2016 Tech Summit SQL Server 最佳安全作法
紀錄一下本日課程上學習到的
SQL Server 最佳安全建議作法
10/12 Tech Summit
SQL 安全最佳作法
*盡量用windows帳號
*非AD帳號(自訂帳號)會被記錄再作業用機器上
*disable or rename sa帳號
*密碼原則用強勢密碼 (8個字以上)
*不同的服務用不同的帳號
*不要加入角色到sysadmin中(不會被稽核)
如果要,自行建立伺服器角色(RULE) 賦予control server,此權限近於sysadmin但會被稽核
*停用guest
*預設的public角色 可執行MASTER資料庫的一些XP(擴充預存程序),可以看到一些系統醫訊
*不要使用 1433 PORT、不要使用動態PORT(防火搶無法擋),亦避免多一次查詢
*保護服務帳戶 (不同服務不同帳號, 密碼加強,用作小權限)
* 利用Microsoft baseline security analyzer 進行安全掃描
* 使用TDE加密 記得要額外備份認證與同步金鑰
MASTER KEY>CERT
* 紀錄層級安全 (細緻的存取控制),集中的安全邏輯
RLS (row level security)安全定義紀錄再TABLE上
兩種安全敘述 Filter,Block
See also :
SQL Server 最佳安全建議作法
10/12 Tech Summit
SQL 安全最佳作法
*盡量用windows帳號
*非AD帳號(自訂帳號)會被記錄再作業用機器上
*disable or rename sa帳號
*密碼原則用強勢密碼 (8個字以上)
*不同的服務用不同的帳號
*不要加入角色到sysadmin中(不會被稽核)
如果要,自行建立伺服器角色(RULE) 賦予control server,此權限近於sysadmin但會被稽核
*停用guest
*預設的public角色 可執行MASTER資料庫的一些XP(擴充預存程序),可以看到一些系統醫訊
*不要使用 1433 PORT、不要使用動態PORT(防火搶無法擋),亦避免多一次查詢
*保護服務帳戶 (不同服務不同帳號, 密碼加強,用作小權限)
* 利用Microsoft baseline security analyzer 進行安全掃描
* 使用TDE加密 記得要額外備份認證與同步金鑰
MASTER KEY>CERT
* 紀錄層級安全 (細緻的存取控制),集中的安全邏輯
RLS (row level security)安全定義紀錄再TABLE上
兩種安全敘述 Filter,Block
See also :
留言