USR_DFLT_TBSPC_NAME
POLICY
預設表格空間
USR_DFLT_TBSPC_DESC
POLICY
確定未指派 SYSTEM 或 SYSAUX 給使用者當成他們的預設表格空間
USR_DFLT_TBSPC_IMPACT
POLICY
使用者物件建立於預設表格空間中. 使用者錯誤設定的預設表格空間 (SYSTEM 或 SYSAUX) 會用掉所有可用空間, 因而造成資料庫停止運作.
USR_DFLT_TBSPC_RECOMM
POLICY
重新指派表格空間給使用 SYSTEM 或 SYSAUX 作為預設表格空間的使用者.
USR_TEMP_TABSPC_NAME
POLICY
使用者暫時表格空間
USR_TEMP_TABSPC_DESC
POLICY
確定未指派 SYSTEM 或 SYSAUX 給使用者當成他們的暫時表格空間
USR_TEMP_TABSPC_IMPACT
POLICY
使用者的暫時物件建立於暫時表格空間中. 使用者錯誤設定的暫時表格空間 (SYSTEM 或 SYSAUX) 會用掉所有可用空間, 因而造成資料庫停止運作.
USR_TEMP_TABSPC_RECOMM
POLICY
重新指派表格空間給使用 SYSTEM 或 SYSAUX 作為預設暫時表格空間的使用者.
TABLESPACE_QUOTA_NAME
POLICY
不限制表格空間配額
TABLESPACE_QUOTA_DESC
POLICY
確定配置有限表格空間配額給資料庫使用者
TABLESPACE_QUOTA_IMPACT
POLICY
授與無限制的表格空間配額, 會造成配置的磁碟空間被填滿. 這會導致資料庫沒有回應.
TABLESPACE_QUOTA_REOMM
POLICY
對於表格空間配額無限制的使用者, 請將他們的表格空間配額重新配置在特定的限制下.
AUDIT_FILE_DEST_NAME
POLICY
稽核檔案目的地
AUDIT_FILE_DEST_NAME_NT
POLICY
稽核檔案目的地 (Windows)
AUDIT_FILE_DEST_DESC
POLICY
確定稽核檔案目錄的存取權限僅限於 Oracle 軟體集和 DBA 群組的擁有者.
AUDIT_FILE_DEST_IMPACT
POLICY
AUDIT_FILE_DEST 初始化參數會指定 Oracle 稽核設備在什麼目錄建立稽核檔案. 若提供公用讀取權限給此目錄, 可能會洩露重要資訊, 例如啟動, 關閉與授權連線的記錄資訊.
AUDIT_FILE_DEST_RECOMM
POLICY
將「稽核檔案」目錄的權限僅限於 Oracle 軟體集和 DBA 群組的擁有者. 不要提供讀取, 寫入和執行權限給公眾.
USER_DUMP_DEST_NAME
POLICY
使用者傾印目的地
USER_DUMP_DEST_NAME_NT
POLICY
使用者傾印目的地 (Windows)
USER_DUMP_DEST_DESC
POLICY
確定追蹤檔案目錄的存取權限僅限於 Oracle 軟體集和 DBA 群組的擁有者
USER_DUMP_DEST_IMPACT
POLICY
伺服器處理作業的追蹤檔案是儲存在 USER_DUMP_DEST 初始化參數指定的目錄. 若提供此目錄的公開讀取權限, 可能會洩露資料庫和應用程式的重要和機密內部詳細資訊.
USER_DUMP_DEST_RECOMM
POLICY
將使用者傾印目錄的權限僅限於 Oracle 軟體集和 DBA 群組的擁有者. 不要提供讀取, 寫入和執行權限給公眾.
BKGRND_DUMP_DEST_NAME
POLICY
背景傾印目的地
BKGRND_DUMP_DEST_NAME_NT
POLICY
背景傾印目的地 (Windows)
BKGRND_DUMP_DEST_DESC
POLICY
確定追蹤檔案目錄的存取權限僅限於 Oracle 軟體集和 DBA 群組的擁有者
BKGRND_DUMP_DEST_IMPACT
POLICY
像日誌寫入器處理作業和資料庫寫入器處理作業等等的背景處理作業, 使用追蹤檔案來記錄資料庫作業的發生次數以及異常狀況, 同時也記錄錯誤. 追蹤檔案是儲存在 BACKGROUND_DUMP_DEST 初始化參數指定的目錄. 若提供公用讀取權限給此目錄, 可能會洩露資料庫和應用程式的重要和機密內部詳細資訊.
BKGRND_DUMP_DEST_RECOMM
POLICY
將背景傾印目錄的權限僅限於 Oracle 軟體集和 DBA 群組的擁有者. 不要提供讀取, 寫入和執行權限給公眾.
CORE_DUMP_DEST_NAME
POLICY
核心傾印目的地
CORE_DUMP_DEST_NAME_NT
POLICY
核心傾印目的地 (Windows)
CORE_DUMP_DEST_DESC
POLICY
確定核心傾印檔案目錄的存取權限僅限於 Oracle 軟體集和 DBA 群組的擁有者
CORE_DUMP_DEST_IMPACT
POLICY
核心傾印檔案儲存在 CORE_DUMP_DEST 初始化參數所參照的目錄中. 此目錄的公用讀取權限會暴露核心傾印檔案的機密資訊.
CORE_DUMP_DEST_RECOMM
POLICY
將核心傾印目錄的權限僅限於 Oracle 軟體集和 DBA 群組的擁有者. 不要提供讀取, 寫入和執行權限給公眾.
CONTROL_FILES_NAME
POLICY
控制檔權限
CONTROL_FILES_NAME_NT
POLICY
控制檔權限 (Windows)
CONTROL_FILES_DESC
POLICY
確定控制檔案目錄的存取權限僅限於 Oracle 軟體集和 DBA 群組的擁有者
CONTROL_FILES_IMPACT
POLICY
控制檔是二進位組態檔案, 控制資料檔的存取. 控制檔是儲存在 CONTROL_FILES 初始化參數所參照的目錄. 此目錄的公用讀取權限會造成嚴重安全危險.
CONTROL_FILES_RECOMM
POLICY
將控制檔目錄的權限僅限於 Oracle 軟體集和 DBA 群組的擁有者. 不要提供讀取, 寫入和執行權限給公眾.
OH_DATAFILES_PERM_NAME
POLICY
Oracle 本位目錄資料檔權限
OH_DATAFILES_PERM_NAME_NT
POLICY
Oracle 本位目錄資料檔權限 (Windows)
OH_DATAFILES_PERM_DESC
POLICY
確定資料檔的存取權限僅限於 Oracle 軟體集和 DBA 群組的擁有者
OH_DATAFILES_PERM_IMPACT
POLICY
資料檔包含所有資料庫資料. 如果資料檔可以公開讀取, 不具備資料相關資料庫權限的使用者都可以讀取它們.
OH_DATAFILES_PERM_RECOMM
POLICY
將資料庫檔案的權限僅限於 Oracle 軟體集和 DBA 群組的擁有者. 不要提供讀取, 寫入和執行權限給公眾.
OH_SPFILE_PERM_NAME
POLICY
伺服器參數檔權限
OH_SPFILE_PERM_NAME_NT
POLICY
伺服器參數檔權限 (Windows)
OH_SPFILE_PERM_DESC
POLICY
確定只有 Oracle 軟體集的擁有者和 DBA 群組可以存取伺服器參數檔
OH_SPFILE_PERM_IMPACT
POLICY
伺服器參數檔 (SPFILE) 可以讓您儲存和管理伺服器端磁碟檔案永久性初始化參數. 可公開存取的 SPFILE 可以掃描出敏感初始化參數, 洩露資料庫的安全性原則. 也可以搜尋 SPFILE, 找出 Oracle 資料庫組態設定點的弱點.
OH_SPFILE_PERM_RECOMM
POLICY
將伺服器參數檔 (SPFILE) 的權限限制在 Oracle 軟體集的擁有者和 DBA 群組. 不要提供讀取和寫入權限給公眾.
OH_INITORA_PERM_NAME
POLICY
初始化參數檔權限
OH_INITORA_PERM_NAME_NT
POLICY
初始化參數檔權限 (Windows)
OH_INITORA_PERM_DESC
POLICY
確定只有 Oracle 軟體集的擁有者和 DBA 群組可以存取初始化參數檔
OH_INITORA_PERM_IMPACT
POLICY
Oracle 傳統上是將初始化參數儲存在文字初始化參數檔. 可公開存取的初始化參數檔可以掃描出敏感初始化參數, 洩露資料庫的安全性原則. 也可以搜尋 IFILE 找出 Oracle 資料庫組態設定點的弱點.
OH_INITORA_PERM_RECOMM
POLICY
將初始化參數檔案的權限限制在 Oracle 軟體集的擁有者和 DBA 群組. 不要提供讀取和寫入權限給公眾.
OH_IFILE_PERM_NAME
POLICY
IFILE 參照的檔案權限
OH_IFILE_PERM_NAME_NT
POLICY
IFILE 參照的檔案權限 (Windows)
OH_IFILE_PERM_DESC
POLICY
確定 IFILE 參數所參照的檔案, 其存取權限僅限於 Oracle 軟體集和 DBA 群組的擁有者
OH_IFILE_PERM_IMPACT
POLICY
IFILE 初始化參數可以用來將其他初始化參數檔的內容, 內嵌至目前的初始化參數檔. 可公開存取的初始化參數檔可以掃描出敏感初始化參數, 洩露資料庫的安全性原則. 也可以搜尋初始化參數檔, 找出 Oracle 資料庫組態設定點的弱點.
OH_IFILE_PERM_RECOMM
POLICY
將 IFILE 初始化參數檔案所參照的檔案, 其權限僅限於 Oracle 軟體集和 DBA 群組的擁有者. 不要提供讀取, 寫入和執行權限給公眾.
