dbSecure_NAME
Sichere Konfiguration für Oracle Database
racSecure_NAME
Sichere Konfiguration für Oracle Real Application Cluster
dbSecure_DESC
Stellt die Übereinstimmung mit optimalen Sicherheitskonfigurationseinstellungen sicher, die vor datenbankbezogenen Gefahren und Angriffen schützen und somit eine sicherere Betriebssystemumgebung für die Oracle-Datenbank gewährleisten.
dbSecure_SecurityKEYWORD
Sicherheit
PostInstallation_NAME
Post-Installation
PostInstallation_DESC
Enthält Regeln, die sicherstellen, dass die Standard-Accounts des Datenbank-Servers sicher sind. Am einfachsten kann eine Datenbank verletzt werden, indem ein Standard-Account des Datenbank-Servers geöffnet bleibt, der das Standardkennwort verwendet.
DefaultPwd_NAME
Standardkennwörter wurden geändert
DefaultPwd_DESC
Stellt sicher, dass die Standardkennwörter von administrativen Accounts geändert wurden.
DefaultPwd_RATIONALE
Die Sicherheit wird am einfachsten beeinträchtigt, wenn für einen Standard-Datenbankbenutzer-Account nach der Installation weiter das Standardkennwort benutzt wird. In einer Oracle-Umgebung weisen Sie administrativen Accounts sofort nach der erfolgreichen Installation des Datenbank-Servers starke, sichere Kennwörter zu.
DefaultPwd_FIX
Ändern Sie das Standardkennwort des administrativen Benutzers.
DefaultAccountLockedAndExpired_NAME
Standard-Accounts sind gesperrt und abgelaufen
DefaultAccountLockedAndExpired_DESC
Stellt sicher, dass die administrativen Standard-Accounts gesperrt und abgelaufen sind.
DefaultAccountLockedAndExpired_RATIONALE
Oracle Database wird mit vielen standardmäßigen (bestehenden) Datenbankbenutzer-Accounts geliefert. Nachdem eine Datenbankserverinstanz erfolgreich erstellt wurde, sollten die Standard-Datenbankbenutzer-Accounts gesperrt werden und ablaufen. Wenn sie in ihrem Standardstatus geöffnet bleiben, kann über diese Benutzer-Accounts unberechtigt Zugriff auf Daten erhalten werden oder können Datenbankvorgänge unterbrochen werden.
DefaultAccountLockedAndExpired_FIX
Sperren Sie den administrativen Standard-Account, und bestimmen Sie, dass er abgelaufen ist.
OracleDirAndFilePerms_NAME
Oracle Directory und Dateiberechtigungen
OracleDirAndFilePerms_DESC
Enthält Regeln, mit denen sichergestellt wird, dass die Berechtigungen auf den Verzeichnissen und Dateien, die Oracle-Software enthalten, ausreichend sind. Der Zugriff sollte beschränkt werden, sodass es für einen Betriebssystembenutzer schwieriger wird, die Datenbank anzugreifen.
OracleDirAndFilePermsU_NAME
Unix-Plattform
OracleDirAndFilePermsU_DESC
Enthält Regeln, mit denen sichergestellt wird, dass die Berechtigungen auf den Verzeichnissen und Dateien, die Oracle-Software enthalten, ausreichend sind.
AppropriateUMaskValue_NAME
Entsprechender umask-Wert
AppropriateUMaskValue_DESC
Stellt sicher, dass für den Eigentümer der Oracle-Software ein entsprechender umask-Wert von 022 festgelegt ist.
AppropriateUMaskValue_RATIONALE
Wenn der umask-Wert nicht auf einen entsprechenden Wert festgelegt ist, z.B. 022, kann allgemein auf Log- und/oder Trace-Dateien zugegriffen werden, die vertrauliche Informationen enthalten.
AppropriateUMaskValue_FIX
Legen Sie den umask-Wert auf 022 für den Eigentümer der Oracle-Software fest.
DbDatafilesU_NAME
Datenbankdatendateien
DbDatafilesU_DESC
Stellt sicher, dass der Zugriff zu den Datendateien auf den Eigentümer der Oracle-Software und die DBA-Gruppe beschränkt ist.
DbDatafilesU_RATIONALE
Der Zugriff zu Datendateien muss beschränkt werden, um versehentliche und/oder absichtliche nicht autorisierte Versuche zu verhindern, auf die Daten zuzugreifen oder diese zu ändern.
DbDatafilesU_FIX
Beschränken Sie die Berechtigungen zu den Datendateien auf den Eigentümer der Oracle-Software und die DBA-Gruppe. Erteilen Sie World keine Lese- und Schreibberechtigungen.
IFileU_NAME
IFILE-referenzierte Datei (IFILE)
IFileU_DESC
Stellt sicher, dass der Zugriff zu den Dateien, die von dem IFILE-Datenbankinitialisierungsparameter referenziert werden, auf den Eigentümer der Oracle-Software und die DBA-Gruppe beschränkt ist.
IFileU_RATIONALE
Der IFILE-Datenbankinitialisierungsparameter kann benutzt werden, um den Inhalt einer anderen Initialisierungsparameterdatei in der aktuellen Initialisierungsparameterdatei einzubetten. Der Zugriff auf eine Initialisierungsparameterdatei muss beschränkt werden, damit die Sicherheits-Policys der Datenbank nicht zugänglich sind und die Schwächen bei der Oracle-Datenbankkonfiguration nicht sichtbar werden.
IFileU_FIX
Beschränken Sie die Berechtigungen zu den Dateien, die von der IFILE-Initialisierungsparameterdatei referenziert werden, auf den Eigentümer der Oracle-Software und die DBA-Gruppe. Erteilen Sie World keine Lese- und Schreibberechtigungen.
AuditFileDestU_NAME
Audit-Dateiziel (AUDIT_FILE_DEST)
AuditFileDestU_DESC
Stellt sicher, dass der Zugriff zu dem Verzeichnis, das von dem AUDIT_FILE_DEST-Datenbankinitialisierungsparameter referenziert wird, auf den Eigentümer der Oracle-Software und die DBA-Gruppe beschränkt ist.
AuditFileDestU_RATIONALE
Der AUDIT_FILE_DEST-Datenbankinitialisierungsparameter gibt das Betriebssystemverzeichnis an, in das einige Audit-Daten geschrieben werden, unabhängig davon, ob das Datenbank-Auditing aktiviert wurde. Der Zugriff zu den Audit-Dateien muss beschränkt werden, damit keine vertraulichen Informationen zugänglich werden, wie z.B. Logging-Informationen im Zusammenhang mit dem Hoch- und Herunterfahren der Datenbank, sowie privilegierte Berechtigungen.
AuditFileDestU_FIX
Beschränken Sie die Berechtigungen zu dem Verzeichnis, das von dem AUDIT_FILE_DEST- Initialisierungsparameter referenziert wird, auf den Eigentümer der Oracle-Software und die DBA-Gruppe. Erteilen Sie World keine Lese- oder Schreibberechtigungen.
