dbSecure_NAME
Configurazione sicura per Oracle Database
racSecure_NAME
Configurazione sicura per Oracle Real Application Cluster
dbSecure_DESC
Garantisce il rispetto delle migliori impostazioni di configurazione della sicurezza contro pericoli e attacchi al database, assicurando una maggiore sicurezza dell'ambiente operativo per il database Oracle.
dbSecure_SecurityKEYWORD
Sicurezza
PostInstallation_NAME
Operazioni successive all'installazione
PostInstallation_DESC
Contiene regole che garantiscono la sicurezza degli account predefiniti del database server. Il metodo più semplice per violare un database è accedere agli account predefiniti del database server lasciati aperti e che utilizzano la password predefinita.
DefaultPwd_NAME
Le password predefinite sono state modificate
DefaultPwd_DESC
Garantisce che le password predefinite degli account predefiniti siano state modificate.
DefaultPwd_RATIONALE
La sicurezza può essere violata più facilmente se un account utente predefinito del database ha ancora una password predefinita dopo l'installazione. In qualsiasi ambiente Oracle si consiglia di assegnare password di difficile interpretazione e sicure per gli account amministrativi subito dopo aver installato il database server.
DefaultPwd_FIX
Cambiare la password predefinita per l'utente amministrativo.
DefaultAccountLockedAndExpired_NAME
Gli account predefiniti sono bloccati e scaduti
DefaultAccountLockedAndExpired_DESC
Garantisce che gli account amministrativi predefiniti siano bloccati e scaduti.
DefaultAccountLockedAndExpired_RATIONALE
Oracle Database viene installato con molti account utente predefiniti (presenti). Dopo la creazione di un'istanza di database server, gli account utente predefiniti del database devono essere bloccati e fatti scadere. Se lasciati aperti nello stato predefinito, questi account utente possono essere utilizzati da utenti non autorizzati per accedere ai dati o per causare danni alle operazioni del database.
DefaultAccountLockedAndExpired_FIX
Bloccare e far scadere l'account amministrativo predefinito.
OracleDirAndFilePerms_NAME
Oracle Directory e autorizzazioni per i file
OracleDirAndFilePerms_DESC
Contiene regole che garantiscono che le autorizzazioni per directory e file contenenti il software Oracle siano sufficienti. L'accesso deve essere limitato, al fine di rendere più difficili gli attacchi al database da parte di un utente di sistema operativo.
OracleDirAndFilePermsU_NAME
Piattaforma Unix
OracleDirAndFilePermsU_DESC
Contiene regole che garantiscono che le autorizzazioni per directory e file contenenti il software Oracle siano sufficienti.
AppropriateUMaskValue_NAME
Valore umask appropriato
AppropriateUMaskValue_DESC
Garantisce che per il proprietario del software Oracle venga impostato un valore appropriato per umask pari a 022.
AppropriateUMaskValue_RATIONALE
Se il valore umask non viene impostato su un valore appropriato, ad esempio 022, i file di log o trace potrebbero essere accessibili a tutti, causando l'esposizione di informazioni riservate.
AppropriateUMaskValue_FIX
Impostare umask su 022 per il proprietario del software Oracle.
DbDatafilesU_NAME
File di dati database
DbDatafilesU_DESC
Garantisce che l'accesso ai file di dati sia limitato al proprietario del software Oracle e al gruppo DBA.
DbDatafilesU_RATIONALE
Limitare l'accesso ai file di dati per evitare tentativi casuali e/o deliberati di accesso o modifica dei dati.
DbDatafilesU_FIX
Limitare le autorizzazioni ai file di dati al proprietario del software Oracle e al gruppo DBA. Non assegnare autorizzazioni di lettura e scrittura pubbliche.
IFileU_NAME
File di riferimento IFILE (IFILE)
IFileU_DESC
Garantisce che l'accesso ai file a cui il parametro di inizializzazione del database IFILE fa riferimento sia limitato al proprietario del software Oracle e al gruppo DBA.
IFileU_RATIONALE
Il parametro di inizializzazione di database IFILE può essere utilizzato per incorporare il contenuto di un altro file dei parametri di inizializzazione nel file dei parametri di inizializzazione corrente. Limitare l'accesso ai file dei parametri di inizializzazione per evitare di rendere pubblici i criteri di sicurezza del database ed esporre i punti deboli della configurazione del database Oracle.
IFileU_FIX
Limitare le autorizzazioni ai file a cui il file dei parametri di inizializzazione IFILE fa riferimento al proprietario del software Oracle e al gruppo DBA. Non assegnare autorizzazioni di lettura o scrittura pubbliche.
AuditFileDestU_NAME
Destinazione dei file di audit (AUDIT_FILE_DEST)
AuditFileDestU_DESC
Garantisce che l'accesso alla directory a cui il parametro AUDIT_FILE_DEST fa riferimento sia limitato al proprietario del software Oracle e al gruppo DBA.
AuditFileDestU_RATIONALE
Il parametro di inizializzazione di database AUDIT_FILE_DEST specifica la directory del sistema operativo in cui vengono scritti alcuni dati di audit, indipendentemente dal fatto che l'audit del database sia abilitato o meno. Limitare l'accesso ai file di audit per evitare di rendere pubbliche informazioni riservate come quelle di log relative all'avvio e alla chiusura del database o alle connessioni privilegiate.
AuditFileDestU_FIX
Limitare le autorizzazioni alla directory a cui il parametro di inizializzazione AUDIT_FILE_DEST fa riferimento al proprietario del software Oracle e al gruppo DBA. Non assegnare autorizzazioni di lettura o scrittura pubbliche.