OH_BIN_FILE_OWNER_NAME
POLICY
Oracle 本位目錄執行檔擁有者
OH_BIN_FILE_OWNER_DESC
POLICY
確定 ORACLE_HOME/bin 資料夾中所有檔案和目錄的擁有權與 Oracle 軟體安裝擁有者相同
OH_BIN_FILE_OWNER_IMPACT
POLICY
部份 Oracle 檔案上錯誤的檔案權限會造成主要的安全問題.
OH_BIN_FILE_OWNER_RECOMM
POLICY
至於 ORACLE_HOME/bin 資料夾中的檔案和目錄, 如果與 Oracle 軟體安裝的擁有者不同, 請將它們的擁有者變更成安裝擁有者.
EXE_FILE_PERM_NAME
POLICY
Oracle 本位目錄執行檔權限
EXE_FILE_PERM_NAME_NT
POLICY
Oracle 本位目錄執行檔權限 (Windows)
EXE_FILE_PERM_DESC
POLICY
確定 ORACLE_HOME/bin 資料夾中的所有檔案不具備公用寫入權限
EXE_FILE_PERM_IMPACT
POLICY
部份 Oracle 檔案上錯誤的檔案權限會造成主要的安全問題.
EXE_FILE_PERM_RECOMM
POLICY
將 ORACLE_HOME/bin 所有檔案的權限僅限於 Oracle 軟體集和 DBA 群組的擁有者. 不要提供讀取, 寫入和執行權限給公眾.
OH_FILEPERM_NAME
POLICY
Oracle 本位目錄檔案權限
OH_FILEPERM_NAME_NT
POLICY
Oracle 本位目錄檔案權限 (Windows)
OH_FILEPERM_DESC
POLICY
確定 ORACLE_HOME 目錄 (ORACLE_HOME/bin 除外) 的所檔案不具備公用讀取, 寫入和執行權限
OH_FILEPERM_IMPACT
POLICY
部份 Oracle 檔案上錯誤的檔案權限會造成主要的安全問題.
OH_FILEPERM_RECOMM
POLICY
將 ORACLE_HOME 目錄 (但 ORACLE_HOME/bin 除外) 的所有檔案, 其權限僅限於 Oracle 軟體集和 DBA 群組的擁有者. 不要提供讀取, 寫入和執行權限給公眾.
LOG_ARCH_DEST_NAME
POLICY
日誌存檔目的地權限
LOG_ARCH_DEST_NAME_NT
POLICY
日誌存檔目的地權限 (Windows)
LOG_ARCH_DEST_DESC
POLICY
確定公眾無法存取伺服器存檔日誌
LOG_ARCH_DEST_IMPACT
POLICY
如果 LOG_ARCHIVE_DEST 參數 (位於 init.ora 檔案中) 指定的目錄, 不是由 Oracle 軟體安裝擁有者所擁有或者具備其他人的權限, 便可以使用 LogMiner 從存檔日誌擷取資料庫資訊.
LOG_ARCH_DEST_RECOMM
POLICY
LOG_ARCHIVE_DEST 參數所指定目錄的權限應該限制在 Oracle 軟體集的擁有者和 DBA 群組, 而不授權給公眾.
LOG_ARCH_DEST_OWNER_NAME
POLICY
日誌存檔目的地擁有者
LOG_ARCH_DEST_OWNER_DESC
POLICY
確定伺服器存檔日誌目錄是由 Oracle 軟體擁有者擁有的有效目錄
LOG_ARCH_DEST_OWNER_IMPACT
POLICY
如果 LOG_ARCHIVE_DEST 參數 (位於 init.ora 檔案中) 指定的目錄, 不是由 Oracle 軟體安裝擁有者所擁有或者具備其他人的權限, 便可以使用 LogMiner 從存檔日誌擷取資料庫資訊.
LOG_ARCH_DEST_OWNER_RECOMM
POLICY
LOG_ARCHIVE_DEST 參數指定的目錄應該由 Oracle 軟體集擁有.
LOG_ARCHV_DUP_PERM_NAME
POLICY
日誌存檔雙工目的地權限
LOG_ARCHV_DUP_PERM_NAME_NT
POLICY
日誌存檔雙工目的地權限 (Windows)
LOG_ARCHV_DUP_PERM_DESC
POLICY
確定公眾無法存取伺服器存檔日誌
LOG_ARCHV_DUP_PERM_IMPACT
POLICY
如果 LOG_ARCHIVE_DUPLEX_DEST 參數 (位於 init.ora 檔案中) 指定的目錄, 不是由 Oracle 軟體安裝擁有者所擁有或者具備其他人的權限, 便可以使用 LogMiner 從存檔日誌擷取資料庫資訊.
LOG_ARCHV_DUP_PERM_RECOMM
POLICY
LOG_ARCHIVE_DUPLEX_DEST 參數所指定目錄的權限應該限制在 Oracle 軟體集的擁有者和 DBA 群組, 而不授權給公眾.
LOG_ARCHV_DUP_OWNER_NAME
POLICY
日誌存檔雙工目的地擁有者
LOG_ARCHV_DUP_OWNER_DESC
POLICY
確定伺服器存檔日誌目錄是由 Oracle 軟體擁有者擁有的有效目錄
LOG_ARCHV_DUP_OWNER_IMPACT
POLICY
如果 LOG_ARCHIVE_DUPLEX_DEST 參數 (位於 init.ora 檔案中) 指定的目錄, 不是由 Oracle 軟體安裝擁有者所擁有或者具備其他人的權限, 便可以使用 LogMiner 從存檔日誌擷取資料庫資訊.
LOG_ARCHV_DUP_OWNER_RECOMM
POLICY
LOG_ARCHIVE_DUPLEX_DEST 參數指定的目錄應該由 Oracle 軟體集擁有.
LOG_ARCHIVE_START_NAME
POLICY
使用自動日誌存檔功能
LOG_ARCHIVE_START_DESC
POLICY
確定重做日誌的存檔會自動完成, 並且在重做日誌已滿時, 防止執行處理作業暫停. 只有當資料庫為存檔日誌模式時才適用.
LOG_ARCHIVE_START_IMPACT
POLICY
將 LOG_ARCHIVE_START 初始化參數設成 TRUE 除了可以確保自動存檔重做日誌, 而且可以在重做日誌已滿時, 防止執行處理作業暫停. 這項功能只有當資料庫為存檔日誌模式時才適用.
LOG_ARCHIVE_START_RECOMM
POLICY
將 LOG_ARCHIVE_START 初始化參數設成 TRUE.
UTL_FILE_NAME
POLICY
公用程式檔案目錄初始化參數設定值
UTL_FILE_DESC
POLICY
確定公用程式檔案目錄 (UTL_FILE_DIR) 初始化參數未設成 '*', '.' , 核心傾印追蹤檔位置之一
UTL_FILE_IMPACT
POLICY
設定 UTL_FILE 套裝程式可以存取的目錄. 將參數設成星號 (*), 句號 (.) 或機密目錄, 可能會將它們暴露給擁有 UTL_FILE 套裝程式執行權限的所有使用者.
UTL_FILE_RECOMM
POLICY
將 UTL_FILE_DIR 初始化參數變更成星號 (*), 句號 (.) 以外的值, 或變更成核心傾印追蹤位置.
UTL_FILE_9IPLUS_NAME
POLICY
Oracle9i 版本 1 和更新版本的公用程式檔案目錄初始化參數設定
UTL_FILE_9IPLUS_DESC
POLICY
確定 Oracle9i 版本 1 和更新的版本中未使用 UTL_FILE_DIR 初始化參數
UTL_FILE_9IPLUS_IMPACT
POLICY
指定 UTL_FILE 套裝程式可以存取的目錄. 將參數設成星號 (*), 句號 (.) 或機密目錄, 可能會將它們暴露給擁有 UTL_FILE 套裝程式執行權限的所有使用者.
UTL_FILE_9IPLUS_RECOMM
POLICY
如果是 Oracle 9i 版本 1 和更新的版本, 請移除 UTL_FILE_DIR 初始化參數. 改用 CREATE DIRECTORY 功能.
OS_AUTH_PRFX_DOM_NAME
POLICY
使用 Windows NT 網域前置碼
OS_AUTH_PRFX_DOM_DESC
POLICY
確定外部識別的使用者會在連線時指定網域
OS_AUTH_PRFX_DOM_IMPACT
POLICY
這項設定只適用於 Windows 系統. 如果需要外部識別的帳戶, 請將登錄中的 OSAUTH_PREFIX_DOMAIN 設成 TRUE, 強制帳戶指定網域. 如此即可防止欺詐的使用者從替代網域或本機系統存取.
OS_AUTH_PRFX_DOM_RECOMM
POLICY
對於 Windows 系統的外部識別使用者, 請將 OSAUTH_PREFIX_DOMAIN 初始化參數設成 TRUE.
PWD_LOCK_TIME_NAME
POLICY
密碼鎖定時間
PWD_LOCK_TIME_DESC
POLICY
確定 PASSWORD_LOCK_TIME 為所有設定檔設定成合理的日數
PWD_LOCK_TIME_IMPACT
POLICY
使用低值會增加「拒絕服務」攻擊的可能性.
PWD_LOCK_TIME_RECOMM
POLICY
將所有設定檔的 PASSWORD_LOCK_TIME 參數設定成不小於 1.
MIN_PWD_LOCK_TIME_PNAME
POLICY
MIN_PASSWORD_LOCK_TIME
PWD_GRACE_TIME_NAME
POLICY
密碼寬限時間
PWD_GRACE_TIME_DESC
POLICY
確定所有設定檔將 PASSWORD_GRACE_TIME 設定成合理的日數
PWD_GRACE_TIME_IMPACT
POLICY
PASSWORD_GRACE_TIME 參數的值很大時, 會因允許使用者長期使用相同密碼, 而發生的嚴重資料庫安全問題.
