dbSecure_NAME
Configuración Segura para Base de Datos Oracle
racSecure_NAME
Configuración Segura para Oracle Real Application Cluster
dbSecure_DESC
Asegura el cumplimiento de los valores de configuración de seguridad de la mejor práctica que ayuda a la protección contra las amenazas y ataques relacionados con la base de datos, proporcionando un entorno operativo más seguro para la base de datos Oracle.
dbSecure_SecurityKEYWORD
Seguridad
PostInstallation_NAME
Postinstalación
PostInstallation_DESC
Contiene reglas que garantizan la seguridad de las cuentas del servidor de la base de datos por defecto. El método más trivial mediante el cual una base de datos puede verse comprometida es tener una cuenta de servidor de base de datos abierta que utiliza la contraseña por defecto.
DefaultPwd_NAME
Se han cambiado las contraseñas por defecto
DefaultPwd_DESC
Asegura que se han cambiado las contraseñas de cuentas administrativas por defecto.
DefaultPwd_RATIONALE
La seguridad se puede interrumpir más fácilmente cuando una cuenta de usuario de la base de datos por defecto aún tiene una contraseña por defecto después de la instalación. En cualquier entorno de Oracle, asigne contraseñas fuertes y seguras para las cuentas administrativas inmediatamente después de la instalación del servidor de base de datos.
DefaultPwd_FIX
Cambie la contraseña por defecto del usuario administrativo.
DefaultAccountLockedAndExpired_NAME
Las cuentas por defecto están bloqueadas y han vencido
DefaultAccountLockedAndExpired_DESC
Asegura que las cuentas administrativas por defecto están bloqueadas y han vencido.
DefaultAccountLockedAndExpired_RATIONALE
Oracle Database se instala con muchas cuentas de usuario de base de datos (presentes) por defecto. Después de la correcta creación de la instancia del servidor de base de datos, las cuentas de usuario de la base de datos se deben bloquear y vencer. Abiertas en sus estados por defecto, estas cuentas de usuario se pueden explotar para obtener un acceso no autorizado a los datos o interrumpir las operaciones de la base de datos.
DefaultAccountLockedAndExpired_FIX
Bloquee y haga vencer la cuenta administrativa por defecto.
OracleDirAndFilePerms_NAME
Permisos de Archivo y Directorio de Oracle
OracleDirAndFilePerms_DESC
Contiene reglas que aseguran los permisos suficientes en los directorios y archivos que contienen el software de Oracle. Se debe restringir el acceso, haciéndolo más difícil para que un usuario del sistema operativo ataque la base de datos.
OracleDirAndFilePermsU_NAME
Plataforma Unix
OracleDirAndFilePermsU_DESC
Contiene reglas que aseguran los permisos suficientes en los directorios y archivos que contienen el software de Oracle.
AppropriateUMaskValue_NAME
Valor de umask Apropiado
AppropriateUMaskValue_DESC
Asegura que el propietario del software de Oracle tiene un valor de umask apropiado definido en 022.
AppropriateUMaskValue_RATIONALE
Si el valor de umask no está definido en un valor apropiado, como 022, los archivos de rastreo o archivos log se pueden volver accesibles mostrando así información confidencial.
AppropriateUMaskValue_FIX
Defina el valor de umask en 022 para el propietario del software de Oracle.
DbDatafilesU_NAME
Archivos de Datos de Base de Datos
DbDatafilesU_DESC
Asegura que el acceso a los archivos de datos está restringido al propietario del software de Oracle y al grupo del DBA.
DbDatafilesU_RATIONALE
El acceso a los archivos de datos se debe restringir para evitar intentos accidentales y/o intencionados no autorizados para acceder o modificar los datos.
DbDatafilesU_FIX
Restrinja los permisos para los archivos de datos al propietario del software de Oracle y al grupo del DBA. No otorgue permisos de lectura y escritura al público.
IFileU_NAME
Archivo de Referencia IFILE (IFILE)
IFileU_DESC
Asegura que el acceso a los archivos a los que hace referencia el parámetro de inicialización de la base de datos IFILE está restringido al propietario del software de Oracle y al grupo del DBA.
IFileU_RATIONALE
El parámetro de inicialización de la base de datos IFILE se puede utilizar para embeber el contenido de otro archivo de parámetros de inicialización en el archivo de parámetros de inicialización actual. El acceso a un archivo de parámetros de inicialización debe restringirse para evitar la exposición de las políticas de seguridad de la base de datos así como también los puntos débiles de la configuración de la base de datos Oracle.
IFileU_FIX
Restrinja los permisos para los archivos a los que hace referencia el archivo de parámetros de inicialización IFILE al propietario del software de Oracle y al grupo del DBA. No otorgue permisos de lectura o escritura al público.
AuditFileDestU_NAME
Destino de Archivo de Auditoría (AUDIT_FILE_DEST)
AuditFileDestU_DESC
Asegura que el acceso al directorio al que hace referencia el parámetro de inicialización de la base de datos AUDIT_FILE_DEST está restringido al propietario del software de Oracle y al grupo del DBA.
AuditFileDestU_RATIONALE
El parámetro de inicialización de la base de datos AUDIT_FILE_DEST especifica el directorio del sistema operativo en el que se escriben algunos datos de auditoría independientemente de si se ha activado la auditoría de la base de datos. El acceso a los archivos de auditoría se debe restringir para evitar la exposición de información confidencial como información de conexión relacionada con el inicio y cierre de la base de datos, así como conexiones privilegiadas.
AuditFileDestU_FIX
Restrinja los permisos para el directorio al que hace referencia el parámetro de inicialización AUDIT_FILE_DEST al propietario del software de Oracle y al grupo del DBA. No otorgue permisos de lectura o escritura al público.