UserDumpDestU_NAME
Benutzer-Dump-Ziel (USER_DUMP_DEST)
UserDumpDestU_DESC
Stellt sicher, dass der Zugriff zu dem Verzeichnis, das von dem USER_DUMP_DEST-Datenbankinitialisierungsparameter referenziert wird, auf den Eigentümer der Oracle-Software und die DBA-Gruppe beschränkt ist.
UserDumpDestU_RATIONALE
Der USER_DUMP_DEST-Datenbankinitialisierungsparameter gibt das Verzeichnis an, in das der Server Debugging Trace-Dateien für einen Benutzerprozess schreibt. Der Zugriff zu diesen Debugging Trace-Dateien muss beschränkt werden, um zu verhindern, dass vertrauliche Informationen im Zusammenhang mit der Datenbank und den ausgeführten Anwendungen zugänglich werden.
UserDumpDestU_FIX
Beschränken Sie die Berechtigungen zu dem Verzeichnis, das von dem USER_DUMP_DEST- Initialisierungsparameter referenziert wird, auf den Eigentümer der Oracle-Software und die DBA-Gruppe. Erteilen Sie World keine Lese- oder Schreibberechtigungen.
BackgroundDumpDestU_NAME
Hintergrund-Dump-Ziel (BACKGROUND_DUMP_DEST)
BackgroundDumpDestU_DESC
Stellt sicher, dass der Zugriff zu dem Verzeichnis, das von dem BACKGROUND_DUMP_DEST-Datenbankinitialisierungsparameter referenziert wird, auf den Eigentümer der Oracle-Software und die DBA-Gruppe beschränkt ist.
BackgroundDumpDestU_RATIONALE
Der BACKGROUND_DUMP_DEST-Datenbankinitialisierungsparameter gibt das Verzeichnis an, in das der Server Debugging Tace-Dateien für die Hintergrundprozesse (LGWR, DBWn usw.) während Oracle-Vorgängen schreibt. Der Zugriff zu diesen Debugging Trace-Dateien muss beschränkt werden, um zu verhindern, dass vertrauliche Informationen über die Datenbank sowie die ausgeführten Anwendungen zugänglich werden.
BackgroundDumpDestU_FIX
Beschränken Sie die Berechtigungen zu dem Verzeichnis, das von dem BACKGROUND_DUMP_DEST- Initialisierungsparameter referenziert wird, auf den Eigentümer der Oracle-Software und die DBA-Gruppe. Erteilen Sie World keine Lese- oder Schreibberechtigungen.
CoreDumpDestU_NAME
Core Dump-Ziel (CORE_DUMP_DEST)
CoreDumpDestU_DESC
Stellt sicher, dass der Zugriff zu dem Verzeichnis, das von dem CORE_DUMP_DEST-Datenbankinitialisierungsparameter referenziert wird, auf den Eigentümer der Oracle-Software und die DBA-Gruppe beschränkt ist.
CoreDumpDestU_RATIONALE
Der CORE_DUMP_DEST-Datenbankinitialisierungsparameter gibt das Verzeichnis an, in das der Server Core Dump-Dateien schreibt. Der Zugriff zu diesen Core Dump-Dateien muss beschränkt werden, um zu verhindern, dass vertrauliche Informationen im Zusammenhang mit der Datenbank und den ausgeführten Anwendungen zugänglich werden.
CoreDumpDestU_FIX
Beschränken Sie die Berechtigungen zu dem Verzeichnis, das von dem CORE_DUMP_DEST- Initialisierungsparameter referenziert wird, auf den Eigentümer der Oracle-Software und die DBA-Gruppe. Erteilen Sie World keine Lese- oder Schreibberechtigungen.
ControlFilesU_NAME
Kontrolldateien (CONTROL_FILES)
ControlFilesU_DESC
Stellt sicher, dass der Zugriff zu dem Verzeichnis, das von dem CONTROL_FILES-Datenbankinitialisierungsparameter referenziert wird, auf den Eigentümer der Oracle-Software und die DBA-Gruppe beschränkt ist.
ControlFilesU_RATIONALE
Der Zugriff zu den Kontrolldateien muss beschränkt werden, um zu verhindern, dass vertrauliche Informationen über die Datenbank und deren Daten zugänglich werden.
ControlFilesU_FIX
Beschränken Sie die Berechtigungen zu den Dateien, die von dem CONTROL_FILES-Initialisierungsparameter referenziert werden, auf den Eigentümer der Oracle-Software und die DBA-Gruppe. Erteilen Sie World keine Lese- und Schreibberechtigungen.
OHExecutablesU_NAME
Ausführbare Dateien in Oracle-Standardverzeichnis
OHExecutablesU_DESC
Stellt sicher, dass der Zugriff zu den Dateien in dem Verzeichnis ORACLE_HOME/bin beschränkt ist.
OHExecutablesU_RATIONALE
Wenn Zugriffskontrollberechtigungen nicht streng genug sind, besteht die Möglichkeit der nicht autorisierten Nutzung und des versehentlichen oder absichtlichen Missbrauchs.
OHExecutablesU_FIX
Beschränken Sie den Zugriff zu allen Dateien in dem Verzeichnis ORACLE_HOME/bin auf den Eigentümer der Oracle-Software und die DBA-Gruppe. Erteilen Sie Gruppen oder World keine Schreibberechtigungen. Berechtigungen müssen also auf 0755 oder niedriger festgelegt werden.
OHNonExecutablesU_NAME
Nicht ausführbare Dateien in Oracle-Standardverzeichnis
OHNonExecutablesU_DESC
Stellt sicher, dass der Zugriff zu Dateien in den ORACLE_HOME-Verzeichnissen, mit Ausnahme von ORACLE_HOME/bin, beschränkt ist.
OHNonExecutablesU_RATIONALE
Der Zugriff zu diesen Dateien muss beschränkt werden. Wenn Zugriffskontrollberechtigungen nicht streng genug sind, besteht die Möglichkeit der nicht autorisierten Nutzung und des versehentlichen oder absichtlichen Missbrauchs.
OHNonExecutablesU_FIX
Beschränken Sie den Zugriff zu allen Dateien in den ORACLE_HOME-Verzeichnissen, mit Ausnahme von ORACLE_HOME/bin, auf den Eigentümer der Oracle-Software und die DBA-Gruppe. Erteilen Sie weder Schreibberechtigungen auf Gruppenbasis noch Lese-, Schreib- und Ausführungsberechtigungen auf World-Ebene (jeder Benutzer). Berechtigungen müssen also auf 0750 oder niedriger gesetzt werden.
OracleDirAndFilePermsW_NAME
Windows-Plattform
OracleDirAndFilePermsW_DESC
Enthält Regeln, mit denen sichergestellt wird, dass die Berechtigungen auf den Verzeichnissen und Dateien, die Oracle-Software enthalten, ausreichend sind.
