USR_DFLT_TBSPC_NAME
POLICY
Tablespace par défaut
USR_DFLT_TBSPC_DESC
POLICY
Vérifie qu'aucun utilisateur n'emploie SYSTEM ou SYSAUX comme tablespace par défaut
USR_DFLT_TBSPC_IMPACT
POLICY
Les objets des utilisateurs sont créés dans les tablespaces par défaut. Un tablespace par défaut mal défini (SYSTEM ou SYSAUX) pour un utilisateur peut consommer tout l'espace disponible et empêcher la base de données de fonctionner.
USR_DFLT_TBSPC_RECOMM
POLICY
Réaffectez le tablespace des utilisateurs pour lesquels SYSTEM ou SYSAUX est défini comme tablespace par défaut.
USR_TEMP_TABSPC_NAME
POLICY
Tablespace temporaire utilisateur
USR_TEMP_TABSPC_DESC
POLICY
Vérifie qu'aucun utilisateur n'emploie SYSTEM ou SYSAUX comme tablespace temporaire
USR_TEMP_TABSPC_IMPACT
POLICY
Les objets temporaires de l'utilisateur sont créés dans le tablespace temporaire. Un tablespace temporaire mal défini (SYSTEM ou SYSAUX) pour un utilisateur peut consommer tout l'espace disponible et empêcher la base de données de fonctionner.
USR_TEMP_TABSPC_RECOMM
POLICY
Réaffectez le tablespace des utilisateurs pour lesquels SYSTEM ou SYSAUX est défini comme tablespace temporaire par défaut.
TABLESPACE_QUOTA_NAME
POLICY
Quota de tablespace illimité
TABLESPACE_QUOTA_DESC
POLICY
Vérifie qu'un quota de tablespace limité est alloué aux utilisateurs de base de données
TABLESPACE_QUOTA_IMPACT
POLICY
L'octroi de quotas de tablespace illimités peut entraîner le remplissage de l'espace disque alloué, ce qui peut empêcher la base de données de répondre.
TABLESPACE_QUOTA_REOMM
POLICY
Pour les utilisateurs disposant d'un quota de tablespace illimité, réallouez le quota pour définir une limite spécifique.
AUDIT_FILE_DEST_NAME
POLICY
Destination du fichier d'audit
AUDIT_FILE_DEST_NAME_NT
POLICY
Destination du fichier d'audit (Windows)
AUDIT_FILE_DEST_DESC
POLICY
Vérifie que l'accès au répertoire de fichiers d'audit est réservé au propriétaire de l'ensemble de logiciels Oracle et au groupe DBA.
AUDIT_FILE_DEST_IMPACT
POLICY
Le paramètre d'initialisation AUDIT_FILE_DEST indique le répertoire où la fonction d'audit Oracle crée les fichiers d'audit. L'octroi d'un droit d'accès en lecture Public sur ce répertoire peut entraîner la divulgation d'informations importantes, comme les informations de journalisation concernant le démarrage, l'arrêt et les connexions privilégiées.
AUDIT_FILE_DEST_RECOMM
POLICY
Restreignez les droits d'accès au répertoire de fichiers d'audit pour les limiter au propriétaire de l'ensemble de logiciels Oracle et au groupe DBA. N'accordez aucun droit d'accès en lecture, écriture ou exécution à Public.
USER_DUMP_DEST_NAME
POLICY
Destination de vidage utilisateur
USER_DUMP_DEST_NAME_NT
POLICY
Destination de vidage utilisateur (Windows)
USER_DUMP_DEST_DESC
POLICY
Vérifie que l'accès au répertoire de fichiers trace est réservé au propriétaire de l'ensemble de logiciels Oracle et au groupe DBA
USER_DUMP_DEST_IMPACT
POLICY
Les fichiers trace des processus serveur sont stockés dans le répertoire indiqué par le paramètre d'initialisation USER_DUMP_DEST. L'octroi d'un droit d'accès en lecture public sur ce dossier peut entraîner la divulgation de détails internes importants et confidentiels concernant la base de données et les applications.
USER_DUMP_DEST_RECOMM
POLICY
Restreignez les droits d'accès au répertoire de vidage utilisateur pour les limiter au propriétaire de l'ensemble de logiciels Oracle et au groupe DBA. N'accordez aucun droit d'accès en lecture, écriture ou exécution à Public.
BKGRND_DUMP_DEST_NAME
POLICY
Destination de vidage d'arrière-plan
BKGRND_DUMP_DEST_NAME_NT
POLICY
Destination de vidage d'arrière-plan (Windows)
BKGRND_DUMP_DEST_DESC
POLICY
Vérifie que l'accès au répertoire de fichiers trace est réservé au propriétaire de l'ensemble de logiciels Oracle et au groupe DBA
BKGRND_DUMP_DEST_IMPACT
POLICY
Les processus en arrière-plan, comme LGWR (Log Writer) et DBWR, utilisent des fichiers trace pour enregistrer les occurrences et exceptions des opérations de base de données, ainsi que les erreurs. Ces fichiers trace sont stockés dans le répertoire indiqué par le paramètre d'initialisation BACKGROUND_DUMP_DEST. L'octroi d'un droit d'accès en lecture public sur ce répertoire peut entraîner la divulgation de détails internes importants et confidentiels concernant la base de données et les applications.
BKGRND_DUMP_DEST_RECOMM
POLICY
Restreignez les droits d'accès au répertoire de vidage d'arrière-plan pour les limiter au propriétaire de l'ensemble de logiciels Oracle et au groupe DBA. N'accordez aucun droit d'accès en lecture, écriture ou en exécution à Public.
CORE_DUMP_DEST_NAME
POLICY
Destination de dump noyau (core dump)
CORE_DUMP_DEST_NAME_NT
POLICY
Destination du dump noyau (core dump) (Windows)
CORE_DUMP_DEST_DESC
POLICY
Vérifie que l'accès au répertoire du dump noyau (core dump) est réservé au propriétaire de l'ensemble de logiciels Oracle et au groupe DBA
CORE_DUMP_DEST_IMPACT
POLICY
Les fichiers du dump noyau (core dump) sont stockés dans le répertoire indiqué par le paramètre d'initialisation CORE_DUMP_DEST. L'octroi d'un droit d'accès en lecture public sur ce répertoire peut entraîner la divulgation d'informations confidentielles issues de ces fichiers.
CORE_DUMP_DEST_RECOMM
POLICY
Restreignez les droits d'accès au répertoire dump noyau (core dump) pour les limiter au propriétaire de l'ensemble de logiciels Oracle et au groupe DBA. N'accordez aucun droit d'accès en lecture, écriture ou exécution à Public.
CONTROL_FILES_NAME
POLICY
Droit d'accès aux fichiers de contrôle
CONTROL_FILES_NAME_NT
POLICY
Droit d'accès aux fichiers de contrôle (Windows)
CONTROL_FILES_DESC
POLICY
Vérifie que l'accès au répertoire de fichiers de contrôle est réservé au propriétaire de l'ensemble de logiciels Oracle et au groupe DBA
CONTROL_FILES_IMPACT
POLICY
Les fichiers de contrôle sont des fichiers de configuration binaires qui contrôlent l'accès aux fichiers de données. Les fichiers de contrôle sont stockés dans le répertoire indiqué par le paramètre d'initialisation CONTROL_FILES. Un privilège d'accès en écriture public sur ce répertoire peut représenter un risque sévère en matière de sécurité.
CONTROL_FILES_RECOMM
POLICY
Restreignez les droits d'accès au répertoire de fichiers de contrôle pour les limiter au propriétaire de l'ensemble de logiciels Oracle et au groupe DBA. N'accordez aucun droit d'accès en lecture ou écriture à Public.
OH_DATAFILES_PERM_NAME
POLICY
Droit d'accès aux fichiers de données du répertoire d'origine Oracle Home
OH_DATAFILES_PERM_NAME_NT
POLICY
Droit d'accès aux fichiers de données du répertoire d'origine Oracle Home (Windows)
OH_DATAFILES_PERM_DESC
POLICY
Vérifie que l'accès aux fichiers de données est réservé au propriétaire de l'ensemble de logiciels Oracle et au groupe DBA
OH_DATAFILES_PERM_IMPACT
POLICY
Les fichiers de données contiennent toutes les données de base de données. Si le groupe PUBLIC a des droits d'accès en lecture sur ces fichiers, ces derniers risquent d'être lus par un utilisateur ne disposant d'aucun privilège de base de données sur les données.
OH_DATAFILES_PERM_RECOMM
POLICY
Restreignez les droits d'accès aux fichiers de données pour les limiter au propriétaire de l'ensemble de logiciels Oracle et au groupe DBA. N'accordez aucun droit d'accès en lecture ou écriture à Public.
OH_SPFILE_PERM_NAME
POLICY
Droit d'accès au fichier de paramètres persistants côté serveur
OH_SPFILE_PERM_NAME_NT
POLICY
Droit d'accès au fichier de paramètres persistants côté serveur (Windows)
OH_SPFILE_PERM_DESC
POLICY
Vérifie que l'accès au fichier de paramètres persistants côté serveur est réservé au propriétaire de l'ensemble de logiciels Oracle et au groupe DBA
OH_SPFILE_PERM_IMPACT
POLICY
Un fichier de paramètres persistants côté serveur (SPFILE) vous permet de stocker et gérer vos paramètres d'initialisation de façon persistante dans un fichier sur disque côté serveur. Si le fichier SPFILE est accessible pour Public, les utilisateurs peuvent y rechercher des paramètres d'initialisation confidentiels, qui dévoilent les règles de sécurité de la base de données. Ils peuvent également y rechercher les faiblesses de paramètres de configuration de base de données Oracle.
OH_SPFILE_PERM_RECOMM
POLICY
Restreignez les droits d'accès au fichier de paramètres persistants côté serveur (SPFILE) pour les limiter au propriétaire de l'ensemble de logiciels Oracle et au groupe DBA. N'accordez aucun droit d'accès en lecture ou écriture à Public.
OH_INITORA_PERM_NAME
POLICY
Droit d'accès au fichier de paramètres d'initialisation
OH_INITORA_PERM_NAME_NT
POLICY
Droit d'accès au fichier de paramètres d'initialisation (Windows)
OH_INITORA_PERM_DESC
POLICY
Vérifie que l'accès au fichier de paramètres d'initialisation est réservé au propriétaire de l'ensemble de logiciels Oracle et au groupe DBA
OH_INITORA_PERM_IMPACT
POLICY
En général, Oracle stocke les paramètres d'initialisation dans un fichier au format Texte. Si ce fichier est accessible pour Public, les utilisateurs peuvent y rechercher des paramètres d'initialisation confidentiels qui dévoilent les règles de sécurité de la base de données. Ils peuvent également rechercher dans ce fichier IFILE les faiblesses de paramètres de configuration de la base de données Oracle.
OH_INITORA_PERM_RECOMM
POLICY
Restreignez les droits d'accès au fichier de paramètres d'initialisation pour les limiter au propriétaire de l'ensemble de logiciels Oracle et au groupe DBA. N'accordez aucun droit d'accès en lecture ou écriture à Public.
OH_IFILE_PERM_NAME
POLICY
Droit d'accès aux fichiers référencés par le paramètre IFILE
OH_IFILE_PERM_NAME_NT
POLICY
Droit d'accès aux fichiers référencés par le paramètre IFILE (Windows)
OH_IFILE_PERM_DESC
POLICY
Vérifie que l'accès aux fichiers référencés par le paramètre IFILE est réservé au propriétaire de l'ensemble de logiciels Oracle et au groupe DBA
OH_IFILE_PERM_IMPACT
POLICY
Le paramètre d'initialisation IFILE permet d'imbriquer le contenu d'un autre fichier de paramètres d'initialisation dans le fichier de paramètres d'initialisation en cours. Si le fichier de paramètres d'initialisation est accessible pour Public, les utilisateurs peuvent y rechercher des paramètres d'initialisation confidentiels qui dévoilent les règles de sécurité de la base de données. Ils peuvent également y rechercher les faiblesses de paramètres de configuration de la base de données Oracle.
OH_IFILE_PERM_RECOMM
POLICY
Restreignez les droits d'accès aux fichiers référencés par le paramètre d'initialisation IFILE pour les limiter au propriétaire de l'ensemble de logiciels Oracle et au groupe DBA. N'accordez aucun droit d'accès en lecture, écriture ou exécution à Public.
OH_BIN_FILE_OWNER_NAME
POLICY
Propriétaire des fichiers exécutables du répertoire d'origine Oracle Home
OH_BIN_FILE_OWNER_DESC
POLICY
Vérifie que le propriétaire de tous les fichiers et répertoires du dossier ORACLE_HOME/bin est identique à celui de l'installation de logiciel Oracle
OH_BIN_FILE_OWNER_IMPACT
POLICY
Des droits d'accès incorrects à certains fichiers Oracle peuvent poser de graves problèmes de sécurité.
OH_BIN_FILE_OWNER_RECOMM
POLICY
Si certains fichiers et répertoires du dossier ORACLE_HOME/bin ont un propriétaire autre que celui de l'installation de logiciel Oracle, changez leur propriétaire pour désigner le propriétaire du logiciel.