UserDumpDestU_NAME
Destino de Volcado de Usuario (USER_DUMP_DEST)
UserDumpDestU_DESC
Asegura que el acceso al directorio al que hace referencia el parámetro de inicialización de la base de datos USER_DUMP_DEST está restringido al propietario del software de Oracle y al grupo del DBA.
UserDumpDestU_RATIONALE
El parámetro de inicialización de la base de datos USER_DUMP_DEST especifica el directorio en el que el servidor escribirá los archivos de rastreo de depuración en nombre de un proceso de usuario. El acceso a los archivos de rastreo de depuración se debe restringir para evitar la exposición de información confidencial sobre la base de datos así como de las aplicaciones que se ejecutan en ella.
UserDumpDestU_FIX
Restrinja los permisos para el directorio al que hace referencia el parámetro de inicialización USER_DUMP_DEST al propietario del software de Oracle y al grupo del DBA. No otorgue permisos de lectura o escritura al público.
BackgroundDumpDestU_NAME
Destino de Volcado de Segundo Plano (BACKGROUND_DUMP_DEST)
BackgroundDumpDestU_DESC
Asegura que el acceso al directorio al que hace referencia el parámetro de inicialización de la base de datos BACKGROUND_DUMP_DEST está restringido al propietario del software de Oracle y al grupo del DBA.
BackgroundDumpDestU_RATIONALE
El parámetro de inicialización de la base de datos BACKGROUND_DUMP_DEST especifica el directorio en el que el servidor escribirá los archivos de rastreo de depuración para los procesos en segundo plano (LGWR, DBWn, etc.) durante las operaciones de Oracle. El acceso a los archivos de rastreo de depuración se debe restringir para evitar la exposición de información confidencial sobre la base de datos así como de las aplicaciones que se ejecutan en ella.
BackgroundDumpDestU_FIX
Restrinja los permisos para el directorio al que hace referencia el parámetro de inicialización BACKGROUND_DUMP_DEST al propietario del software de Oracle y al grupo del DBA. No otorgue permisos de lectura o escritura al público.
CoreDumpDestU_NAME
Destino de Volcado de Memoria (CORE_DUMP_DEST)
CoreDumpDestU_DESC
Asegura que el acceso al directorio al que hace referencia el parámetro de inicialización de la base de datos CORE_DUMP_DEST está restringido al propietario del software de Oracle y al grupo del DBA.
CoreDumpDestU_RATIONALE
El parámetro de inicialización de la base de datos CORE_DUMP_DEST especifica el directorio en el que el servidor escribirá los archivos de volcado de la memoria. El acceso a los archivos de volcado de la memoria se debe restringir para evitar la exposición de información confidencial sobre la base de datos así como de las aplicaciones que se ejecutan en ella.
CoreDumpDestU_FIX
Restrinja los permisos para el directorio al que hace referencia el parámetro de inicialización CORE_DUMP_DEST al propietario del software de Oracle y al grupo del DBA. No otorgue permisos de lectura o escritura al público.
ControlFilesU_NAME
Archivos de Control (CONTROL_FILES)
ControlFilesU_DESC
Asegura que el acceso al directorio al que hace referencia el parámetro de inicialización de la base de datos CONTROL_FILES está restringido al propietario del software de Oracle y al grupo del DBA.
ControlFilesU_RATIONALE
El acceso a los archivos de control se debe restringir para evitar la exposición de información confidencial sobre la base de datos y de sus datos.
ControlFilesU_FIX
Restrinja los permisos para los archivos a los que hace referencia el archivo de parámetros de inicialización CONTROL_FILES al propietario del software de Oracle y al grupo del DBA. No otorgue permisos de lectura o escritura al público.
OHExecutablesU_NAME
Ejecutables del Directorio Raíz de Oracle
OHExecutablesU_DESC
Asegura que el acceso a los archivos del directorio ORACLE_HOME/bin está restringido.
OHExecutablesU_RATIONALE
Si los permisos de control son demasiado débiles, aparecen oportunidades de explotación no autorizadas como el mal uso accidental o intencionado.
OHExecutablesU_FIX
Restrinja los permisos para todos los archivos del directorio ORACLE_HOME/bin al propietario del software de Oracle y al grupo del DBA. No otorgue permisos de escritura al público o grupo. Es decir, los permisos se deben definir en 0755 o menos.
OHNonExecutablesU_NAME
No Ejecutables del Directorio Raíz de Oracle
OHNonExecutablesU_DESC
Asegura que el acceso a los archivos de los directorios ORACLE_HOME, excepto ORACLE_HOME/bin, está restringido.
OHNonExecutablesU_RATIONALE
El acceso a estos archivos se debe restringir. Si los permisos de control son demasiado débiles, aparecen oportunidades de explotación no autorizadas como también el mal uso accidental o intencionado.
OHNonExecutablesU_FIX
Restrinja los permisos para todos los archivos de los directorios ORACLE_HOME, excepto ORACLE_HOME/bin, para el propietario del software de Oracle y al grupo del DBA. No otorgue permisos de escritura al grupo ni permisos de escritura, lectura o ejecución al público. Es decir, los permisos se deben definir en 0750 o menos.
OracleDirAndFilePermsW_NAME
Plataforma Windows
OracleDirAndFilePermsW_DESC
Contiene reglas que aseguran los permisos suficientes en los directorios y archivos que contienen el software de Oracle.
DbDatafilesW_NAME
Archivos de Datos de Base de Datos
DbDatafilesW_DESC
Asegura que el acceso a los archivos de datos está restringido al propietario del software de Oracle.
DbDatafilesW_RATIONALE
El acceso a los archivos de datos se debe restringir para evitar intentos accidentales y/o intencionados no autorizados para acceder o modificar los datos.
