Cách Cách khắc phục:
Thiết lập đăng nhập SQL Server để kiểm tra các mật khẩu hết hạn Đối với SQL Server 2005 :
ALTER LOGIN [user name] WITH CHECK_EXPIRATION = ON VKEY: V0015631 Mức độ nghiêm trọng : CAT2 Chính sách:
Tất cả
MAC/CONF: 1-CS; 2-CS; 3-CS
IA Control: ECLP Kiểu kiểm tra: Verify
Mức độ CSDL: False
Chịu trách nhiệm: DBA
Khả năng tài liệu hóa: True
Tham chiếu: Database STIG 3.3.2.2
Yêu cầu STIG : (DG0125: CAT II): DBA sẽ thiết lập thời gian hết hạn cho tương tác người sử dụng CSDL có mật khẩu tài khoản đến 60 ngày hoặc ít hơn được hỗ trợ bởi DBMS.
3.2.35.DG0133: Thời gian khóa tài khoản của DBMS
Cách Cách khắc phục:
Cấu hình CSDL để duy trì thời gian khóa tài khoản cho đến khi tài khoản được hướng dẫn mở khóa bởi tài khoản người quản trị có thẩm quyền.
For DBMS accounts using Windows Authentication: Đối với tài khoản DBMS sử dụng Window có bản quyền : 1. Launch the Group Policy Editor on the DBMS Server 2. Cấu hình như sau :
a. Mở rộng các thiết lập cho windows b. Mở rộng các thiết lập cho an ninh c. Mở rộng chính sách của tài khoản d. Lựa chọn chính sách khóa tài khoản 3. Thiết lập "Account Lockout Threshold" = 3
4. Thiết lập hoặc làm mới "Account Lockout Duration" = 0
5. Thiết lập hoặc làm mới "Reset Account Lockout Counter After" = 99999 (69 ngày , là lớn nhất đối với chính sách thiết lập này)
Văn bản này thiết lập trong kế hoạch đảm bảo an toàn hệ thống . VKEY: V0015639 Mức độ nghiêm trọng: CAT 2 Chính sách: tất cả MAC/CONF: 1-CSP;2-CSP;3-CSP Điều khiển IA : ECLO kiểu kiểm tra: Ma nu al Mức độ CS DL :Fa lse Chịu trách nhiệm: DBA/S A
Khả năng tài liệu hóa: False
Tham chiếu: Database STIG 3.3.10
STIG yêu cầu: (DG0133: CAT II) DBA sẽ cấu hình DBMS để thiết lập thời hạn khóa tài khoản của CSDL là không giới hạn do đó các yêu cầu của DBA hướng dẫn để mở khóa các tài khoản
3.2.36.DG0140:An toàn dữ liệu truy cậpcho DBMS
Cách Cách khắc phục:
Xác định tất cả vị trí cho lưu trữ bảo mật của DBMS và cấu hình dữ liệu.Chấp nhận kiểm soát đối với truy cập đến bất kỳ dữ liệu bảo mật nào mà được hỗ trợ bởi DBMS.
Nếu kiểm soát kết quả truy cập đối với các tác động xấu không chấp nhận trên ứng dụng thực thi,thì quy về kiểm soát hợp lý và có thể chấp nhận được.
Document any incomplete audit with acceptance of the risk of incomplete audit in the System Security Plan.
Tư liệu cho bất kỳ kiểm soát không đầy đủ nào có thể chấp nhận nguy cơ kiểm soát không đầy đủ trong kế hoạch đảm bảo an toàn hệ thống .
VKEY: V0015643 Mức độ nghiêm trọng: CAT 2 Chính sách: tất cả MAC/CONF: 1- CSP;2-CSP;3-CSP Điều khiển IA : ECAR kiểu kiểm tr a: M an ua l Mức độ CS DL :Fa lse Chịu trách nhiệm: DBA
Khả năng tài liệu hóa: False
Tham chiếu: Database STIG 3.3.10
STIG yêu cầu: (DG0140: CAT II) DBA sẽ đảm bảo tất cả các truy cập đến file cấu hình của DBMS ,đến kiểm soát dữ liệu của CSDL,đến khả năng của CSDL hoặc bất kỳ thông tin bảo mật khác của DBMS được kiểm soát.