DbDatafilesW_NAME
Datenbankdateien
DbDatafilesW_DESC
Stellt sicher, dass der Zugriff zu den Datendateien auf den Eigentümer der Oracle-Software beschränkt ist.
DbDatafilesW_RATIONALE
Der Zugriff zu Datendateien muss beschränkt werden, um versehentliche und/oder absichtliche nicht autorisierte Versuche zu verhindern, auf die Daten zuzugreifen oder diese zu ändern.
DbDatafilesW_FIX
Beschränken Sie die Datendateiberechtigungen auf den Eigentümer der Oracle-Software und die DBA-Gruppe. Erteilen Sie anderen Benutzern oder Benutzergruppen keine der folgenden Berechtigungen: DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD oder FULL.
IFileW_NAME
IFILE-referenzierte Datei (IFILE)
IFileW_DESC
Stellt sicher, dass der Zugriff zu den Dateien, die von dem IFILE-Datenbankinitialisierungsparameter referenziert werden, auf den Eigentümer dieser Oracle-Software beschränkt ist.
IFileW_RATIONALE
Der IFILE-Datenbankinitialisierungsparameter kann benutzt werden, um den Inhalt einer anderen Initialisierungsparameterdatei in der aktuellen Initialisierungsparameterdatei einzubetten. Der Zugriff auf eine Initialisierungsparameterdatei muss beschränkt werden, damit die Sicherheits-Policys der Datenbank nicht zugänglich sind und die Schwächen der Oracle-Datenbankkonfiguration nicht sichtbar werden.
IFileW_FIX
Beschränken Sie die Berechtigungen für die Dateien, die von dem IFILE-Initialisierungsparameter referenziert werden, auf den Eigentümer der Oracle-Software und die DBA-Gruppe. Erteilen Sie anderen Benutzern oder Benutzergruppen keine der folgenden Berechtigungen: DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD oder FULL.
AuditFileDestW_NAME
Audit-Dateiziel (AUDIT_FILE_DEST)
AuditFileDestW_DESC
Stellt sicher, dass der Zugriff zu dem Verzeichnis, das von dem AUDIT_FILE_DEST-Datenbankinitialisierungsparameter referenziert wird, auf den Eigentümer der Oracle-Software beschränkt ist.
AuditFileDestW_RATIONALE
Der AUDIT_FILE_DEST-Datenbankinitialisierungsparameter gibt das Betriebssystemverzeichnis an, in das der Audit-Trail geschrieben wird, wenn das Datenbank-Auditing aktiviert wurde. Der Zugriff auf die Audit-Dateien muss beschränkt werden, um zu verhindern, dass vertrauliche Informationen zugänglich werden, wie Logging-Informationen bezüglich Hoch- und Herunterfahren der Datenbank sowie privilegierte Verbindungen.
AuditFileDestW_FIX
Beschränken Sie die Berechtigungen auf das Verzeichnis, das von dem AUDIT_FILE_DEST-Initialisierungsparameter referenziert wird, auf den Eigentümer der Oracle-Software und die DBA-Gruppe. Erteilen Sie anderen Benutzern oder Benutzergruppen keine der folgenden Berechtigungen: DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD oder FULL.
UserDumpDestW_NAME
Benutzer-Dump-Ziel (USER_DUMP_DEST)
UserDumpDestW_DESC
Stellt sicher, dass der Zugriff zu dem Verzeichnis, das von dem USER_DUMP_DEST-Datenbankinitialisierungsparameter referenziert wird, auf den Eigentümer der Oracle-Software beschränkt ist.
UserDumpDestW_RATIONALE
Der USER_DUMP_DEST-Datenbankinitialisierungsparameter gibt das Verzeichnis an, in das der Server Debugging Trace-Dateien für einen Benutzerprozess schreibt. Der Zugriff zu diesen Debugging Trace-Dateien muss beschränkt werden, um zu verhindern, dass vertrauliche Informationen im Zusammenhang mit der Datenbank und den ausgeführten Anwendungen zugänglich werden.
UserDumpDestW_FIX
Beschränken Sie die Berechtigungen auf das Verzeichnis, das von dem USER_DUMP_DEST-Initialisierungsparameter referenziert wird, auf den Eigentümer der Oracle-Software und die DBA-Gruppe. Erteilen Sie anderen Benutzern oder Benutzergruppen keine der folgenden Berechtigungen: DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD oder FULL.
BackgroundDumpDestW_NAME
Hintergrund-Dump-Ziel (BACKGROUND_DUMP_DEST)
BackgroundDumpDestW_DESC
Stellt sicher, dass der Zugriff zu dem Verzeichnis, das von dem BACKGROUND_DUMP_DEST-Datenbankinitialisierungsparameter referenziert wird, auf den Eigentümer der Oracle-Software beschränkt ist.
BackgroundDumpDestW_RATIONALE
Der BACKGROUND_DUMP_DEST-Datenbankinitialisierungsparameter gibt das Verzeichnis an, in das der Server Debugging Tace-Dateien für die Hintergrundprozesse (LGWR, DBWn usw.) während Oracle-Vorgängen schreibt. Der Zugriff zu diesen Debugging Trace-Dateien muss beschränkt werden, um zu verhindern, dass vertrauliche Informationen über die Datenbank sowie die ausgeführten Anwendungen zugänglich werden.
BackgroundDumpDestW_FIX
Beschränken Sie die Berechtigungen auf das Verzeichnis, das von dem BACKGROUND_DUMP_DEST-Initialisierungsparameter referenziert wird, auf den Eigentümer der Oracle-Software und die DBA-Gruppe. Erteilen Sie anderen Benutzern oder Benutzergruppen keine der folgenden Berechtigungen: DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD oder FULL.
CoreDumpDestW_NAME
Core Dump-Ziel (CORE_DUMP_DEST)
CoreDumpDestW_DESC
Stellt sicher, dass der Zugriff zu dem Verzeichnis, das von dem CORE_DUMP_DEST-Datenbankinitialisierungsparameter referenziert wird, auf den Eigentümer der Oracle-Software beschränkt ist.
CoreDumpDestW_RATIONALE
Der CORE_DUMP_DEST-Datenbankinitialisierungsparameter gibt das Verzeichnis an, in das der Server Core Dump-Dateien schreibt. Der Zugriff zu diesen Core Dump-Dateien muss beschränkt werden, um zu verhindern, dass vertrauliche Informationen im Zusammenhang mit der Datenbank und den ausgeführten Anwendungen zugänglich werden.
CoreDumpDestW_FIX
Beschränken Sie die Berechtigungen auf das Verzeichnis, das von dem CORE_DUMP_DEST-Initialisierungsparameter referenziert wird, auf den Eigentümer der Oracle-Software und die DBA-Gruppe. Erteilen Sie anderen Benutzern oder Benutzergruppen keine der folgenden Berechtigungen: DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD oder FULL.