PWD_GRACE_TIME_RECOMM
POLICY
將所有設定檔的 PASSWORD_GRACE_TIME 參數設定成不超過 7 天.
MAX_PWD_GRACE_TIME_PNAME
POLICY
MAX_PASSWORD_GRACE_TIME
PWD_LIFE_TIME_NAME
POLICY
密碼有效期限
PWD_LIFE_TIME_DESC
POLICY
確定所有設定檔將 PASSWORD_LIFE_TIME 設定成合理的日數
PWD_LIFE_TIME_IMPACT
POLICY
長期密碼有效期限讓駭客有比較長的時間可以猜測密碼, 因而可能造成嚴重的資料庫安全問題.
PWD_LIFE_TIME_RECOMM
POLICY
將所有設定檔的 PASSWORD_LIFE_TIME 參數設定成不超過 180 天.
MAX_PWD_LIFE_TIME_PNAME
POLICY
MAX_PASSWORD_LIFE_TIME
PWD_REUSE_MAX_NAME
POLICY
密碼重複使用上限
PWD_REUSE_MAX_DESC
POLICY
確定將所有設定檔的 PASSWORD_REUSE_MAX 設成適當的次數
PWD_REUSE_MAX_IMPACT
POLICY
舊密碼通常是猜中目前密碼的最佳方法. PASSWORD_REUSE_MAX 參數值如果太低, 會允許使用者較常重複使用舊密碼, 而造成嚴重的資料庫安全問題.
PWD_REUSE_MAX_RECOMM
POLICY
將所有設定檔的 PASSWORD_REUSE_MAX 參數設成 UNLIMITED.
MIN_PWD_REUSE_MAX_PNAME
POLICY
MIN_PASSWORD_REUSE_MAX
PWD_REUSE_TIME_NAME
POLICY
密碼重複使用時間
PWD_REUSE_TIME_DESC
POLICY
確定將所有設定檔的 PASSWORD_REUSE_TIME 設成合理的日數
PWD_REUSE_TIME_IMPACT
POLICY
PASSWORD_REUSE_TIME 參數值如果太低, 會允許使用者較常重複使用舊密碼, 而造成嚴重的資料庫安全問題.
PWD_REUSE_TIME_RECOMM
POLICY
將所有設定檔的 PASSWORD_REUSE_TIME 參數設成 UNLIMITED.
MIN_PWD_REUSE_TIME_PNAME
POLICY
MIN_PASSWORD_REUSE_TIME
PWD_CMPLX_FN_NAME
POLICY
密碼複雜性驗證函數用法
PWD_CMPLX_FN_DESC
POLICY
確定設定設定檔 PASSWORD_VERIFY_FUNCTION 資源
PWD_CMPLX_FN_IMPACT
POLICY
使用不符合最低複雜性需求的密碼所能提供的保護較複雜密碼少很多.
PWD_CMPLX_FN_RECOMM
POLICY
設定設定檔的 PASSWORD_VERIFY_FUNCTION 資源.
TRACE_FILES_PUB_NAME
POLICY
公用追蹤檔
TRACE_FILES_PUBLIC_DESC
POLICY
確定資料庫追蹤檔不是可以公開讀取的
TRACE_FILES_PUBLIC_IMPACT
POLICY
如果追蹤檔可以供「公用」群組讀取, 則惡意使用者可以嘗試讀取追蹤檔, 暴露機密資訊.
TRACE_FILES_PUBLIC_RECOMM
POLICY
將初始化參數 _TRACE_FILES_PUBLIC 設為 FALSE.
AUDIT_TRAIL_NAME
POLICY
啟用資料庫稽核
AUDIT_TRAIL_DESC
POLICY
確定已啟用資料庫稽核
AUDIT_TRAIL_IMPACT
POLICY
AUDIT_TRAIL 參數可啟用或停用資料庫稽核功能. 稽核可強化安全性, 因為它能夠強化可說明性, 提供誤用的證據, 並經常需要使用它來管理規範. 稽核同時可讓系統管理員實行增強的保護, 可疑活動的早期偵測, 以及微調安全性回應.
AUDIT_TRAIL_RECOMM
POLICY
將 AUDIT_TRAIL 設定為 DB, default 或 OS. 資料庫儲存的稽核記錄較作業系統儲存的稽核記錄容易檢閱與管理. 但是, 儲存在作業系統檔案中的稽核記錄, 可以透過適當的檔案權限防止 DBA 存取, 並且在資料庫暫時無法供存取時, 仍然能夠使用這些稽核記錄.
RMT_LSNR_NAME
POLICY
使用遠端監聽器執行處理
RMT_LSNR_DESC
POLICY
確定遠端機器上的監聽器執行處理與未使用的資料庫執行處理是分開的
RMT_LSNR_IMPACT
POLICY
REMOTE_LISTENER 初始化參數可以用來允許遠端機器上的監聽器存取資料庫. 此參數不適用於多重主要複製或 RAC 環境, 因為在二者狀況下, 此設定值提供負載平衡機制給監聽器.
RMT_LSNR_RECOMM
POLICY
REMOTE_LISTENER 應該設定成空值字串. 此參數不適用於多重主要複製或 RAC 環境, 因為在二者狀況下, 此設定值提供負載平衡機制給監聽器.
OS_AUTH_PREFIX_NAME
POLICY
使用外部識別的帳戶
OS_AUTH_PREFIX_DESC
POLICY
確定已將作業系統認證前置碼設成 OPS$ 以外的值
OS_AUTH_PREFIX_IMPACT
POLICY
OS_AUTHENT_PREFIX 參數指定用來認證嘗試連線到伺服器之使用者的前置碼. 在嘗試連線要求時, Oracle 會比對加上前置碼的使用者名稱和資料庫中的使用者名稱. 使用某些前置碼 (特別是 OPS$) 有可能導致不安全的組態, 因為能夠以作業系統使用者或以 IDENTIFIED BY 子句中使用的密碼來認證帳戶. 攻擊者知道這一點並且會攻擊這些帳號.
OS_AUTH_PREFIX_RECOMM
POLICY
將 OS_AUTHENT_PREFIX 設成 OPS$ 以外的值.
SQL92_SECURITY_NAME
POLICY
使用 SQL92 安全功能
SQL92_SECURITY_DESC
POLICY
確定使用 SQL92 安全功能
SQL92_SECURITY_IMPACT
POLICY
如果未啟用 SQL92 安全功能, 使用者可能不需表格的選取權限, 即可使用 WHERE 子句執行 UPDATE 或 DELETE 敘述句.
SQL92_SECURITY_RECOMM
POLICY
將初始化參數 SQL92_SECURITY 設成 TRUE, 啟用 SQL92 安全功能.
GLOBAL_NAME_NAME
POLICY
命名資料庫連結
GLOBAL_NAME_DESC
POLICY
確定資料庫連結的名稱與遠端資料庫的名稱相同
GLOBAL_NAME_IMPACT
POLICY
當資料庫連結名稱不符合其連線資料庫的全域名稱時, 可能會造成管理員不小心從測試或開發伺服器授與實際環境執行伺服器的存取權. 惡意使用者如果得知, 便可能利用此狀況來取得目標資料庫的存取權.
GLOBAL_NAME_RECOMM
POLICY
如果您使用或打算使用分散式處理, Oracle Corporation 建議您將 GLOBAL_NAMES 初始化參數設成 TRUE, 以確保網路環境中的資料庫和連結使用一致的命名慣例.
DB_LINK_WITH_PWD_NAME
POLICY
使用包含純文字密碼的資料庫連結
DB_LINK_WITH_PWD_DESC
POLICY
確定未使用包含純文字密碼的資料庫連結
DB_LINK_WITH_PWD_IMPACT
POLICY
表格 SYS.LINK$ 包含資料庫連結所使用的純文字密碼密碼. 惡意使用者可能從 SYS.LINK$ 表格讀取純文字密碼, 而造成不良的後果.
DB_LINK_WITH_PWD_RECOMM
POLICY
避免建立固定使用者資料庫連結.
UMASK_SETTING_NAME
POLICY
在 UNIX 系統使用適當 Umask
UMASK_SETTING_DESC
POLICY
在 UNIX 系統, 確定 Oracle 軟體的擁有者具備 022 的適當 umask 值
UMASK_SETTING_IMPACT
POLICY
如果 umask 未設定成適當的值 (例如 022), 日誌或追蹤檔案可能會變成可公開存取, 而洩露機密資訊.
UMASK_SETTING_RECOMM
POLICY
為 Oracle 軟體的擁有者, 將 umask 設定成 022.
UNLMT_FAILED_LGIN_NAME
POLICY
超過允許失敗登入嘗試次數的使用者
PROFILE_UNLMTED_FAILED_NAME
POLICY
包含超過允許失敗登入嘗試次數的設定檔
UNLMT_FAILED_LGIN_DESC
POLICY
確定將所有設定檔的容許失敗登入嘗試次數設成合理的次數
USR_UNLMT_FAILED_LGIN_DESC
POLICY
確定將所有使用者的容許失敗登入嘗試次數設成合理的次數
UNLMT_FAILED_LGIN_IMPACT
POLICY
允許惡意使用者使用手動和自動密碼猜測.
UNLMT_FAILED_LGIN_RECOMM
POLICY
將使用者設定檔中的 FAILED_LOGIN_ATTEMPTS 設成不超過 10.
MAX_FAILED_LOGIN_ATTEMPTS_PNAME
POLICY
MAX_FAILED_LOGIN_ATTEMPTS
UTL_TCP_PUB_EXE_PRIV_NAME
POLICY
限制執行 UTL_TCP 的權限
UTL_TCP_PUB_EXE_PRIV_DESC
POLICY
確定 PUBLIC 沒有 UTL_TCP 套裝程式的執行權限
PUB_EXE_PRIV_IMPACT
POLICY
授與 PUBLIC 角色的權限會自動套用至所有使用者. 惡意的使用者可以利用 EXECUTE 權限來存取電子郵件, 網路和 http 模組.