3.2.37.DG0141: DBMS access control bypass
Cách Cách khắc phục:
Chấp nhận mức độ kiểm soát . Đối với SQL Server 7 & 2000:
Từ SQL Server Enterprise Manager GUI:
1. Hướng đến tên khởi tạo của SQL Server 2. Kích chuột phải lên nó
3. Lựa chọn Properties
4. Lựa chọn Security tab or page 5. Xem mức độ của Security/Audit
6. Lựa chọn All hoặc Failure từ Audit Level selection 7. Áp dụng thay đổi
8. Thoát khỏi SQL Server Enterprise Manager GUI Đối với SQL Server 2005:
Từ SQL Server Management Studio GUI:
1. Hướng đến tên khởi tạo của SQL Server 2. Kích chuột phải lên nó
3. Lựa chọn Properties
4. Lựa chọn Security tab or page 5. Xem xét Login Auditing selection
6. Lựa chọn "Failed logins only" hoặc "Both failed and successful logins" từ Login Auditing section
7. Áp dụng thay đổi
VKEY: V0015644 Mức độ nghiêm trọng: CAT 2
Chính sách: tất cả MAC/CONF: 1- CSP;2-CSP;3-CSP Điều khiển IA :
ECAR kiểu kiểm tra : Au to Mức độ CS DL :Fa lse Chịu trách nhiệm: DBA
Khả năng tài liệu hóa: False
Tham chiếu: Database STIG 3.3.2
STIG yêu cầu: (DG0141: CAT II) DBA sẽ đảm bảo tất cả đăng nhập CSDL,như sự kiên khóa tài khoản,chặn hoặc vô hiệu hóa một tài khoản của CSDL hoặc kiểm soát vị trí nguồn đăng nhập , hoặc bất kỳ nỗ lực phá vỡ điều khoản truy cập.
3.2.38.DG0142: Kiểm soát hoạt động đặc quyền của DBMS
Cách Cách khắc phục: Đối với SQL Server 2005:
Ủy quyền và yêu cầu tài liệu cho việc sử dụng lựa chọn dấu vết mặc định của kế hoạch đảm bảo an toàn hệ thống và tài liệu kiến trúc chức năng của AIS.Ở đó không được ủy quyền,vô hiệu hóa các sử dụng của nó.
Từ dấu nhắc truy vấn :
EXEC SP_CONFIGURE 'show advanced options', 1 EXEC SP_CONFIGURE 'default trace enabled', 0 RECONFIGURE VKEY: V0015645 Mức độ nghiêm trọng: CAT 2 Chính sách: tất cả MAC/CONF: 1- CSP;2-CSP;3-CSP Điều khiển IA : ECLO kiểu kiểm tra :M an ual Mức độ CS DL :Fa lse Chịu trách nhiệm: DBA
Khả năng tài liệu hóa: False
Tham chiếu: Database STIG 3.3.2
STIG yêu cầu: (DG0142: CAT II) DBA sẽ đảm bảo các hành động đặc quyền của
DBMS và các thay đổi đến nhãn bảo mật hoặc dấu nhạy cảm
của dữ liệu trong DBMS sẽ được kiểm soát
3.2.39.DG0157: DBMS quản trị điều khiển từ xa
Cách Cách khắc phục :
Đối với SQL Server 7 & 2000:
Vô hiệu hóa chương trình quản lý điều khiển từ xa của DBMS không cần thiết.
Nơi điều khiển việc truy cập DBMS từ xa được yêu cầu phát triển, tài liệu và thực hiện các chính sách và thủ tục về việc sử dụng nó. Chỉ định các đặc quyền quản trị từ xa tới IAO được ủy quyền.
Tài liệu trong kế hoạch đảm bảo an toàn hệ thống Đối với SQL Server 2005:
Trong trường hợp kết nối truy cập từ xa admin là một phần của thiết kế và được chấp thuận sử dụng, các CDSL Sql Server yêu cầu trong kế hoạch đảm bảo an toàn hệ thống. Trong trường hợp kết nối truy cập từ xa admin không cần thiết sẽ được vô hiệu hóa.
Từ dấu nhắc truy vấn:
EXEC SP_CONFIGURE 'remote admin connections', 0 RECONFIGURE
VKEY: V0015651 Mức độ nghiêm trọng : CAT2 Chính sách: Tất cả
MAC/CONF: 1-CSP; 2-CSP; 3- CSP IA Control: EBRP Kiểu kiểm tra:
Manu al Mức độ CSDL: False Chịu trách nhiệm: DBA
Khả năng tài liệu hóa: False
Tham chiếu: Database STIG 3.4.2
yêu cầu STIG : (DG0157: CAT II) các DBA sẽ đảm bảo quản trị CSDL từ xa chưa được kích hoạt hoặc cấu hình trừ khi nhiệm vụ hoặc hoạt động sử dụng cần thiết và được ủy quyền bởi IAO.