ControlFilesW_NAME
Kontrolldateien (CONTROL_FILES)
ControlFilesW_DESC
Stellt sicher, dass der Zugriff zu dem Verzeichnis, das von dem CONTROL_FILES-Datenbankinitialisierungsparameter referenziert wird, auf den Eigentümer der Oracle-Software beschränkt ist.
ControlFilesW_RATIONALE
Der Zugriff zu den Kontrolldateien muss beschränkt werden, um zu verhindern, dass vertrauliche Informationen über die Datenbank und deren Daten zugänglich werden.
ControlFilesW_FIX
Beschränken Sie die Berechtigungen für die Dateien, die von dem CONTROL_FILES-Initialisierungsparameter referenziert werden, auf den Eigentümer der Oracle-Software und die DBA-Gruppe. Erteilen Sie anderen Benutzern oder Benutzergruppen keine der folgenden Berechtigungen: DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD oder FULL.
OHExecutablesW_NAME
Ausführbare Dateien in Oracle-Standardverzeichnis
OHExecutablesW_DESC
Stellt sicher, dass der Zugriff zu den Dateien in dem Verzeichnis ORACLE_HOME/bin beschränkt ist.
OHExecutablesW_RATIONALE
Der Zugriff zu diesen ausführbaren Dateien muss beschränkt werden. Wenn Zugriffskontrollberechtigungen nicht streng genug sind, besteht die Möglichkeit der nicht autorisierten Nutzung und des versehentlichen oder absichtlichen Missbrauchs.
OHExecutablesW_FIX
Beschränken Sie den Zugriff zu allen Dateien in dem Verzeichnis ORACLE_HOME/bin auf den Eigentümer der Oracle-Software und die DBA-Gruppe. Erteilen Sie anderen Benutzern oder Benutzergruppen keine der folgenden Berechtigungen: DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD oder FULL.
OHNonExecutablesW_NAME
Nicht ausführbare Dateien in Oracle-Standardverzeichnis
OHNonExecutablesW_DESC
Stellt sicher, dass der Zugriff zu Dateien in den ORACLE_HOME-Verzeichnissen, mit Ausnahme von ORACLE_HOME/bin, beschränkt ist.
OHNonExecutablesW_RATIONALE
Der Zugriff zu diesen Dateien muss beschränkt werden. Wenn Zugriffskontrollberechtigungen nicht streng genug sind, besteht die Möglichkeit der nicht autorisierten Nutzung und des versehentlichen oder absichtlichen Missbrauchs.
OHNonExecutablesW_FIX
Beschränken Sie die Berechtigungen für alle Dateien in den ORACLE_HOME-Verzeichnissen, mit Ausnahme von ORACLE_HOME/bin, auf den Eigentümer der Oracle-Software und die DBA-Gruppe. Erteilen Sie anderen Benutzern oder Benutzergruppen keine der folgenden Berechtigungen: DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD oder FULL.
OHExecutablesOracleOwned_NAME
Ausführbare Dateien im Oracle-Standardverzeichnis, deren Eigentümer Oracle ist
OHExecutablesOracleOwned_DESC
Stellt sicher, dass das Eigentümerrecht aller Dateien in dem Verzeichnins ORACLE_HOME/bin identisch mit dem Eigentümer der Oracle-Software-Installation ist.
OHExecutablesOracleOwned_RATIONALE
Der Zugriff zu diesen ausführbaren Dateien muss beschränkt werden. Wenn Zugriffskontrollberechtigungen nicht streng genug sind, besteht die Möglichkeit der nicht autorisierten Nutzung und des versehentlichen oder absichtlichen Missbrauchs.
OHExecutablesOracleOwned_FIX
Ändern Sie den Eigentümer der Dateien in dem Verzeichnis ORACLE_HOME/bin so, dass er identisch mit dem Eigentümer der Oracle-Software-Installation ist.
OracleParamSettings_NAME
Oracle-Parametereinstellungen
OracleParamSettings_DESC
Enthält Regeln, mit denen sichergestellt wird, dass die Einstellungen der Datenbankinitialisierungsparameter sicher sind.
AccessToTraceFileDisabled_NAME
Zugriff zu Trace-Dateien deaktiviert (_TRACE_FILES_PUBLIC)
AccessToTraceFileDisabled_DESC
Stellt sicher, dass Datenbank-Trace-Dateien nicht von Benutzern gelesen werden können.
AccessToTraceFileDisabled_RATIONALE
Der Parameter _TRACE_FILES_PUBLIC gibt an, ob Debugging Trace-Dateien, die von Oracle in dem Verzeichnis generiert werden, das mit dem Parameter USER_DUMP_DEST angegeben wird, von jedem gelesen werden können. Der Zugriff zu diesen Debugging Trace-Dateien muss beschränkt werden, um zu verhindern, dass vertrauliche Informationen über die Datenbank sowie die ausgeführten Anwendungen zugänglich werden.
AccessToTraceFileDisabled_FIX
_TRACE_FILES_PUBLIC auf FALSE festlegen.
RemoteOSRolesDisabled_NAME
Remote-BS-Rollen deaktiviert (REMOTE_OS_ROLES)
RemoteOSRolesDisabled_DESC
Stellt sicher, dass Remote-BS-Rollen deaktiviert sind, d.h. die Datenbank wurde nicht zur Aktivierung von Rollen konfiguriert, die auf der Gruppenmitgliedschaft des Remote-Betriebssystembenutzers basieren.
RemoteOSRolesDisabled_RATIONALE
Der Parameter REMOTE_OS_ROLES gibt an, ob Betriebssystemrollen für Remote-Clients zulässig sind. Wenn sich Benutzer über Oracle Net bei der Datenbank anmelden und ihre Rollen nicht von Oracle authentifiziert sind, könnte der Remote-Benutzer die Identität eines anderen Betriebssystembenutzers über eine Netzwerkverbindung annehmen. Wenn eine Remote-Authentifizierung von Benutzern zugelassen wird, ist dies ein schlechtes Sicherheitsverhalten als solches. Wenn darüberhinaus noch die Möglichkeit besteht, dass Benutzer Betriebssystemrollen für diese Accounts annehmen, wird die Situation noch unsicherer.
RemoteOSRolesDisabled_FIX
Legen Sie REMOTE_OS_ROLES auf FALSE fest, um die server-basierte Authentifzierung von Clients durchzusetzen, die sich bei der Oracle-Datenbank anmelden.
RemoteOSAuthenticationDisabled_NAME
Remote-BS-Authentifizierung deaktiviert (REMOTE_OS_AUTHENT)
RemoteOSAuthenticationDisabled_DESC
Stellt sicher, dass die Remote-BS-Authentifizierung deaktiviert ist.