DbDatafilesW_FIX
Restrinja los permisos para el archivo de datos del propietario del software de Oracle y al grupo del DBA. No otorgue los siguientes permisos a cualquier otro usuario o grupo de usuarios: DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD o FULL.
IFileW_NAME
Archivo de Referencia IFILE (IFILE)
IFileW_DESC
Asegura que el acceso a los archivos a los que hace referencia el parámetro de inicialización de la base de datos IFILE está restringido al propietario del software de Oracle.
IFileW_RATIONALE
El parámetro de inicialización de la base de datos IFILE se puede utilizar para embeber el contenido de otro archivo de parámetros de inicialización en el archivo de parámetros de inicialización actual. El acceso a un archivo de parámetros de inicialización debe restringirse para evitar la exposición de las políticas de seguridad de la base de datos así como también los puntos débiles de la configuración de la base de datos Oracle.
IFileW_FIX
Restrinja los permisos para los archivos a los que hace referencia el parámetro de inicialización IFILE al propietario del software de Oracle y al grupo del DBA. No otorgue ninguno de los siguientes permisos a cualquier otro usuario o grupo de usuarios: DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD o FULL.
AuditFileDestW_NAME
Destino de Archivo de Auditoría (AUDIT_FILE_DEST)
AuditFileDestW_DESC
Asegura que el acceso al directorio al que hace referencia el parámetro de inicialización de la base de datos AUDIT_FILE_DEST está restringido al propietario del software de Oracle.
AuditFileDestW_RATIONALE
El parámetro de inicialización de la base de datos AUDIT_FILE_DEST especifica el directorio del sistema operativo en el que se escribe la pista de auditoría cuando la auditoría de la base de datos se ha activado. El acceso a los archivos de auditoría se debe restringir para evitar la exposición de información confidencial como información de conexión relacionada con el inicio y cierre de la base de datos, así como conexiones privilegiadas.
AuditFileDestW_FIX
Restrinja los permisos para el directorio al que hace referencia el parámetro de inicialización AUDIT_FILE_DEST al propietario del software de Oracle y al grupo del DBA. No otorgue ninguno de los siguientes permisos a otro usuario o grupos de usuarios: DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD o FULL.
UserDumpDestW_NAME
Destino de Volcado de Usuario (USER_DUMP_DEST)
UserDumpDestW_DESC
Asegura que el acceso al directorio al que hace referencia el parámetro de inicialización de la base de datos USER_DUMP_DEST está restringido al propietario del software de Oracle.
UserDumpDestW_RATIONALE
El parámetro de inicialización de la base de datos USER_DUMP_DEST especifica el directorio en el que el servidor escribirá los archivos de rastreo de depuración en nombre de un proceso de usuario. El acceso a los archivos de rastreo de depuración se debe restringir para evitar la exposición de información confidencial sobre la base de datos así como de las aplicaciones que se ejecutan en ella.
UserDumpDestW_FIX
Restrinja los permisos para el directorio al que hace referencia el parámetro de inicialización USER_DUMP_DEST al propietario del software de Oracle y al grupo del DBA. No otorgue ninguno de los siguientes permisos a otro usuario o grupos de usuarios: DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD o FULL.
BackgroundDumpDestW_NAME
Destino de Volcado de Segundo Plano (BACKGROUND_DUMP_DEST)
BackgroundDumpDestW_DESC
Asegura que el acceso al directorio al que hace referencia el parámetro de inicialización de la base de datos BACKGROUND_DUMP_DEST está restringido al propietario del software de Oracle.
BackgroundDumpDestW_RATIONALE
El parámetro de inicialización de la base de datos BACKGROUND_DUMP_DEST especifica el directorio en el que el servidor escribirá los archivos de rastreo de depuración para los procesos en segundo plano (LGWR, DBWn, etc.) durante las operaciones de Oracle. El acceso a los archivos de rastreo de depuración se debe restringir para evitar la exposición de información confidencial sobre la base de datos así como de las aplicaciones que se ejecutan en ella.
BackgroundDumpDestW_FIX
Restrinja los permisos para el directorio al que hace referencia el parámetro de inicialización BACKGROUND_DUMP_DEST al propietario del software de Oracle y al grupo del DBA. No otorgue ninguno de los siguientes permisos a otro usuario o grupos de usuarios: DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD o FULL.
CoreDumpDestW_NAME
Destino de Volcado de Memoria (CORE_DUMP_DEST)
CoreDumpDestW_DESC
Asegura que el acceso al directorio al que hace referencia el parámetro de inicialización de la base de datos CORE_DUMP_DEST está restringido al propietario del software de Oracle.
CoreDumpDestW_RATIONALE
El parámetro de inicialización de la base de datos CORE_DUMP_DEST especifica el directorio en el que el servidor escribirá los archivos de volcado de la memoria. El acceso a los archivos de volcado de la memoria se debe restringir para evitar la exposición de información confidencial sobre la base de datos así como de las aplicaciones que se ejecutan en ella.
CoreDumpDestW_FIX
Restrinja los permisos para el directorio al que hace referencia el parámetro de inicialización CORE_DUMP_DEST al propietario del software de Oracle y al grupo del DBA. No otorgue ninguno de los siguientes permisos a otro usuario o grupos de usuarios: DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD o FULL.
ControlFilesW_NAME
Archivos de Control (CONTROL_FILES)
ControlFilesW_DESC
Asegura que el acceso al directorio al que hace referencia el parámetro de inicialización de la base de datos CONTROL_FILES está restringido al propietario del software de Oracle.
ControlFilesW_RATIONALE
El acceso a los archivos de control se debe restringir para evitar la exposición de información confidencial sobre la base de datos y de sus datos.