UserDumpDestU_NAME
Destinazione del dump utente (USER_DUMP_DEST)
UserDumpDestU_DESC
Garantisce che l'accesso alla directory a cui il parametro USER_DUMP_DEST fa riferimento sia limitato al proprietario del software Oracle e al gruppo DBA.
UserDumpDestU_RATIONALE
Il parametro di inizializzazione di database USER_DUMP_DEST specifica la directory in cui il server scriverà i file di trace di debug per conto di un processo utente. Limitare l'accesso a questi file di trace di debug per evitare di rendere pubbliche informazioni riservate relative al database e alle applicazioni eseguite su di esso.
UserDumpDestU_FIX
Limitare le autorizzazioni alla directory a cui il parametro di inizializzazione USER_DUMP_DEST fa riferimento al proprietario del software Oracle e al gruppo DBA. Non assegnare autorizzazioni di lettura o scrittura pubbliche.
BackgroundDumpDestU_NAME
Destinazione dei file di dump dei processi di background (BACKGROUND_DUMP_DEST)
BackgroundDumpDestU_DESC
Garantisce che l'accesso alla directory a cui il parametro di inizializzazione BACKGROUND_DUMP_DEST fa riferimento sia limitato al proprietario del software Oracle e al gruppo DBA.
BackgroundDumpDestU_RATIONALE
Il parametro di inizializzazione di database BACKGROUND_DUMP_DEST specifica la directory in cui il server scriverà i file di trace di debug per i processi in background (LGWR, DBWn e così via) durante le operazioni Oracle. Limitare l'accesso a questi file di trace di debug per evitare di rendere pubbliche informazioni riservate relative al database e alle applicazioni eseguite su di esso.
BackgroundDumpDestU_FIX
Limitare le autorizzazioni alla directory a cui il parametro di inizializzazione BACKGROUND_DUMP_DEST fa riferimento al proprietario del software Oracle e al gruppo DBA. Non assegnare autorizzazioni di lettura o scrittura pubbliche.
CoreDumpDestU_NAME
Destinazione dei file di dump della memoria (CORE_DUMP_DEST)
CoreDumpDestU_DESC
Garantisce che l'accesso alla directory a cui il parametro di inizializzazione CORE_DUMP_DEST fa riferimento sia limitato al proprietario del software Oracle e al gruppo DBA.
CoreDumpDestU_RATIONALE
Il parametro di inizializzazione di database CORE_DUMP_DEST specifica la directory in cui il server scriverà i file di dump della memoria. Limitare l'accesso a questi file di dump della memoria per evitare di rendere pubbliche informazioni riservate relative al database e alle applicazioni eseguite su di esso.
CoreDumpDestU_FIX
Limitare le autorizzazioni alla directory a cui il parametro di inizializzazione CORE_DUMP_DEST fa riferimento al proprietario del software Oracle e al gruppo DBA. Non assegnare autorizzazioni di lettura o scrittura pubbliche.
ControlFilesU_NAME
Control file (CONTROL_FILES)
ControlFilesU_DESC
Garantisce che l'accesso alla directory a cui il parametro di inizializzazione CONTROL_FILES fa riferimento sia limitato al proprietario del software Oracle e al gruppo DBA.
ControlFilesU_RATIONALE
Limitare l'accesso ai control file per evitare di rendere pubbliche informazioni riservate relative al database e ai suoi dati.
ControlFilesU_FIX
Limitare le autorizzazioni ai file a cui il parametro di inizializzazione CONTROL_FILES fa riferimento al proprietario del software Oracle e al gruppo DBA. Non assegnare autorizzazioni di lettura o scrittura pubbliche.
OHExecutablesU_NAME
Eseguibili Oracle home
OHExecutablesU_DESC
Garantisce che l'accesso ai file nella directory ORACLE_HOME/bin sia limitato.
OHExecutablesU_RATIONALE
Se le autorizzazioni di controllo dell'accesso sono troppo permissive, aumenta il rischio di uso non autorizzato, accidentale o deliberato, del sistema.
OHExecutablesU_FIX
Limitare le autorizzazioni a tutti i file nella directory ORACLE_HOME/bin al proprietario del software Oracle e al gruppo DBA. Non assegnare autorizzazioni di gruppo o di scrittura pubbliche. In altre parole, le autorizzazioni devono essere impostate su 0755 o su un valore minore.
OHNonExecutablesU_NAME
Non eseguibili Oracle home
OHNonExecutablesU_DESC
Garantisce che l'accesso ai file nelle directory ORACLE_HOME, tranne ORACLE_HOME/bin, sia limitato.
OHNonExecutablesU_RATIONALE
Limitare l'accesso a questi file. Se le autorizzazioni di controllo dell'accesso sono troppo permissive, aumenta il rischio di uso non autorizzato, accidentale o deliberato, del sistema.
OHNonExecutablesU_FIX
Limitare le autorizzazioni a tutti i file nelle directory ORACLE_HOME, tranne ORACLE_HOME/bin, al proprietario del software Oracle e al gruppo DBA. Non assegnare autorizzazioni di gruppo in scrittura o autorizzazioni pubbliche di lettura, scrittura o esecuzione. In altre parole, le autorizzazioni devono essere impostate su 0750 o su un valore minore.
OracleDirAndFilePermsW_NAME
Piattaforma Windows
OracleDirAndFilePermsW_DESC
Contiene regole che garantiscono che le autorizzazioni per directory e file contenenti il software Oracle siano sufficienti.
DbDatafilesW_NAME
File di dati database
DbDatafilesW_DESC
Garantisce che l'accesso ai file di dati sia limitato al proprietario del software Oracle.
DbDatafilesW_RATIONALE
Limitare l'accesso ai file di dati per evitare tentativi casuali e/o deliberati di accesso o modifica dei dati.
