MSSQL 2008 基线检查策略

1、SQLServer空sa密码

参考配置：
1.sa用户密码连接到数据库;
2.在对象资源管理器中点击安全性--登录名,在sa用户上右击--属性
3.在弹出的窗体的密码及确认密码框中输入新密码确认。

2、应删除与数据库运行、维护等工作无关的账号

参考配置:
SQL SERVER 2000请参考：
（1）“SQL SERVER企业管理器->SQL SERVER组->实例名->安全性->登录”，删除无关帐号；
（2）“SQL SERVER企业管理器->SQL SERVER组->实例名->数据库->数据库名称->用户”，删除无关帐号；
SQL SERVER 2005和SQL SERVER 2008请参考：
（1）“SQL SERVER Management Studio ->对象资源管理器->实例名->数据库->系统数据库->数据库名称->安全性->用户”，删除无关帐号；”
（2）“SQL SERVER Management Studio ->对象资源管理器->实例名->安全性->登录”，删除无关帐号；

3、检查是否修改超级账号sa名称

参考配置：
修改sa用户名:
sp_configure 'allow updates',1
RECONFIGURE WITH OVERRIDE

update sysxlogins set name='your_name' where sid=0x01
update sysxlogins set sid=0xE765555BD44F054F89CD0076A06EA823 where name='your_name'

sp_configure 'allow updates',0
RECONFIGURE WITH OVERRIDE

4、日志功能配置检查

数据库应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号、登录是否成功、登录时间。
1、参考配置
  数据库默认开启日志记录
2、 补充操作说明
MSSQL2008
增加帐号登陆审计：打开数据库属性，选择安全性，将安全性中的审计级别调整为“失败和成功的登录”，身份验证调整为“SQL Server 和Windows”

5、数据库应配置日志功能，记录对与数据库相关的安全事件

1、参考配置
MSSQL2000参考如下：
（1）进入查询分析器，执行命令：
    EXEC sp_configure 'c2 audit mode', '1';
    RECONFIGURE;　
（2）重新启动SQL Server服务。
MSSQL2005、2008参考如下：
（1）在服务器端使用SQL Server Management Studio，并且选择“使用Windows身份验证”连接上SQL Server。 　　
（2）右键点击SQL Server服务器的名称，选择“属性”，再选择“安全性”选项卡。 　　
（3）勾选“启用C2审核跟踪”　
（4）重新启动SQL Server服务。
2、补充操作说明
（1）开启审计跟踪会增加数据库性能负担，请慎重。

6、在某些应用环境下，对数据库连接超时进行设置

参考配置
（1）在服务器端使用企业管理器，并且选择“使用Windows身份验证”连接上SQL Server。 　　
（2）右键点击SQL Server服务器的名称，选择“属性”，再选择“连接”选项卡。 　　
（3）勾选“允许其它SQL Server使用RPC远程连接到本SQL Server”，并设置时间为900秒（15分钟）。
（4）重新启动SQL Server服务。

7、根据机器性能和业务需求，设置最大最小连接数

参考配置
（1）在服务器端使用企业管理器，并且选择“使用Windows身份验证”连接上SQL Server。 　　
（2）右键点击SQL Server服务器的名称，选择“属性”，再选择“连接”选项卡。 　　
（3）设置“最大并发连接数”为2000（推荐值，可根据实际情况调整）
（4）重新启动SQL Server服务。

8、检查是否删除无用数据库

参考配置：
（1）图形化界面：
     在指定数据库上右键删除命令即可删除该数据库
（2）sql命令：
     USE master
     alter database database_name set offline with rollback immediate
     drop database database_name