ControlFilesW_FIX
Restrinja los permisos para los archivos a los que hace referencia el parámetro de inicialización CONTROL_FILES al propietario del software de Oracle y al grupo del DBA. No otorgue ninguno de los siguientes permisos a cualquier otro usuario o grupo de usuarios: DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD o FULL.
OHExecutablesW_NAME
Ejecutables del Directorio Raíz de Oracle
OHExecutablesW_DESC
Asegura que el acceso a los archivos del directorio ORACLE_HOME/bin está restringido.
OHExecutablesW_RATIONALE
El acceso a estos ejecutables se debe restringir. Si los permisos de control son demasiado débiles, aparecen oportunidades de explotación no autorizadas así como el mal uso accidental o intencionado.
OHExecutablesW_FIX
Restrinja los permisos para todos los archivos del directorio ORACLE_HOME/bin al propietario del software de Oracle y al grupo del DBA. No otorgue ninguno de los siguientes permisos a otros usuarios o grupos de usuarios: DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD o FULL.
OHNonExecutablesW_NAME
No Ejecutables del Directorio Raíz de Oracle
OHNonExecutablesW_DESC
Asegura que el acceso a los archivos de los directorios ORACLE_HOME, excepto ORACLE_HOME/bin, está restringido.
OHNonExecutablesW_RATIONALE
El acceso a estos archivos se debe restringir. Si los permisos de control son demasiado débiles, aparecen oportunidades de explotación no autorizadas como también el mal uso accidental o intencionado.
OHNonExecutablesW_FIX
Restrinja los permisos para todos los archivos de los directorios ORACLE_HOME, excepto ORACLE_HOME/bin al propietario del software de Oracle y al grupo del DBA. No otorgue ninguno de los siguientes permisos a otros usuarios o grupos de usuarios: DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD o FULL.
OHExecutablesOracleOwned_NAME
Archivos Ejecutables del Directorio Raíz de Oracle Propiedad de Oracle
OHExecutablesOracleOwned_DESC
Asegura que el propietario de todos los archivos del directorio ORACLE_HOME/bin es el mismo que el propietario de la instalación del software de Oracle.
OHExecutablesOracleOwned_RATIONALE
El acceso a estos ejecutables se debe restringir. Si los permisos de control son demasiado débiles, aparecen oportunidades de explotación no autorizadas así como el mal uso accidental o intencionado.
OHExecutablesOracleOwned_FIX
Cambie el propietario de los archivos en el directorio ORACLE_HOME/bin para que sea el mismo que el propietario de la instalación del software de Oracle.
OracleParamSettings_NAME
Configuración de Parámetro de Oracle
OracleParamSettings_DESC
Contiene reglas que aseguran que los valores del parámetro de inicialización de la base de datos son seguros.
AccessToTraceFileDisabled_NAME
Acceso a los Archivos de Rastreo Desactivado (_TRACE_FILES_PUBLIC)
AccessToTraceFileDisabled_DESC
Asegura que los archivos de rastreo de la base de datos no son de lectura para los usuarios.
AccessToTraceFileDisabled_RATIONALE
El parámetro _TRACE_FILES_PUBLIC indica si los archivos de rastreo de depuración generados por Oracle en el directorio especificado por el parámetro USER_DUMP_DEST son de lectura para todos los usuarios. El acceso a estos archivos de rastreo de depuración debe estar restringido para evitar la exposición de la información confidencial sobre la base de datos así como de las aplicaciones que se ejecutan en ella.
AccessToTraceFileDisabled_FIX
Defina_TRACE_FILES_PUBLIC en FALSE.
RemoteOSRolesDisabled_NAME
Roles de Sistema Operativo Remoto Desactivados (REMOTE_OS_ROLES)
RemoteOSRolesDisabled_DESC
Asegura que los roles de sistema operativo remotos están desactivados; es decir, la base de datos no se ha configurado para activar roles basados en miembros del grupo de usuarios del sistema operativo remoto.
RemoteOSRolesDisabled_RATIONALE
El parámetro REMOTE_OS_ROLES especifica si los roles del sistema operativo se permiten para los clientes remotos. Si los usuarios se conectan a la base de datos mediante la Red de Oracle, y sus roles no están autenticados por Oracle, el usuario remoto podría conectarse como otro usuario del sistema operativo en una conexión de red. Si permite a los usuarios una autenticación remota estará realizando una mala práctica de seguridad. Si además les permite la capacidad de asumir roles del sistema operativo para estas cuentas hace que la situación sea aún más insegura.
RemoteOSRolesDisabled_FIX
Defina REMOTE_OS_ROLES en FALSE para ayudar a forzar la autenticación basada en el servidor de los clientes que se conectan a la base de datos Oracle.
RemoteOSAuthenticationDisabled_NAME
Autenticación de Sistema Operativo Remoto Desactivada (REMOTE_OS_AUTHENT)
RemoteOSAuthenticationDisabled_DESC
Asegura que la autenticación del sistema operativo remoto está desactivada.
RemoteOSAuthenticationDisabled_RATIONALE
La definición del parámetro REMOTE_OS_AUTHENT en TRUE fuerza a Oracle a aceptar el nombre de usuario del sistema operativo del cliente recibido en una conexión no segura y la utiliza para acceder a la cuenta. Debido a que algunos clientes, como las computadoras, no son fiables para realizar la autenticación del sistema operativo
correctamente, es una práctica de seguridad muy pobre la activación de esta función.
RemoteOSAuthenticationDisabled_FIX
Defina REMOTE_OS_AUTHENT en FALSE para ayudar a forzar la autenticación basada en el servidor de los clientes que se conectan a la base de datos Oracle.