UTL_TCP_PUB_EXE_PRIV_RECOMM
POLICY
撤銷 UTL_TCP 套裝程式的 EXECUTE 權限.
UTL_HTTP_PUB_EXE_PRIV_NAME
POLICY
限制執行 UTL_HTTP 的權限
UTL_HTTP_PUB_EXE_PRIV_DESC
POLICY
確定 PUBLIC 沒有 UTL_HTTP 套裝程式的執行權限
UTL_HTTP_PUB_EXE_PRIV_RECOMM
POLICY
撤銷 UTL_HTTP 套裝程式的 EXECUTE 權限.
UTL_SMTP_PUB_EXE_PRIV_NAME
POLICY
限制執行 UTL_SMTP 的權限
UTL_SMTP_PUB_EXE_PRIV_DESC
POLICY
確定 PUBLIC 沒有 UTL_SMTP 套裝程式的執行權限
UTL_SMTP_PUB_EXE_PRIV_RECOMM
POLICY
撤銷 UTL_SMTP 套裝程式的 EXECUTE 權限.
UTL_FILE_PKG_NAME
POLICY
PUBLIC 具備 UTL_FILE 的執行權限
UTL_FILE_PKG_DESC
POLICY
確定 PUBLIC 沒有 UTL_FILE 套裝程式的 EXECUTE 權限
UTL_FILE_PKG_IMPACT
POLICY
授與 PUBLIC 角色的權限會自動套用至所有使用者. 若將 UTL_FILE 權限授與具惡意使用者, 他們便可以讀取和寫入系統的任意檔案.
UTL_FILE_PKG_RECOMM
POLICY
從 PUBLIC 撤銷授與 UTL_FILE 套裝程式的 EXECUTE 權限.
DBMS_JOB_PKG_NAME
POLICY
PUBLIC 具備 DBMS_JOB 的執行權限
DBMS_JOB_PKG_DESC
POLICY
確定未將 DBMS_JOB 套裝程式的 EXECUTE 權限授與 PUBLIC
DBMS_JOB_PKG_IMPACT
POLICY
將 DBMS_JOB 套裝程式的 EXECUTE 權限授與 PUBLIC, 讓使用者可以排定資料庫工作.
DBMS_JOB_PKG_RECOMM
POLICY
不可將 DBMS_JOB 資料庫的 EXECTUE 權限授與 PUBLIC.
DBMS_SYS_SQL_PKG_NAME
POLICY
PUBLIC 具備 DBMS_SYS_SQL 的執行權限
DBMS_SYS_SQL_PKG_DESC
POLICY
確定未將 DBMS_SYS_SQL 套裝程式的 EXECUTE 權限授與 PUBLIC
DBMS_SYS_SQL_PKG_IMPACT
POLICY
可以使用 DBMS_SYS_SQL 套裝程式, 以程序擁有者的身分 (而非呼叫者) 執行 PL/SQL 和 SQL.
DBMS_SYS_SQL_PKG_RECOMM
POLICY
撤銷 PUBLIC 群組所擁有 DBMS_SYS_SQL 套裝程式的 EXECUTE 權限.
DBMS_LOB_PKG_NAME
POLICY
PUBLIC 具備 DBMS_LOB 的執行權限
DBMS_LOB_PKG_DESC
POLICY
確定未將 DBMS_LOB 套裝程式的 EXECUTE 權限授與 PUBLIC 群組
DBMS_LOB_PKG_IMPACT
POLICY
可以使用 DBMS_LOB 套裝程式, 以 Oracle 軟體安裝的擁有者身分, 存取系統上的任何檔案.
DBMS_LOB_PKG_RECOMM
POLICY
撤銷 PUBLIC 群組所擁有 DBMS_LOB 套裝程式的 EXECUTE 權限.
PUB_SYSPRIV_NAME
POLICY
公用系統權限
PUB_SYSPRIV_DESC
POLICY
確定未將系統權限授與 PUBLIC
PUB_SYSPRIV_IMPACT
POLICY
授與 PUBLIC 角色的權限會自動套用至所有使用者. 將 SYSTEM 權限授與所有使用者會有安全上的風險.
PUB_SYSPRIV_RECOMM
POLICY
撤銷公眾的 SYSTEM 權限.
DFLT_ACT_PWD_NAME
POLICY
預設密碼
DFLT_ACT_PWD_DESC
POLICY
確定已知帳戶沒有預設密碼
DFLT_ACT_PWD_IMPACT
POLICY
惡意使用者可以使用預設密碼存取資料庫.
DFLT_ACT_PWD_RECOMM
POLICY
應該變更所有預設密碼.
WELL_KNOWN_ACCOUNT1_NAME
POLICY
知名帳戶 (狀態)
WELL_KNOWN_ACCOUNT2_NAME
POLICY
已知帳戶
WELL_KNOWN_ACCOUNT_DESC
POLICY
確定將已知帳戶設成到期並鎖定
WELL_KNOWN_ACCOUNT_IMPACT
POLICY
專業的惡意使用者可能使用已知帳戶存取資料庫.
WELL_KNOWN_ACCOUNT_RECOMM
POLICY
將已知帳戶設成到期並鎖定.
RMT_LGIN_NAME
POLICY
遠端密碼檔案
RMT_LGIN_DESC
POLICY
確定具有權限的使用者會經過作業系統認證; 也就是說, Oracle 會忽略任何密碼檔
RMT_LGIN_IMPACT
POLICY
REMOTE_LOGIN_PASSWORDFILE 參數可指定 Oracle 是否檢查密碼檔. 由於密碼檔包含使用者 (包括 SYS) 的密碼, 因此, 避免攻擊者透過 brute-force 密碼相關攻擊來連線的最安全方式, 是要求具有權限的使用者經由作業系統進行認證.
RMT_LGIN_RECOMM
POLICY
移除密碼檔並將 REMOTE_LOGIN_PASSWORDFILE 設定成 NONE.
RMT_ROLE_AUTH_NAME
POLICY
遠端作業系統認證
RMT_ROLE_AUTH_DESC
POLICY
確定將 REMOTE_OS_AUTHENT 初始化參數設成 EXCLUSIVE
RMT_ROLE_AUTH_IMPACT
POLICY
如果允許遠端作業系統認證, 惡意的使用者便可以藉此存取資料庫.
RMT_ROLE_AUTH_RECOMM
POLICY
將初始化參數 REMOTE_OS_AUTHENT 設為 FALSE.
RMT_OS_ROLE_NAME
POLICY
遠端作業系統角色
RMT_OS_ROLE_DESC
POLICY
確定將 REMOTE_OS_ROLES 初始化參數設成 FALSE
RMT_OS_ROLE_IMPACT
POLICY
若遠端使用者可以被授與有權限的角色, 則惡意的使用者便可以藉此存取資料庫.
RMT_OS_ROLE_RECOMM
POLICY
將初始化參數 REMOTE_OS_ROLES 設為 FALSE.
USR_ACCSS_AUD_NAME
POLICY
SYS.AUD$ 表格存取權
USR_ACCSS_AUD_DESC
POLICY
確定限制 SYS.AUD$ 表格的存取權
USR_ACCSS_AUD_IMPACT
POLICY
具有專業知識但懷有惡意的使用者可以存取機密的稽核資訊.
USR_ACCSS_AUD_RECOMM
POLICY
從非 DBA/SYS 資料庫使用者撤銷 SYS.AUD$ 表格的存取權.
ACCESS_USER_HIST_NAME
POLICY
SYS.USER_HISTORY$ 表格存取權
ACCESS_USER_HIST_DESC
POLICY
確定限制 SYS.USER_HISTORY$ 表格的存取權
ACCESS_USER_HIST_IMPACT
POLICY
使用者和密碼雜湊可以從 SYS.USER_HISTORY$ 表格讀取, 讓駭客可以發起「暴力式」攻擊.
ACCESS_USER_HIST_RECOMM
POLICY
從非 DBA/SYS 資料庫使用者撤銷 SYS.USER_HISTORY$ 表格的存取權.
ACSS_SRC_TAB_NAME
POLICY
SYS.SOURCE$ 表格存取權
ACSS_SRC_TAB_DESC
POLICY
確定限制 SYS.SOURCE$ 表格的存取權
ACSS_SRC_TAB_IMPACT
POLICY
包含資料庫中所有儲存之套裝程式單元的來源.
ACSS_SRC_TAB_RECOMM
POLICY
從非 SYS/DBA 資料庫使用者撤銷 SYS.SOURCE$ 表格的存取權.
ACCSS_LINK_TAB_NAME
POLICY
SYS.LINK$ 表格存取權
ACCSS_LINK_TAB_DESC
POLICY
確定限制 LINK$ 表格的存取權
ACCSS_LINK_TAB_IMPACT
POLICY
具備專業知識的惡意使用者可能從 SYS.LINK$ 表格存取使用者密碼.
ACCSS_LINK_TAB_RECOMM
POLICY
限制 SYS.LINK$ 表格的存取權.
ACCSS_USER_TAB_NAME
POLICY
SYS.USER$ 表格存取權
ACCSS_USER_TAB_DESC
POLICY
確定限制 SYS.USER$ 表格的存取權
ACCSS_USER_TAB_IMPACT
POLICY
使用者和密碼雜湊可以從 SYS.USER$ 表格讀取, 讓駭客可以發起「暴力式」攻擊.
ACCSS_USER_TAB_RECOMM
POLICY
限制 SYS.USER$ 表格的存取權.