EXE_FILE_PERM_NAME
POLICY
Droit d'accès aux fichiers exécutables du répertoire d'origine Oracle Home
EXE_FILE_PERM_NAME_NT
POLICY
Droit d'accès aux fichiers exécutables du répertoire d'origine Oracle Home (Windows)
EXE_FILE_PERM_DESC
POLICY
Vérifie qu'aucun fichier du dossier ORACLE_HOME/bin n'est associé à un droit d'accès en écriture public
EXE_FILE_PERM_IMPACT
POLICY
Des droits d'accès incorrects à certains fichiers Oracle peuvent poser de graves problèmes de sécurité.
EXE_FILE_PERM_RECOMM
POLICY
Restreignez les droits d'accès à tous les fichiers du dossier ORACLE_HOME/bin pour les limiter au propriétaire de l'ensemble de logiciels Oracle et au groupe DBA. N'accordez aucun droit d'accès en écriture à Public.
OH_FILEPERM_NAME
POLICY
Droit d'accès aux fichiers des répertoires d'origine Oracle Home
OH_FILEPERM_NAME_NT
POLICY
Droit d'accès aux fichiers des répertoires d'origine Oracle Home (Windows)
OH_FILEPERM_DESC
POLICY
Vérifie qu'aucun fichier des répertoires d'origine ORACLE_HOME (sauf pour ORACLE_HOME/bin) n'est associé à un droit d'accès en lecture, écriture ou exécution public
OH_FILEPERM_IMPACT
POLICY
Des droits d'accès incorrects à certains fichiers Oracle peuvent poser de graves problèmes de sécurité.
OH_FILEPERM_RECOMM
POLICY
Restreignez les droits d'accès à tous les fichiers des répertoires d'origine ORACLE_HOME (sauf pour ORACLE_HOME/bin) pour les limiter au propriétaire de l'ensemble de logiciels Oracle et au groupe DBA. N'accordez aucun droit d'accès en lecture, écriture ou exécution à Public.
LOG_ARCH_DEST_NAME
POLICY
Droit d'accès à la destination des journaux d'archivage
LOG_ARCH_DEST_NAME_NT
POLICY
Droit d'accès à la destination des journaux d'archivage (Windows)
LOG_ARCH_DEST_DESC
POLICY
Vérifie que les journaux d'archivage du serveur ne sont pas accessibles pour Public
LOG_ARCH_DEST_IMPACT
POLICY
LogMiner peut servir à extraire des informations de base de données à partir des journaux d'archivage si le répertoire indiqué par le paramètre LOG_ARCHIVE_DEST (dans le fichier init.ora) n'appartient pas au propriétaire de l'installation de logiciel Oracle ou si des droits d'accès sont accordés à d'autres utilisateurs.
LOG_ARCH_DEST_RECOMM
POLICY
Les droits d'accès au répertoire indiqué par le paramètre LOG_ARCHIVE_DEST doivent être limités au propriétaire de l'ensemble de logiciels Oracle et au groupe DBA, sans aucun droit d'accès pour Public.
LOG_ARCH_DEST_OWNER_NAME
POLICY
Propriétaire de la destination des journaux d'archivage
LOG_ARCH_DEST_OWNER_DESC
POLICY
Vérifie que le répertoire de journaux d'archivage du serveur est un répertoire valide appartenant au propriétaire du logiciel Oracle
LOG_ARCH_DEST_OWNER_IMPACT
POLICY
LogMiner peut servir à extraire des informations de base de données à partir des journaux d'archivage si le répertoire indiqué par le paramètre LOG_ARCHIVE_DEST (dans le fichier init.ora) n'appartient pas au propriétaire de l'installation de logiciel Oracle ou si des droits d'accès sont accordés à d'autres utilisateurs.
LOG_ARCH_DEST_OWNER_RECOMM
POLICY
Le répertoire indiqué par le paramètre LOG_ARCHIVE_DEST doit appartenir à l'ensemble de logiciels Oracle.
LOG_ARCHV_DUP_PERM_NAME
POLICY
Droit d'accès à la destination de journaux d'archivage en duplex
LOG_ARCHV_DUP_PERM_NAME_NT
POLICY
Droit d'accès à la destination de journaux d'archivage en duplex (Windows)
LOG_ARCHV_DUP_PERM_DESC
POLICY
Vérifie que les journaux d'archivage du serveur ne sont pas accessibles pour Public
LOG_ARCHV_DUP_PERM_IMPACT
POLICY
LogMiner peut servir à extraire des informations de base de données à partir des journaux d'archivage si le répertoire indiqué par le paramètre LOG_ARCHIVE_DUPLEX_DEST (dans le fichier init.ora) n'appartient pas au propriétaire de l'installation de logiciel Oracle ou si des droits d'accès sont accordés à d'autres utilisateurs.
LOG_ARCHV_DUP_PERM_RECOMM
POLICY
Les droits d'accès au répertoire indiqué par le paramètre LOG_ARCHIVE_DUPLEX_DEST doivent être limités au propriétaire de l'ensemble de logiciels Oracle et au groupe DBA, sans aucun droit d'accès pour Public.
LOG_ARCHV_DUP_OWNER_NAME
POLICY
Propriétaire de la destination de journaux d'archivage en duplex
LOG_ARCHV_DUP_OWNER_DESC
POLICY
Vérifie que le répertoire de journaux d'archivage du serveur est un répertoire valide appartenant au propriétaire du logiciel Oracle
LOG_ARCHV_DUP_OWNER_IMPACT
POLICY
LogMiner peut servir à extraire des informations de base de données à partir des journaux d'archivage si le répertoire indiqué par le paramètre LOG_ARCHIVE_DUPLEX_DEST (dans le fichier init.ora) n'appartient pas au propriétaire de l'installation de logiciel Oracle ou si des droits d'accès sont accordés à d'autres utilisateurs.
LOG_ARCHV_DUP_OWNER_RECOMM
POLICY
Le répertoire indiqué par le paramètre LOG_ARCHIVE_DUPLEX_DEST doit appartenir à l'ensemble de logiciels Oracle.
LOG_ARCHIVE_START_NAME
POLICY
Utilisation des fonctions d'archivage automatique des journaux
LOG_ARCHIVE_START_DESC
POLICY
Vérifie que l'archivage des fichiers journaux est effectué automatiquement et empêche la suspension des opérations d'instance lorsque ces fichiers se remplissent. Cette option n'est applicable que si la base de données est en mode ARCHIVELOG
LOG_ARCHIVE_START_IMPACT
POLICY
En affectant au paramètre d'initialisation LOG_ARCHIVE_START la valeur TRUE, vous garantissez que l'archivage des fichiers de journalisation est automatique et vous empêchez la suspension des opérations d'instance lorsque ces fichiers se remplissent. Cette fonction n'est applicable que si la base de données est en mode ARCHIVELOG.
LOG_ARCHIVE_START_RECOMM
POLICY
Affectez la valeur TRUE au paramètre d'initialisation LOG_ARCHIVE_START.
UTL_FILE_NAME
POLICY
Définition du paramètre d'initialisation concernant le répertoire des fichiers d'utilitaire
UTL_FILE_DESC
POLICY
Vérifie que le paramètre d'initialisation concernant le répertoire des fichiers d'utilitaire (UTL_FILE_DIR) n'a aucune des valeurs suivantes : '*', '.', emplacements des fichiers trace de dump noyau (core dump)
UTL_FILE_IMPACT
POLICY
Indique les répertoires auxquels le package UTL_FILE peut accéder. Si le paramètre est défini sur un astérisque (*), un point (.) ou des répertoires sensibles, ces éléments risquent d'être accessibles pour tous les utilisateurs ayant un privilège Execute sur ce package.
UTL_FILE_RECOMM
POLICY
Changez le paramètre d'initialisation UTL_FILE_DIR pour utiliser une valeur autre que l'astérisque (*), le point (.) ou les emplacements des fichiers trace de dump noyau (core dump).
UTL_FILE_9IPLUS_NAME
POLICY
Définition du paramètre d'initialisation UTL_FILE_DIR dans Oracle9i version 1 ou supérieure
UTL_FILE_9IPLUS_DESC
POLICY
Vérifie que le paramètre d'initialisation UTL_FILE_DIR n'est pas utilisé dans Oracle9i version 1 ou supérieure
UTL_FILE_9IPLUS_IMPACT
POLICY
Indique les répertoires auxquels le package UTL_FILE peut accéder. Si le paramètre est défini sur un astérisque (*), un point (.) ou des répertoires sensibles, ces éléments risquent d'être accessibles pour tous les utilisateurs ayant un privilège Execute sur ce package.
UTL_FILE_9IPLUS_RECOMM
POLICY
Pour Oracle 9i version 1 ou supérieure, enlevez le paramètre d'initialisation UTL_FILE_DIR. Utilisez la fonction CREATE DIRECTORY à la place.
OS_AUTH_PRFX_DOM_NAME
POLICY
Utilisation d'un préfixe de domaine Windows NT
OS_AUTH_PRFX_DOM_DESC
POLICY
Vérifie que les utilisateurs identifiés en externe spécifient le domaine lorsqu'ils se connectent
OS_AUTH_PRFX_DOM_IMPACT
POLICY
Ce paramètre n'est applicable que sous Windows. Si des comptes identifiés en externe sont obligatoires, l'affectation de la valeur TRUE au paramètre OSAUTH_PREFIX_DOMAIN dans la base de registres impose la spécification du domaine dans les informations de compte. Cela empêche le "spoofing" de l'accès utilisateur à partir d'un autre domaine ou système local.
OS_AUTH_PRFX_DOM_RECOMM
POLICY
Pour les utilisateurs identifiés en externe sous Windows, affectez la valeur TRUE au paramètre d'initialisation OSAUTH_PREFIX_DOMAIN.
PWD_LOCK_TIME_NAME
POLICY
Délai de verrouillage du mot de passe
PWD_LOCK_TIME_DESC
POLICY
Vérifie que PASSWORD_LOCK_TIME est défini sur un nombre de jours raisonnable pour tous les profils
PWD_LOCK_TIME_IMPACT
POLICY
L'emploi d'une valeur trop faible augmente les risques d'attaque par déni de service.
PWD_LOCK_TIME_RECOMM
POLICY
Définissez le paramètre PASSWORD_LOCK_TIME sur 1 (minimum) pour tous les profils.
MIN_PWD_LOCK_TIME_PNAME
POLICY
MIN_PASSWORD_LOCK_TIME
PWD_GRACE_TIME_NAME
POLICY
Durée de validité du mot de passe
PWD_GRACE_TIME_DESC
POLICY
Vérifie que PASSWORD_GRACE_TIME est défini sur un nombre de jours raisonnable pour tous les profils
PWD_GRACE_TIME_IMPACT
POLICY
L'emploi d'une valeur élevée pour le paramètre PASSWORD_GRACE_TIME peut causer de graves problèmes de sécurité de base de données, car l'utilisateur conservera trop longtemps le même mot de passe.
PWD_GRACE_TIME_RECOMM
POLICY
Définissez le paramètre PASSWORD_GRACE_TIME sur 7 jours (maximum) pour tous les profils.
MAX_PWD_GRACE_TIME_PNAME
POLICY
MAX_PASSWORD_GRACE_TIME
PWD_LIFE_TIME_NAME
POLICY
Durée de vie du mot de passe
PWD_LIFE_TIME_DESC
POLICY
Vérifie que PASSWORD_LIFE_TIME est défini sur un nombre de jours raisonnable pour tous les profils
PWD_LIFE_TIME_IMPACT
POLICY
Si le mot de passe a une durée de vie trop longue, les pirates ont le temps d'essayer de le décrypter. Cela risque de poser de graves problèmes de sécurité de base de données.
PWD_LIFE_TIME_RECOMM
POLICY
Définissez le paramètre PASSWORD_LIFE_TIME sur 180 jours (maximum) pour tous les profils.
MAX_PWD_LIFE_TIME_PNAME
POLICY
MAX_PASSWORD_LIFE_TIME
PWD_REUSE_MAX_NAME
POLICY
Nb de changements avant réutilisation du mot de passe
PWD_REUSE_MAX_DESC
POLICY
Vérifie que PASSWORD_REUSE_MAX est défini sur un nombre de fois raisonnable pour tous les profils
PWD_REUSE_MAX_IMPACT
POLICY
En général, les anciens mots de passe sont la base idéale lorsqu'un pirate cherche à décrypter le mot de passe en cours. Si le paramètre PASSWORD_REUSE_MAX a une valeur trop faible, de graves problèmes de sécurité de base de données risquent de se poser, car les utilisateurs sont autorisés à réutiliser leurs anciens mots de passe plus souvent.
PWD_REUSE_MAX_RECOMM
POLICY
Définissez le paramètre PASSWORD_REUSE_MAX sur UNLIMITED pour tous les profils.
MIN_PWD_REUSE_MAX_PNAME
POLICY
MIN_PASSWORD_REUSE_MAX
PWD_REUSE_TIME_NAME
POLICY
Intervalle de réutilisation du mot de passe
PWD_REUSE_TIME_DESC
POLICY
Vérifie que PASSWORD_REUSE_TIME est défini sur un nombre de jours raisonnable pour tous les profils
PWD_REUSE_TIME_IMPACT
POLICY
Si le paramètre PASSWORD_REUSE_TIME a une valeur trop faible, de graves problèmes de sécurité de base de données risquent de se poser car les utilisateurs sont autorisés à réutiliser leurs anciens mots de passe trop souvent.