RemoteLsnrInstancesDisabled_NAME
Uso de Instancias de Listener Remoto Desactivadas (REMOTE_LISTENER)
RemoteLsnrInstancesDisabled_DESC
Asegura que el uso de las instancias del listener en una máquina remota diferente de la instancia de la base de datos está desactivado.
RemoteLsnrInstancesDisabled_RATIONALE
El parámetro REMOTE_LISTENER se puede utilizar para permitir que el listener de una máquina remota acceda a la base de datos. Debe evitar el uso de un listener en una máquina remota.
RemoteLsnrInstancesDisabled_FIX
Defina REMOTE_LISTENER en "" (cadena nula). Tenga en cuenta que este parámetro no es aplicable en una replicación de varios maestros o entorno RAC donde este valor proporciona un mecanismo de equilibrio de carga para el listener.
DbAuditingEnabled_NAME
Auditoría de Base de Datos Activada (AUDIT_TRAIL)
DbAuditingEnabled_DESC
Asegura que la auditoría de la base de datos está activada
DbAuditingEnabled_RATIONALE
El parámetro AUDIT_TRAIL activa o desactiva la auditoría de base de datos. La auditoría siempre es sobre contabilidad, y frecuentemente se realiza para proteger y preservar la privacidad de la información almacenada en las bases de datos. La auditoría también permite a los administradores del sistema implantar protecciones mejoradas, una temprana detección de actividades sospechosas, y respuestas de seguridad bien ajustadas.
DbAuditingEnabled_FIX
Defina AUDIT_TRAIL en DB, por defecto, o bien OS. Los registros de auditoría almacenados en la base de datos se pueden revisar y gestionar con mayor facilidad que los registros de auditoría almacenados en el sistema operativo. Sin embargo, los registros de auditoría almacenados en los archivos del sistema operativo se pueden proteger del DBA mediante permisos de archivo apropiados, y permanecerán disponibles aún si la base de datos está temporalmente inaccesible.
DbAuditingEnabled_WARNING
Aunque la auditoría no supone un gran costo, limite el número de eventos auditados tanto como sea posible. Al realizar esto se reduce el impacto de rendimiento de la ejecución de las sentencias auditadas y del tamaño de la pista de auditoría, haciendo que sea más fácil de analizar y entender.
SecureOSAuthenticationPrefix_NAME
Prefijo de Autenticación de Sistema Operativo Seguro (OS_AUTHENT_PREFIX)
SecureOSAuthenticationPrefix_DESC
Asegura que el prefijo de autenticación del sistema operativo se defina como un valor distinto de OPS$.
SecureOSAuthenticationPrefix_RATIONALE
El parámetro OS_AUTHENT_PREFIX especifica un prefijo utilizado para autenticar a usuarios que intentan conectarse al servidor. Cuando se intenta una solicitud de conexión, Oracle compara el nombre de usuario utilizado de prefijo con los nombres de usuarios de la base de datos. El uso del prefijo OPS$ tiende a dar como resultado una configuración insegura porque una cuenta se puede autenticar como un usuario del sistema operativo o con la contraseña utilizada en la cláusula IDENTIFIED BY. Los usuarios lo saben y atacarán estas cuentas.
SecureOSAuthenticationPrefix_FIX
Defina OS_AUTHENT_PREFIX en un valor distinto de OPS$.
AccessToDataDictionaryProtected_NAME
Acceso a Diccionario de Datos Protegido (07_DICTIONARY_ACCESSIBILITY)
AccessToDataDictionaryProtected_DESC
Asegura que la protección del diccionario de datos está activada.
AccessToDataDictionaryProtected_RATIONALE
Al definir 07_DICTIONARY_ACCESSIBILITY en TRUE permite a los usuarios con privilegios del sistema ANY acceder al diccionario de datos. Como resultado, estas cuentas de usuario se pueden explotar para obtener acceso no autorizado a datos. En cambio, el diccionario de datos se debe proteger para que sólo esos usuarios autorizados que tienen conexiones de privilegios DBA puedan utilizar el privilegio ANY del sistema para acceder al diccionario de datos.
AccessToDataDictionaryProtected_FIX
Defina 07_DICTIONARY_ACCESSIBILITY en FALSE. Si un usuario necesita acceso de visualización al diccionario de datos, puede otorgar al usuario el privilegio de sistema SELECT ANY DICTIONARY.
AuditingSysOperationsEnabled_NAME
Auditoría de Operaciones de SYS Activada (AUDIT_SYS_OPERATIONS)
AuditingSysOperationsEnabled_DESC
Asegura que las sesiones para los usuarios que se conecten como SYS están completamente auditadas.
AuditingSysOperationsEnabled_RATIONALE
El parámetro AUDIT_SYS_OPERATIONS activa o desactiva la auditoría de las operaciones realizadas por el usuario SYS y usuarios que se conectan con privilegios SYSDBA o SYSOPER. Debido a que estos usuarios tienen muchos privilegios, la auditoría puede ser especialmente importante.
AuditingSysOperationsEnabled_FIX
Defina AUDIT_SYS_OPERATIONS en TRUE.
AuditingSysOperationsEnabled_WARNING
Algunas operaciones (p. ej. exportación) pueden implicar acciones importantes mediante usuarios con privilegios, resultando en datos de auditoría sustanciales innecesarios. Puede definir el parámetro en FALSE en estas situaciones para evitar una sobrecarga del tablespace SYSTEM, que contiene los registros de auditoría.
DbPwdProfileSettings_NAME
Valores de Perfil de Contraseña de Base de Datos
DbPwdProfileSettings_DESC
Contiene reglas que aseguran que los valores del perfil de la base de datos están correctamente definidos. La gestión de contraseñas de Oracle se controla mediante el uso de los perfiles de usuario que se asignan a los usuarios de la base de datos, permitiendo un mayor control de la seguridad de la base de datos.