ACCSS_SQLTEXT_TAB_NAME
POLICY
STATS$SQLTEXT 表格存取權
ACCSS_SQLTEXT_TAB_DESC
POLICY
確定限制 STATS$SQLTEXT 表格的存取權
ACCSS_SQLTEXT_TAB_IMPACT
POLICY
此表格提供最近執行之 SQL 敘述句的全文. SQL 敘述句會洩露機密資訊.
ACCSS_SQLTEXT_TAB_RECOMM
POLICY
限制 STATS$SQLTEXT 表格的存取權.
ACCSS_SQLSUM_TAB_NAME
POLICY
STATS$SQL_SUMMARY 表格存取權
ACCSS_SQLSUM_TAB_DESC
POLICY
確定限制 STATS$SQL_SUMMARY 表格的存取權
ACCSS_SQLSUM_TAB_IMPACT
POLICY
包含提供給伺服器最資源密集命令, SQL 文字的前幾行. 未加上連結變數而執行的 SQL 敘述句, 可以在此顯示外洩的權限資訊.
ACCSS_SQLSUM_TAB_RECOMM
POLICY
限制 STATS$SQL_SUMMARY 表格的存取權.
ACCSS_ALL_SRC_NAME
POLICY
可以存取 ALL_SOURCE 視觀表
ACCSS_ALL_SRC_DESC
POLICY
確定限制 ALL_SOURCE 視觀表的存取權
ACCSS_ALL_SRC_IMPACT
POLICY
ALL_SOURCE 視觀表包含資料庫中, 所有儲存之套裝程式的來源.
ACCSS_ALL_SRC_RECOMM
POLICY
撤銷非 SYS 資料庫使用者存取 ALL_SOURCE 視觀表的權限.
ACCSS_DBA_ROLES_NAME
POLICY
可以存取 DBA_ROLES 視觀表
ACCSS_DBA_ROLES_DESC
POLICY
確定限制 DBA_ROLES 視觀表的存取權
ACCSS_DBA_ROLES_IMPACT
POLICY
DBA_ROLES 視觀表包含資料庫中, 所有角色的詳細資訊. 惡意使用者知道資料庫角色結構, 便能利用它.
ACCSS_DBA_ROLES_RECOMM
POLICY
限制 DBA_ROLES 視觀表的存取權.
ACCSS_DBA_SYSPRIVS_NAME
POLICY
DBA_SYS_PRIVS 視觀表的存取權
ACCSS_DBA_SYSPRIVS_DESC
POLICY
確定限制 DBA_SYS_PRIVS 視觀表的存取權
ACCSS_DBA_SYSPRIVS_IMPACT
POLICY
可以查詢 DBA_SYS_PRIVS 來尋找授與角色和使用者的系統權限. 惡意使用者知道資料庫角色結構, 便能利用它.
ACCSS_DBA_SYSPRIVS_RECOMM
POLICY
限制 DBA_SYS_PRIVS 視觀表的存取權.
ACCSS_DBA_ROLEPRIVS_NAME
POLICY
可以存取 DBA_ROLE_PRIVS 視觀表
ACCSS_DBA_ROLEPRIVS_DESC
POLICY
確定限制 DBA_ROLE_PRIVS 視觀表的存取權
ACCSS_DBA_ROLEPRIVS_IMPACT
POLICY
DBA_ROLE_PRIVS 視觀表會列示授與使用者和其他角色的角色. 惡意使用者知道資料庫角色結構, 便能利用它.
ACCSS_DBA_ROLEPRIVS_RECOMM
POLICY
限制 DBA_ROLE_PRIVS 視觀表的存取權.
ACCSS_DBA_TABPRIVS_NAME
POLICY
可以存取 DBA_TAB_PRIVS 視觀表
ACCSS_DBA_TABPRIVS_DESC
POLICY
確定限制 DBA_TAB_PRIVS 視觀表的存取權
ACCSS_DBA_TABPRIVS_IMPACT
POLICY
列示授與資料庫中物件, 使用者或角色的權限. 惡意使用者知道資料庫角色結構, 便能利用它.
ACCSS_DBA_TABPRIVS_RECOMM
POLICY
限制 DBA_TAB_PRIVS 視觀表的存取權.
ACCSS_DBA_USERS_NAME
POLICY
可以存取 DBA_USERS 視觀表
ACCSS_DBA_USERS_DESC
POLICY
確定限制 DBA_USERS 視觀表的存取權
ACCSS_DBA_USERS_IMPACT
POLICY
包含使用者密碼雜湊和其他帳戶資訊. 若取得此資訊, 可以用來進行「暴力式」攻擊.
ACCSS_DBA_USERS_RECOMM
POLICY
限制 DBA_USERS 視觀表的存取權.
ACCSS_ROLE_ROLE_NAME
POLICY
可以存取 ROLE_ROLE_PRIVS 視觀表
ACCSS_ROLE_ROLE_DESC
POLICY
確定限制 ROLE_ROLE_PRIVS 視觀表的存取權
ACCSS_ROLE_ROLE_IMPACT
POLICY
列示授與其他角色的角色. 惡意使用者如果瞭解資料庫角色的結構, 便可能利用它.
ACCSS_ROLE_ROLE_RECOMM
POLICY
限制 ROLE_ROLE_PRIVS 視觀表的存取權.
ACCSS_USER_TAB_PRIVS_NAME
POLICY
可以存取 USER_TAB_PRIVS 視觀表
ACCSS_USER_TAB_PRIVS_DESC
POLICY
確定限制 USER_TAB_PRIVS 視觀表的存取權
ACCSS_USER_TAB_PRIVS_IMPACT
POLICY
針對使用者為擁有者, 授與者或受權者的物件, 列示其授權狀況. 惡意使用者如果瞭解資料庫中的授權狀況, 便可能利用它.
ACCSS_USER_TAB_PRIVS_RECOMM
POLICY
限制 USER_TAB_PRIVS 視觀表的存取權.
ACCSS_USER_ROLE_PRIV_NAME
POLICY
可以存取 USER_ROLE_PRIVS 視觀表
ACCSS_USER_ROLE_PRIV_DESC
POLICY
確定限制 USER_ROLE_PRIVS 視觀表的存取權
ACCSS_USER_ROLE_PRIV_IMPACT
POLICY
列示授與目前使用者的角色. 惡意使用者如果瞭解資料庫角色的結構, 便可能利用它.
ACCSS_USER_ROLE_PRIV_RECOMM
POLICY
限制 USER_ROLE_PRIVS 視觀表的存取權.
SECURE_OS_AUDIT_LEVEL_NAME
POLICY
安全作業系統稽核層次
SECURE_OS_AUDIT_LEVEL_DESC
POLICY
在 UNIX 系統上, 如果啟用作業系統層次稽核功能, 請確定將 AUDIT_SYSLOG_LEVEL 設成非預設值
SECURE_OS_AUDIT_LEVEL_IMPACT
POLICY
將 AUDIT_SYSLOG_LEVEL 初始化參數設成預設值 (NONE), DBA 即可存取作業系統稽核記錄.
SECURE_OS_AUDIT_LEVEL_RECOM
POLICY
啟用作業系統稽核功能時, 請將 AUDIT_SYSLOG_LEVEL 初始化參數設定成有效值並設定 /etc/syslog.conf, 以將 Oracle 作業系統稽核記錄寫入個別檔案.
DATA_DICTIONARY_PROTECTED_NAME
POLICY
已保護資料說明
DATA_DICTIONARY_PROTECTED_DESC
POLICY
確定已啟用資料說明保護
DATA_DICTIONARY_PROTECTED_IMPACT
POLICY
07_DICTIONARY_ACCESSIBILITY 參數控制對資料說明的存取. 將 07_DICTIONARY_ACCESSIBILITY 設定成 TRUE 可讓具有 ANY 系統權限的使用者存取資料說明. 因此, 這些使用者帳戶可能被利用來取得對資料的非法存取.
DATA_DICTIONARY_PROTECTED_RECOM
POLICY
將 07_DICTIONARY_ACCESSIBILITY 設成 FALSE.
AUDIT_SYS_OPS_NAME
POLICY
已啟用 SYS 作業稽核
AUDIT_SYS_OPS_DESC
POLICY
確定完整稽核以 SYS 身分連線之使用者的階段作業
AUDIT_SYS_OPS_IMPACT
POLICY
AUDIT_SYS_OPERATIONS 參數可啟用或停用稽核由使用者 SYS , 以及使用 SYSDBA 或 SYSOPER 權限連線之使用者發出的作業.
AUDIT_SYS_OPS_RECOM
POLICY
將 AUDIT_SYS_OPERATIONS 設定成 TRUE.
PROXY_ACCOUNT_NAME
POLICY
代理主機帳戶
PROXY_ACCOUNT_DESC
POLICY
確定代理主機帳戶僅具備有限的權限
PROXY_ACCOUNT_IMPACT
POLICY
代理主機使用者只需要連線至資料庫. 連線之後, 它會使用它代為連線的使用者之權限. 將 CREATE SESSION 以外的權限授與代理主機使用者是不必要的而且容易被濫用.
PROXY_ACCOUNT_RECOMM
POLICY
將代理主機帳戶的權限限制為 CREATE SESSION.
RBS_IN_SYSTEM_NAME
POLICY
SYSTEM 表格空間中有倒回區段
RBS_IN_SYSTEM_DESC
POLICY
檢查 SYSTEM 表格空間中的倒回區段
RBS_IN_SYSTEM_IMPACT
POLICY
SYSTEM 表格空間應保留給 Oracle 資料說明及其相關物件使用, 不應用來儲存任何其他類型的物件, 例如使用者表格, 使用者索引, 使用者視觀表, 倒回區段, 還原區段或暫時區段.
RBS_IN_SYSTEM_RECOM
POLICY
使用專門用於還原的表格空間, 而非 SYSTEM 表格空間.