DbDatafilesW_FIX
Limitare le autorizzazioni ai file di dati al proprietario del software Oracle e al gruppo DBA. Non assegnare ad altri utenti o gruppi di utenti le seguenti autorizzazioni: DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD o FULL.
IFileW_NAME
File di riferimento IFILE (IFILE)
IFileW_DESC
Garantisce che l'accesso ai file a cui il parametro di inizializzazione del database IFILE fa riferimento sia limitato al proprietario del software Oracle.
IFileW_RATIONALE
Il parametro di inizializzazione di database IFILE può essere utilizzato per incorporare il contenuto di un altro file dei parametri di inizializzazione nel file dei parametri di inizializzazione corrente. Limitare l'accesso ai file dei parametri di inizializzazione per evitare di rendere pubblici i criteri di sicurezza del database ed esporre i punti deboli della configurazione del database Oracle.
IFileW_FIX
Limitare le autorizzazioni a tutti i file a cui il parametro di inizializzazione IFILE fa riferimento al proprietario del software Oracle e al gruppo DBA. Non assegnare ad altri utenti o gruppi di utenti le seguenti autorizzazioni: DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD o FULL.
AuditFileDestW_NAME
Destinazione dei file di audit (AUDIT_FILE_DEST)
AuditFileDestW_DESC
Garantisce che l'accesso alla directory a cui il parametro di inizializzazione del database AUDIT_FILE_DEST fa riferimento sia limitato al proprietario del software Oracle.
AuditFileDestW_RATIONALE
Il parametro di inizializzazione di database AUDIT_FILE_DEST specifica la directory del sistema operativo in cui verrà scritto l'audit trail quando l'audit del database è abilitato. Limitare l'accesso ai file di audit per evitare di rendere pubbliche informazioni riservate come quelle di log relative all'avvio e alla chiusura del database o alle connessioni privilegiate.
AuditFileDestW_FIX
Limitare le autorizzazioni alla directory a cui il parametro di inizializzazione AUDIT_FILE_DEST fa riferimento al proprietario del software Oracle e al gruppo DBA. Non assegnare ad altri utenti o gruppi di utenti le seguenti autorizzazioni: DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD o FULL.
UserDumpDestW_NAME
Destinazione del dump utente (USER_DUMP_DEST)
UserDumpDestW_DESC
Garantisce che l'accesso alla directory a cui il parametro di inizializzazione del database USER_DUMP_DEST fa riferimento sia limitato al proprietario del software Oracle.
UserDumpDestW_RATIONALE
Il parametro di inizializzazione di database USER_DUMP_DEST specifica la directory in cui il server scriverà i file di trace di debug per conto di un processo utente. Limitare l'accesso a questi file di trace di debug per evitare di rendere pubbliche informazioni riservate relative al database e alle applicazioni eseguite su di esso.
UserDumpDestW_FIX
Limitare le autorizzazioni alla directory a cui il parametro di inizializzazione USER_DUMP_DEST fa riferimento al proprietario del software Oracle e al gruppo DBA. Non assegnare ad altri utenti o gruppi di utenti le seguenti autorizzazioni: DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD o FULL.
BackgroundDumpDestW_NAME
Destinazione dei file di dump dei processi di background (BACKGROUND_DUMP_DEST)
BackgroundDumpDestW_DESC
Garantisce che l'accesso alla directory a cui il parametro di inizializzazione del database BACKGROUND_DUMP_DEST fa riferimento sia limitato al proprietario del software Oracle.
BackgroundDumpDestW_RATIONALE
Il parametro di inizializzazione di database BACKGROUND_DUMP_DEST specifica la directory in cui il server scriverà i file di trace di debug per i processi in background (LGWR, DBWn e così via) durante le operazioni Oracle. Limitare l'accesso a questi file di trace di debug per evitare di rendere pubbliche informazioni riservate relative al database e alle applicazioni eseguite su di esso.
BackgroundDumpDestW_FIX
Limitare le autorizzazioni alla directory a cui il parametro di inizializzazione BACKGROUND_DUMP_DEST fa riferimento al proprietario del software Oracle e al gruppo DBA. Non assegnare ad altri utenti o gruppi di utenti le seguenti autorizzazioni: DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD o FULL.
CoreDumpDestW_NAME
Destinazione dei file di dump della memoria (CORE_DUMP_DEST)
CoreDumpDestW_DESC
Garantisce che l'accesso alla directory a cui il parametro di inizializzazione del database CORE_DUMP_DEST fa riferimento sia limitato al proprietario del software Oracle.
CoreDumpDestW_RATIONALE
Il parametro di inizializzazione di database CORE_DUMP_DEST specifica la directory in cui il server scriverà i file di dump della memoria. Limitare l'accesso a questi file di dump della memoria per evitare di rendere pubbliche informazioni riservate relative al database e alle applicazioni eseguite su di esso.
CoreDumpDestW_FIX
Limitare le autorizzazioni alla directory a cui il parametro di inizializzazione CORE_DUMP_DEST fa riferimento al proprietario del software Oracle e al gruppo DBA. Non assegnare ad altri utenti o gruppi di utenti le seguenti autorizzazioni: DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD o FULL.
ControlFilesW_NAME
Control file (CONTROL_FILES)
ControlFilesW_DESC
Garantisce che l'accesso alla directory a cui il parametro di inizializzazione del database CONTROL_FILES fa riferimento sia limitato al proprietario del software Oracle.
ControlFilesW_RATIONALE
Limitare l'accesso ai control file per evitare di rendere pubbliche informazioni riservate relative al database e ai suoi dati.
