13장 Securing DB Server (MS 18장) 2009.6 신수정
1. Threat & countermeasure
2. Methodology
3. Steps for securing your DB Server Step 1. Patches & Updates patch를 detect하고(MSBA 등의 툴) 업데이트 하라 (Window2000 및 SQL 서버 ) Step2. Services 불필요한 SQL 서비스의 disable 필요하지 않을 경우 DTC의 disable Step3. Protocol 불필요한 프로토콜의 제거 SQL 서버를 TCP/IP에 제한 TCP/IP Stack의 hardening
3. Steps for securing your DB Server Step 4. Accounts SQL 서버 서비스 계정의 안전케 함 사용하지 않은 계정의 제거 또는 disable Guest 계정의 disable 관리자 계정의 이름 바꿈 강한 패스워드 정책 원격 로그온 제한 Null session disable Step5. Files and directories SQL 서버 설치 디렉토리의 권한 확인 Everyone 그룹이 SQL서버 파일에 대해 permission을 가지지 않도록 확인 Tool, 유틸리티, SDK 들을 안전케하거나 제거 사용하지 않는 application의 제거 EFS를 이용하여 데이터 파일들을 암호화
3. Steps for securing your DB Server Step 6. Shares 불필요한 공유 제거 공유에 대한 접근 제한 Step7. Ports SQL 서버 포트에 대한 접근 제한 : 인터넷으로부터의 직접적인 접근 제한, IPSEC 적용 동일한 포트에 listen하는 named instance의 구성 필요할 경우 DTC 트래픽을 지원하도록 방화벽 구성 Step8. Registry SQL 서버 레지스트리 키에 대한 퍼미션 확인 – everyone그룹 제거 SAM의 secure Step9. Auditing and Logging 모든 실패 윈도우 로그온 시도의 로그 파일 시스템 간 실패 액션의 로그 SQL 서버 로그인 오디팅을 enable
3. Steps for securing your DB Server Step 10. SQL 서버 보안 SQL 서버 인증을 윈도우 only로 설정 SQL 서버 audit level을 Failure or All 로 설정 SQL 서버를 최소 권한 계정을 사용하여 구동 Step11. SQL 서버 로그인, 사용자, 역할 강한 시스템 관리자 패스워드 사용 SQL guest 사용자 계정 제거 BUULTIN Administrator 서버 로그인 제거 Public role에 대한 퍼미션 부여 금지 Sysadmin의 멤버 제한 Step12. SQL 서버 데이터베이스 오브젝트 Sample DB 제거 Stored procedure의 안전케 함 Extended Stored procedure의 안전케 함 Sysadmin role에 대한 cmdExec을 제한
4. Staying secure Perform regular backup Audit group membership Monitor audit logs Stay current with service packs and patches Perform security assessment Use security notification service
5. Remote Admin 관리자 계정수 의 제한 Tool의 제한 서버 관리를 위해 허가된 컴퓨터의 제한