SecureFailedLoginAttemptsSetting_NAME
Valor de Intentos de Conexión Fallidos Seguros
SecureFailedLoginAttemptsSetting_DESC
Asegura que los perfiles tienen FAILED_LOGIN_ATTEMPTS definido en un número razonable de intentos fallidos.
SecureFailedLoginAttemptsSetting_RATIONALE
El parámetro FAILED_LOGIN_ATTEMPTS define el número de intentos fallidos de conexión sucesivos que se pueden realizar antes de que el estado de la cuenta cambie a bloqueado. Es una protección contra los usuarios que intentan adivinar la contraseña de una cuenta. Si este parámetro es demasiado bajo, la eficacia de los ataques de contraseña en la base de datos se puede eliminar.
SecureFailedLoginAttemptsSetting_FIX
Defina FAILED_LOGIN_ATTEMPTS en un valor menor o igual que 10.
SecurePwdLifeTimeSetting_NAME
Valor de Duración de Contraseña Segura
SecurePwdLifeTimeSetting_DESC
Asegura que los perfiles tienen PASSWORD_LIFE_TIME definido en un número de días razonable.
SecurePwdLifeTimeSetting_RATIONALE
El parámetro PASSWORD_LIFE_TIME define la duración máxima de las contraseñas. El cambio de las contraseñas de forma regular es una práctica de seguridad aceptada para mitigar la amenaza que pueda haber comprometido la contraseña. Si este parámetro se define demasiado alto o no se define, las contraseñas antiguas se pueden comprometer y permanecer en uso durante un período prolongado.
SecurePwdLifeTimeSetting_FIX
Defina PASSWORD_LIFE_TIME en un valor como 180 días. De esta forma, hace necesario que la contraseña se cambie con la suficiente frecuencia sin sobrecargar a los usuarios que tienen que seleccionar nuevas contraseñas frecuentemente. Si se define demasiado bajo, el usuario está forzado a actualizar la contraseña con más frecuencia que la necesaria y seleccionará contraseñas de baja calidad para poder recordarlas.
SecurePwdLockTimeSetting_NAME
Valor de Hora de Bloqueo de Contraseña Segura
SecurePwdLockTimeSetting_DESC
Asegura que los perfiles tienen PASSWORD_LOCK_TIME definido en un número de días razonable.
SecurePwdLockTimeSetting_RATIONALE
El parámetro PASSWORD_LOCK_TIME define el número de días que una cuenta puede permanecer bloqueada después de que se ha alcanzado el número máximo de intentos fallidos. La especificación de un valor elevado incrementa la posibilidad de ataque de denegación de servicio. La especificación de un valor cero (0) elimina cualquier penalización en cuanto a opciones de contraseña errónea repetidas.
SecurePwdLockTimeSetting_FIX
Defina PASSWORD_LOCK_TIME en un valor mayor o igual que 1.
SecurePwdGraceTimeSetting_NAME
Valor de Tiempo de Gracia de Contraseña Segura
SecurePwdGraceTimeSetting_DESC
Asegura que los perfiles tienen PASSWORD_GRACE_TIME definido en un número de días razonable.
SecurePwdGraceTimeSetting_RATIONALE
El parámetro PASSWORD_GRACE_TIME define el número de días después de que vence la contraseña sin que el usuario necesite cambiarla. Durante el período de gracia, se le solicitará al usuario una nueva contraseña cada vez que intente acceder a sus cuentas. Si este parámetro es demasiado alto, se puede ignorar el vencimiento de la contraseña.
SecurePwdGraceTimeSetting_FIX
Defina PASSWORD_GRACE_TIME en un valor menor o igual que 7.
PwdComplexityCheckingEnabled_NAME
Comprobación de Complejidad de Contraseña Activada
PwdComplexityCheckingEnabled_DESC
Asegura que los perfiles tiene definido PASSWORD_VERIFY_FUNCTION.
PwdComplexityCheckingEnabled_RATIONALE
PASSWORD_VERIFY_FUNCTION define la función que será utilizada para validar la potencia de la contraseña. Al definir una función para validar la potencia de la contraseña, puede asegurarse de que se están utilizando contraseñas complejas.
PwdComplexityCheckingEnabled_FIX
Especifique una función de verificación de contraseña, utilizando el parámetro PASSWORD_VERIFY_FUNCTION.
DbAccessSettings_NAME
Valores de Acceso a Base de Datos
DbAccessSettings_DESC
Contiene reglas que verifican la seguridad de los datos. Es decir, el acceso y uso de la base de datos a nivel de objeto está restringido de tal manera que a los usuarios sólo se le otorgan aquellos privilegios que en realidad se necesitan para la realización correcta de su trabajo.
Views_NAME
Vistas
Views_DESC
Contiene reglas que aseguran que los privilegios de las vistas están restringidos.
DBARoles_NAME
Acceso Restringido a DBA_ROLES
DBARoles_DESC
Asegura el acceso restringido a DBA_ROLES.
DBARoles_RATIONALE
La vista DBA_ROLES contiene detalles de todos los roles de la base de datos. Un usuario no autorizado puede aprovechar el conocimiento de la estructura de roles en la base de datos. El acceso a DBA_ROLES se debe restringir.
DBARoles_FIX
Revoque el acceso a DBA_ROLES de todos los usuarios de cuentas distintas a SYS o DBA.
DBASysPrivs_NAME
Acceso Restringido a DBA_SYS_PRIVS
DBASysPrivs_DESC
Asegura el acceso restringido a DBA_SYS_PRIVS.