RBS_TBSP_TR_NLSID
POLICY
倒回區段表格空間名稱
PERM_AS_TEMP_TBSP_NAME
POLICY
具有將「永久表格空間」當成「暫時表格空間」的使用者
PERM_AS_TEMP_TBSP_DESC
POLICY
檢查使用永久表格空間作為暫時表格空間的使用者
PERM_AS_TEMP_TBSP_IMPACT
POLICY
這些使用者使用永久表格空間作為暫時表格空間. 使用暫時表格空間可讓排序作業的空間管理更有效率. 使用永久表格空間進行這些作業可能會降低效能 (特別是 Real Application Clusters). 如果使用者使用系統表格空間作為暫時表格空間, 則會有其他安全上的顧慮. 這會讓使用者可以使用系統表格空間中所有可用的空間, 而造成資料庫停止工作.
PERM_AS_TEMP_TBSP_RECOM
POLICY
變更這些使用者的暫時表格空間, 指定讓他們使用 TEMPORARY 類型的表格空間.
SYSTEM_AS_DEFAULT_TBSP_NAME
POLICY
非系統使用者將系統表格空間當成預設表格空間使用
SYSTEM_AS_DEFAULT_TBSP_DESC
POLICY
檢查使用 SYSTEM 或 SYSAUX 作為預設表格空間的非系統使用者
SYSTEM_AS_DEFAULT_TBSP_IMPACT
POLICY
這些非系統使用者使用系統表格空間作為預設表格空間. 這項違規將會造成將非系統資料區段加到系統表格空間中, 讓這些資料區段的管理更困難, 並且可能降低系統表格空間的效能. 同時, 這也是一項安全問題. 系統表格空間中所有可用的空間可能會被用盡, 造成資料庫停止工作.
SYSTEM_AS_DEFAULT_TBSP_RECOM
POLICY
變更這些使用者的預設表格空間, 指定讓他們使用非系統表格空間.
TBSP_SEGSPACE_MGMT_NAME
POLICY
表格空間未使用自動區段空間管理
TBSP_SEGSPACE_MGMT_DESC
POLICY
檢查使用 MANUAL 區段空間管理的本機管理的表格空間. 這項檢查不包括 SYSTEM 和 SYSAUX 表格空間.
TBSP_SEGSPACE_MGMT_IMPACT
POLICY
自動區段空間管理是一種簡單且更有效率管理區段內空間的方法. 它完全免除必須為表格空間中建立之綱要物件指定及調整 PCTUSED, FREELISTS 和 FREELIST GROUPS 儲存參數的需要. 在 RAC 環境中, 自動區段空間管理還有另一項優點, 就是避免在使用可用清單群組時, 對空間進行硬性分割.
TBSP_SEGSPACE_MGMT_RECOM
POLICY
Oracle 建議您將所有永久本機管理之表格空間的 MANUAL 區段空間管理設定值變更為 AUTO. 您必須重組表格空間來變更這項設定.
TBSP_DICTIONARY_NAME
POLICY
說明管理的表格空間
TBSP_DICTIONARY_DESC
POLICY
檢查說明管理的表格空間
TBSP_DICTIONARY_IMPACT
POLICY
這些是說明管理的表格空間. Oracle 建議您使用本機管理的表格空間搭配 AUTO 區段空間管理, 來增強效能及簡化空間管理.
TBSP_DICTIONARY_RECOM
POLICY
重新將這些表格空間定義成本機管理的表格空間.
TBSP_MIXED_SEGS_NAME
POLICY
表格空間包含倒回區段和資料區段
TBSP_MIXED_SEGS_DESC
POLICY
檢查同時包含倒回區段和資料區段的表格空間
TBSP_MIXED_SEGS_IMPACT
POLICY
這些表格空間同時包含倒回區段和資料區段. 像這樣混合區段類型的方式, 會增加管理空間的困難性, 並且可能降低表格空間的效能. 針對倒回區段使用專屬的表格空間, 可以提高可用性及效能.
TBSP_MIXED_SEGS_RECOM
POLICY
使用「自動還原管理」(Oracle 9.0.1 或更新的版本) 並刪除此表格空間的倒回區段; 或者建立一或多個專用於倒回區段的表格空間, 然後刪除此表格空間的倒回區段; 或者將此表格空間專門用於倒回區段, 然後將資料區段移至其他表格空間.
DEFAULT_TEMP_TBSP_NAME
POLICY
預設暫時表格空間設為系統表格空間
DEFAULT_TEMP_TBSP_DESC
POLICY
檢查 DEFAULT_TEMP_TABLESPACE 資料庫特性是否設為系統表格空間
DEFAULT_TEMP_TBSP_IMPACT
POLICY
若未明確指定, 會將 DEFAULT_TEMP_TABLESPACE 預設為 SYSTEM 表格空間. 這不是建議的設定. 使用者如果未被明確指派暫時表格空間, 就會使用預設暫時表格空間作為暫時表格空間. 如果將資料庫預設暫時表格空間設為系統表格空間, 未被明確指派暫時表格空間的使用者就會使用系統表格空間作為他們的暫時表格空間. 系統表格空間不應該用來儲存暫時資料. 這樣做可能會降低資料庫效能. 同時, 這也是一個安全問題. 如果非系統使用者將資料儲存在系統表格空間中, 系統表格空間中所有可用的空間可能會被用盡, 造成資料庫停止工作.
DEFAULT_TEMP_TBSP_RECOM
POLICY
Oracle 強烈建議您將 DEFAULT_TEMP_TABLESPACE 設為非系統暫時表格空間. 在 10g 版本的資料庫中, 也可以將 DEFAULT_TEMP_TABLESPACE 設為暫時表格空間群組. 請建立或編輯暫時表格空間或暫時表格空間群組, 然後將它設為預設暫時表格空間.
DEFAULT_PERMANENT_TBSP_NAME
POLICY
預設永久表格空間設為系統表格空間
DEFAULT_PERMANENT_TBSP_DESC
POLICY
檢查 DEFAULT_PERMANENT_TABLESPACE 資料庫特性是否設為系統表格空間
DEFAULT_PERMANENT_TBSP_IMPACT
POLICY
若未明確指定, DEFAULT_PERMANENT_TABLESPACE 會預設為 SYSTEM 表格空間. 不建議這麼設定. 非系統使用者若沒有明確指派的永久表格空間, 就會使用資料庫預設永久表格空間作為永久表格空間. 如果資料庫預設永久表格空間設為系統表格空間, 那麼沒有明確指派表格空間的使用者就會使用系統表格空間. 非系統使用者不應該使用系統表格空間來儲存資料. 這樣做可能會降低資料庫效能. 同時, 這也是一個安全問題. 如果非系統使用者將資料儲存在系統表格空間中, 系統表格空間中所有可用的空間可能會被用盡, 造成資料庫停止運作.
DEFAULT_PERMANENT_TBSP_RECOM
POLICY
Oracle 強烈建議您將 DEFAULT_PERMANENT_TABLESPACE 設為非系統表格空間. 請選取其他表格空間作為 DEFAULT_PERMANENT_TABLESPACE. 若要這麼做, 請建立或編輯表格空間, 然後將它設為預設的永久表格空間.
NO_UNDO_TBSP_NAME
POLICY
未使用自動還原管理
NO_UNDO_TBSP_DESC
POLICY
檢查目前是否未使用自動還原空間管理
NO_UNDO_TBSP_IMPACT
POLICY
未使用自動還原管理會造成資料庫中不必要的競爭和效能問題. 這可能含括在其他問題中, 例如倒回區段標頭區塊競爭, 導致緩衝區忙碌等待以及增加發生 ORA-1555 (快照太舊) 的機會.
NO_UNDO_TBSP_RECOM
POLICY
使用自動還原空間管理取代手動還原或倒回區段.
NO_SPFILE_NAME
POLICY
未使用 Spfile
NO_SPFILE_DESC
POLICY
檢查目前是否未使用 Spfile
NO_SPFILE_IMPACT
POLICY
您可以透過 SPFILE (伺服器參數檔), 使用 ALTER SYSTEM 命令, 保存對 Oracle 初始化參數所做的動態變更. 即使資料庫關閉, 還是會持續保存. 如果資料庫有設定 SPFILE, 您就不需要對 Oracle init.ora 檔案做相對應的變更. 另外, 透過 ALTER SYSTEM 命令所做的變更, 也不會在關閉並重新啟動後遺失.
NO_SPFILE_RECOM
POLICY
請使用伺服器端參數檔來動態更新變更.
NON_UNIFORM_TBSP_NAME
POLICY
表格空間有未統一的預設擴充區塊大小
NON_UNIFORM_TBSP_DESC
POLICY
檢查說明管理的表格空間或移轉的本機管理表格空間, 是否有未統一的預設擴充區塊大小
NON_UNIFORM_TBSP_IMPACT
POLICY
發現使用未統一之預設擴充區塊大小的說明管理的表格空間或移轉的本機管理表格空間. 這表示單一表格空間中的擴充區塊大小不一致, 因而導致分散, 無效率的空間使用以及效能降低.
NON_UNIFORM_TBSP_RECOM
POLICY
若要確保統一的擴充區塊大小, 請設定每個表格空間的儲存體屬性, 使「下一個大小」與「起始大小」相等會為其倍數, 並將「增量大小 (%)」設為 0. 請勿明確指定區段層次的儲存體屬性. 而是繼承表格空間之預設儲存體屬性的區段儲存體值.
SEG_NONSYS_SEG_IN_SYS_TS_NAME
POLICY
系統表格空間中有非系統資料區段
SEG_NONSYS_SEG_IN_SYS_TS_DESC
POLICY
檢查由 SYSTEM 和 SYSAUX 表格空間中非系統使用者所擁有的資料區段
SEG_NONSYS_SEG_IN_SYS_TS_IMPACT
POLICY
這些區段屬於非系統使用者, 但儲存在 SYSTEM 或 SYSAUX 系統表格空間中. 此種違規會讓管理這些資料區段變得較困難, 並且讓系統表格空間的效能降低. 同時, 這也是一個安全問題. 如果非系統使用者將資料儲存在系統表格空間中, 系統表格空間中所有可用的空間可能會被用盡, 造成資料庫停止工作. 系統使用者包括屬於 DBMS (例如 SYS 和 SYSTEM) 或屬於 Oracle 提供之工具 (例如 CTXSYS, SYSMAN 和 OLAPSYS) 的使用者.