ControlFilesW_FIX
Limitare le autorizzazioni a tutti i file a cui il parametro di inizializzazione CONTROL_FILES fa riferimento al proprietario del software Oracle e al gruppo DBA. Non assegnare ad altri utenti o gruppi di utenti le seguenti autorizzazioni: DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD o FULL.
OHExecutablesW_NAME
Eseguibili Oracle home
OHExecutablesW_DESC
Garantisce che l'accesso ai file nella directory ORACLE_HOME/bin sia limitato.
OHExecutablesW_RATIONALE
Limitare l'accesso a questi eseguibili. Se le autorizzazioni di controllo dell'accesso sono troppo permissive, aumenta il rischio di uso non autorizzato, accidentale o deliberato, del sistema.
OHExecutablesW_FIX
Limitare le autorizzazioni a tutti i file nella directory ORACLE_HOME/bin al proprietario del software Oracle e al gruppo DBA. Non assegnare ad altri utenti o gruppi di utenti le seguenti autorizzazioni: DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD o FULL.
OHNonExecutablesW_NAME
Non eseguibili Oracle home
OHNonExecutablesW_DESC
Garantisce che l'accesso ai file nelle directory ORACLE_HOME, tranne ORACLE_HOME/bin, sia limitato.
OHNonExecutablesW_RATIONALE
Limitare l'accesso a questi file. Se le autorizzazioni di controllo dell'accesso sono troppo permissive, aumenta il rischio di uso non autorizzato, accidentale o deliberato, del sistema.
OHNonExecutablesW_FIX
Limitare le autorizzazioni a tutti i file nelle directory ORACLE_HOME, tranne ORACLE_HOME/bin, al proprietario del software Oracle e al gruppo DBA. Non assegnare ad altri utenti o gruppi di utenti le seguenti autorizzazioni: DELETE, WRITE_DAC, WRITE_OWNER, CHANGE, ADD o FULL.
OHExecutablesOracleOwned_NAME
File eseguibili della Oracle home di proprietà della Oracle
OHExecutablesOracleOwned_DESC
Garantisce che il proprietario di tutti i file nella directory ORACLE_HOME/bin sia uguale al proprietario dell'installazione del software Oracle.
OHExecutablesOracleOwned_RATIONALE
Limitare l'accesso a questi eseguibili. Se le autorizzazioni di controllo dell'accesso sono troppo permissive, aumenta il rischio di uso non autorizzato, accidentale o deliberato, del sistema.
OHExecutablesOracleOwned_FIX
Garantisce che il proprietario dei file nella directory ORACLE_HOME/bin sia uguale al proprietario dell'installazione del software Oracle.
OracleParamSettings_NAME
Impostazioni dei parametri Oracle
OracleParamSettings_DESC
Contiene regole che garantiscono che le impostazioni dei parametri di inizializzazione del database siano protette.
AccessToTraceFileDisabled_NAME
Accesso ai file di trace disabilitato (_TRACE_FILES_PUBLIC)
AccessToTraceFileDisabled_DESC
Garantisce che i file di trace del database non siano leggibili dagli utenti.
AccessToTraceFileDisabled_RATIONALE
Il parametro _TRACE_FILES_PUBLIC indica se i file di trace di debug generati da Oracle nella directory specificata dal parametro USER_DUMP_DEST possano essere lette da tutti. Limitare l'accesso a questi file di trace di debug per evitare di rendere pubbliche informazioni riservate relative al database e alle applicazioni eseguite su di esso.
AccessToTraceFileDisabled_FIX
Impostare _TRACE_FILES_PUBLIC su FALSE.
RemoteOSRolesDisabled_NAME
Ruoli del sistema operativo remoto disabilitati (REMOTE_OS_ROLES)
RemoteOSRolesDisabled_DESC
Garantisce che i ruoli di sistemi operativi remoti siano disabilitati, ovvero che il database non sia stato configurato per abilitare ruoli basati sull'appartenenza di gruppi di utenti a sistemi operativi remoti.
RemoteOSRolesDisabled_RATIONALE
Il parametro REMOTE_OS_ROLES specifica se i ruoli di sistemi operativi remoti siano consentiti per i client remoti. Se gli utenti si collegano al database su Oracle Net e i loro ruoli non vengono autenticati da Oracle, un utente remoto potrebbe impersonare un altro utente di sistema operativo su una connessione di rete. Consentire agli utenti di eseguire l'autenticazione remota non è una procedura di sicurezza affidabile. Consentire loro di assumere ruoli di sistema operativo per questi account renderebbe la situazione ancor più rischiosa.
RemoteOSRolesDisabled_FIX
Impostare REMOTE_OS_ROLES su FALSE per applicare l'autenticazione basata su server dei client che si collegano al database Oracle.
RemoteOSAuthenticationDisabled_NAME
Autenticazione del sistema operativo remoto disabilitata (REMOTE_OS_AUTHENT)
RemoteOSAuthenticationDisabled_DESC
Garantisce che l'autenticazione di sistemi operativi remoti sia disabilitata.
RemoteOSAuthenticationDisabled_RATIONALE
Impostare il parametro REMOTE_OS_AUTHENT su TRUE per obbligare Oracle ad accettare il nome utente di sistema operativo del client in una connessione non sicura e a utilizzarlo per l'accesso all'account. Poiché i client, come i PC, non sono sicuri per eseguire correttamente l'autenticazione del sistema operativo, si sconsiglia di attivare questa funzionalità per non compromettere la sicurezza.
RemoteOSAuthenticationDisabled_FIX
Impostare REMOTE_OS_AUTHENT su FALSE per applicare l'autenticazione basata su server dei client che si collegano al database Oracle.
RemoteLsnrInstancesDisabled_NAME
Utilizzo delle istanze del listener remoto disabilitato (REMOTE_LISTENER)
RemoteLsnrInstancesDisabled_DESC
Garantisce che non vengano utilizzate istanze del listener diverse dall'istanza del database su un computer remoto.