DBASysPrivs_RATIONALE
La vista DBA_SYS_PRIVS contiene detalles de los privilegios del sistema otorgados a roles y usuarios. El conocimiento de los privilegios de sistema puede ser ventajoso para un usuario no autorizado. El acceso a DBA_SYS_PRIVS se debe restringir.
DBASysPrivs_FIX
Revoque el acceso a DBA_SYS_PRIVS de todos los usuarios de cuentas distintas a SYS o DBA.
DBARolePrivs_NAME
Acceso Restringido a DBA_ROLE_PRIVS
DBARolePrivs_DESC
Asegura el acceso restringido a DBA_ROLE_PRIVS.
DBARolePrivs_RATIONALE
La vista DBA_ROLE_PRIVS contiene detalles de todos los roles otorgados a usuarios y otros roles. El conocimiento de la estructura de los roles en la base de datos puede ser ventajoso para un usuario no autorizado. El acceso a DBA_ROLE_PRIVS se debe restringir.
DBARolePrivs_FIX
Revoque el acceso a DBA_ROLE_PRIVS de todos los usuarios de cuentas distintas a SYS o DBA.
DBATabPrivs_NAME
Acceso Restringido a DBA_TAB_PRIVS
DBATabPrivs_DESC
Asegura el acceso restringido a DBA_TAB_PRIVS.
DBATabPrivs_RATIONALE
La vista DBA_TAB_PRIVS contiene detalles de todos los permisos otorgados a todos los objetos de la base de datos. El conocimiento del usuario a quien se le otorgan los privilegios de objeto en la base de datos puede ser ventajoso para un usuario no autorizado. El acceso a DBA_TAB_PRIVS se debe restringir.
DBATabPrivs_FIX
Revoque el acceso a DBA_TAB_PRIVS de todos los usuarios de cuentas distintas a SYS o DBA.
DBAUsers_NAME
Acceso Restringido a DBA_USERS
DBAUsers_DESC
Asegura el acceso restringido a DBA_USERS.
DBAUsers_RATIONALE
La vista DBA_USERS describe todos los usuarios en la base de datos que incluyen comprobaciones aleatorias de contraseña y otra información de cuenta. El conocimiento de este tipo de información puede ser ventajoso para un usuario no autorizado. El acceso a DBA_USERS se debe restringir.
DBAUsers_FIX
Revoque el acceso a DBA_USERS de todos los usuarios de cuentas distintas a SYS o DBA.
Tables_NAME
Tablas
Tables_DESC
Contiene reglas que aseguran que los privilegios de las tablas están restringidos.
SYSAud_NAME
Acceso Restringido a SYS.AUD$
SYSAud_DESC
Asegura el acceso restringido a SYS.AUD$.
SYSAud_RATIONALE
Cuando la auditoría de la base de datos está activada y se está utilizando una pista de auditoría de la base de datos (AUDIT_TRAIL definida en DB), la base de datos dirige los registros de auditoría a una tabla simple denominada SYS.AUD$. Cuando se realiza la auditoría por una actividad sospechosa de la base de datos, la pista de auditoría se debe proteger de manera que la información de la auditoría no se pueda agregar, cambiar o suprimir sin ser auditada. El acceso a SYS.AUD$ se debe restringir para evitar intentos no autorizados accidentales y/o intencionados para acceder o modificar los datos.
SYSAud_FIX
Revoque el acceso a SYS.AUD$ de todos los usuarios de cuentas distintas a SYS o DBA.
SYSUserHistory_NAME
Acceso Restringido a SYS.USER_HISTORY$
SYSUserHistory_DESC
Asegura el acceso restringido a SYS.USER_HISTORY$.
SYSUserHistory_RATIONALE
La tabla SYS.USER_HISTORY$ almacena las contraseñas comprobadas aleatoriamente utilizadas previamente en cada cuenta. El acceso a esta tabla puede hacer más fácil descubrir la contraseña existente de la cuenta por parte de piratas informáticos en la base de datos. El acceso a SYS.USER_HISTORY$ se debe restringir.
SYSUserHistory_FIX
Revoque el acceso a SYS.USER_HISTORY$ de todos los usuarios de cuentas distintas a SYS o DBA.
SYSUser_NAME
Acceso Restringido a SYS.USER$
SYSUser_DESC
Asegura el acceso restringido a SYS.USER$.
SYSUser_RATIONALE
La tabla SYS.USER$ almacena nombres de usuario, contraseñas comprobadas aleatoriamente y otra información de cuenta de la base de datos. El acceso a esta tabla puede hacer más fácil la piratería informática de la base de datos. El acceso a SYS.USER$ se debe restringir.
SYSUser_FIX
Revoque el acceso a SYS.USER$ de todos los usuarios de cuentas distintas a SYS o DBA.
SYSSource_NAME
Acceso Restringido a SYS.SOURCE$
SYSSource_DESC
Asegura el acceso restringido a SYS.SOURCE$.
SYSSource_RATIONALE
La tabla SYS.SOURCE$ almacena todo el código fuente almacenado en la base de datos. El acceso a esta tabla puede hacer más fácil la piratería informática de la base de datos. El acceso a SYS.SOURCE$ se debe restringir.
SYSSource_FIX
Revoque el acceso a SYS.SOURCE$ de todos los usuarios de cuentas distintas a SYS o DBA.
PERFSTATStatsSqlText_NAME
Acceso Restringido a PERFSTAT.STATS$SQLTEXT
PERFSTATStatsSqlText_DESC
Asegura el acceso restringido a PERFSTAT.STATS$SQLTEXT.
PERFSTATStatsSqlText_RATIONALE
La tabla PERFSTAT.STATS$SQLTEXT proporciona un texto completo de los estados SQL recientemente ejecutados. El acceso a esta tabla puede hacer más fácil la piratería informática de la base de datos. El acceso a PERFSTAT.STATS$SQLTEXT se debe restringir.