3.2.40.DG0158: DBMS kiểm soát việc truy cập từ xa
Cách Cách khắc phục:
Phát triển tài liệu và thực hiện chính sách, thủ tục kiểm tra quả trị từ xa.
Cấu hình DBMS để cung cấp một quy trình kiểm tra cho việc truy cập từ xa. Bao gồm tất cả các hành động được thực hiện bởi người quản trị CSDL trong phiên họp từ xa.
VKEY: V0015652 Mức độ nghiêm trọng : CAT2 Chính sách: Tất cả
MAC/CONF: 1-CSP; 2-CSP; 3- CSP IA Control: EBRP Kiểu kiểm tra:
Manu al Mức độ CSDL: False Chịu trách nhiệm: DBA
Khả năng tài liệu hóa: False
Tham chiếu: Database STIG 3.4.2
yêu cầu STIG : (DG0158: CAT II) các DBA sẽ cấu hình kiểm tra tất cả các hành động thực hiện bởi các quản trị CSDL trong trong quá trình điều khiển từ xa.
3.2.41.DG0190: Truy cập và sử dụng giấy chứng nhận của hệ thống DBMS từ xa
Cách Cách khắc phục:
Cấp quyền truy cập đến các máy chủ liên kết cho người dùng có quyền hoặc chỉ các ứng dụng. Tài liệu được liên kết tới tất cả các máy chủ được phép truy cập vào bên trong Kế hoạch đảm bảo an toàn hệ thống.
VKEY: V0015154 Mức độ nghiêm trọng : CAT2 Chính sách: Tất cả
MAC/CONF: 1-CSP;
2-CSP; 3-CSP
IA Control: DCFA Kiểu kiểm tra:
Verify
Mức độ CSDL: False
Chịu trách nhiệm: DBA
Khả năng tài liệu hóa: True
Tham chiếu: Database STIG 3.1.4.1
Yêu cầu STIG : (DG0190: CAT II) DBA sẽ đảm bảo ủy nhiệm được sử dụng để truy cập CSDL từ xa hoặc các ứng dụng khác được hạn chế tới các tài khoản CSDL được phép và chỉ được sử dụng cho các nhiệm vụ and/or theo yêu cầu vận hành và mục đích của tài liệu
3.2.42.DG0194: DBMS Nhà phát triển đặc quyền giám sát dựa trên DBMS được chia sẻ.
Cách Cách khắc phục:
Phát triển, tài liệu và thực thi chính sách và các thủ tục để giám sát DBMS và máy chủ DBMS gán các quyền cho các nhà phát triển sản xuất và các hệ thống phát triển để phát hiện việc gán trái phép 3 tháng một lần hoặc thường xuyên hơn.
VKEY: V0015154 Mức độ nghiêm trọng : CAT2 Chính sách: Tất cả
MAC/CONF: 1-CSP; 2-CSP; 3-CSP IA Control: ECPC Kiểu kiểm tra:
Interview
Mức độ CSDL: False
Chịu trách nhiệm: IAO
Khả năng tài liệu hóa: False
Tham chiếu: Database STIG 3.3.15
Yêu cầu STIG : (DG0190: CAT II) IA0 sẽ xem xét các đặc quyền cấp cho nhà phát triển được cung cấp/phát triển các hệ thống CSDL mà cho phép sửa mã ứng dụng hoặc các đối tượng áp dụng 3 tháng một lần hoặc thường xuyên hơn
3.2.43.DG0195: Máy chủ DBMS phân quyền tệp tin gán cho các nhà phát triển.
Cách khắc phục:
Tạo sự tách biệt nhóm máy chủ vận hành hệ thống DBMS cho người phát triển và sản xuất của các DBA.
Không gán các tài khoản DBA cho nhóm hệ điều hành. Không gán các tài khoản phát triển của DBA cho các nhóm sản phẩm của hệ điều hành
Hủy bỏ bất kì tài khoản nào không được phép từ cả nhà sản xuất lẫn các nhóm phát triển hệ điều hành.
Tài liệu bên trong kế hoạch đảm bảo an toàn hệ thống.