PWD_REUSE_TIME_RECOMM
POLICY
Définissez le paramètre PASSWORD_REUSE_TIME sur UNLIMITED pour tous les profils.
MIN_PWD_REUSE_TIME_PNAME
POLICY
MIN_PASSWORD_REUSE_TIME
PWD_CMPLX_FN_NAME
POLICY
Utilisation de la fonction de vérification de la complexité des mots de passe
PWD_CMPLX_FN_DESC
POLICY
Vérifie que la ressource PASSWORD_VERIFY_FUNCTION est définie pour le profil
PWD_CMPLX_FN_IMPACT
POLICY
La protection offerte par des mots de passe ne répondant pas aux exigences minimales de complexité est largement inférieure à celle offerte par des mots de passe complexes.
PWD_CMPLX_FN_RECOMM
POLICY
Définissez la ressource PASSWORD_VERIFY_FUNCTION du profil.
TRACE_FILES_PUB_NAME
POLICY
Fichiers trace publics
TRACE_FILES_PUBLIC_DESC
POLICY
Vérifie que Public ne dispose d'aucun droit d'accès en lecture sur les fichiers trace de la base de données
TRACE_FILES_PUBLIC_IMPACT
POLICY
Si le groupe PUBLIC possède des droits d'accès en lecture sur les fichiers trace, un utilisateur malveillant peut tenter de lire ce fichier, ce qui risque d'entraîner la divulgation d'informations confidentielles.
TRACE_FILES_PUBLIC_RECOMM
POLICY
Affectez la valeur FALSE au paramètre d'initialisation _TRACE_FILES_PUBLIC.
AUDIT_TRAIL_NAME
POLICY
Audit de base de données activé
AUDIT_TRAIL_DESC
POLICY
Vérifie que l'audit de base de données est activé.
AUDIT_TRAIL_IMPACT
POLICY
Le paramètre AUDIT_TRAIL permet d'activer ou de désactiver l'audit de base de données. L'audit améliore la sécurité, car il oblige à pouvoir rendre compte, fournit des preuves des utilisations impropres et est souvent obligatoire pour la mise en conformité avec les réglementations en vigueur. Il permet également aux administrateurs système d'améliorer la protection, de détecter précocement les activités suspectes et d'affiner le réglage des options de sécurité.
AUDIT_TRAIL_RECOMM
POLICY
Affectez au paramètre AUDIT_TRAIL la valeur DB, valeur par défaut, ou OS. Les enregistrements d'audit stockés dans la base de données peuvent être plus faciles à vérifier et à gérer que ceux stockés dans les fichiers du système d'exploitation. Toutefois, la consultation des fichiers système peut être interdite aux DBA à l'aide de droits d'accès, et leur contenu reste disponible même si la base de données est temporairement inaccessible.
RMT_LSNR_NAME
POLICY
Utilisation des instances de processus d'écoute distant
RMT_LSNR_DESC
POLICY
Vérifie que les instances de processus d'écoute situées sur un ordinateur distant (séparé de l'instance de base de données) ne sont pas utilisées
RMT_LSNR_IMPACT
POLICY
Le paramètre d'initialisation REMOTE_LISTENER permet à un processus d'écoute d'un ordinateur distant d'accéder à la base de données. Ce réglage n'est pas applicable dans une réplication multimaître ou un environnement RAC, où REMOTE_LISTENER fournit au processus d'écoute un mécanisme d'équilibrage de charge.
RMT_LSNR_RECOMM
POLICY
REMOTE_LISTENER doit être défini sur une chaîne NULL. Ce réglage n'est pas applicable dans une réplication multimaître ou un environnement RAC, où REMOTE_LISTENER fournit au processus d'écoute un mécanisme d'équilibrage de charge.
OS_AUTH_PREFIX_NAME
POLICY
Utilisation de comptes identifiés en externe
OS_AUTH_PREFIX_DESC
POLICY
Vérifie que le préfixe d'authentification du système d'exploitation a une valeur autre qu'OPS$.
OS_AUTH_PREFIX_IMPACT
POLICY
Le paramètre OS_AUTHENT_PREFIX spécifie le préfixe utilisé pour authentifier les utilisateurs qui essaient de se connecter au serveur. En cas de demande de connexion, Oracle compare le nom utilisateur portant ce préfixe avec les noms figurant dans la base de données. L'utilisation d'un préfixe, plus particulièrement OPS$, génère généralement une configuration non sécurisée, car un compte peut être authentifié soit en tant qu'utilisateur du système d'exploitation, soit avec le mot de passe utilisé dans la clause IDENTIFIED BY. Les pirates connaissent cette faiblesse et risquent d'attaquer ces comptes.
OS_AUTH_PREFIX_RECOMM
POLICY
Affectez au paramètre OS_AUTHENT_PREFIX une valeur autre qu'OPS$.
SQL92_SECURITY_NAME
POLICY
Utilisation des fonctions de sécurité SQL92
SQL92_SECURITY_DESC
POLICY
Assure l'utilisation des fonctions de sécurité SQL92
SQL92_SECURITY_IMPACT
POLICY
Si les fonctions de sécurité SQL92 ne sont pas activées, un utilisateur peut exécuter une instruction UPDATE ou DELETE avec une clause WHERE, même sans disposer de privilège Select sur une table.
SQL92_SECURITY_RECOMM
POLICY
Activez les fonctions de sécurité SQL92 en affectant la valeur TRUE au paramètre d'initialisation SQL92_SECURITY.
GLOBAL_NAME_NAME
POLICY
Appellation des liens de base de données
GLOBAL_NAME_DESC
POLICY
Vérifie que le nom d'un lien de base de données est identique à celui de la base de données distante
GLOBAL_NAME_IMPACT
POLICY
Les liens de base de données qui ne correspondent pas aux noms globaux des bases de données auxquelles ils connectent l'utilisateur peuvent conduire un administrateur à octroyer par inadvertance l'accès à un serveur de production depuis un serveur de test ou de développement. S'il le sait, un utilisateur malveillant peut s'en servir pour accéder à la base de données cible.
GLOBAL_NAME_RECOMM
POLICY
Si vous utilisez le traitement distribué ou si vous envisagez de le faire, Oracle Corporation recommande d'affecter la valeur TRUE au paramètre d'initialisation GLOBAL_NAMES pour garantir l'utilisation de conventions d'appellation cohérentes pour les liens et bases de données dans un environnement réseau.
DB_LINK_WITH_PWD_NAME
POLICY
Utilisation de liens de base de données avec mot de passe en clair
DB_LINK_WITH_PWD_DESC
POLICY
Vérifie qu'aucun lien de base de données avec un mot de passe en clair n'est utilisé
DB_LINK_WITH_PWD_IMPACT
POLICY
La table SYS.LINK$ contient le mot de passe en clair utilisé par le lien de base de données. Un utilisateur malveillant peut lire ce mot de passe dans la table, ce qui risque d'avoir des conséquences néfastes.
DB_LINK_WITH_PWD_RECOMM
POLICY
Evitez de créer des liens de base de données utilisateur fixes.
UMASK_SETTING_NAME
POLICY
Utilisation d'une valeur appropriée pour umask sous UNIX
UMASK_SETTING_DESC
POLICY
Sous UNIX, vérifie qu'une valeur umask appropriée (022) a été définie pour le propriétaire du logiciel Oracle
UMASK_SETTING_IMPACT
POLICY
Si umask n'est pas défini sur une valeur adéquate (comme 022), les fichiers journaux ou trace peuvent être accessibles pour Public, divulguant ainsi des informations confidentielles.
UMASK_SETTING_RECOMM
POLICY
Définissez umask sur 022 pour le propriétaire du logiciel Oracle.
UNLMT_FAILED_LGIN_NAME
POLICY
Utilisateurs avec un nombre excessif d'échecs de tentative de connexion autorisé
PROFILE_UNLMTED_FAILED_NAME
POLICY
Profils avec un nombre excessif d'échecs de tentative de connexion autorisé
UNLMT_FAILED_LGIN_DESC
POLICY
Vérifie que le nombre d'échecs de tentative de connexion autorisé est paramétré sur un nombre de tentatives raisonnable pour tous les profils
USR_UNLMT_FAILED_LGIN_DESC
POLICY
Vérifie que le nombre d'échecs de tentative de connexion autorisé est paramétré sur un nombre de tentatives raisonnable pour tous les utilisateurs
UNLMT_FAILED_LGIN_IMPACT
POLICY
Permet à un utilisateur malveillant de deviner le mot de passe manuellement ou par ordinateur.
UNLMT_FAILED_LGIN_RECOMM
POLICY
Paramétrez FAILED_LOGIN_ATTEMPTS dans les profils utilisateur sur 10 (maximum).
MAX_FAILED_LOGIN_ATTEMPTS_PNAME
POLICY
MAX_FAILED_LOGIN_ATTEMPTS
UTL_TCP_PUB_EXE_PRIV_NAME
POLICY
Privilège d'exécution d'UTL_TCP restreint
UTL_TCP_PUB_EXE_PRIV_DESC
POLICY
Vérifie que PUBLIC ne dispose pas de privilèges d'exécution sur le package UTL_FILE
PUB_EXE_PRIV_IMPACT
POLICY
Les privilèges accordés au rôle PUBLIC s'appliquent automatiquement à tous les utilisateurs. Un utilisateur malveillant peut accéder à votre messagerie, à votre réseau et aux modules HTTP via le privilège EXECUTE.
UTL_TCP_PUB_EXE_PRIV_RECOMM
POLICY
Révoquez les privilèges EXECUTE sur le package UTL_TCP.
UTL_HTTP_PUB_EXE_PRIV_NAME
POLICY
Privilège d'exécution d'UTL_HTTP restreint
UTL_HTTP_PUB_EXE_PRIV_DESC
POLICY
Vérifie que PUBLIC ne dispose pas de privilèges d'exécution sur le package UTL_HTTP
UTL_HTTP_PUB_EXE_PRIV_RECOMM
POLICY
Révoquez les privilèges EXECUTE sur le package UTL_HTTP.
UTL_SMTP_PUB_EXE_PRIV_NAME
POLICY
Privilège d'exécution d'UTL_SMTP restreint
UTL_SMTP_PUB_EXE_PRIV_DESC
POLICY
Vérifie que PUBLIC ne dispose pas de privilèges d'exécution sur le package UTL_SMTP
UTL_SMTP_PUB_EXE_PRIV_RECOMM
POLICY
Révoquez les privilèges EXECUTE sur le package UTL_SMTP.
UTL_FILE_PKG_NAME
POLICY
Privilèges Execute sur UTL_FILE pour PUBLIC
UTL_FILE_PKG_DESC
POLICY
Vérifie que PUBLIC ne dispose d'aucun privilège EXECUTE sur le package UTL_FILE
UTL_FILE_PKG_IMPACT
POLICY
Les privilèges accordés au rôle PUBLIC s'appliquent automatiquement à tous les utilisateurs. Un utilisateur malveillant peut lire et écrire des fichiers arbitraires sur le système s'il dispose du privilège UTL_FILE.
UTL_FILE_PKG_RECOMM
POLICY
Révoquez les privilèges EXECUTE de PUBLIC sur le package UTL_FILE.
DBMS_JOB_PKG_NAME
POLICY
Privilèges Execute sur DBMS_JOB pour PUBLIC
DBMS_JOB_PKG_DESC
POLICY
Vérifie qu'aucun privilège EXECUTE n'est accordé à PUBLIC sur le package DBMS_JOB
DBMS_JOB_PKG_IMPACT
POLICY
L'octroi à PUBLIC du privilège EXECUTE sur le package DBMS_JOB permet aux utilisateurs de planifier des travaux dans la base de données.
DBMS_JOB_PKG_RECOMM
POLICY
Aucun privilège EXECUTE ne doit être accordé au groupe PUBLIC sur le package DBMS_JOB.
DBMS_SYS_SQL_PKG_NAME
POLICY
Privilèges Execute sur DBMS_SYS_SQL pour PUBLIC
DBMS_SYS_SQL_PKG_DESC
POLICY
Vérifie qu'aucun privilège EXECUTE n'est accordé à PUBLIC sur le package DBMS_SYS_SQL
DBMS_SYS_SQL_PKG_IMPACT
POLICY
Le package DBMS_SYS_SQL permet d'exécuter du code PL/SQL et SQL en tant que propriétaire de la procédure, et non en tant qu'appelant.
DBMS_SYS_SQL_PKG_RECOMM
POLICY
Révoquez les privilèges EXECUTE du groupe PUBLIC sur le package DBMS_SYS_SQL.
DBMS_LOB_PKG_NAME
POLICY
Privilèges Execute sur DBMS_LOB pour PUBLIC
DBMS_LOB_PKG_DESC
POLICY
Vérifie qu'aucun privilège EXECUTE n'est accordé au groupe PUBLIC sur le package DBMS_LOB
DBMS_LOB_PKG_IMPACT
POLICY
Le package DBMS_LOB permet d'accéder à n'importe quel fichier du système en tant que propriétaire de l'installation de logiciel Oracle.