RemoteOSAuthenticationDisabled_RATIONALE
Wenn der Parameter REMOTE_OS_AUTHENT auf TRUE festgelegt wird, muss Oracle einen Client-Betriebssystembenutzernamen akzeptieren, der über eine nicht sichere Verbindung empfangen wird, und diesen für den Zugriff zu dem Account verwenden. Da Clients, wie z.B. PCs, eine Betriebssystemauthentifizierung nicht sicher ausführen können, sollte dieses Feature aus Sicherheitsgründen nicht aktiviert werden.
RemoteOSAuthenticationDisabled_FIX
Legen Sie REMOTE_OS_AUTHENT auf FALSE fest, um die server-basierte Authentifzierung von Clients durchzusetzen, die sich bei der Oracle-Datenbank anmelden.
RemoteLsnrInstancesDisabled_NAME
Benutzung von Remote Listener-Instanzen deaktiviert (REMOTE_LISTENER)
RemoteLsnrInstancesDisabled_DESC
Stellt sicher, dass die Benutzung von Listener-Instanzen auf einem Remote-Rechner separat von der Datenbankinstanz deaktiviert ist.
RemoteLsnrInstancesDisabled_RATIONALE
Mit dem Parameter REMOTE_LISTENER kann ein Listener auf einem Remote-Rechner auf die Datenbank zugreifen. Die Benutzung eines Listeners auf einem Remote-Rechner sollte vermieden werden.
RemoteLsnrInstancesDisabled_FIX
REMOTE_LISTENER muss auf "" (Null-Zeichenfolge) festgelegt werden. Dieser Parameter ist in einer Multi-Master-Replikations- oder RAC-Umgebung nicht anwendbar, in der diese Einstellung ein Lastausgleichsverfahren für den Listener bereitstellt.
DbAuditingEnabled_NAME
Datenbank-Auditing aktiviert (AUDIT_TRAIL)
DbAuditingEnabled_DESC
Stellt sicher, dass das Datenbank-Auditing aktiviert ist.
DbAuditingEnabled_RATIONALE
Der Parameter AUDIT_TRAIL aktiviert oder deaktiviert das Datenbank-Auditing. Das Auditing erfolgt immer im Zusammenhang mit Accountability und wird häufig benutzt, um die Vertraulichkeit von Informationen in Datenbanken zu schützen und zu gewährleisten. Mit dem Auditing können Systemadministratoren auch erweiterten Schutz, frühes Erkennen von verdächtigen Aktivititäten und optimierte Sicherheitslösungen implementieren.
DbAuditingEnabled_FIX
Legen Sie AUDIT_TRAIL auf DB, Default oder OS fest. In der Datenbank gespeicherte Auditdatensätze können einfacher überprüft und verwaltet werden als im Betriebssystem gespeicherte Auditdatensätze. In Betriebssystemdateien gespeicherte Auditdatensätze können jedoch von DBAs über entsprechende Dateiberechtigungen geschützt werden, und bleiben verfügbar, selbst wenn vorübergehend nicht auf die Datenbank zugegriffen werden kann.
DbAuditingEnabled_WARNING
Auch wenn das Auditing relativ günstig ist, sollten Sie die Anzahl von auditierten Ereignissen so weit wie möglich begrenzen. Dies verringert die Auswirkung auf die Performance bei der Ausführung von auditierten Anweisungen und die Größe des Audit-Trails, sodass dieser einfacher analysiert und verstanden werden kann.
SecureOSAuthenticationPrefix_NAME
Präfix für sichere BS-Authentifizierung (OS_AUTHENT_PREFIX)
SecureOSAuthenticationPrefix_DESC
Stellt sicher, dass das BS-Authentifizierungspräfix auf einen anderen Wert als OPS$ festgelegt ist
SecureOSAuthenticationPrefix_RATIONALE
Der Parameter OS_AUTHENT_PREFIX gibt ein Präfix an, mit dem Benutzer authentifiziert werden, die versuchen, sich bei dem Server anzumelden. Wenn eine Verbindungsanforderung versucht wird, vergleicht Oracle den mit einem Präfix versehenen Benutzernamen mit Benutzernamen in der Datenbank. Die Benutzung des Präfix OPS$ führt tendenziell zu einer unsicheren Konfiguration, weil ein Account als Betriebssystembenutzer oder mit dem Kennwort authentifiziert werden kann, das in der IDENTIFIED BY-Klausel benutzt wird. Angreifer wissen dies und greifen diese Accounts an.
SecureOSAuthenticationPrefix_FIX
Legen Sie OS_AUTHENT_PREFIX auf einen anderen Wert als OPS$ fest.
AccessToDataDictionaryProtected_NAME
Zugriff zu Data Dictionary geschützt (07_DICTIONARY_ACCESSIBILITY)
AccessToDataDictionaryProtected_DESC
Stellt sicher, dass der Data Dictionary-Schutz aktiviert ist.
AccessToDataDictionaryProtected_RATIONALE
Wenn 07_DICTIONARY_ACCESSIBILITY auf TRUE festgelegt wird, können Benutzer mit ANY-Systemberechtigungen auf das Data Dictionary zugreifen. Deshalb können diese Benutzer-Accounts für den nicht autorisierten Zugriff auf Daten verwendet werden. Stattdessen sollte das Data Dictionary so geschützt werden, dass nur die autorisierten Benutzer, die DBA-privilegierte Verbindungen herstellen, die ANY-Systemberechtigung für den Zugriff auf das Data Dictionary verwenden können.
AccessToDataDictionaryProtected_FIX
Legen Sie 07_DICTIONARY_ACCESSIBILITY auf FALSE fest. Wenn ein Benutzer den Anzeigen-Zugriff zu dem Data Dictionary benötigt, kann diesem Benutzer die Systemberechtigung SELECT ANY DICTIONARY erteilt werden.
AuditingSysOperationsEnabled_NAME
Auditing von SYS-Vorgängen aktiviert (AUDIT_SYS_OPERATIONS)
AuditingSysOperationsEnabled_DESC
Stellt sicher, dass Sessions für Benutzer, die sich als SYS anmelden, voll auditiert sind.
AuditingSysOperationsEnabled_RATIONALE
Der Parameter AUDIT_SYS_OPERATIONS aktiviert oder deaktiviert das Auditing von Vorgängen, die von dem Benutzer SYS und von Benutzern ausgegeben werden, die sich mit SYSDBA- oder SYSOPER-Berechtigungen anmelden. Da dies hoch privilegierte Benutzer sind, kann das Auditing besonders wichtig sein.
AuditingSysOperationsEnabled_FIX
AUDIT_SYS_OPERATIONS auf TRUE festlegen.
AuditingSysOperationsEnabled_WARNING
Einige Vorgänge (z.B. der Export) können wichtige Aktionen von privilegierten Benutzern beinhalten, die zu umfangreichen, nicht erforderlichen Audit-Daten führen. In diesen Fällen können Sie diesen Parameter auf FALSE festlegen, um eine Überlastung des SYSTEM Tablespaces zu vermeiden, der die Auditdatensätze enthält.