RemoteLsnrInstancesDisabled_RATIONALE
Il parametro REMOTE_LISTENER può essere utilizzato per consentire a un listener su un computer remoto di accedere al database. Evitare di utilizzare un listener su un computer remoto.
RemoteLsnrInstancesDisabled_FIX
Impostare REMOTE_LISTENER su "" (stringa nulla). Questo parametro non è applicabile in un ambiente di replica con più siti principali oppure RAC dove questa impostazione fornisce un meccanismo di bilanciamento del carico per il listener.
DbAuditingEnabled_NAME
Audit del database abilitato (AUDIT_TRAIL)
DbAuditingEnabled_DESC
Garantisce che l'audit del database sia abilitato.
DbAuditingEnabled_RATIONALE
Il parametro AUDIT_TRAIL abilita o disabilita l'audit del database. L'audit è sempre mirato alla verifica della responsabilità e viene spesso utilizzato per proteggere e preservare la privacy delle informazioni memorizzate nei database. Inoltre, consente agli amministratori di sistema di implementare misure avanzate di protezione, rilevamento tempestivo di attività sospette e risposte perfezionate di sicurezza.
DbAuditingEnabled_FIX
Impostare AUDIT_TRAIL su DB (valore predefinito) o su OS. I record di audit memorizzati nel database sono più facili da rivedere e gestire rispetto a quelli memorizzati nel sistema operativo. Tuttavia, i record di audit memorizzati nei file di sistema operativo possono essere protetti dai DBA mediante autorizzazioni appropriate sui file e rimarranno disponibili anche se il database è temporaneamente inaccessibile.
DbAuditingEnabled_WARNING
Sebbene l'audit non richieda molte risorse, limitare il più possibile il numero di eventi sottoposti a audit, in modo da ridurre l'impatto sulle prestazioni nell'esecuzione di istruzioni sottoposte a audit e anche la dimensione dell'audit trail, che sarà pertanto più facile da analizzare e comprendere.
SecureOSAuthenticationPrefix_NAME
Prefisso di autenticazione sicura del sistema operativo (OS_AUTHENT_PREFIX)
SecureOSAuthenticationPrefix_DESC
Garantisce che il prefisso di autenticazione del sistema operativo sia impostato su un valore diverso da OPS$.
SecureOSAuthenticationPrefix_RATIONALE
Il parametro OS_AUTHENT_PREFIX specifica un prefisso utilizzato per autenticare gli utenti che tentano di connettersi al server. Quando viene tentata una richiesta di connessione, Oracle confronta il nome utente con prefisso con i nomi utente nel database. L'utilizzo del prefisso OPS$ potrebbe causare una configurazione non sicura, dato che un account può essere autenticato come utente di sistema operativo o con la password utilizzata nella clausola IDENTIFIED BY. Gli utenti non autorizzati ne sono a conoscenza e attaccheranno questi account.
SecureOSAuthenticationPrefix_FIX
Impostare OS_AUTHENT_PREFIX su un valore diverso da OPS$.
AccessToDataDictionaryProtected_NAME
Accesso al dizionario dati protetto (07_DICTIONARY_ACCESSIBILITY)
AccessToDataDictionaryProtected_DESC
Garantisce che la protezione del dizionario dati sia abilitata.
AccessToDataDictionaryProtected_RATIONALE
Se 07_DICTIONARY_ACCESSIBILITY viene impostato su TRUE, gli utenti con privilegi di sistema ANY potranno accedere al dizionario dati. Di conseguenza, questi account utente potrebbero essere utilizzati per accedere senza autorizzazione ai dati. Il dizionario dati dovrebbe, invece, essere protetto in modo che solo gli utenti autorizzati che effettuano connessioni con privilegi DBA possano utilizzare il privilegio di sistema ANY per accedere al dizionario dati.
AccessToDataDictionaryProtected_FIX
Impostare 07_DICTIONARY_ACCESSIBILITY su FALSE. Se un utente deve avere l'accesso in visualizzazione al dizionario dati, è possibile concedergli il privilegio di sistema SELECT ANY DICTIONARY.
AuditingSysOperationsEnabled_NAME
Audit delle operazioni SYS abilitato (AUDIT_SYS_OPERATIONS)
AuditingSysOperationsEnabled_DESC
Garantisce che le sessioni degli utenti che si collegano come SYS siano sottoposte completamente a audit.
AuditingSysOperationsEnabled_RATIONALE
Il parametro AUDIT_SYS_OPERATIONS abilita o disabilita l'audit delle operazioni effettuate da utenti SYS e da quelli che si collegano con privilegi SYSDBA o SYSOPER. Poiché si tratta di utenti con privilegi molto elevati, l'audit può essere fondamentale.
AuditingSysOperationsEnabled_FIX
Impostare AUDIT_SYS_OPERATIONS su TRUE.
AuditingSysOperationsEnabled_WARNING
Alcune operazioni, come l'esportazione, possono prevedere l'esecuzione di azioni significative da parte di utenti con privilegi; di conseguenza, non sono necessari dati di audit. In queste situazioni si può scegliere di impostare questo parametro su FALSE per non sovraccaricare la tablespace SYSTEM, che contiene i record di audit.
DbPwdProfileSettings_NAME
Impostazioni del profilo della password di database
DbPwdProfileSettings_DESC
Contiene regole che garantiscono che le impostazioni del profilo del database siano definite correttamente. La gestione delle password Oracle viene effettuata mediante l'utilizzo di profili utente assegnati agli utenti del database, ottenendo pertanto un maggiore controllo sulla sicurezza del database.