PERFSTATStatsSqlText_FIX
Revoque el acceso a PERFSTAT.STATS$SQLTEXT de todos los usuarios de cuentas distintas a SYS o DBA.
PERFSTATStatsSqlSummary_NAME
Acceso Restringido a PERFSTAT.STATS$SQL_SUMMARY
PERFSTATStatsSqlSummary_DESC
Asegura el acceso restringido a PERFSTAT.STATS$SQL_SUMMARY.
PERFSTATStatsSqlSummary_RATIONALE
La tabla PERFSTAT.STATS$SQL_SUMMARY contiene las primeras líneas del texto SQL de la mayoría de los comandos de muchos recursos recientemente ejecutados. El acceso a esta tabla puede hacer más fácil la piratería informática de la base de datos. El acceso a PERFSTAT.STATS$SQL_SUMMARY se debe restringir.
PERFSTATStatsSqlSummary_FIX
Revoque el acceso a PERFSTAT.STATS$SQL_SUMMARY de todos los usuarios de cuentas distintas a SYS o DBA.
Packages_NAME
Paquetes
Packages_DESC
Contiene reglas que aseguran que los privilegios de los paquetes están restringidos.
UtlFile_NAME
Privilegio Restringido para Ejecutar UTL_FILE
UtlFile_DESC
Asegura que el permiso para ejecutar el paquete UTL_FILE no se ha
otorgado al rol PUBLIC.
UtlFile_RATIONALE
El paquete UTL_FILE permite que PL/SQL lea los archivos del sistema operativo y escriba en ellos. Esta función a pesar de ser útil, también puede utilizarse para irrumpir en la base de datos, obtener privilegios importantes o corromper una base de datos. Acceder a este paquete con poder absoluto mediante el rol PUBLIC es un riesgo de seguridad debido a que cualquier usuario de la base de datos puede ejercitar privilegios otorgados como PUBLIC. El acceso a este paquete se debe restringir.
UtlFile_FIX
Otorgue privilegios para ejecutar el paquete UTL_FILE sólo a aquellas cuentas específicas que necesitan ejecutar el paquete.
UtlTcp_NAME
Privilegio Restringido para Ejecutar UTL_TCP
UtlTcp_DESC
Asegura que el permiso para ejecutar el paquete UTL_TCP no se ha otorgado al rol PUBLIC.
UtlTcp_RATIONALE
El paquete UTL_TCP permite establecer conexiones de red salientes por parte de la base de datos a cualquier servicio de red de recepción. Así, se pueden enviar datos arbitrarios entre la base de datos y cualquier servicio de red en espera.
UtlTcp_FIX
Otorgue privilegios para ejecutar el paquete UTL_TCP sólo a aquellas cuentas específicas que necesitan ejecutar el paquete.
UtlHttp_NAME
Privilegio Restringido para Ejecutar UTL_HTTP
UtlHttp_DESC
Asegura que el permiso para ejecutar el paquete UTL_HTTP no se ha otorgado al rol PUBLIC.
UtlHttp_RATIONALE
El paquete UTL_HTTP permite enviar solicitudes y respuestas HTTP desde PL/SQL. Otorgar este paquete a PUBLIC puede permitir el uso de pantallas HTML para enviar datos a una dirección Web no autorizada.
UtlHttp_FIX
Otorgue privilegios para ejecutar el paquete UTL_HTTP sólo a aquellas cuentas específicas que necesitan ejecutar el paquete.
UtlSmtp_NAME
Privilegio Restringido para Ejecutar UTL_SMTP
UtlSmtp_DESC
Asegura que el permiso para ejecutar el paquete UTL_SMTP no se ha otorgado al rol PUBLIC.
UtlSmtp_RATIONALE
El paquete UTL_SMTP permite que un usuario de la base de datos envíe o reciba correos electrónicos utilizando PL/SQL. Otorgar este paquete a PUBLIC puede permitir un intercambio no autorizado de los mensajes de correo.
UtlSmtp_FIX
Otorgue privilegios para ejecutar el paquete UTL_SMTP sólo a aquellas cuentas específicas que necesitan ejecutar el paquete.
DbmsJob_NAME
Privilegio Restringido para Ejecutar DBMS_JOB
DbmsJob_DESC
Asegura que el permiso para ejecutar el paquete DBMS_JOB no se ha
otorgado al rol PUBLIC.
DbmsJob_RATIONALE
El paquete DBMS_JOB permite a los usuarios planificar procedimientos administrativos para que se realicen durante intervalos periódicos. También es la interfaz para la cola de trabajo. A pesar de no ser estrictamente un riesgo de seguridad, no es un motivo válido para otorgar la ejecución de este paquete a PUBLIC.
DbmsJob_FIX
Otorgue privilegios para ejecutar el paquete DBMS_JOB sólo a aquellas cuentas específicas que necesitan ejecutar el paquete.
DbmsSysSql_NAME
Privilegio Restringido para Ejecutar DBMS_SYS_SQL
DbmsSysSql_DESC
Asegura que el permiso para ejecutar el paquete DBMS_SYS_SQL no se ha otorgado al rol PUBLIC.
DbmsSysSql_RATIONALE
El paquete DBMS_SYS_SQL no documentado permite a los usuarios ejecutar PL/SQL y SQL como el propietario del procedimiento en lugar del usuario que llama. El acceso a este paquete se debe restringir.
DbmsSysSql_FIX
Otorgue privilegios para ejecutar el paquete DBMS_SYS_SQL sólo a aquellas cuentas específicas que necesitan ejecutar el paquete.