DbPwdProfileSettings_NAME
Einstellungen für Datenbankkennwortprofil
DbPwdProfileSettings_DESC
Enthält Regeln, mit denen sichergestellt wird, dass Datenbankprofileinstellungen richtig definiert sind. Die Oracle-Kennwortverwaltung wird über die Benutzung von Benutzerprofilen kontrolliert, die dann Datenbankbenutzern erteilt werden, sodass größere Kontrolle über die Datenbanksicherheit gewährleistet ist.
SecureFailedLoginAttemptsSetting_NAME
Einstellungen für nicht erfolgreiche sichere Anmeldeversuche
SecureFailedLoginAttemptsSetting_DESC
Stellt sicher, dass FAILED_LOGIN_ATTEMPTS für Profile auf eine vernünftige Anzahl von nicht erfolgreichen Versuchen festgelegt wird.
SecureFailedLoginAttemptsSetting_RATIONALE
Der Parameter FAILED_LOGIN_ATTEMPTS definiert die Anzahl von aufeinanderfolgenden, nicht erfolgreichen Anmeldeversuchen, bevor der Status eines Accounts in Gesperrt geändert wird. Dadurch wird verhindert, dass Angreifer versuchen, ein Kennwort für einen Account zu erraten. Wenn dieser Parameter auf einen ausreichend niedrigen Wert festgelegt wird, kann die Wirksamkeit von Kennwortangriffen auf die Datenbank eliminiert werden.
SecureFailedLoginAttemptsSetting_FIX
Legen Sie FAILED_LOGIN_ATTEMPTS auf einen Wert niedriger als oder gleich 10 fest.
SecurePwdLifeTimeSetting_NAME
Einstellungen für sichere Kennwort-Gültigkeitsdauer
SecurePwdLifeTimeSetting_DESC
Stellt sicher, dass PASSWORD_LIFE_TIME für alle Profile auf eine vernünftige Anzahl von Tagen festgelegt wird
SecurePwdLifeTimeSetting_RATIONALE
Der Parameter PASSWORD_LIFE_TIME definiert die maximale Gültigkeitsdauer für Kennwörter. Die regelmäßige Änderung von Kennwörtern wird unbedingt empfohlen, um die Gefahr zu verringern, dass ein Kennwort verletzt wird. Wenn dieser Parameter auf einen zu hohen Wert oder überhaupt nicht festgelegt wird, können alte Kennwörter verletzt werden und während längerer Zeit in Gebrauch bleiben.
SecurePwdLifeTimeSetting_FIX
Legen Sie PASSWORD_LIFE_TIME auf einen Wert von beispielsweise 180 Tagen fest. Auf diese Weise muss das Kennwort oft genug geändert werden, ohne dass Benutzer zu häufig neue Kennwörter auswählen müssen. Wenn der Wert zu niedrig ist, müssen Benutzer ihr Kennwort so oft ändern, dass sie irgendwann einfache Kennwörter wählen, um sich diese besser merken zu können.
SecurePwdLockTimeSetting_NAME
Einstellung für sichere Kennwort-Sperrfrist
SecurePwdLockTimeSetting_DESC
Stellt sicher, dass PASSWORD_LOCK_TIME auf eine vernünftige Anzahl von Tagen festgelegt wird.
SecurePwdLockTimeSetting_RATIONALE
Der Parameter PASSWORD_LOCK_TIME definiert die Anzahl von Tagen, die ein Account gesperrt bleibt, nachdem die maximale Anzahl von nicht erfolgreichen Anmeldeversuchen erreicht wurde. Durch Angabe eines hohen Wertes wird die Wahrscheinlichkeit von Denial of Service-Angriffen erhöht. Durch eine Angabe von null (0) werden wiederholte Versuche, das Kennwort zu erraten, gar nicht bestraft.
SecurePwdLockTimeSetting_FIX
Legen Sie PASSWORD_LOCK_TIME auf einen Wert größer als oder gleich 1 fest.
SecurePwdGraceTimeSetting_NAME
Einstellung für sichere Kennwort-Verlängerungsfrist
SecurePwdGraceTimeSetting_DESC
Stellt sicher, dass PASSWORD_GRACE_TIME für Profile auf eine vernünftige Anzahl von Tagen festgelegt wird.
SecurePwdGraceTimeSetting_RATIONALE
Mit dem Parameter PASSWORD_GRACE_TIME wird die Anzahl von Tagen nach Ablauf eines Kennwortes definiert, in denen der Benutzer das Kennwort nicht ändern muss. Während der Verlängerungsfrist wird der Benutzer bei jedem Versuch, auf die Accounts zuzugreifen, zur Angabe eines neuen Kennwortes aufgefordert, Wenn dieser Parameter auf einen zu hohen Wert festgelegt wird, kann der Kennwortablauf ignoriert werden.
SecurePwdGraceTimeSetting_FIX
Legen Sie PASSWORD_GRACE_TIME auf einen Wert kleiner als oder gleich 7 fest.
PwdComplexityCheckingEnabled_NAME
Prüfung der Kennwortkomplexität aktiviert
PwdComplexityCheckingEnabled_DESC
Stellt sicher, dass PASSWORD_VERIFY_FUNCTION für Profile definiert ist.
PwdComplexityCheckingEnabled_RATIONALE
Mit PASSWORD_VERIFY_FUNCTION wird die Funktion definiert, mit der die Stärke eines Kennwortes validiert wird. Durch Festlegung einer Funktion zur Validierung der Kennwortstärke kann sichergestellt werden, dass starke Kennwörter benutzt werden.
PwdComplexityCheckingEnabled_FIX
Geben Sie eine Kennwortüberprüfungsfunktion mit dem Parameter PASSWORD_VERIFY_FUNCTION an.
DbAccessSettings_NAME
Einstellungen für Datenbankzugriff
DbAccessSettings_DESC
Enthält Regeln, die die Datenbanksicherheit gewährleisten. Das heisst der Zugriff und die Benutzung der Datenbank auf Objektebene wird so beschränkt, dass Benutzern nur die Berechtigungen erteilt werden, die tatsächlich zur effizienten Ausführung der Jobs erforderlich sind.
Views_NAME
Views
Views_DESC
Enthält Regeln, mit denen sichergestellt wird, dass Berechtigungen auf Views eingeschränkt sind.
DBARoles_NAME
Eingeschränkter Zugriff zu DBA_ROLES
DBARoles_DESC
Stellt den eingeschränkten Zugriff zu DBA_ROLES sicher.
DBARoles_RATIONALE
DBA_ROLES enthält Details zu allen Rollen in der Datenbank. Die Kenntnis der Struktur von Rollen in der Datenbank kann von einem böswilligen Benutzer genutzt werden. Der Zugriff auf DBA_ROLES muss beschränkt werden.
DBARoles_FIX
Entziehen Sie allen Benutzern mit Ausnahme der SYS- oder DBA-Accounts die Zugriffsberechtigung zu DBA_ROLES.