SecureFailedLoginAttemptsSetting_NAME
Impostazione sicura dei tentativi di login non riusciti
SecureFailedLoginAttemptsSetting_DESC
Garantisce che per i profili il parametro FAILED_LOGIN_ATTEMPTS venga impostato su un numero ragionevole di tentativi non riusciti.
SecureFailedLoginAttemptsSetting_RATIONALE
Il parametro FAILED_LOGIN_ATTEMPTS definisce quanti tentativi successivi di login non riusciti possono essere eseguiti prima che lo stato di un account venga modificato su Bloccato. Ciò assicura la protezione da utenti non autorizzati che tentano di individuare la password di un account. Se questo parametro è impostato su un valore basso, è possibile eliminare il rischio che gli attacchi di questo tipo vadano a buon fine.
SecureFailedLoginAttemptsSetting_FIX
Impostare FAILED_LOGIN_ATTEMPTS su un valore minore o uguale a 10.
SecurePwdLifeTimeSetting_NAME
Impostazione sicura della durata della password
SecurePwdLifeTimeSetting_DESC
Garantisce che per i profili il parametro PASSWORD_LIFE_TIME venga impostato su un numero ragionevole di giorni.
SecurePwdLifeTimeSetting_RATIONALE
Il parametro PASSWORD_LIFE_TIME definisce la durata massima delle password. Modificare regolarmente le password è una procedura di sicurezza efficace per ridurre il rischio che possano essere violate. Se questo parametro è impostato su un valore troppo alto o se non è impostato affatto, le vecchie password potrebbero essere individuate e restare in uso per un lungo periodo di tempo.
SecurePwdLifeTimeSetting_FIX
Impostare PASSWORD_LIFE_TIME su un valore intorno ai 180 giorni. È un periodo sufficientemente giusto per cambiare la password e non obbliga gli utenti a scegliere nuove password troppo spesso. Se il parametro è impostato su un valore troppo basso, l'utente dovrà modificare la password con una frequenza tale da essere obbligato a scegliere password non abbastanza sicure, così da poterle ricordare.
SecurePwdLockTimeSetting_NAME
Impostazione sicura del tempo di lock della password
SecurePwdLockTimeSetting_DESC
Garantisce che per i profili il parametro PASSWORD_LOCK_TIME venga impostato su un numero ragionevole di giorni.
SecurePwdLockTimeSetting_RATIONALE
Il parametro PASSWORD_LOCK_TIME definisce per quanti giorni un account rimane bloccato dopo che è stato raggiunto il numero massimo di tentativi di login non riusciti. L'impostazione del parametro su un valore basso aumenta la probabilità di attacchi di tipo servizio negato. Specificando un valore pari a zero (0), si rimuove qualsiasi penalità per i tentativi non riusciti di individuare le password.
SecurePwdLockTimeSetting_FIX
Impostare PASSWORD_LOCK_TIME su un valore maggiore o uguale a 1.
SecurePwdGraceTimeSetting_NAME
Impostazione sicura del tempo di proroga della password
SecurePwdGraceTimeSetting_DESC
Garantisce che per i profili il parametro PASSWORD_GRACE_TIME venga impostato su un numero ragionevole di giorni.
SecurePwdGraceTimeSetting_RATIONALE
Il parametro PASSWORD_GRACE_TIME definisce per quanti giorni, dopo la scadenza della password, l'utente non deve modificarla. Durante il periodo di proroga, all'utente verrà chiesto di specificare una nuova password ogni volta che tenta di accedere al proprio account. Se questo parametro è impostato su un valore troppo alto, la scadenza della password può essere ignorata.
SecurePwdGraceTimeSetting_FIX
Impostare PASSWORD_GRACE_TIME su un valore minore o uguale a 7.
PwdComplexityCheckingEnabled_NAME
Controllo della complessità delle password abilitato
PwdComplexityCheckingEnabled_DESC
Garantisce che per i profili sia impostato il parametro PASSWORD_VERIFY_FUNCTION.
PwdComplexityCheckingEnabled_RATIONALE
Il parametro PASSWORD_VERIFY_FUNCTION definisce la funzione che verrà utilizzata per convalidare l'efficacia della password. Impostando una funzione di questo tipo, è possibile assicurarsi che vengano utilizzate password efficaci.
PwdComplexityCheckingEnabled_FIX
Specificare una funzione di verifica delle password utilizzando il parametro PASSWORD_VERIFY_FUNCTION.
DbAccessSettings_NAME
Impostazioni di accesso al database
DbAccessSettings_DESC
Contiene regole che garantiscono la sicurezza dei dati. L'accesso e l'utilizzo del database a livello di oggetti è limitato in modo che agli utenti vengono assegnati solo i privilegi effettivamente necessari per eseguire le operazioni.
Views_NAME
Viste
Views_DESC
Contiene regole che garantiscono che i privilegi sulle viste siano limitati.
DBARoles_NAME
Accesso limitato a DBA_ROLES
DBARoles_DESC
Garantisce l'accesso limitato a DBA_ROLES.
DBARoles_RATIONALE
La vista DBA_ROLES contiene i dettagli relativi a tutti i ruoli nel database. La conoscenza della struttura dei ruoli nel database potrebbe essere sfruttata in modo fraudolento da un utente non autorizzato. Limitare l'accesso a DBA_ROLES.
DBARoles_FIX
Revocare l'accesso a DBA_ROLES per tutti gli utenti che non hanno account SYS o DBA.
DBASysPrivs_NAME
Accesso limitato a DBA_SYS_PRIVS
DBASysPrivs_DESC
Garantisce l'accesso limitato a DBA_SYS_PRIVS.