DBMS_LOB_PKG_RECOMM
POLICY
Révoquez les privilèges EXECUTE du groupe PUBLIC sur le package DBMS_LOB.
PUB_SYSPRIV_NAME
POLICY
Privilèges système pour Public
PUB_SYSPRIV_DESC
POLICY
Vérifie qu'aucun privilège SYSTEM n'est accordé à PUBLIC
PUB_SYSPRIV_IMPACT
POLICY
Les privilèges octroyés au rôle PUBLIC s'appliquent automatiquement à tous les utilisateurs. Vous mettez en péril la sécurité si vous accordez des privilèges SYSTEM à tous les
utilisateurs.
PUB_SYSPRIV_RECOMM
POLICY
Révoquez les privilèges SYSTEM de Public.
DFLT_ACT_PWD_NAME
POLICY
Mots de passe par défaut
DFLT_ACT_PWD_DESC
POLICY
Vérifie qu'il n'existe aucun mot de passe par défaut pour les comptes connus
DFLT_ACT_PWD_IMPACT
POLICY
Un utilisateur malveillant peut accéder à la base de données à l'aide des mots de passe par défaut.
DFLT_ACT_PWD_RECOMM
POLICY
Tous les mots de passe par défaut doivent être modifiés.
WELL_KNOWN_ACCOUNT1_NAME
POLICY
Comptes connus (statut)
WELL_KNOWN_ACCOUNT2_NAME
POLICY
Comptes connus
WELL_KNOWN_ACCOUNT_DESC
POLICY
Vérifie que les comptes connus arrivent à expiration et qu'ils sont verrouillés
WELL_KNOWN_ACCOUNT_IMPACT
POLICY
Un utilisateur malveillant bien informé peut accéder à la base de données via un compte connu.
WELL_KNOWN_ACCOUNT_RECOMM
POLICY
Faites expirer les comptes connus et verrouillez-les.
RMT_LGIN_NAME
POLICY
Fichier de mots de passe distant
RMT_LGIN_DESC
POLICY
Vérifie que les utilisateurs privilégiés sont authentifiés par le système d'exploitation, autrement dit qu'Oracle ignore les fichiers de mots de passe
RMT_LGIN_IMPACT
POLICY
Le paramètre REMOTE_LOGIN_PASSWORDFILE indique si Oracle doit rechercher un fichier de mots de passe. Les fichiers de mot de passe contenant les mots de passe des utilisateurs, y compris celui de SYS, la meilleure façon d'empêcher un individu malveillant de se connecter en s'attaquant en force aux mots de passe consiste à demander l'authentification des utilisateurs privilégiés par le système d'exploitation.
RMT_LGIN_RECOMM
POLICY
Supprimez le fichier de mots de passe et affectez au paramètre REMOTE_LOGIN_PASSWORDFILE la valeur NONE.
RMT_ROLE_AUTH_NAME
POLICY
Authentification du système d'exploitation distant
RMT_ROLE_AUTH_DESC
POLICY
Vérifie que le paramètre d'initialisation REMOTE_OS_AUTHENT est défini sur FALSE
RMT_ROLE_AUTH_IMPACT
POLICY
Un utilisateur malveillant peut accéder à la base de données si l'authentification du système d'exploitation distant est autorisée.
RMT_ROLE_AUTH_RECOMM
POLICY
Affectez la valeur FALSE au paramètre d'initialisation REMOTE_OS_AUTHENT.
RMT_OS_ROLE_NAME
POLICY
Rôle du système d'exploitation distant
RMT_OS_ROLE_DESC
POLICY
Vérifie que le paramètre d'initialisation REMOTE_OS_ROLES est défini sur FALSE
RMT_OS_ROLE_IMPACT
POLICY
Un utilisateur malveillant peut accéder à la base de données si les utilisateurs distants sont susceptibles d'avoir des rôles privilégiés.
RMT_OS_ROLE_RECOMM
POLICY
Affectez la valeur FALSE au paramètre d'initialisation REMOTE_OS_ROLES.
USR_ACCSS_AUD_NAME
POLICY
Accès à la table SYS.AUD$
USR_ACCSS_AUD_DESC
POLICY
Garantit l'accès restreint à la table SYS.AUD$
USR_ACCSS_AUD_IMPACT
POLICY
Un utilisateur malveillant suffisamment expert peut accéder à des informations d'audit confidentielles.
USR_ACCSS_AUD_RECOMM
POLICY
Révoquez les droits d'accès à la table SYS.AUD$ des utilisateurs non-DBA/SYS de la base de données.
ACCESS_USER_HIST_NAME
POLICY
Accès à la table SYS.USER_HISTORY$
ACCESS_USER_HIST_DESC
POLICY
Garantit l'accès restreint à la table SYS.USER_HISTORY$
ACCESS_USER_HIST_IMPACT
POLICY
Le hachage du nom utilisateur et du mot de passe peut être lu à partir de la table SYS.USER_HISTORY$, ce qui permet à un pirate de lancer une attaque en force.
ACCESS_USER_HIST_RECOMM
POLICY
Révoquez les droits d'accès à la table SYS.USER_HISTORY$ des utilisateurs non-DBA/SYS de la base de données.
ACSS_SRC_TAB_NAME
POLICY
Accès à la table SYS.SOURCE$
ACSS_SRC_TAB_DESC
POLICY
Garantit l'accès restreint à la table SYS.SOURCE$
ACSS_SRC_TAB_IMPACT
POLICY
Contient la source de toutes les unités de packages stockés de la base de données.
ACSS_SRC_TAB_RECOMM
POLICY
Révoquez les droits d'accès à la table SYS.SOURCE$ des utilisateurs non-DBA/SYS de la base de données.
ACCSS_LINK_TAB_NAME
POLICY
Accès à la table SYS.LINK$
ACCSS_LINK_TAB_DESC
POLICY
Garantit l'accès restreint à la table LINK$
ACCSS_LINK_TAB_IMPACT
POLICY
Un utilisateur malveillant suffisamment expert peut accéder aux mots de passe des utilisateurs dans la table SYS.LINK$.
ACCSS_LINK_TAB_RECOMM
POLICY
Restreignez l'accès à la table SYS.LINK$.
ACCSS_USER_TAB_NAME
POLICY
Accès à la table SYS.USER$
ACCSS_USER_TAB_DESC
POLICY
Garantit l'accès restreint à la table SYS.USER$
ACCSS_USER_TAB_IMPACT
POLICY
Le hachage du nom utilisateur et du mot de passe peut être lu à partir de la table SYS.USER$, ce qui permet à un pirate de lancer une attaque en force.
ACCSS_USER_TAB_RECOMM
POLICY
Restreignez l'accès à la table SYS.USER$.
ACCSS_SQLTEXT_TAB_NAME
POLICY
Accès à la table STATS$SQLTEXT
ACCSS_SQLTEXT_TAB_DESC
POLICY
Garantit l'accès restreint à la table STATS$SQLTEXT
ACCSS_SQLTEXT_TAB_IMPACT
POLICY
Cette table contient le texte complet des dernières instructions SQL exécutées. Ces instructions peuvent divulguer des informations confidentielles.
ACCSS_SQLTEXT_TAB_RECOMM
POLICY
Restreignez l'accès à la table STATS$SQLTEXT.
ACCSS_SQLSUM_TAB_NAME
POLICY
Accès à la table STATS$SQL_SUMMARY
ACCSS_SQLSUM_TAB_DESC
POLICY
Garantit l'accès restreint à la table STATS$SQL_SUMMARY
ACCSS_SQLSUM_TAB_IMPACT
POLICY
Contient les premières lignes de texte SQL des commandes les plus consommatrices de ressources fournies au serveur. Les instructions SQL exécutées sans variable attachée (bind variable) peuvent apparaître ici et divulguer des informations privilégiées.
ACCSS_SQLSUM_TAB_RECOMM
POLICY
Restreignez l'accès à la table STATS$SQL_SUMMARY.
ACCSS_ALL_SRC_NAME
POLICY
Accès à la vue ALL_SOURCE
ACCSS_ALL_SRC_DESC
POLICY
Garantit l'accès restreint à la vue ALL_SOURCE
ACCSS_ALL_SRC_IMPACT
POLICY
La vue ALL_SOURCE contient la source de tous les packages stockés de la base de données.
ACCSS_ALL_SRC_RECOMM
POLICY
Révoquez les droits d'accès des utilisateurs non-SYS de la base de données sur la vue ALL_SOURCE.
ACCSS_DBA_ROLES_NAME
POLICY
Accès à la vue DBA_ROLES
ACCSS_DBA_ROLES_DESC
POLICY
Garantit l'accès restreint à la vue DBA_ROLES
ACCSS_DBA_ROLES_IMPACT
POLICY
La vue DBA_ROLES contient les détails de tous les rôles de la base de données. Un utilisateur malveillant peut exploiter ces informations sur la structure des rôles.
ACCSS_DBA_ROLES_RECOMM
POLICY
Restreignez l'accès à la vue DBA_ROLES.
ACCSS_DBA_SYSPRIVS_NAME
POLICY
Accès à la vue DBA_SYS_PRIVS
ACCSS_DBA_SYSPRIVS_DESC
POLICY
Garantit l'accès restreint à la vue DBA_SYS_PRIVS
ACCSS_DBA_SYSPRIVS_IMPACT
POLICY
La vue DBA_SYS_PRIVS peut être interrogée pour trouver les privilèges système accordés aux rôles et aux utilisateurs. Un utilisateur malveillant peut exploiter ces informations sur la structure des rôles de la base de données.
ACCSS_DBA_SYSPRIVS_RECOMM
POLICY
Restreignez l'accès à la vue DBA_SYS_PRIVS.
ACCSS_DBA_ROLEPRIVS_NAME
POLICY
Accès à la vue DBA_ROLE_PRIVS
ACCSS_DBA_ROLEPRIVS_DESC
POLICY
Garantit l'accès restreint à la vue DBA_ROLE_PRIVS
ACCSS_DBA_ROLEPRIVS_IMPACT
POLICY
La vue DBA_ROLE_PRIVS répertorie les rôles accordés aux utilisateurs et aux autres rôles. Un utilisateur malveillant peut exploiter ces informations sur la structure des rôles de la base de données.
ACCSS_DBA_ROLEPRIVS_RECOMM
POLICY
Restreignez l'accès à la vue DBA_ROLE_PRIVS.
ACCSS_DBA_TABPRIVS_NAME
POLICY
Accès à la vue DBA_TAB_PRIVS
ACCSS_DBA_TABPRIVS_DESC
POLICY
Garantit l'accès restreint à la vue DBA_TAB_PRIVS
ACCSS_DBA_TABPRIVS_IMPACT
POLICY
Répertorie les privilèges accordés aux utilisateurs et aux rôles sur les objets de la base de données. Un utilisateur malveillant peut exploiter ces informations sur la structure des rôles de cette base de données.
ACCSS_DBA_TABPRIVS_RECOMM
POLICY
Restreignez l'accès à la vue DBA_TAB_PRIVS.
ACCSS_DBA_USERS_NAME
POLICY
Accès à la vue DBA_USERS
ACCSS_DBA_USERS_DESC
POLICY
Garantit l'accès restreint à la vue DBA_USERS
ACCSS_DBA_USERS_IMPACT
POLICY
Contient les hachages de mots de passe des utilisateurs et d'autres informations relatives aux comptes. L'accès à ces informations peut être utilisé pour lancer des attaques en force.
ACCSS_DBA_USERS_RECOMM
POLICY
Restreignez l'accès à la vue DBA_USERS.
ACCSS_ROLE_ROLE_NAME
POLICY
Accès à la vue ROLE_ROLE_PRIVS
ACCSS_ROLE_ROLE_DESC
POLICY
Garantit l'accès restreint à la vue ROLE_ROLE_PRIVS
ACCSS_ROLE_ROLE_IMPACT
POLICY
Répertorie les rôles octroyés à d'autres rôles. Un utilisateur malveillant peut exploiter ces informations sur la structure des rôles de la base de données.
ACCSS_ROLE_ROLE_RECOMM
POLICY
Restreignez l'accès à la vue ROLE_ROLE_PRIVS.
ACCSS_USER_TAB_PRIVS_NAME
POLICY
Accès à la vue USER_TAB_PRIVS
ACCSS_USER_TAB_PRIVS_DESC
POLICY
Garantit l'accès restreint à la vue USER_TAB_PRIVS
ACCSS_USER_TAB_PRIVS_IMPACT
POLICY
Répertorie les privilèges sur les objets dont l'utilisateur est le propriétaire, le dispensateur ou le bénéficiaire. Un utilisateur malveillant peut exploiter ces informations sur la structure des rôles de la base de données.
ACCSS_USER_TAB_PRIVS_RECOMM
POLICY
Restreignez l'accès à la vue USER_TAB_PRIVS.
ACCSS_USER_ROLE_PRIV_NAME
POLICY
Accès à la vue USER_ROLE_PRIVS
ACCSS_USER_ROLE_PRIV_DESC
POLICY
Garantit l'accès restreint à la vue USER_ROLE_PRIVS
ACCSS_USER_ROLE_PRIV_IMPACT
POLICY
Répertorie les rôles octroyés à l'utilisateur en cours. Un utilisateur malveillant peut exploiter ces informations sur la structure des rôles de la base de données.