DBASysPrivs_NAME
Eingeschränkter Zugriff zu DBA_SYS_PRIVS
DBASysPrivs_DESC
Stellt den eingeschränkten Zugriff zu DBA_SYS_PRIVS sicher.
DBASysPrivs_RATIONALE
Die View DBA_SYS_PRIVS enthält Details der Systemberechtigungen, die Rollen und Benutzern erteilt werden. Die Kenntnis von Systemberechtigungen kann von böswilligen Benutzern genutzt werden. Der Zugriff zu DBA_SYS_PRIVS muss beschränkt werden.
DBASysPrivs_FIX
Entziehen Sie allen Benutzern mit Ausnahme der SYS- oder DBA-Accounts die Zugriffsberechtigung zu DBA_SYS_PRIVS.
DBARolePrivs_NAME
Eingeschränkter Zugriff zu DBA_ROLE_PRIVS
DBARolePrivs_DESC
Stellt den eingeschränkten Zugriff zu DBA_ROLE_PRIVS sicher.
DBARolePrivs_RATIONALE
Die View DBA_ROLE_PRIVS enthält Details zu den Rollen, die Benutzern und anderen Rollen erteilt sind. Die Kenntnis der Struktur von Rollen in der Datenbank kann von einem böswilligen Benutzer genutzt werden. Der Zugriff zu DBA_ROLE_PRIVS muss beschränkt werden.
DBARolePrivs_FIX
Entziehen Sie allen Benutzern mit Ausnahme der SYS- oder DBA-Accounts die Zugriffsberechtigung zu DBA_ROLE_PRIVS.
DBATabPrivs_NAME
Eingeschränkter Zugriff zu DBA_TAB_PRIVS
DBATabPrivs_DESC
Stellt den eingeschränkten Zugriff zu DBA_TAB_PRIVS sicher.
DBATabPrivs_RATIONALE
Die View DBA_TAB_PRIVS enthält Details zu den Berechtigungen auf allen Objekten in der Datenbank. Die Kenntnis der Benutzer, die Objektberechtigungen in der Datenbank haben, kann von einem böswilligen Benutzer genutzt werden. Der Zugriff zu DBA_TAB_PRIVS muss beschränkt werden.
DBATabPrivs_FIX
Entziehen Sie allen Benutzern mit Ausnahme der SYS- oder DBA-Accounts die Zugriffsberechtigung zu DBA_TAB_PRIVS.
DBAUsers_NAME
Eingeschränkter Zugriff zu DBA_USERS
DBAUsers_DESC
Stellt den eingeschränkten Zugriff zu DBA_USERS sicher.
DBAUsers_RATIONALE
Die View DBA_USERS beschreibt alle Benutzer in der Datenbank, einschließlich Kennwort-Hashes und anderen Account-Informationen. Die Kenntnis dieser Informationen kann von einem böswilligen Benutzer genutzt werden. Der Zugriff zu DBA_USERS muss beschränkt werden.
DBAUsers_FIX
Entziehen Sie allen Benutzern mit Ausnahme der SYS- oder DBA-Accounts die Zugriffsberechtigung zu DBA_USERS.
Tables_NAME
Tabellen
Tables_DESC
Enthält Regeln, mit denen sichergestellt wird, dass Berechtigungen auf Tabellen eingeschränkt sind.
SYSAud_NAME
Eingeschränkter Zugriff zu SYS.AUD$
SYSAud_DESC
Stellt den eingeschränkten Zugriff zu SYS.AUD$ sicher.
SYSAud_RATIONALE
Wenn das Datenbank-Auditing aktiviert ist und ein Datenbank-Audit-Trail benutzt wird (AUDIT_TRAIL auf DB festgelegt), leitet die Datenbank Auditinformationen an eine einzelne Tabelle namens SYS.AUD$ weiter. Wenn ein Auditing auf eine verdächtige Datenbankaktivität erfolgt, muss der Audit-Trail geschützt werden, damit keine Auditinformationen ohne Auditierung hinzugefügt, geändert oder gelöscht werden können. Der Zugriff zu SYS.AUD$ muss beschränkt werden, um versehentliche und/oder absichtliche nicht autorisierte Versuche zu verhindern, auf diese Daten zuzugreifen oder sie zu ändern.
SYSAud_FIX
Entziehen Sie allen Benutzern mit Ausnahme der SYS- oder DBA-Accounts die Zugriffsberechtigung zu SYS.AUD$ .
SYSUserHistory_NAME
Eingeschränkter Zugriff zu SYS.USER_HISTORY$
SYSUserHistory_DESC
Stellt den eingeschränkten Zugriff zu SYS.USER_HISTORY$ sicher.
SYSUserHistory_RATIONALE
In der Tabelle SYS.USER_HISTORY$ werden gehashte Kennwörter gespeichert, die vorher von jedem Account benutzt wurden. Durch Zugriff auf diese Tabelle kann das bestehende Kennwort für einen Account einfacher von einem Datenbank-Hacker erraten werden. Der Zugriff auf SYS.USER_HISTORY$ muss beschränkt werden.
SYSUserHistory_FIX
Entziehen Sie allen Benutzern mit Ausnahme der SYS- oder DBA-Accounts die Zugriffsberechtigung zu SYS.USER_HISTORY$ .
SYSUser_NAME
Eingeschränkter Zugriff zu SYS.USER$
SYSUser_DESC
Stellt den eingeschränkten Zugriff zu SYS.USER$ sicher.
SYSUser_RATIONALE
In der Tabelle SYS.USER$ werden Benutzernamen, gehashte Kennwörter und andere Datenbank-Account-Informationen gespeichert. Durch Zugriff auf diese Tabelle kann die Datenbank einfacher angegriffen werden. Der Zugriff auf SYS.USER$ muss beschränkt werden.
SYSUser_FIX
Entziehen Sie allen Benutzern mit Ausnahme der SYS- oder DBA-Accounts die Zugriffsberechtigung zu SYS.USER$ .
SYSSource_NAME
Eingeschränkter Zugriff zu SYS.SOURCE$
SYSSource_DESC
Stellt den eingeschränkten Zugriff zu SYS.SOURCE$ sicher.
SYSSource_RATIONALE
In der Tabelle SYS.SOURCE$ wird der gesamte Quellcode gespeichert, der in der Datenbank gespeichert ist. Durch Zugriff auf diese Tabelle kann die Datenbank einfacher angegriffen werden. Der Zugriff zu SYS.SOURCE$ muss beschränkt werden.
SYSSource_FIX
Entziehen Sie allen Benutzern mit Ausnahme der SYS- oder DBA-Accounts die Zugriffsberechtigung zu SYS.SOURCE$.
PERFSTATStatsSqlText_NAME
Eingeschränkter Zugriff zu PERFSTAT.STATS$SQLTEXT
PERFSTATStatsSqlText_DESC
Stellt den eingeschränkten Zugriff zu PERFSTAT.STATS$SQLTEXT sicher.