DBASysPrivs_RATIONALE
La vista DBA_SYS_PRIVS contiene i dettagli relativi ai privilegi di sistema concessi a ruoli e utenti. La conoscenza della struttura dei privilegi di sistema potrebbe essere sfruttata in modo fraudolento da un utente non autorizzato. Limitare l'accesso a DBA_SYS_PRIVS.
DBASysPrivs_FIX
Revocare l'accesso a DBA_SYS_PRIVS per tutti gli utenti che non hanno account SYS o DBA.
DBARolePrivs_NAME
Accesso limitato a DBA_ROLE_PRIVS
DBARolePrivs_DESC
Garantisce l'accesso limitato a DBA_ROLE_PRIVS.
DBARolePrivs_RATIONALE
La vista DBA_ROLE_PRIVS contiene i dettagli relativi a tutti i ruoli concessi agli utenti e ad altri ruoli. La conoscenza della struttura dei ruoli nel database potrebbe essere sfruttata in modo fraudolento da un utente non autorizzato. Limitare l'accesso a DBA_ROLE_PRIVS.
DBARolePrivs_FIX
Revocare l'accesso a DBA_ROLE_PRIVS per tutti gli utenti che non hanno account SYS o DBA.
DBATabPrivs_NAME
Accesso limitato a DBA_TAB_PRIVS
DBATabPrivs_DESC
Garantisce l'accesso limitato a DBA_TAB_PRIVS.
DBATabPrivs_RATIONALE
La vista DBA_TAB_PRIVS contiene i dettagli relativi ai privilegi su tutti gli oggetti nel database. La conoscenza dei privilegi sugli oggetti concessi agli utenti nel database potrebbe essere sfruttata in modo fraudolento da un utente non autorizzato. Limitare l'accesso a DBA_TAB_PRIVS.
DBATabPrivs_FIX
Revocare l'accesso a DBA_TAB_PRIVS per tutti gli utenti che non hanno account SYS o DBA.
DBAUsers_NAME
Accesso limitato a DBA_USERS
DBAUsers_DESC
Garantisce l'accesso limitato a DBA_USERS.
DBAUsers_RATIONALE
La vista DBA_USERS descrive tutti gli utenti nel database, compresi gli hash della password utente e altre informazioni sull'account. La conoscenza di questo tipo di informazioni potrebbe essere sfruttata in modo fraudolento da un utente non autorizzato. Limitare l'accesso a DBA_USERS.
DBAUsers_FIX
Revocare l'accesso a DBA_USERS per tutti gli utenti che non hanno account SYS o DBA.
Tables_NAME
Tabelle
Tables_DESC
Contiene regole che garantiscono che i privilegi sulle tabelle siano limitati.
SYSAud_NAME
Accesso limitato a SYS.AUD$
SYSAud_DESC
Garantisce l'accesso limitato a SYS.AUD$.
SYSAud_RATIONALE
Se l'audit del database è abilitato e utilizza un audit trail del database (AUDIT_TRAIL impostato su DB), il database indirizza i record di audit a una singola tabella, denominata SYS.AUD$. Quando viene eseguito l'audit alla ricerca di attività sospette sul database, l'audit trail deve essere protetto, in modo che le informazioni non vengano aggiunte, modificate o eliminate senza prima essere sottoposte a audit. Limitare l'accesso a SYS.AUD$ per evitare tentativi non autorizzati, accidentali e/o deliberati, per accedere ai dati e per modificarli.
SYSAud_FIX
Revocare l'accesso a SYS.AUD$ per tutti gli utenti che non hanno account SYS o DBA.
SYSUserHistory_NAME
Accesso limitato a SYS.USER_HISTORY$
SYSUserHistory_DESC
Garantisce l'accesso limitato a SYS.USER_HISTORY$.
SYSUserHistory_RATIONALE
La tabella SYS.USER_HISTORY$ memorizza le password sottoposte a hashing utilizzate in precedenza da ogni account. Accedendo a questa tabella, gli utenti intenzionati a violare il database potrebbero individuare più facilmente le password esistenti per un account. Limitare l'accesso alla tabella SYS.USER_HISTORY$.
SYSUserHistory_FIX
Revocare l'accesso a SYS.USER_HISTORY$ per tutti gli utenti che non hanno account SYS o DBA.
SYSUser_NAME
Accesso limitato a SYS.USER$
SYSUser_DESC
Garantisce l'accesso limitato a SYS.USER$.
SYSUser_RATIONALE
La tabella SYS.USER$ memorizza nomi utente, password sottoposte a hashing e altre informazioni sugli account del database. Accedendo a questa tabella, gli utenti non autorizzati potrebbero violare più facilmente il database. Limitare l'accesso alla tabella SYS.USER$.
SYSUser_FIX
Revocare l'accesso a SYS.USER$ per tutti gli utenti che non hanno account SYS o DBA.
SYSSource_NAME
Accesso limitato a SYS.SOURCE$
SYSSource_DESC
Garantisce l'accesso limitato a SYS.SOURCE$.
SYSSource_RATIONALE
La tabella SYS.SOURCE$ memorizza tutti i codici sorgente memorizzati nel database. Accedendo a questa tabella, gli utenti non autorizzati potrebbero violare più facilmente il database. Limitare l'accesso alla tabella SYS.SOURCE$.
SYSSource_FIX
Revocare l'accesso a SYS.SOURCE$ per tutti gli utenti che non hanno account SYS o DBA.
PERFSTATStatsSqlText_NAME
Accesso limitato a PERFSTAT.STATS$SQLTEXT
PERFSTATStatsSqlText_DESC
Garantisce l'accesso limitato a PERFSTAT.STATS$SQLTEXT.