ACCSS_USER_ROLE_PRIV_RECOMM
POLICY
Restreignez l'accès à la vue USER_ROLE_PRIVS.
SECURE_OS_AUDIT_LEVEL_NAME
POLICY
Niveau d'audit sécurisé du système d'exploitation
SECURE_OS_AUDIT_LEVEL_DESC
POLICY
Sous UNIX, vérifie qu'AUDIT_SYSLOG_LEVEL est paramétré sur une valeur autre que la valeur par défaut lorsque la fonction d'audit du système d'exploitation est activée
SECURE_OS_AUDIT_LEVEL_IMPACT
POLICY
Si le paramètre d'initialisation AUDIT_SYSLOG_LEVEL est défini sur la valeur par défaut (NONE), les DBA auront accès aux enregistrements d'audit du système d'exploitation.
SECURE_OS_AUDIT_LEVEL_RECOM
POLICY
Lorsque la fonction d'audit du système d'exploitation est activée, définissez le paramètre d'initialisation AUDIT_SYSLOG_LEVEL sur une valeur valide et configurez /etc/syslog.conf pour que les enregistrements d'audit du système d'exploitation Oracle soient écrits dans un fichier distinct.
DATA_DICTIONARY_PROTECTED_NAME
POLICY
Dictionnaire de données protégé
DATA_DICTIONARY_PROTECTED_DESC
POLICY
Vérifie que la protection du dictionnaire de données est activée
DATA_DICTIONARY_PROTECTED_IMPACT
POLICY
Le paramètre 07_DICTIONARY_ACCESSIBILITY régit l'accès au dictionnaire de données. Lorsqu'il a la valeur TRUE, les utilisateurs disposant de privilèges système ANY peuvent accéder au dictionnaire de données. De ce fait, ces comptes utilisateur peuvent être exploités pour obtenir un accès non autorisé aux données.
DATA_DICTIONARY_PROTECTED_RECOM
POLICY
Affectez au paramètre 07_DICTIONARY_ACCESSIBILITY la valeur FALSE.
AUDIT_SYS_OPS_NAME
POLICY
Audit des opérations SYS activé
AUDIT_SYS_OPS_DESC
POLICY
Vérifie que les sessions des utilisateurs qui se connectent en tant que SYS sont auditées en totalité.
AUDIT_SYS_OPS_IMPACT
POLICY
Le paramètre AUDIT_SYS_OPERATIONS permet d'activer ou de désactiver l'audit des opérations effectuées par l'utilisateur SYS, et par des utilisateurs se connectant avec les privilèges SYSDBA ou SYSOPER.
AUDIT_SYS_OPS_RECOM
POLICY
Affectez au paramètre AUDIT_SYS_OPERATIONS la valeur TRUE.
PROXY_ACCOUNT_NAME
POLICY
Compte proxy
PROXY_ACCOUNT_DESC
POLICY
Vérifie que les comptes proxy disposent de privilèges limités.
PROXY_ACCOUNT_IMPACT
POLICY
L'utilisateur proxy a seulement besoin de se connecter à la base de données. Une fois connecté, il utilisera les privilèges de l'utilisateur au nom duquel il se connecte. L'octroi à l'utilisateur proxy de privilèges autres que CREATE SESSION est inutile et peut mener à des abus.
PROXY_ACCOUNT_RECOMM
POLICY
Limitez les privilèges des comptes proxy à CREATE SESSION.
RBS_IN_SYSTEM_NAME
POLICY
Annulation (rollback) dans le tablespace SYSTEM
RBS_IN_SYSTEM_DESC
POLICY
Recherche les segments d'annulation (rollback) dans le tablespace SYSTEM
RBS_IN_SYSTEM_IMPACT
POLICY
Le tablespace SYSTEM doit être réservé au dictionnaire de données Oracle et aux objets associés. Il ne doit PAS servir à stocker un autre type d'objet, comme les tables utilisateur, les index utilisateur, les vues utilisateur, les segments d'annulation (undo et rollback) ou les segments temporaires.
RBS_IN_SYSTEM_RECOM
POLICY
Utilisez un tablespace dédié à l'annulation (undo) au lieu du tablespace SYSTEM.
RBS_TBSP_TR_NLSID
POLICY
Nom du tablespace réservé aux segments d'annulation (rollback)
PERM_AS_TEMP_TBSP_NAME
POLICY
Utilisateurs se servant d'un tablespace permanent comme tablespace temporaire
PERM_AS_TEMP_TBSP_DESC
POLICY
Recherche les utilisateurs se servant d'un tablespace permanent comme tablespace temporaire
PERM_AS_TEMP_TBSP_IMPACT
POLICY
Ces utilisateurs emploient un tablespace permanent comme tablespace temporaire. L'utilisation de tablespaces temporaires permet de gérer l'espace pour rendre les opérations de tri plus efficaces. L'utilisation d'un tablespace permanent pour ces opérations risque de dégrader les performances, notamment pour Real Application Clusters. En outre, cette situation pose un autre problème de sécurité : les utilisateurs peuvent utiliser tout l'espace disponible dans le tablespace système, ce qui empêche la base de données de fonctionner.
PERM_AS_TEMP_TBSP_RECOM
POLICY
Modifiez le tablespace temporaire de ces utilisateurs, en indiquant un tablespace de type TEMPORARY.
SYSTEM_AS_DEFAULT_TBSP_NAME
POLICY
Utilisateurs non-système utilisant un tablespace système comme tablespace par défaut
SYSTEM_AS_DEFAULT_TBSP_DESC
POLICY
Recherche les utilisateurs non-système utilisant SYSTEM ou SYSAUX comme tablespace par défaut
SYSTEM_AS_DEFAULT_TBSP_IMPACT
POLICY
Ces utilisateurs non-système emploient un tablespace système comme tablespace par défaut. Cette violation entraîne l'ajout de segments de données non-système dans le tablespace système, rendant plus difficile la gestion de ces segments. Cela risque également de dégrader les performances du tablespace système. En outre, un problème de sécurité se pose : l'utilisateur peut consommer tout l'espace disponible dans le tablespace système, ce qui empêche la base de données de fonctionner.
SYSTEM_AS_DEFAULT_TBSP_RECOM
POLICY
Changez le tablespace par défaut de ces utilisateurs en spécifiant un tablespace non-système.
TBSP_SEGSPACE_MGMT_NAME
POLICY
Tablespace n'utilisant pas la gestion automatique de l'espace dans les segments
TBSP_SEGSPACE_MGMT_DESC
POLICY
Recherche les tablespaces gérés localement qui utilisent la gestion manuelle (MANUAL) de l'espace dans les segments. Les tablespaces SYSTEM et SYSAUX sont exclus de cette recherche.
TBSP_SEGSPACE_MGMT_IMPACT
POLICY
La gestion automatique de l'espace dans les segments simplifie la gestion de l'espace dans un segment et la rend plus efficace. Vous n'avez plus besoin de définir et de régler les paramètres de stockage PCTUSED, FREELISTS et FREELIST GROUPS pour les objets de schéma créés dans le tablespace. Dans un environnement RAC, cette option présente en outre l'avantage d'éviter le partitionnement forcé de l'espace, inhérent à l'utilisation de groupes de listes d'espaces libres.
TBSP_SEGSPACE_MGMT_RECOM
POLICY
Oracle recommande de donner la valeur AUTO aux paramètres de gestion de l'espace dans les segments définis sur MANUAL pour tous les tablespaces permanents gérés localement. Le tablespace doit être réorganisé pour modifier ce paramètre.
TBSP_DICTIONARY_NAME
POLICY
Tablespaces gérés par un dictionnaire
TBSP_DICTIONARY_DESC
POLICY
Détecte les tablespaces gérés par un dictionnaire
TBSP_DICTIONARY_IMPACT
POLICY
Ces tablespaces sont gérés par un dictionnaire. Oracle recommande d'utiliser des tablespaces gérés localement avec l'option de gestion automatique de l'espace dans les segments (AUTO) afin d'améliorer les performances et de faciliter la gestion de l'espace.
TBSP_DICTIONARY_RECOM
POLICY
Redéfinissez ces tablespaces pour qu'ils soient gérés localement.
TBSP_MIXED_SEGS_NAME
POLICY
Tablespaces contenant des segments d'annulation (rollback) et de données
TBSP_MIXED_SEGS_DESC
POLICY
Recherche les tablespaces contenant à la fois des segments d'annulation et des segments de données
TBSP_MIXED_SEGS_IMPACT
POLICY
Ces tablespaces contiennent à la fois des segments d'annulation (rollback) et des segments de données. Ce mélange de types de segment rend plus difficile la gestion de l'espace et peut dégrader les performances du tablespace. L'utilisation d'un tablespace dédié pour les segments d'annulation (rollback) augmente la disponibilité et les performances.
TBSP_MIXED_SEGS_RECOM
POLICY
Utilisez la gestion automatique de l'annulation (undo), dans Oracle 9.0.1 ou supérieure, et supprimez les segments d'annulation (rollback) de ce tablespace. Vous pouvez aussi créer des tablespaces dédiés aux segments d'annulation (rollback) et supprimer les segments d'annulation (rollback) de ce tablespace. Enfin, vous pouvez dédier ce tablespace aux segments d'annulation (rollback) et déplacer les segments de données vers un autre tablespace.
DEFAULT_TEMP_TBSP_NAME
POLICY
Tablespace temporaire par défaut défini sur le tablespace SYSTEM
DEFAULT_TEMP_TBSP_DESC
POLICY
Vérifie si la propriété de base de données DEFAULT_TEMP_TABLESPACE est définie sur le tablespace SYSTEM
DEFAULT_TEMP_TBSP_IMPACT
POLICY
S'il n'est pas défini explicitement, DEFAULT_TEMP_TABLESPACE a comme valeur par défaut le tablespace SYSTEM, ce qui est déconseillé. Le tablespace temporaire par défaut sert de tablespace temporaire à tous les utilisateurs auxquels aucun tablespace temporaire n'a été explicitement attribué. Si un espace système est utilisé pour cela, tous les utilisateurs auxquels aucun tablespace temporaire n'a été attribué utilisent l'espace système comme tablespace temporaire. Or, cet espace ne doit pas être utilisé pour le stockage de données temporaires car cela peut entraîner une dégradation des performances de la base de données. En outre, un problème de sécurité se pose : si des utilisateurs non-système stockent des données dans un tablespace système, ils peuvent consommer tout l'espace disponible, ce qui empêche la base de données de fonctionner.
DEFAULT_TEMP_TBSP_RECOM
POLICY
Oracle recommande vivement de définir DEFAULT_TEMP_TABLESPACE sur un tablespace temporaire non-système. Dans la version 10g de la base de données, DEFAULT_TEMP_TABLESPACE peut également être paramétré sur un groupe de tablespaces temporaires. Créez ou modifiez un tablespace temporaire ou un groupe de tablespaces temporaires, et paramétrez-le comme tablespace temporaire par défaut.
DEFAULT_PERMANENT_TBSP_NAME
POLICY
Tablespace permanent par défaut défini sur le tablespace SYSTEM
DEFAULT_PERMANENT_TBSP_DESC
POLICY
Vérifie si la propriété de base de données DEFAULT_PERMANENT_TABLESPACE est définie sur un tablespace système
DEFAULT_PERMANENT_TBSP_IMPACT
POLICY
S'il n'est pas défini explicitement, DEFAULT_PERMANENT_TABLESPACE a comme valeur par défaut le tablespace SYSTEM, ce qui est déconseillé. Le tablespace permanent par défaut de la base de données sert de tablespace permanent à tous les utilisateurs non-système auxquels aucun tablespace permanent n'a été explicitement attribué. Si un espace système est utilisé pour cela, tous les utilisateurs auxquels aucun tablespace n'a été attribué utilisent le tablespace système. Or, ce dernier ne doit pas être utilisé pour le stockage de données car cela peut entraîner une dégradation des performances de la base de données. En outre, un problème de sécurité se pose : si des utilisateurs non-système stockent des données dans un espace système, ils peuvent consommer tout l'espace disponible, ce qui empêche la base de données de fonctionner.
DEFAULT_PERMANENT_TBSP_RECOM
POLICY
Oracle recommande vivement de définir DEFAULT_PERMANENT_TABLESPACE sur un tablespace non-système. Sélectionnez un autre espace pour DEFAULT_PERMANENT_TABLESPACE. Pour ce faire, créez ou modifiez un tablespace, et paramétrez-le comme tablespace permanent par défaut.
NO_UNDO_TBSP_NAME
POLICY
Non-utilisation de la gestion automatique de l'annulation (undo)
NO_UNDO_TBSP_DESC
POLICY
Détecte la non-utilisation de la gestion automatique de l'espace d'annulation (undo)
NO_UNDO_TBSP_IMPACT
POLICY
Si vous n'utilisez pas la gestion automatique de l'espace d'annulation (undo), des conflits et des problèmes de performances inutiles peuvent se produire dans votre base de données. Il peut s'agir notamment de conflits des blocs d'en-tête du segment d'annulation (rollback), sous la forme d'attentes de tampon occupé et d'une augmentation de la probabilité de l'erreur ORA-1555 (Clichés trop anciens).
NO_UNDO_TBSP_RECOM
POLICY
Utilisez la gestion automatique de l'espace d'annulation (undo) au lieu de l'annulation manuelle ou des segments d'annulation (rollback).