PERFSTATStatsSqlText_RATIONALE
Die Tabelle PERFSTAT.STATS$SQLTEXT enthält den vollständigen Text für vorher ausgeführte SQL-Anweisungen. Durch den Zugriff auf diese Tabelle kann die Datenbank einfacher angegriffen werden. Der Zugriff zu PERFSTAT.STATS$SQLTEXT muss beschränkt werden.
PERFSTATStatsSqlText_FIX
Entziehen Sie allen Benutzern mit Ausnahme der SYS- oder DBA-Accounts die Zugriffsberechtigung zu PERFSTAT.STATS$SQLTEXT.
PERFSTATStatsSqlSummary_NAME
Eingeschränkter Zugriff zu PERFSTAT.STATS$SQL_SUMMARY
PERFSTATStatsSqlSummary_DESC
Stellt den eingeschränkten Zugriff zu PERFSTAT.STATS$SQL_SUMMARY sicher.
PERFSTATStatsSqlSummary_RATIONALE
Die Tabelle PERFSTAT.STATS$SQL_SUMMARY enthält die ersten Zeilen des SQL-Textes der ressourcen-intensivsten Befehle, die zuletzt ausgeführt wurden. Durch den Zugriff zu dieser Tabelle kann die Datenbank einfacher angegriffen werden. Der Zugriff zu PERFSTAT.STATS$SQL_SUMMARY muss beschränkt werden.
PERFSTATStatsSqlSummary_FIX
Entziehen Sie allen Benutzern mit Ausnahme der SYS- oder DBA-Accounts die Zugriffsberechtigung zu PERFSTAT.STATS$SQL_SUMMARY.
Packages_NAME
Packages
Packages_DESC
Enthält Regeln, mit denen sichergestellt wird, dass Berechtigungen auf Packages eingeschränkt sind,
UtlFile_NAME
Eingeschränkte Berechtigung zur Ausführung von UTL_FILE
UtlFile_DESC
Stellt sicher, dass Berechtigungen zur Ausführung des UTL_FILE Packages der PUBLIC-Rolle nicht erteilt wurden.
UtlFile_RATIONALE
Das Package UTL_FILE lässt zu, dass PL/SQL Dateien im Betriebssystem lesen und schreiben kann. Dieses Feature ist zwar sehr nützlich, kann jedoch auch benutzt werden, um in eine Datenbank einzubrechen, erweiterte Berechtigungen zu erhalten oder eine Datenbank zu beschädigen. Der Zugriff zu diesem effizienten Package über die PUBLIC-Rolle ist ein Sicherheitsrisiko, weil jeder Datenbankbenutzer Berechtigungen nutzen kann, die PUBLIC erteilt wurden. Der Zugriff zu diesem Package muss beschränkt werden.
UtlFile_FIX
Erteilen Sie nur den spezifischen Accounts, die das Package ausführen müssen, Berechtigungen zur Ausführung des Packages UTL_FILE.
UtlTcp_NAME
Eingeschränkte Berechtigung zur Ausführung von UTL_TCP
UtlTcp_DESC
Stellt sicher, dass Berechtigungen zur Ausführung des UTL_TCP Packages der PUBLIC-Rolle nicht erteilt wurden.
UtlTcp_RATIONALE
Mit dem Package UTL_TCP können ausgehende Netzwerkverbindungen von der Datenbank zu einem beliebigen Netzwerkempfangs-Service aufgebaut werden. Somit können beliebige Daten zwischen der Datenbank und einem wartenden Netzwerk-Service gesendet werden.
UtlTcp_FIX
Erteilen Sie nur den spezifischen Accounts, die das Package ausführen müssen, Berechtigungen zur Ausführung des Packages UTL_TCP.
UtlHttp_NAME
Eingeschränkte Berechtigung zur Ausführung von UTL_HTTP
UtlHttp_DESC
Stellt sicher, dass Berechtigungen zur Ausführung des UTL_HTTP Packages der PUBLIC-Rolle nicht erteilt wurden.
UtlHttp_RATIONALE
Mit dem Package UTL_HTTP können HTTP-Anforderungen und -Antworten aus PL/SQL gesendet werden. Wenn dieses Package PUBLIC erteilt wird, können HTML-Formulare möglicherweise Daten an eine böswillige Website senden.
UtlHttp_FIX
Erteilen Sie nur den spezifischen Accounts, die das Package ausführen müssen, Berechtigungen zur Ausführung des Packages UTL_HTTP.
UtlSmtp_NAME
Eingeschränkte Berechtigung zur Ausführung von UTL_SMTP
UtlSmtp_DESC
Stellt sicher, dass Berechtigungen zur Ausführung des UTL_SMTP Packages der PUBLIC-Rolle nicht erteilt wurden.
UtlSmtp_RATIONALE
Mit dem Package UTL_SMTP kann ein Datenbankbenutzer E-Mails mit PL/SQL senden oder empfangen. Wenn dieses Package PUBLIC erteilt wird, kann ein nicht autorisierter Austausch von Mail-Nachrichten zugelassen werden.
UtlSmtp_FIX
Erteilen Sie nur den spezifischen Accounts, die das Package ausführen müssen, Berechtigungen zur Ausführung des Packages UTL_SMTP.
DbmsJob_NAME
Eingeschränkte Berechtigung zur Ausführung von DBMS_JOB
DbmsJob_DESC
Stellt sicher, dass Berechtigungen zur Ausführung des DBMS_JOB Packages der PUBLIC-Rolle nicht erteilt wurden.
DbmsJob_RATIONALE
Mit dem Package DBMS_JOB können Benutzer die Ausführung von administrativen Prozeduren in regelmäßigen Abständen planen. Dies ist auch das Interface für die Job-Queue. Auch wenn dies kein ausdrückliches Sicherheitsrisiko darstellt, gibt es doch keinen vernünftigen Grund, dieses Package PUBLIC zu erteilen.
DbmsJob_FIX
Erteilen Sie nur den spezifischen Accounts, die das Package ausführen müssen, Berechtigungen zur Ausführung des Packages DBMS_JOB.
DbmsSysSql_NAME
Eingeschränkte Berechtigung zur Ausführung von DBMS_SYS_SQL
DbmsSysSql_DESC
Stellt sicher, dass Berechtigungen zur Ausführung des DBMS_SYS_SQL Packages der PUBLIC-Rolle nicht erteilt wurden.
DbmsSysSql_RATIONALE
Mit dem nicht dokumentierten DBMS_SYS_SQL Package können Benutzer PL/SQL und SQL als Eigentümer der Prozedur und nicht als aufrufender Benutzer ausführen. Der Zugriff zu diesem Package muss beschränkt werden.
DbmsSysSql_FIX
Erteilen Sie nur den spezifischen Accounts, die das Package ausführen müssen, Berechtigungen zur Ausführung des Packages DBMS_SYS_SQL.