VKEY: V0015109 Mức độ nghiêm trọng : CAT2 Chính sách: Tất cả
MAC/CONF: 1-CSP; 2-CSP; 3-CSP IA Control: ECPC Kiểu kiểm tra:
Interview
Mức độ CSDL: False
Chịu trách nhiệm: SA/DBA
Khả năng tài liệu hóa: False
Tham chiếu: Database STIG 3.3.15
Yêu cầu STIG : (DG0195: CAT II) SA/DBA sẽ đảm bảo nhà phát triển các tài khoản trên việc chia sẻ sản xuất/phát triển hệ thống máy chủ không được cấp quyền vận hành hệ thống để cung cấp các tệp tin, các thư mục hoặc các thành phần CSDL
3.2.44.DM0660: Tên thể hiện máy chủ MS SQL
Cách khắc phục:
Cho SQL Server 2000 & 2005:
Tên của một thể hiện không thể thay đổi ngay trên một thể hiện hiện hữu.
Một thể hiện mới có thể được tạo ra với một tên tuân thủ và các CSDL di chuyển. VKEY: V0002436 Mức độ nghiêm trọng : CAT2 Chính sách:
Tất cả
MAC/CONF: 1-CSP; 2-CSP; 3- CSP IA Control: ECAN Kiểu kiểm tra:
Verif y Mức độ CSDL: False Chịu trách nhiệm: DBA
Khả năng tài liệu hóa: False
Tham chiếu: Database STIG 3.3.1
yêu cầu STIG : (DG0123: CAT II) các DBA sẽ đảm bảo tất cả các ứng dụng truy cập vào dữ liệu nhạy cảm được lưu trữ trong CSDL, và trong các tập tin lưu trữ bên ngoài, chỉ được cấp cho các tài khoản CSDL và hệ điều hành các tài khoản phù hợp với chức năng người sử dụng theo quy định của chủ quản lý thông tin.
3.2.45.DM0520: Quyền người dùng cụm dịch vụ SQL Server
Cách khắc phục:
Tạo hoặc xác nhận một tài khoản miền đã tồn tại và được cấp tới nhóm dịch vụ SQL Server. Xem tài liệu trực truyến về SQL Server để biết thêm thông tin chi tiết
Cấp hoặc xác nhận tài khoản là một thành viên của nhóm quản trị cục bộ.
Cấp hoặc xác nhận các tài khoản miền có đặc quyền người dùng được liệt kê bên trong thủ tục kiểm tra.
Tài liệu bên trong kế hoạch đảm bảo an toàn hệ thống.
VKEY: V0003824 Mức độ nghiêm trọng : CAT2 Chính sách: Tất cả
MAC/CONF: 1-CSP; 2-CSP; 3-CSP IA Control: ECLP Kiểu kiểm tra:
Manual
Mức độ CSDL: False
Chịu trách nhiệm: SA/ DBA
Khả năng tài liệu hóa: False
Tham chiếu: Database STIG 3.3.11.1
Yêu cầu STIG : (DG0005: CAT II) SA/DBA sẽ đảm bảo quản trị CSDL các tài khoản được yêu cầu để vận hành và bảo trì các DBMS được cấp đặc quyền nhỏ nhất được yêu cầu bởi DBMS cụ thể để DBA thực hiện các chức năng.
3.2.46.DM0900: SQL và mail cơ sở dữ liệu sử dụng
Cách khắc phục:
Đảm bảo bạn đúng tài liệu SQL Mail, SQL Mail XPs and Database Mail XPs cấu hình ủy quyền hoặc sử dụng trong kế hoạch đảm bảo an toàn hệ thống.
Nếu không được chấp thuận bởi IAO và các ủy quyền cho việc sử dụng, vô hiệu hóa SQL Mail,
SQL Mail XPs and Database Mail XPs.