NO_SPFILE_NAME
POLICY
Non-utilisation du fichier SPFILE
NO_SPFILE_DESC
POLICY
Détecte la non-utilisation du fichier SPFILE
NO_SPFILE_IMPACT
POLICY
Le fichier SPFILE (fichier de paramètres côté serveur) vous permet de rendre persistantes les modifications dynamiques apportées aux paramètres d'initialisation d'Oracle à l'aide des commandes ALTER SYSTEM. Cette persistance est valable même après l'arrêt de la base de données. Lorsqu'une base de données possède un fichier SPFILE, vous n'avez pas besoin d'apporter les modifications correspondantes au fichier Oracle init.ora. De plus, toutes les modifications effectuées via les commandes ALTER SYSTEM sont conservées après arrêt et redémarrage du système.
NO_SPFILE_RECOM
POLICY
Utilisez le fichier de paramètres côté serveur pour mettre à jour les modifications de façon dynamique.
NON_UNIFORM_TBSP_NAME
POLICY
Taille d'ensemble de blocs contigus par défaut non uniforme pour les tablespaces
NON_UNIFORM_TBSP_DESC
POLICY
Recherche les tablespaces gérés par un dictionnaire, ou gérés localement et migrés, dont la taille d'ensemble de blocs contigus par défaut n'est pas uniforme
NON_UNIFORM_TBSP_IMPACT
POLICY
Le programme a détecté des tablespaces gérés par un dictionnaire, ou gérés localement et migrés, qui utilisent une taille d'ensemble de blocs contigus par défaut non uniforme. Cela signifie que la taille des ensembles de blocs contigus d'un même tablespace varie, ce qui peut entraîner une fragmentation, rendre l'espace inefficace et dégrader les performances.
NON_UNIFORM_TBSP_RECOM
POLICY
Pour garantir des tailles d'ensemble de blocs contigus uniformes, définissez les attributs de stockage de chaque tablespace de sorte que la taille suivante soit égale à taille initiale ou qu'elle en soit un multiple. N'indiquez jamais explicitement d'attributs de stockage au niveau du segment. Préférez laisser les segments hériter leurs valeurs de stockage des attributs de stockage par défaut du tablespace.
SEG_NONSYS_SEG_IN_SYS_TS_NAME
POLICY
Segments de données non-système dans des tablespaces système
SEG_NONSYS_SEG_IN_SYS_TS_DESC
POLICY
Recherche les segments de données appartenant à des utilisateurs non-système, situés dans les tablespaces SYSTEM et SYSAUX
SEG_NONSYS_SEG_IN_SYS_TS_IMPACT
POLICY
Ces segments appartenant aux utilisateurs non-système sont stockés dans les tablespaces système SYSTEM ou SYSAUX. Cette violation rend la gestion des segments de données plus difficile et peut dégrader les performances du tablespace système. En outre, un problème de sécurité se pose : si des utilisateurs non-système stockent des données dans un tablespace système, ils peuvent consommer tout l'espace disponible, ce qui empêche la base de données de fonctionner. Les utilisateurs système sont les utilisateurs qui font partie du SGBD, comme SYS et SYSTEM, ou des installations fournies par Oracle (par exemple, CTXSYS, SYSMAN et OLAPSYS).
SEG_NONSYS_SEG_IN_SYS_TS_RECOM
POLICY
Transférez les segments non-système vers un tablespace non-système.
SEG_EXT_GROWTH_VIO_NAME
POLICY
Segment avec violation de la règle de croissance des ensembles de blocs contigus
SEG_EXT_GROWTH_VIO_DESC
POLICY
Détecte les segments des tablespaces gérés par dictionnaire, ou migrés et gérés localement, dont les tailles d'ensembles de blocs contigus sont irrégulières et/ou dont le paramètre Augmentation en % n'est pas égal à zéro.
SEG_EXT_GROWTH_VIO_IMPACT
POLICY
Ces segments comportent des ensembles de blocs contigus dont les tailles ne sont pas des multiples de la taille d'ensemble de blocs contigus initiale ou dont le paramètre Augmentation en % n'est pas égal à zéro. Cela peut provoquer une réutilisation inefficace de l'espace et des problèmes de fragmentation.
SEG_EXT_GROWTH_VIO_RECOM
POLICY
Implémentez l'une de ces deux recommandations : 1) Créez un tablespace géré localement et réorganisez ces segments dans cet espace. 2) Réorganisez ces segments en indiquant une valeur Ensemble de blocs contigus suivant qui soit un multiple de la valeur Ensemble de blocs contigus initial et une valeur Augmentation en % égale à zéro.
HIDDEN_PARAMS_NAME
POLICY
Utilisation de paramètres d'initialisation non standard
HIDDEN_PARAMS_DESC
POLICY
Recherche l'utilisation de paramètres d'initialisation non standard
HIDDEN_PARAMS_IMPACT
POLICY
Des paramètres d'initialisation non standard sont utilisés. Ils ont peut-être été implémentés sur la base de mauvais conseils ou d'hypothèses incorrectes. En particulier, les paramètres associés à SPIN_COUNT sur les verrous internes et les fonctionnalités de l'optimiseur non décrites peuvent poser beaucoup de problèmes nécessitant des recherches importantes.
HIDDEN_PARAMS_RECOM
POLICY
Evitez d'utiliser des paramètres d'initialisation non standard.
STATISTICS_LEVEL_HIGH_NAME
POLICY
Paramètre STATISTICS_LEVEL défini sur ALL
STATISTICS_LEVEL_HIGH_DESC
POLICY
Vérifie si le paramètre d'initialisation STATISTICS_LEVEL a la valeur ALL
STATISTICS_LEVEL_HIGH_IMPACT
POLICY
La collecte automatique des statistiques permet à l'optimiseur de générer des plans d'exécution précis, et est essentielle pour l'identification et la correction des problèmes de performances. Le paramètre d'initialisation STATISTICS_LEVEL a actuellement la valeur ALL, ce qui signifie que des statistiques du système d'exploitation supplémentaires et des statistiques de plan d'exécution sont collectées. Ces statistiques sont inutiles et créent une surcharge pour le système.
STATISTICS_LEVEL_HIGH_RECOM
POLICY
Oracle recommande de donner au paramètre d'initialisation STATISTICS_LEVEL la valeur TYPICAL.
STATISTICS_LEVEL_NAME
POLICY
Collecte automatique de statistiques désactivée
STATISTICS_LEVEL_DESC
POLICY
Vérifie si le paramètre d'initialisation STATISTICS_LEVEL est défini sur BASIC
STATISTICS_LEVEL_IMPACT
POLICY
La collecte automatique des statistiques permet à l'optimiseur de générer des plans d'exécution précis, et est essentielle pour l'identification et la correction des problèmes de performances. Par défaut, STATISTICS_LEVEL est paramétré sur TYPICAL. Si le paramètre d'initialisation STATISTICS_LEVEL a la valeur BASIC, la collecte de plusieurs statistiques importantes, obligatoires pour les fonctions de la base de données Oracle, est désactivée.
STATISTICS_LEVEL_RECOM
POLICY
Oracle recommande vivement de donner au paramètre d'initialisation STATISTICS_LEVEL la valeur TYPICAL.
TIMED_STATISTICS_NAME
POLICY
TIMED_STATISTICS a la valeur FALSE
TIMED_STATISTICS_DESC
POLICY
Vérifie si le paramètre d'initialisation TIMED_STATISTICS a la valeur FALSE.
TIMED_STATISTICS_IMPACT
POLICY
Définir TIMED_STATISTICS sur la valeur FALSE empêche de collecter les statistiques associées, par exemple le temps d'exécution pour plusieurs opérations internes. Ces statistiques s'avèrent utiles pour le diagnostic et le réglage des performances. Définir TIMED_STATISTICS sur TRUE permettra de collecter les statistiques associées. Ainsi, le fichier trace jouera un rôle plus déterminant et des statistiques plus précises seront générées pour les opérations longues.
TIMED_STATISTICS_RECOM
POLICY
Oracle recommande vivement de définir le paramètre d'initialisation TIMED_STATISTICS sur TRUE. TIMED_STATISTICS peut être défini au niveau système ou session.
TIMED_STATISTICS_MESSAGE
POLICY
TIMED_STATISTICS est paramétré sur FALSE.
TIMED_STATISTICS_CLEAR_MESSAGE
POLICY
TIMED_STATISTICS a la valeur TRUE.
TIMED_STATISTICS_FIX
POLICY
Modifier le paramètre d'initialisation TIMED_STATISTICS
AUTO_PGA_NAME
POLICY
Non-utilisation de la gestion automatique PGA
AUTO_PGA_DESC
POLICY
Vérifie si le paramètre d'initialisation PGA_AGGREGATE_TARGET a la valeur 0 ou si WORKAREA_SIZE_POLICY a la valeur MANUAL.
AUTO_PGA_IMPACT
POLICY
La gestion automatique de la mémoire PGA simplifie et améliore l'allocation de mémoire PGA. Lorsque cette fonction est activée, Oracle peut ajuster de manière dynamique la portion de mémoire PGA dédiée aux zones de travail, tout en respectant la limite PGA_AGGREGATE_TARGET définie par le DBA.
AUTO_PGA_RECOM
POLICY
Oracle recommande vivement d'activer la gestion automatique de la mémoire PGA et de définir le paramètre d'initialisation PGA_AGGREGATE_TARGET sur un nombre différent de zéro. Utilisez les conseils relatifs à la mémoire PGA d'Oracle pour vous aider à définir la taille optimale de PGA_AGGREGATE_TARGET.
SMALL_REDO_LOGS_NAME
POLICY
Taille de fichier de journalisation insuffisante
SMALL_REDO_LOGS_DESC
POLICY
Recherche les fichiers de journalisation dont la taille est inférieure à 1 Mo
SMALL_REDO_LOGS_IMPACT
POLICY
Si les fichiers de journalisation sont peu volumineux, les points de reprise système font subir une charge importante au cache de tampon et au système d'E/S.
SMALL_REDO_LOGS_RECOM
POLICY
Augmentez la taille des fichiers de journalisation (elle doit être d'au moins 1 Mo).
REDO_LOG_SIZE_TR_NLSID
POLICY
Taille des fichiers de journalisation (Mo)
INSUFF_REDO_LOGS_NAME
POLICY
Nombre de fichiers de journalisation insuffisant
INSUFF_REDO_LOGS_DESC
POLICY
Détecte l'utilisation de moins de trois fichiers de journalisation
INSUFF_REDO_LOGS_IMPACT
POLICY
Les fichiers de journalisation en ligne servent à enregistrer les modifications apportées à la base de données à des fins de récupération. Si l'archivage est activé, ces fichiers doivent être archivés avant d'être réutilisables. Toute base de données exige au moins deux groupes de fichiers de journalisation en ligne pour fonctionner. Lorsque la taille et le nombre de ces fichiers ne sont pas corrects, LGWR attend qu'ARCH termine l'écriture vers la destination des journaux archivés de chaque fichier journal avant de l'écraser. Ceci peut provoquer un important ralentissement des performances pendant les périodes de forte activité.
INSUFF_REDO_LOGS_RECOM
POLICY
Oracle recommande de disposer d'au moins trois groupes de fichiers de journalisation en ligne, contenant chacun au moins deux membres. Pour des raisons évidentes, les membres de mêmes groupes doivent figurer sur des lecteurs de disque différents.
REDO_LOG_COUNT_TR_NLSID
POLICY
Nombre de fichiers de journalisation
INSUFF_CONTROL_FILES_NAME
POLICY
Nombre de fichiers de contrôle insuffisant
INSUFF_CONTROL_FILES_DESC
POLICY
Détecte l'utilisation d'un seul fichier de contrôle
INSUFF_CONTROL_FILES_IMPACT
POLICY
Le fichier de contrôle est l'un des fichiers les plus importants d'une base de données Oracle. Il tient à jour de nombreuses caractéristiques physiques et informations de récupération importantes à propos de la base de données. Si vous perdez l'unique copie du fichier de contrôle suite à une erreur matérielle, un temps d'inactivité inutile en résulte et vous courrez d'autres risques.
INSUFF_CONTROL_FILES_RECOM
POLICY
Utilisez au moins deux fichiers de contrôle multiplexés sur différents disques.
CONTROL_FILE_COUNT_TR_NLSID
POLICY
Nombre de fichiers de contrôle
ASM_DISK_SIZE_NAME
POLICY
Le groupe de disques contient des disques de tailles très différentes
ASM_DISK_SIZE_DESC
POLICY
Recherche, dans les groupes de disques, les disques dont les tailles varient de plus de 5 %.
ASM_DISK_SIZE_IMPACT
POLICY
Les disques appartenant à un groupe de disques doivent avoir des tailles qui ne diffèrent pas de plus de 5 % les unes des autres, sauf si une migration de données est en cours. Automatic Storage Management répartit les données de manière uniforme, proportionnellement à la taille des disques. Pour que vous puissiez obtenir des E/S équilibrées et des performances optimales, les disques de chaque groupe doivent avoir des caractéristiques de taille et de performances similaires.
ASM_DISK_SIZE_RECOM
POLICY
Supprimez, remplacez ou redimensionnez des disques du groupe afin que les différences de taille entre les disques soient inférieures à 5 %.