SEG_NONSYS_SEG_IN_SYS_TS_RECOM
POLICY
重新將非系統區段定位至非系統表格空間.
SEG_EXT_GROWTH_VIO_NAME
POLICY
發生擴充區塊成長原則違規的區段
SEG_EXT_GROWTH_VIO_DESC
POLICY
檢查說明管理之表格空間或移轉之本機管理表格空間中, 擴充區塊大小不一致和 (或)「百分比增加」設定值不為零的區段
SEG_EXT_GROWTH_VIO_IMPACT
POLICY
這些區段之擴充區塊的大小不是起始擴充區塊的倍數, 或「百分比增加」設定值不為零. 這會導致無法有效重複使用空間和分散問題.
SEG_EXT_GROWTH_VIO_RECOM
POLICY
請實行以下兩個建議方法之一: 1) 建立一個本機管理的表格空間, 並在其中重組這些區段. 2) 或者, 重組這些區段, 指定一個為「起始擴充區塊」倍數的「下一個擴充區塊」值, 以及值為 0 的「百分比增加」.
HIDDEN_PARAMS_NAME
POLICY
使用非標準的初始化參數
HIDDEN_PARAMS_DESC
POLICY
檢查是否使用非標準初始化參數
HIDDEN_PARAMS_IMPACT
POLICY
目前使用的是非標準初始化參數. 這可能是根據不佳的建議或不正確的假設而實行的. 特別是, 與閂鎖之 SPIN_COUNT 相關的參數和未記錄的最佳化處理程式功能, 都會造成很多需要特別調查的問題.
HIDDEN_PARAMS_RECOM
POLICY
避免使用非標準初始化參數.
STATISTICS_LEVEL_HIGH_NAME
POLICY
STATISTICS_LEVEL 參數設為 ALL
STATISTICS_LEVEL_HIGH_DESC
POLICY
檢查 STATISTICS_LEVEL 初始化參數是否設成 ALL
STATISTICS_LEVEL_HIGH_IMPACT
POLICY
自動統計值收集可讓最佳化處理程式產生正確的執行計劃, 並且辨識及更正效能問題. STATISTICS_LEVEL 初始化參數目前設為 ALL, 表示正在收集其他計時 OS 和計劃執行統計值. 這些統計值不是必要的, 而且會造成系統的額外超載.
STATISTICS_LEVEL_HIGH_RECOM
POLICY
Oracle 建議您將 STATISTICS_LEVEL 初始化參數設為 TYPICAL.
STATISTICS_LEVEL_NAME
POLICY
自動統計資料收集停用
STATISTICS_LEVEL_DESC
POLICY
檢查 STATISTICS_LEVEL 初始化參數是否設成 BASIC
STATISTICS_LEVEL_IMPACT
POLICY
自動統計資料收集可讓最佳化處理程式產生正確的執行計劃, 並且有助於辨識及更正效能問題. 依照預設, STATISTICS_LEVEL 是設成 TYPICAL. 如果將 STATISTICS_LEVEL 初始化參數設成 BASIC, 則會停用多項 Oracle 資料庫功能所需重要統計資料的收集.
STATISTICS_LEVEL_RECOM
POLICY
Oracle 強烈建議您將 STATISTICS_LEVEL 初始化參數設為 TYPICAL.
TIMED_STATISTICS_NAME
POLICY
TIMED_STATISTICS 設為 FALSE
TIMED_STATISTICS_DESC
POLICY
檢查 TIMED_STATISTICS 初始化參數是否設為 FALSE.
TIMED_STATISTICS_IMPACT
POLICY
將 TIMED_STATISTICS 設為 FALSE, 可避免收集時間相關的統計資料, 例如各種內部作業的執行時間. 這些統計資料對於診斷與效能調校非常有用. 將 TIMED_STATISTICS 設為 TRUE, 即可收集時間相關的統計資料, 也可以提供更多值給追蹤檔, 並可針對長時間執行的作業產生更精確的統計資料.
TIMED_STATISTICS_RECOM
POLICY
Oracle 強烈建議將 TIMED_STATISTICS 初始化參數設為 TRUE. 您可以在系統層次或階段作業層次設定 TIMED_STATISTICS.
TIMED_STATISTICS_MESSAGE
POLICY
TIMED_STATISTICS 設為 FALSE.
TIMED_STATISTICS_CLEAR_MESSAGE
POLICY
TIMED_STATISTICS 設為 TRUE.
TIMED_STATISTICS_FIX
POLICY
編輯 TIMED_STATISTICS 初始化參數
AUTO_PGA_NAME
POLICY
未使用自動 PGA 管理
AUTO_PGA_DESC
POLICY
檢查 PGA_AGGREGATE_TARGET 初始化參數的值是不是 0, 或者 WORKAREA_SIZE_POLICY 的值是不是 MANUAL.
AUTO_PGA_IMPACT
POLICY
自動 PGA 記憶體管理可簡化並改進配置 PGA 記憶體的方式. 如果啟用, Oracle 可以動態調整工作區專用的 PGA 記憶體, 並且使用 DBA 設定的 PGA_AGGREGATE_TARGET 限制.
AUTO_PGA_RECOM
POLICY
Oracle 強烈建議您啟用「自動 PGA 記憶體管理」, 並且將 PGA_AGGREGATE_TARGET 初始化參數設為非零的數字. 請使用 Oracle PGA 建議來協助將 PGA_AGGREGATE_TARGET 設為最佳大小.
SMALL_REDO_LOGS_NAME
POLICY
重做日誌大小不足
SMALL_REDO_LOGS_DESC
POLICY
檢查小於 1 MB 的重做日誌檔
SMALL_REDO_LOGS_IMPACT
POLICY
重做日誌太小會造成系統檢查點將緩衝區快取和 I/O 系統持續維持在高負載狀態.
SMALL_REDO_LOGS_RECOM
POLICY
將重做日誌的大小至少增加到 1 MB.
REDO_LOG_SIZE_TR_NLSID
POLICY
重做日誌檔大小 (MB)
INSUFF_REDO_LOGS_NAME
POLICY
重做日誌數目不足
INSUFF_REDO_LOGS_DESC
POLICY
檢查少於 3 個重做日誌的使用
INSUFF_REDO_LOGS_IMPACT
POLICY
線上重做日誌檔是用來記錄資料庫中的變更, 以供復原使用. 啟用存檔功能時, 需要先將這些線上重做日誌存檔, 才能重複使用它們. 每一個資料庫至少要有 2 個啟動並在執行中的線上重做日誌群組. 線上重做日誌的大小和數目不足時, LGWR 會等待 ARCH 完成寫入存檔日誌目的地後, 再覆寫該日誌. 這項作業會在尖峰活動期間導致嚴重降低效能.
INSUFF_REDO_LOGS_RECOM
POLICY
Oracle 建議至少要有 3 個線上重做日誌群組, 且每個群組至少有 2 個成員. 而且, 同一個群組的成員必須在不同的磁碟機上.
REDO_LOG_COUNT_TR_NLSID
POLICY
重做日誌計數
INSUFF_CONTROL_FILES_NAME
POLICY
控制檔數目不足
INSUFF_CONTROL_FILES_DESC
POLICY
檢查是否使用單一控制檔
INSUFF_CONTROL_FILES_IMPACT
POLICY
控制檔是 Oracle 資料庫中最重要的檔案之一, 負責維護關於資料庫的許多實體特性及重要的復原資訊. 如果因為媒體錯誤而遺失唯一的控制檔, 將會發生不必要的停止工作狀況和其他風險.
INSUFF_CONTROL_FILES_RECOM
POLICY
請至少使用兩個控制檔, 並將它們置於不同的磁碟.
CONTROL_FILE_COUNT_TR_NLSID
POLICY
控制檔計數
ASM_DISK_SIZE_NAME
POLICY
磁碟群組包含大小十分不同的磁碟
ASM_DISK_SIZE_DESC
POLICY
檢查磁碟群組是否有磁碟大小變動超過 5% 的磁碟.
ASM_DISK_SIZE_IMPACT
POLICY
除非正在進行資料移轉, 否則磁碟群組中之各個磁碟的大小差異應該在 5% 以內.「自動儲存體管理 (ASM)」會統一按照磁碟大小比例來分配資料. 若要達到平衡的 I/O 和最佳效能, 指定之磁碟群組中的磁碟大小應該要有相似的大小和效能特性.
ASM_DISK_SIZE_RECOM
POLICY
移除, 取代或重新調整磁碟群組中的磁碟大小, 讓它們之間的大小差異小於 5%.
ASM_DATA_PROTECTION_NAME
POLICY
磁碟群組依賴外部冗餘並有未受保護的磁碟
ASM_DATA_PROTECTION_DESC
POLICY
檢查依賴外部冗餘的磁碟群組是否有未鏡射或沒有同位保護的磁碟.
ASM_DATA_PROTECTION_IMPACT
POLICY
如果磁碟群組依賴外部冗餘而且磁碟未映射或沒有同位保護, 則可能會發生資料遺失.
ASM_DATA_PROTECTION_RECOM
POLICY
將有問題的磁碟取代為鏡射或有同位保護的磁碟, 或者將未保護的磁碟移至 NORMAL 或 HIGH 冗餘的磁碟群組.
ASM_MIXED_REDUNDANCY_NAME
POLICY
磁碟群組包含不同冗餘屬性的磁碟
ASM_MIXED_REDUNDANCY_DESC
POLICY
檢查磁碟群組是否有不同冗餘屬性的磁碟.
