机制部份也許如下:

"rpc security model A" 是不提

供安全机制

"rpc security model B" 是提供

不一样的安全服务,如互相认证、

消息加密、完整性校验等。

2服务器信息

列举特定服务器的信息

exec sp_helpdb

检查认证模式与否启动

exec sp_loginconfig "login

mode"

3登陆配置

检查默认登陆

exec sp_loginconfig "default

account"

在集成认证模式中,确认默认登

陆角色不是sa ,设置為NULL 或

者一种低权限的顾客。

4补丁

查看服务器版本信息

select @@VERSION

5

获得目前Server 的配置

exec sp_configure

6

检查输出 'allow updates to

system tables'

假如是“on”状态,DBA 可以通

过存储过程修改系统表。提议

sso 将其设

置為“off”状态。由于已经建

立的存储过程可以被执行,提议

审计数据库的存储过程列表。

exec sp_configure "allow

updates to system tables"

7

检查并保证'allow resource

limit'的值设為“1”

exec sp_configure "allow

resource limit"

8

数据

库配通用数据库参数

保证系统表'syscomments' 已经

被保护该系统表非常重要,但默

认状况下被设置為"1",确认该

值被设置為"0"。

exec sp_configure "select on

syscomments.text"

9

检查与否设置失败登陆曰志,确

认该值设置為"0"

exec sp_configure "log audit

logon failure"

10

錯误曰志配置

检查与否设置成功登陆曰志,确

认该数值设為"0"

exec sp_configure "log audit

logon success"

11use DBName

列举某数据库的所有组:

exec sp_helpgroup

12

列举某组内的顾客:

use DBName

exec sp_helpgroup GroupName

13

检查服务器角色和顾客定义的

角色:

select name, password,

pwdate, status from

syssrvroles

14exec sp_displayroles 全

检查每个角色的详细信息:安

"RoleName", expand_up

15exec sp_displayroles

检查每个顾客的详细信息:

UserName, expand_down

16select name from syssrvroles

角色

检查角色中空口令顾客:

where password = NULL

17顾客检查某数据库的所有顾客:

exec sp_helpuser

18select name, password from

检查散列顾客口令:

syslogins

19use DBName

检查每个数据库的顾客权限:

exec sp_helprotect

20

检查口令过期時间,提议设置為

14 天

exec sp_configure "password

expiration interval"

'0' – 密码从不过期

'n' – 天数.

21

检查口令与否至少包括一位数

exec sp_configure "check

password for digit"

'0' - 强制顾客口令中至少包

括一种数字

22

口令安全参数

检查最小密码長度,提议為8 位

以上

exec sp_configure "minimum

password length"

23级权限exec sp_helprotect

数对象:

据use DBName

安ObjectName

全输出:

检查关键表、过程、触发器的权

限,检查赋予public 组权限的

1. 顾客权限列表

2. 所有对象的权限类型

3. 与否设置WITH GRANT 权限

24use sybsystemprocs

列出数据库中所有扩展存储过

程:

select name from sysobjects

where type='XP'

25假如一定需要使用xp_cmdshell,

删除扩展存储过程xp_cmdshell,

并删除sybsyesp.dll

exec sp_dropextendedproc

xp_cmdshell

则审核其权限分派:

use sybsystemprocs

exec sp_helprotect

“xp_cmdshell”

26

存储过程

检查其他存储过程

如sendmail, freemail,

readmail, deletemail,

startmail, stopmail,删除无

用的存储过程,并删除mail 帐

号'sybmail'.

检查远端服务器与否容許访问

use master

exec sp_configure "allow

remote access"

'1' - 容許远程访问

'0' - 不容許远程访问

27

远端服务器信息

检查信任顾客的存在状况安

exec sp_helpremoteserver全

28

远程连接机制服务

检查安全机制和其提供的安全

select * from syssecmechs

Syssecmech 表默认并不存在,仅

在查询的時候创立,它由如下的

列构成:

sec_mech_name 服务器提供的安

全机制名

available_service 安全机制提

供的安全服务

举例,Windows 网络管理员,其

内容将為:

sec_mech_name = NT LAN

MANAGER

available_service = unified

login

29安全机制。

检查libctl.cfg 文献

内部包括了网络驱动的信息,安

全,目录磁盘和其他初始化信息。

1. 假如LDAP 密码加密。

2. 安全机制:

"dce" DCE 安全机制。

"csfkrb5" CyberSAFE Kerberos

"LIBSMSSP" Windows NT 或

Windows 95(仅客户端)上的

Windows

网络管理员。

注意:libtcl.cfg 的位置:

UNIX 模式:$SYBASE/config/

桌面模式:SYBASE_home\ini\

30

检查统一登陆需要的参数

exec sp_configure "unified

login required"

假如网络安全被设置為启用,则

保证其设置為"1"。设置為"0",

将会

容許老式的顾客密码方式登陆

到ASE,这样跟信任连接同样会

对网络的

安全性导致影响。