Đối với SQL Server 7 & 2000:
Từ giao diện SQL Server Enterprise Manager: 1. Chọn tên SQL
2. Mở Support Services
3. Kích chuột phải lên SQL Mail
4. Xóa tên của hồ sơ được liệt kê trong hộp hồ sơ. Đối với SQL Server 2005:
Từ dấu nhắc truy vấn:
EXEC SP_CONFIGURE 'show advanced options', 1 EXEC SP_CONFIGURE 'SQL Mail XPs', 0
RECONFIGURE Từ dấu nhắc truy vấn:
EXEC SP_CONFIGURE 'show advanced options', 1 EXEC SP_CONFIGURE 'Database Mail XPs', 0 RECONFIGURE
VKEY: V0003335 Mức độ nghiêm trọng : CAT2 Chính sách: Tất cả
MAC/CONF: 1-CSP; 2-CSP; 3- CSP IA Control: DCFA Kiểu kiểm tra:
Manu al Mức độ CSDL: False Chịu trách nhiệm: DBA
Khả năng tài liệu hóa: False
Tham chiếu: Database STIG 3.1.4.1
yêu cầu STIG : (DG0099: CAT II) các DBA sẽ vô hiệu hóa việc sử dụng các thủ tục bên ngoài CSDL, trừ khi các yêu cầu và nhiệm vụ trong tài liệu cấu trúc chức năng AIS.
3.2.47.DM0920: Nhóm các tùy chọn của hệ điều hành DBA
Cách khắc phục:
Gỡ bỏ nhóm hệ điều hành DBA và vai trò SYSADMIN từ các tài khoản không được xác thực trong kế hoạch đảm bảo an toàn hệ thống bởi IAO.
Xác thực quyền và tài liệu cho các tài khoản DBA trong kế hoạch đảm bảo an toàn hệ thống và gán vai trò tới SYSADMIN trước khi phân công và gán những đặc quyền tới nhóm thành viên DBA.
VKEY: V0003833 Mức độ nghiêm trọng : CAT2 Chính sách: Tất cả
MAC/CONF: 1-CSP; 2-CSP; 3- CSP IA Control: ECPA Kiểu kiểm tra:
Manu al
Mức độ CSDL:
False Chịu trách nhiệm: IAO
Khả năng tài liệu hóa: False
Tham chiếu: Database STIG 3.3.14
yêu cầu STIG : (DG0117: CAT II) các IAO sẽ đảm bảo tất cả các quyền quản trị CSDL được định nghĩa bên trong và bên ngoài DBMS tới CSDL được sử dụng DBMS hoặc các vai trò OS.
3.2.48.DM0921: Gán đặc quyền hệ điều hành cho DBA
Gỡ bỏ nhóm hệ điều hành DBA và vai trò SYSADMIN từ các tài khoản không được xác thực trong kế hoạch đảm bảo an toàn hệ thống bởi IAO.
Xác thực quyền và tài liệu cho các tài khoản DBA trong kế hoạch đảm bảo an toàn hệ thống và
gán vai trò tới SYSADMIN trước khi phân công và gán những đặc quyền tới nhóm thành viên
DBA.
VKEY: V0003833 Mức độ nghiêm trọng : CAT2 Chính sách: Tất cả
MAC/CONF: 1-CSP; 2-CSP; 3- CSP IA Control: ECPA Kiểu kiểm tra:
Manu al Mức độ CSDL: False Chịu trách nhiệm: IAO
Khả năng tài liệu hóa: False
Tham chiếu: Database STIG 3.3.14
yêu cầu STIG : (DG0117: CAT II) các IAO sẽ đảm bảo tất cả các quyền quản trị CSDL được định nghĩa bên trong và bên ngoài DBMS tới CSDL được sử dụng DBMS hoặc các vai trò OS.
3.2.49.DM0929: Đặc quyền tài khoản dịch vụ thích hợp
Cách khắc phục:
Đối với SQL Server 2005:
Tạo một tài khoản nội bộ tùy chọn cho các tài khoản dịch vụ hợp nhất. Một tên miền tài khoản có thể được sử dụng tài nguyên mạng. Xem SQL Server Books Online để biết thêm thông tin chi tiết.
Gán các tài khoản vào nhóm dịch vụ hợp nhất ( được tạo ra lúc cài đặt SQL Server 2005) nếu có. Gán các tài khoản dịch vụ hợp nhất hoặc nhóm các quyền của người sử dụng được liệt kê trong thủ tục kiểm tra.
VKEY: V0015134 Mức độ nghiêm trọng : CAT2 Chính sách: Tất cả
MAC/CONF: 1-CSP; 2-CSP; 3- CSP IA Control: DCFA Kiểu kiểm tra:
Manu al Mức độ CSDL: False Chịu trách nhiệm: SA / DBA
Khả năng tài liệu hóa: False
Tham chiếu: Database STIG 3.1.4.1
yêu cầu STIG : (DG0101: CAT II) các DBA sẽ đảm bảo sử dụng các tài khoản hệ điều hành