ASM_DATA_PROTECTION_NAME
POLICY
Le groupe de disques dépend de la redondance externe et comporte des disques non protégés
ASM_DATA_PROTECTION_DESC
POLICY
Recherche, dans un groupe de disques dépendant de la redondance externe, les disques non mis en miroir ou dont la parité n'est pas protégée.
ASM_DATA_PROTECTION_IMPACT
POLICY
Vous risquez de perdre des données si le groupe de disques dépend de la redondance externe, et que les disques ne sont pas mis en miroir ou que leur parité n'est pas protégée.
ASM_DATA_PROTECTION_RECOM
POLICY
Remplacez les disques problématiques par des disques en miroir ou dont la parité est protégée, ou déplacez les disques non protégés vers un groupe de disques ayant la valeur de redondance NORMAL ou HIGH.
ASM_MIXED_REDUNDANCY_NAME
POLICY
Le groupe de disques contient des disques avec des attributs de redondance différents
ASM_MIXED_REDUNDANCY_DESC
POLICY
Recherche, dans un groupe de disques, les disques ayant des attributs de redondance différents.
ASM_MIXED_REDUNDANCY_IMPACT
POLICY
Si les disques d'un même groupe ont des attributs de redondance différents, les niveaux de protection des données risquent d'être incohérents.
ASM_MIXED_REDUNDANCY_RECOM
POLICY
Déplacez les disques dont les attributs de redondance sont différents vers d'autres groupes de disques.
ASM_UNNEEDED_REDUNDANCY_NAME
POLICY
Des groupes de disques dont la valeur de redondance est NORMAL ou HIGH comportent des disques mis en miroir ou dont la parité est protégée
ASM_UNNEEDED_REDUNDANCY_DESC
POLICY
Recherche, dans un groupe de disques ayant la valeur de redondance NORMAL ou HIGH, les disques mis en miroir ou dont la parité est protégée.
ASM_UNNEEDED_REDUNDANCY_IMPACT
POLICY
Des ressources de disque sont perdues et les performances peuvent en souffrir, quand un disque et son groupe de disques propriétaire fournissent tous deux une redondance des données.
ASM_UNNEEDED_REDUNDANCY_RECOM
POLICY
Remplacez les disques du groupe dont la redondance est NORMAL ou HIGH par des disques non protégés.
NO_RECOVERY_AREA_NAME
POLICY
Emplacement de la zone de récupération non défini
NO_RECOVERY_AREA_DESC
POLICY
Avertit lorsque la zone de récupération n'est pas définie
NO_RECOVERY_AREA_IMPACT
POLICY
Si vous ne définissez pas l'emplacement de la zone de récupération, l'emplacement de stockage sera divisé pour tous les composants de récupération.
NO_RECOVERY_AREA_RECOM
POLICY
Il est recommandé de définir l'emplacement de la zone de récupération de sorte à indiquer un emplacement de stockage unifié pour tous les composants de récupération.
NO_FORCE_LOGGING_NAME
POLICY
Journalisation forcée désactivée
NO_FORCE_LOGGING_DESC
POLICY
Lorsque le broker Data Guard est utilisé, vérifie si la journalisation forcée est désactivée pour la base de données principale
NO_FORCE_LOGGING_IMPACT
POLICY
La base de données principale n'est pas en mode Journalisation forcée. Par conséquent, les écritures directes non journalisées dans la base de données principale ne peuvent pas être propagées vers la base de données de secours.
NO_FORCE_LOGGING_RECOM
POLICY
Vous devez placer la base de données principale en mode Journalisation forcée via la commande ALTER DATABASE FORCE LOGGING.
TKPROF_NAME
POLICY
Droit d'accès à l'exécutable TKPROF
TKPROF_NAME_NT
POLICY
Droit d'accès à l'exécutable TKPROF (Windows)
TKPROF_DESC
POLICY
Vérifie que les droits d'accès au fichier exécutable TKPROF sont limités à la lecture et à l'exécution pour le groupe, et qu'ils ne sont pas accessibles au public
TKPROF_IMPACT
POLICY
Un droit d'accès excessif pour TKPROF ne protège pas les informations qu'il contient.
TKPROF_RECOM
POLICY
Enlevez l'exécutable TKPROF s'il n'est pas obligatoire. Sinon, les droits d'accès au fichier exécutable TKPROF doivent se limiter à la lecture et à l'exécution pour le groupe, et ne pas être accessibles au public.
TKPROF_OWNER_NAME
POLICY
Propriétaire de l'exécutable TKPROF
TKPROF_OWNER_DESC
POLICY
Vérifie que le fichier exécutable TKPROF appartient au propriétaire du logiciel Oracle
TKPROF_OWNER_IMPACT
POLICY
Si l'appartenance de TKPROF n'est pas limitée à l'ensemble de logiciels Oracle et au groupe DBA, il peut y avoir fuite d'informations.
TKPROF_OWNER_RECOM
POLICY
Restreignez les droits d'accès à l'exécutable TKPROF au propriétaire de l'ensemble de logiciels Oracle et au groupe DBA.
OTRACE_NAME
POLICY
Fichiers de données Otrace
OTRACE_DESC
POLICY
Evite tout impact négatif de la collecte de données par Otrace sur les performances de la base de données et l'utilisation de l'espace disque
OTRACE_IMPACT
POLICY
La collecte de données de performances et d'utilisation des ressources peut avoir un impact négatif sur les performances de la base de données et l'utilisation de l'espace disque.
OTRACE_RECOM
POLICY
Otrace doit être désactivé.
SQLPLUS_NAME
POLICY
Droit d'accès à l'exécutable SQL*Plus
SQLPLUS_NAME_NT
POLICY
Droit d'accès à l'exécutable SQL*Plus (Windows)
SQLPLUS_DESC
POLICY
Vérifie que les droits d'accès au fichier exécutable SQL*Plus sont limités à l'ensemble de logiciels Oracle et au groupe DBA
SQLPLUS_IMPACT
POLICY
SQL*Plus permet aux utilisateurs qui disposent d'un compte doté des privilèges appropriés d'exécuter un code SQL sur la base de données. Définir des droits d'accès en exécution publics sur SQL*Plus peut poser des problèmes de sécurité, des utilisateurs malveillants pouvant consulter les données confidentielles.
SQLPLUS_RECOMM
POLICY
Restreignez les droits d'accès au fichier exécutable SQL*Plus à l'ensemble de logiciels Oracle et au groupe DBA.
SQLPLUS_OWNER_NAME
POLICY
Propriétaire de l'exécutable SQL*Plus
SQLPLUS_OWNER_DESC
POLICY
Vérifie que SQL*Plus appartient uniquement à l'ensemble de logiciels Oracle et au groupe DBA
SQLPLUS_OWNER_IMPACT
POLICY
SQL*Plus permet aux utilisateurs qui disposent d'un compte doté des privilèges appropriés d'exécuter un code SQL sur la base de données. Si SQL*Plus a d'autres propriétaires que l'ensemble de logiciels Oracle et le groupe DBA, des problèmes de sécurité peuvent se produire, liés à la divulgation de données confidentielles à des utilisateurs malveillants.
SQLPLUS_OWNER_RECOM
POLICY
Limitez l'appartenance de SQL*Plus à l'ensemble de logiciels Oracle et au groupe DBA.
WIN_PLATFORM_NAME
POLICY
Installation sur le contrôleur de domaine
WIN_PLATFORM_DESC
POLICY
Vérifie qu'Oracle n'est pas installé sur un contrôleur de domaine
WIN_PLATFORM_IMPACT
POLICY
L'installation d'Oracle sur un contrôleur de domaine peut poser de graves problèmes de sécurité.
WIN_PLATFORM_RECOMM
POLICY
Oracle doit uniquement être installé sur un serveur membre de domaine ou autonome.
DRIVE_PERM_NAME
POLICY
Droits d'accès au lecteur de répertoire d'origine Oracle Home installé
DRIVE_PERM_DESC
POLICY
Sous Windows, vérifie que le lecteur de répertoire d'origine Oracle Home installé n'est pas accessible au groupe Everyone
DRIVE_PERM_IMPACT
POLICY
Accorder les droits d'accès au lecteur Oracle installé à tous les utilisateurs peut poser de graves problèmes de sécurité.
DRIVE_PERM_RECOMM
POLICY
Le lecteur de répertoire d'origine Oracle Home installé ne doit pas être accessible au groupe Everyone.
DOMAIN_USERS_NAME
POLICY
Groupe Utilisateurs de domaine membre du groupe Utilisateurs local
DOMAIN_USERS_DESC
POLICY
Vérifie que le groupe Utilisateurs local du serveur de domaine ne comporte pas de groupe Utilisateurs de domaine
DOMAIN_USERS_IMPACT
POLICY
Inclure le groupe Utilisateurs de domaine dans le groupe Utilisateurs local d'un serveur de domaine peut poser de graves problèmes de sécurité.
DOMAIN_USERS_RECOMM
POLICY
Enlevez le groupe Utilisateurs de domaine du groupe Utilisateurs local.
WIN_TOOLS_NAME
POLICY
Droit d'accès aux outils Windows
WIN_TOOLS_DESC
POLICY
Vérifie que le service Oracle ne dispose pas des droits d'accès aux outils Windows
WIN_TOOLS_IMPACT
POLICY
Accorder les droits d'accès aux outils Windows au service Oracle peut poser de graves problèmes de sécurité.
WIN_TOOLS_RECOMM
POLICY
Enlevez le droit d'accès aux outils Windows au compte de service Oracle.
WEBCACHE_NAME
POLICY
Droit d'accès au fichier d'initialisation Web Cache
WEBCACHE_NAME_NT
POLICY
Droit d'accès au fichier d'initialisation Web Cache (Windows)
WEBCACHE_DESC
POLICY
Vérifie que les droits d'accès au fichier d'initialisation Web Cache (webcache.xml) sont limités à l'ensemble de logiciels Oracle et au groupe DBA
WEBCACHE_IMPACT
POLICY
Web Cache stocke des informations confidentielles dans le fichier d'initialisation (webcache.xml). Les fichiers d'initialisation Web Cache accessibles pour Public permettent d'extraire des données confidentielles telles que le hachage du mot de passe administrateur.
WEBCACHE_RECOMM
POLICY
Restreignez l'accès au fichier d'initialisation Web Cache (webcache.xml) à l'ensemble de logiciels Oracle et au groupe DBA.
SNMP_RO_NAME
POLICY
Droit d'accès au fichier de configuration en lecture seule SNMP de l'agent Oracle
SNMP_RO_NAME_NT
POLICY
Droit d'accès au fichier de configuration en lecture seule SNMP de l'agent Oracle (Windows)
SNMP_RO_DESC
POLICY
Vérifie que les droits d'accès au fichier de configuration en lecture seule SNMP de l'agent Oracle (snmp_ro.ora) sont limités à l'ensemble de logiciels Oracle et au groupe DBA
SNMP_RO_IMPACT
POLICY
Le fichier de configuration en lecture seule SNMP de l'agent Oracle (snmp_ro.ora) contient l'adresse d'écoute de l'agent, le nom du processus d'écoute SQL*Net et des services de base de données Oracle que l'agent connaît, ainsi que des paramètres de trace. Les fichiers de configuration en lecture seule SNMP accessibles pour Public permettent d'extraire des données confidentielles telles que l'emplacement du répertoire de trace, l'adresse DBSNMP, etc.
SNMP_RO_RECOMM
POLICY
Restreignez l'accès au fichier de configuration en lecture seule SNMP de l'agent Oracle (snmp_ro.ora) à l'ensemble de logiciels Oracle et au groupe DBA.
SNMP_RW_NAME
POLICY
Droit d'accès au fichier de configuration en lecture/écriture SNMP de l'agent Oracle
SNMP_RW_NAME_NT
POLICY
Droit d'accès au fichier de configuration en lecture/écriture SNMP de l'agent Oracle (Windows)
SNMP_RW_DESC
POLICY
Vérifie que les droits d'accès au fichier de configuration en lecture/écriture SNMP de l'agent Oracle (snmp_rw.ora) sont limités à l'ensemble de logiciels Oracle et au groupe DBA
SNMP_RW_IMPACT
POLICY
Le fichier de configuration en lecture/écriture SNMP de l'agent Oracle (snmp_rw.ora) contient l'adresse d'écoute de l'agent, le nom du processus d'écoute SQL*Net et des services de base de données Oracle que l'agent connaît, ainsi que des paramètres de trace. Les fichiers de configuration en lecture/écriture SNMP accessibles pour Public permettent d'extraire des données confidentielles telles que l'emplacement du répertoire de trace, l'adresse DBSNMP, etc.
SNMP_RW_RECOMM
POLICY
Restreignez l'accès au fichier de configuration en lecture/écriture SNMP de l'agent Oracle (snmp_rw.ora) à l'ensemble de logiciels Oracle et au groupe DBA.