PERFSTATStatsSqlText_RATIONALE
La tabella PERFSTAT.STATS$SQLTEXT contiene il testo completo delle istruzioni SQL eseguite di recente. Accedendo a questa tabella, gli utenti non autorizzati potrebbero violare più facilmente il database. Limitare l'accesso alla tabella PERFSTAT.STATS$SQLTEXT.
PERFSTATStatsSqlText_FIX
Revocare l'accesso a PERFSTAT.STATS$SQLTEXT per tutti gli utenti che non hanno account SYS o DBA.
PERFSTATStatsSqlSummary_NAME
Accesso limitato a PERFSTAT.STATS$SQL_SUMMARY
PERFSTATStatsSqlSummary_DESC
Garantisce l'accesso limitato a PERFSTAT.STATS$SQL_SUMMARY.
PERFSTATStatsSqlSummary_RATIONALE
La tabella PERFSTAT.STATS$SQL_SUMMARY contiene le prime righe del testo delle istruzioni SQL per i comandi che sfruttano il maggior numero di risorse e che sono stati eseguiti più di recente. Accedendo a questa tabella, gli utenti non autorizzati potrebbero violare più facilmente il database. Limitare l'accesso alla tabella PERFSTAT.STATS$SQL_SUMMARY.
PERFSTATStatsSqlSummary_FIX
Revocare l'accesso a PERFSTAT.STATS$SQL_SUMMARY per tutti gli utenti che non hanno account SYS o DBA.
Packages_NAME
Package
Packages_DESC
Contiene regole che garantiscono che i privilegi sui package siano limitati.
UtlFile_NAME
Privilegio limitato per eseguire UTL_FILE
UtlFile_DESC
Garantisce che l'autorizzazione per eseguire il package UTL_FILE
non sia stata concessa al ruolo PUBLIC.
UtlFile_RATIONALE
Il package UTL_FILE consente al PL/SQL di leggere da e scrivere sui file nel sistema operativo. Questa funzione, sebbene sia molto utile, può anche essere utilizzata per violare il database, ottenere privilegi di livello elevato o danneggiare il database. Accedere a questo importante package mediante il ruolo PUBLIC comporta un rischio alla sicurezza, poiché qualsiasi utente del database può utilizzare i privilegi concessi al ruolo PUBLIC. Limitare l'accesso a questo package.
UtlFile_FIX
Concedere i privilegi per eseguire il package UTL_FILE solo agli account specifici che devono effettivamente eseguirlo.
UtlTcp_NAME
Privilegio limitato per eseguire UTL_TCP
UtlTcp_DESC
Garantisce che l'autorizzazione per eseguire il package UTL_TCP non sia stata concessa al ruolo PUBLIC.
UtlTcp_RATIONALE
Il package UTL_TCP permette al database di stabilire connessioni di rete in uscita con qualsiasi servizio di rete in ricezione. Di conseguenza, potrebbero essere inviati dati arbitrari tra il database e qualsiasi servizio di rete in attesa.
UtlTcp_FIX
Concedere i privilegi per eseguire il package UTL_TCP solo agli account specifici che devono effettivamente eseguirlo.
UtlHttp_NAME
Privilegio limitato per eseguire UTL_HTTP
UtlHttp_DESC
Garantisce che l'autorizzazione per eseguire il package UTL_HTTP non sia stata concessa al ruolo PUBLIC.
UtlHttp_RATIONALE
Il package UTL_HTTP consente l'invio di richieste e risposte HTTP dal PL/SQL. Concedendo il ruolo PUBLIC su questo package, si permetterebbe l'utilizzo di form HTML per inviare dati a siti Web non autorizzati.
UtlHttp_FIX
Concedere i privilegi per eseguire il package UTL_HTTP solo agli account specifici che devono effettivamente eseguirlo.
UtlSmtp_NAME
Privilegio limitato per eseguire UTL_SMTP
UtlSmtp_DESC
Garantisce che l'autorizzazione per eseguire il package UTL_SMTP non sia stata concessa al ruolo PUBLIC.
UtlSmtp_RATIONALE
Il package UTL_SMTP consente agli utenti del database di inviare o ricevere messaggi di posta elettronica mediante PL/SQL. Concedendo il ruolo PUBLIC su questo package, si permetterebbe lo scambio non autorizzato di messaggi di posta.
UtlSmtp_FIX
Concedere i privilegi per eseguire il package UTL_SMTP solo agli account specifici che devono effettivamente eseguirlo.
DbmsJob_NAME
Privilegio limitato per eseguire DBMS_JOB
DbmsJob_DESC
Garantisce che l'autorizzazione per eseguire il package DBMS_JOB non
sia stata concessa al ruolo PUBLIC.
DbmsJob_RATIONALE
Il package DBMS_JOB consente agli utenti di pianificare procedure amministrative da eseguire a intervalli periodici. È anche l'interfaccia per la coda dei job. Sebbene non comporti un rischio effettivo per la sicurezza, non vi è alcun motivo valido per concedere il ruolo PUBLIC su questo package.
DbmsJob_FIX
Concedere i privilegi per eseguire il package DBMS_JOB solo agli account specifici che devono effettivamente eseguirlo.
DbmsSysSql_NAME
Privilegio limitato per eseguire DBMS_SYS_SQL
DbmsSysSql_DESC
Garantisce che l'autorizzazione per eseguire il package DBMS_SYS_SQL non sia stata concessa al ruolo PUBLIC.
DbmsSysSql_RATIONALE
Il package DBMS_SYS_SQL non documentato consente agli utenti di eseguire PL/SQL e SQL come proprietario della procedura anziché come chiamante. Limitare l'accesso a questo package.
DbmsSysSql_FIX
Concedere i privilegi per eseguire il package DBMS_SYS_SQL solo agli account specifici che devono effettivamente eseguirlo.