WDBSVR_NAME
POLICY
Droit d'accès au fichier de configuration mod_plsql du serveur Oracle HTTP Server
WDBSVR_NAME_NT
POLICY
Droit d'accès au fichier de configuration mod_plsql du serveur Oracle HTTP Server (Windows)
WDBSVR_DESC
POLICY
Vérifie que le droit d'accès au fichier de configuration mod_plsql du serveur Oracle HTTP Server (wdbsvr.app) est limité à l'ensemble de logiciels Oracle et au groupe DBA
WDBSVR_IMPACT
POLICY
Le fichier de configuration mod_plsql du serveur Oracle HTTP Server (wdbsvr.app) contient les descripteurs d'accès à la base de données utilisés pour l'authentification. Les fichiers de configuration mod_plsql accessibles pour Public permettent aux utilisateurs malveillants de modifier les paramètres de descripteur d'accès à la base de données pour accéder aux applications PL/SQL ou lancer une attaque par déni de service.
WDBSVR_RECOMM
POLICY
Restreignez l'accès au fichier de configuration mod_plsql du serveur Oracle HTTP Server (wdbsvr.app) à l'ensemble de logiciels Oracle et au groupe DBA.
XSQL_NAME
POLICY
Droit d'accès au fichier de configuration XSQL Oracle
XSQL_NAME_NT
POLICY
Droit d'accès au fichier de configuration XSQL Oracle (Windows)
XSQL_DESC
POLICY
Vérifie que les droits d'accès au fichier de configuration XSQL Oracle (XSQLConfig.xml) sont limités à l'ensemble de logiciels Oracle et au groupe DBA
XSQL_IMPACT
POLICY
Le fichier de configuration XSQL Oracle (XSQLConfig.xml) contient des informations de connexion à la base de données confidentielles. Les fichiers de configuration XSQL accessibles pour Public permettent aux utilisateurs malveillants d'accéder au mot de passe et au nom utilisateur de base de données, et de les utiliser pour consulter des données confidentielles ou lancer des attaques.
XSQL_RECOMM
POLICY
Restreignez l'accès au fichier de configuration XSQL Oracle (XSQLConfig.xml) à l'ensemble de logiciels Oracle et au groupe DBA.
HTACCESS_NAME
POLICY
Droit d'accès aux fichiers de configuration distribuée du serveur Oracle HTTP Server
HTACCESS_NAME_NT
POLICY
Droit d'accès aux fichiers de configuration distribuée du serveur Oracle HTTP Server (Windows)
HTACCESS_DESC
POLICY
Vérifie que les droits d'accès aux fichiers de configuration distribuée du serveur Oracle HTTP Server sont limités à l'ensemble de logiciels Oracle et au groupe DBA
HTACCESS_IMPACT
POLICY
Le fichier de configuration distribuée du serveur Oracle HTTP Server (.htaccess en général) est utilisé pour le contrôle d'accès et l'authentification des dossiers Web. Les utilisateurs malveillants peuvent le modifier pour accéder aux pages contenant des informations confidentielles.
HTACCESS_RECOMM
POLICY
Restreignez l'accès aux fichiers de configuration distribuée du serveur Oracle HTTP Server à l'ensemble de logiciels Oracle et au groupe DBA.
WEBCACHE_OWNER_NAME
POLICY
Propriétaire du fichier d'initialisation Web Cache
WEBCACHE_OWNER_DESC
POLICY
Vérifie que le fichier d'initialisation Web Cache (webcache.xml) appartient au propriétaire du logiciel Oracle
WEBCACHE_OWNER_IMPACT
POLICY
Web Cache stocke des informations confidentielles dans le fichier d'initialisation (webcache.xml). Les fichiers d'initialisation Web Cache accessibles pour Public permettent d'extraire des données confidentielles telles que le hachage du mot de passe administrateur.
WEBCACHE_OWNER_RECOMM
POLICY
Restreignez le droit d'accès au fichier d'initialisation Web Cache (webcache.xml) au propriétaire de l'ensemble de logiciels Oracle et au groupe DBA.
SNMP_RO_OWNER_NAME
POLICY
Propriétaire du fichier de configuration en lecture seule SNMP de l'agent Oracle
SNMP_RO_OWNER_DESC
POLICY
Vérifie que le fichier de configuration en lecture seule SNMP de l'agent Oracle (snmp_ro.ora) appartient au propriétaire du logiciel Oracle
SNMP_RO_OWNER_IMPACT
POLICY
Le fichier de configuration en lecture seule SNMP de l'agent Oracle (snmp_ro.ora) contient l'adresse d'écoute de l'agent, le nom du processus d'écoute SQL*Net et des services de base de données Oracle que l'agent connaît, ainsi que des paramètres de trace. Les fichiers de configuration en lecture seule SNMP accessibles pour Public permettent d'extraire des données confidentielles telles que l'emplacement du répertoire de trace, l'adresse DBSNMP, etc.
SNMP_RO_OWNER_RECOMM
POLICY
Restreignez les droits d'accès au fichier de configuration en lecture seule SNMP de l'agent Oracle (snmp_ro.ora) au propriétaire de l'ensemble de logiciels Oracle et au groupe DBA.
SNMP_RW_OWNER_NAME
POLICY
Propriétaire du fichier de configuration en lecture/écriture SNMP de l'agent Oracle
SNMP_RW_OWNER_DESC
POLICY
Vérifie que le fichier de configuration en lecture/écriture SNMP de l'agent Oracle (snmp_rw.ora) appartient au propriétaire du logiciel Oracle
SNMP_RW_OWNER_IMPACT
POLICY
Le fichier de configuration en lecture/écriture SNMP de l'agent Oracle (snmp_rw.ora) contient l'adresse d'écoute de l'agent, le nom du processus d'écoute SQL*Net et des services de base de données Oracle que l'agent connaît, ainsi que des paramètres de trace. Les fichiers de configuration en lecture/écriture SNMP accessibles pour Public permettent d'extraire des données confidentielles telles que l'emplacement du répertoire de trace, l'adresse DBSNMP, etc.
SNMP_RW_OWNER_RECOMM
POLICY
Restreignez les droits d'accès au fichier de configuration en lecture/écriture SNMP de l'agent Oracle (snmp_rw.ora) au propriétaire de l'ensemble de logiciels Oracle et au groupe DBA
WDBSVR_OWNER_NAME
POLICY
Propriétaire du fichier de configuration mod_plsql du serveur Oracle HTTP Server
WDBSVR_OWNER_DESC
POLICY
Vérifie que le fichier de configuration mod_plsql du serveur Oracle HTTP Server (wdbsvr.app) appartient au propriétaire du logiciel Oracle
WDBSVR_OWNER_IMPACT
POLICY
Le fichier de configuration mod_plsql du serveur Oracle HTTP Server (wdbsvr.app) contient les descripteurs d'accès à la base de données utilisés pour l'authentification. Les fichiers de configuration mod_plsql accessibles pour Public permettent aux utilisateurs malveillants de modifier les paramètres de descripteur d'accès à la base de données pour accéder aux applications PL/SQL ou lancer une attaque par déni de service.
WDBSVR_OWNER_RECOMM
POLICY
Restreignez les droits d'accès au fichier de configuration mod_plsql du serveur Oracle HTTP Server (wdbsvr.app) au propriétaire de l'ensemble de logiciels Oracle et au groupe DBA.
XSQL_OWNER_NAME
POLICY
Propriétaire du fichier de configuration XSQL Oracle
XSQL_OWNER_DESC
POLICY
Vérifie que le fichier de configuration XSQL Oracle (XSQLConfig.xml) appartient au propriétaire du logiciel Oracle
XSQL_OWNER_IMPACT
POLICY
Le fichier de configuration XSQL Oracle (XSQLConfig.xml) contient des informations de connexion à la base de données confidentielles. Les fichiers de configuration XSQL accessibles pour Public permettent aux utilisateurs malveillants d'accéder au mot de passe et au nom utilisateur de base de données, et de les utiliser pour consulter des données confidentielles ou lancer des attaques.
XSQL_OWNER_RECOMM
POLICY
Restreignez les droits d'accès au fichier de configuration XSQL Oracle (XSQLConfig.xml) au propriétaire de l'ensemble de logiciels Oracle et au groupe DBA.
HTACCESS_OWNER_NAME
POLICY
Propriétaire du fichier de configuration distribuée du serveur Oracle HTTP Server
HTACCESS_OWNER_DESC
POLICY
Vérifie que le fichier de configuration distribuée du serveur Oracle HTTP Server appartient uniquement à l'ensemble de logiciels Oracle et au groupe DBA
HTACCESS_OWNER_IMPACT
POLICY
Le fichier de configuration distribuée du serveur Oracle HTTP Server (.htaccess en général) est utilisé pour le contrôle d'accès et l'authentification des dossiers Web. Les utilisateurs malveillants peuvent le modifier pour accéder aux pages contenant des informations confidentielles.
HTACCESS_OWNER_RECOMM
POLICY
Limitez l'appartenance du fichier de configuration distribuée du serveur Oracle HTTP Server à l'ensemble de logiciels Oracle et au groupe DBA.
ALL_PRIVILEGE_NAME
POLICY
Accord des PRIVILEGES ALL
ALL_PRIVILEGE_DESC
POLICY
Vérifie que les PRIVILEGES ALL ne sont pas accordés à un utilisateur ou à un rôle
ALL_PRIVILEGE_IMPACT
POLICY
Un privilège peut être accordé à n'importe quel utilisateur ou rôle. L'accord de privilèges excessifs peut conduire à des abus. N'accordez jamais les PRIVILEGES ALL à un utilisateur ou à un rôle.
ALL_PRIVILEGE_RECOMM
POLICY
Un privilège peut être accordé à n'importe quel utilisateur ou rôle. L'accord de privilèges excessifs peut conduire à des abus. N'accordez jamais les PRIVILEGES ALL à un utilisateur ou à un rôle.
SELECT_ANY_TABLE_NAME
POLICY
Accord du privilège SELECT ANY TABLE
SELECT_ANY_TABLE_DESC
POLICY
Vérifie que le privilège SELECT ANY TABLE n'est pas accordé à un utilisateur ou à un rôle
SELECT_ANY_TABLE_IMPACT
POLICY
Le privilège SELECT ANY TABLE permet d'accorder à des utilisateurs ou à des rôles la possibilité de visualiser les données des tables qui ne leur appartiennent pas. Un utilisateur malveillant ayant accès à un compte utilisateur doté de ce privilège peut l'utiliser pour consulter des données confidentielles.
SELECT_ANY_TABLE_RECOMM
POLICY
N'accordez jamais le privilège SELECT ANY TABLE.
SELECT_PRIVILEGE_NAME
POLICY
Accès aux vues DBA_*
SELECT_PRIVILEGE_DESC
POLICY
Vérifie que le privilège SELECT n'est accordé sur aucune vue DBA_
SELECT_PRIVILEGE_IMPACT
POLICY
Les vues DBA_* permettent d'accéder aux privilèges et aux paramètres de règle de la base de données. Certaines vues permettent également de visualiser du code PL/SQL confidentiel, qui peut être utilisé pour comprendre les règles de sécurité.
SELECT_PRIVILEGE_RECOMM
POLICY
Vous ne devez accorder le privilège SELECT sur aucune vue DBA_. Si des utilisateurs possèdent le privilège SELECT, vérifiez que tout accès à la vue DBA_ fait l'objet d'un audit.
INSERT_FAILURE_NAME
POLICY
Auditer l'échec de l'insertion
INSERT_FAILURE_DESC
POLICY
Vérifie que les échecs d'insertion des objets de données critiques sont soumis à un audit
INSERT_FAILURE_IMPACT
POLICY
Ne pas soumettre les échecs d'insertion des objets de données critiques à un audit peut permettre à un utilisateur malveillant d'infiltrer le système.
INSERT_FAILURE_RECOMM
POLICY
Soumettez les échecs d'insertion des objets de données critiques à un audit.
EXECUTE_AND_OTHER_PRIVLEGES_NAME
POLICY
Privilèges EXECUTE et READ/WRITE sur les objets de répertoire
EXECUTE_AND_OTHER_PRIVLEGES_DESC
POLICY
Garantit qu'un utilisateur ne détient pas de privilèges EXECUTE et READ/WRITE sur le même objet de répertoire
EXECUTE_AND_OTHER_PRIVLEGES_IMPACT
POLICY
Un utilisateur malveillant bien informé peut profiter de l'objet de répertoire qui est fourni avec le privilège EXECUTE combiné au privilège READ/WRITE.
EXECUTE_AND_OTHER_PRIVLEGES_RECOMM
POLICY
Oracle recommande de n'accorder à aucun utilisateur le privilège EXECUTE combiné au privilège READ/WRITE sur un objet de répertoire particulier.
PUBLIC_EXECUTE_PRIV_DIROBJ_NAME
POLICY
Privilèges EXECUTE sur les objets de répertoire accordés au rôle PUBLIC
PUBLIC_EXECUTE_PRIV_DIROBJ_DESC
POLICY
Garantit que le rôle PUBLIC ne détient pas de privilèges EXECUTE sur les objets de répertoire.
PUBLIC_EXECUTE_PRIV_DIROBJ_IMPACT
POLICY
Un utilisateur malveillant bien informé peut profiter de l'objet de répertoire qui a accordé le privilège EXECUTE au rôle PUBLIC.
PUBLIC_EXECUTE_PRIV_DIROBJ_RECOMM
POLICY
Oracle recommande de ne pas accorder au rôle PUBLIC le privilège EXECUTE sur les objets de répertoire.