ASM_MIXED_REDUNDANCY_IMPACT
POLICY
同一磁碟群組中冗餘屬性不同的磁碟, 可能會有不一致層次的資料保護.
ASM_MIXED_REDUNDANCY_RECOM
POLICY
將不同冗餘屬性的磁碟移到個別的磁碟群組中.
ASM_UNNEEDED_REDUNDANCY_NAME
POLICY
NORMAL 或 HIGH 冗餘的磁碟群組有映射或同位保護磁碟
ASM_UNNEEDED_REDUNDANCY_DESC
POLICY
檢查 NORMAL 或 HIGH 冗餘的磁碟群組是否有鏡射或同位保護的磁碟.
ASM_UNNEEDED_REDUNDANCY_IMPACT
POLICY
磁碟及其所屬磁碟群組同時提供資料冗餘時, 將會浪費磁碟資源, 而且會不必要地影響到效能.
ASM_UNNEEDED_REDUNDANCY_RECOM
POLICY
將 NORMAL 或 HIGH 冗餘磁碟群組中的磁碟取代為未保護的磁碟.
NO_RECOVERY_AREA_NAME
POLICY
未設定復原區域位置
NO_RECOVERY_AREA_DESC
POLICY
未設定復原區域檢查
NO_RECOVERY_AREA_IMPACT
POLICY
未設定復原區域位置將會導致分割所有復原元件的儲存位置.
NO_RECOVERY_AREA_RECOM
POLICY
建議您設定復原區域位置, 以提供統一的儲存位置供所有復原元件使用.
NO_FORCE_LOGGING_NAME
POLICY
停用強制記錄日誌功能
NO_FORCE_LOGGING_DESC
POLICY
如果使用「資料保全中介」, 請檢查主要資料庫是否停用強制記錄日誌功能.
NO_FORCE_LOGGING_IMPACT
POLICY
主要資料庫目前不是強制記錄日誌模式, 因此無法將主要資料庫中未記錄的直接寫入傳輸至待命資料庫.
NO_FORCE_LOGGING_RECOM
POLICY
請使用 ALTER DATABASE FORCE LOGGING, 將主要資料庫置於強制記錄日誌模式.
TKPROF_NAME
POLICY
TKPROF 執行檔權限
TKPROF_NAME_NT
POLICY
TKPROF 執行檔權限 (Windows)
TKPROF_DESC
POLICY
確定將 Tkprof 執行檔權限限制為可供群組讀取和執行, 但無法讓公眾存取
TKPROF_IMPACT
POLICY
Tkprof 的權限過大會造成其中的資訊不受保護.
TKPROF_RECOM
POLICY
如果不需要, 請移除 Tkprof 執行檔. 否則, 必須將 Tkprof 執行檔的權限限制為可供群組讀取和執行, 但無法讓公眾存取.
TKPROF_OWNER_NAME
POLICY
TKPROF 執行檔擁有者
TKPROF_OWNER_DESC
POLICY
確定 Tkprof 執行檔為 Oracle 軟體擁有者所擁有
TKPROF_OWNER_IMPACT
POLICY
不將 Tkprof 的擁有權限制在 Oracle 軟體集和 DBA 群組, 可能會造成資訊外洩.
TKPROF_OWNER_RECOM
POLICY
將 Tkprof 執行檔的權限限制在 Oracle 軟體集的擁有者和 DBA 群組.
OTRACE_NAME
POLICY
Otrace 資料檔
OTRACE_DESC
POLICY
避免因為 Otrace 收集資料, 而對資料庫效能和磁碟空間使用造成負面影響
OTRACE_IMPACT
POLICY
收集效能和資源使用資料可能會對資料庫效能和磁碟空間使用造成負面影響.
OTRACE_RECOM
POLICY
應該停用 Otrace.
SQLPLUS_NAME
POLICY
SQL*Plus 執行檔權限
SQLPLUS_NAME_NT
POLICY
SQL*Plus 執行檔權限 (Windows)
SQLPLUS_DESC
POLICY
確定將 SQL*Plus 執行檔權限限制在 Oracle 軟體集和 DBA 群組
SQLPLUS_IMPACT
POLICY
SQL*Plus 讓有資料庫帳戶與適當權限的使用者可以在資料庫執行任何 SQL. SQL*Plus 若具公用執行權限, 有可能會將機密資料洩露給惡意使用者, 因而造成安全問題.
SQLPLUS_RECOMM
POLICY
將 SQL*Plus 執行檔的檔案權限限制在 Oracle 軟體集和 DBA 群組.
SQLPLUS_OWNER_NAME
POLICY
SQL*Plus 執行檔擁有者
SQLPLUS_OWNER_DESC
POLICY
確定將 SQL*Plus 的擁有權限制在 Oracle 軟體集和 DBA 群組
SQLPLUS_OWNER_IMPACT
POLICY
SQL*Plus 讓有資料庫帳戶與適當權限的使用者可以在資料庫執行任何 SQL. 若未將 SQL*Plus 的擁有權限制在 Oracle 軟體集和 DBA 群組, 有可能會將機密資料洩露給惡意使用者, 因而造成安全問題.
SQLPLUS_OWNER_RECOM
POLICY
將 SQL*Plus 的擁有權限制在 Oracle 軟體集和 DBA 群組.
WIN_PLATFORM_NAME
POLICY
安裝在網域控制器上
WIN_PLATFORM_DESC
POLICY
確定未將 Oracle 安裝在網域控制器上
WIN_PLATFORM_IMPACT
POLICY
將 Oracle 安裝在網域控制器上會造成嚴重的安全問題.
WIN_PLATFORM_RECOMM
POLICY
Oracle 只能安裝在網域成員伺服器或獨立伺服器上.
DRIVE_PERM_NAME
POLICY
安裝的 Oracle 本位目錄磁碟機權限
DRIVE_PERM_DESC
POLICY
在 Windows 上, 確定 Everyone 群組無法存取安裝的「Oracle 本位目錄」磁碟機
DRIVE_PERM_IMPACT
POLICY
將 Oracle 安裝的磁碟機權限授與每一個人會造成嚴重的安全問題.
DRIVE_PERM_RECOMM
POLICY
Everyone 群組不能存取安裝的「Oracle 本位目錄」磁碟機.
DOMAIN_USERS_NAME
POLICY
本機使用者群組的網域使用者群組成員
DOMAIN_USERS_DESC
POLICY
確定網域伺服器本機 User 群組未包含 Domain Users 群組
DOMAIN_USERS_IMPACT
POLICY
網域伺服器的本機 Users 群組若包括 Domain Users 群組, 可能會造成嚴重的安全問題.
DOMAIN_USERS_RECOMM
POLICY
移除本機 Users 群組中的 Domain Users 群組.
WIN_TOOLS_NAME
POLICY
Windows 工具權限
WIN_TOOLS_DESC
POLICY
確定 Oracle 服務沒有 Windows 工具的權限
WIN_TOOLS_IMPACT
POLICY
將 Windows 工具的權限授與 Oracle 服務可能會造成嚴重的安全問題.
WIN_TOOLS_RECOMM
POLICY
移除 Oracle 服務帳戶的 Windows 工具權限.
WEBCACHE_NAME
POLICY
Web Cache 初始化檔案權限
WEBCACHE_NAME_NT
POLICY
Web Cache 初始化檔案權限 (Windows)
WEBCACHE_DESC
POLICY
確定將 Web Cache 初始化檔案 (webcache.xml) 的權限限制在 Oracle 軟體集和 DBA 群組.
WEBCACHE_IMPACT
POLICY
Web Cache 將機密資訊儲存在初始化檔案 (webcache.xml) 中. 您可以使用可公開存取的 Web Cache 初始化檔案來擷取機密資料 (例如管理員密碼雜湊).
WEBCACHE_RECOMM
POLICY
將 Web Cache 初始化檔案 (webcache.xml) 的存取權限制在 Oracle 軟體集和 DBA 群組.
SNMP_RO_NAME
POLICY
Oracle 代理程式 SNMP 唯讀組態檔權限
SNMP_RO_NAME_NT
POLICY
Oracle 代理程式 SNMP 唯讀組態檔權限 (Windows)
SNMP_RO_DESC
POLICY
確定將 Oracle 代理程式 SNMP 唯讀組態檔 (snmp_ro.ora) 的權限限制在 Oracle 軟體集和 DBA 群組
SNMP_RO_IMPACT
POLICY
Oracle 代理程式 SNMP 唯讀組態檔 (snmp_ro.ora) 包含代理程式的監聽位址, SQL*Net 監聽器的名稱以及它所知道的 Oracle 資料庫服務, 再加上追蹤參數. 可供公開存取的 SNMP 唯讀組態檔可用來擷取機密資料 (例如追蹤目錄位置, dbsnmp 位址等).
SNMP_RO_RECOMM
POLICY
將 Oracle 代理程式 SNMP 唯讀組態檔 (snmp_ro.ora) 的存取權限制在 Oracle 軟體集和 DBA 群組.
SNMP_RW_NAME
POLICY
Oracle 代理程式 SNMP 讀寫組態檔權限
SNMP_RW_NAME_NT
POLICY
Oracle 代理程式 SNMP 讀寫組態檔權限 (Windows)
SNMP_RW_DESC
POLICY
確定將 Oracle 代理程式 SNMP 讀寫組態檔 (snmp_rw.ora) 的權限限制在 Oracle 軟體集和 DBA 群組
SNMP_RW_IMPACT
POLICY
Oracle 代理程式 SNMP 讀寫組態檔 (snmp_rw.ora) 包含代理程式的監聽位址, SQL*Net 監聽器的名稱以及它所知道的 Oracle 資料庫服務, 加上追蹤參數. 可以使用可公開存取的 SNMP 讀寫組態檔來擷取機密資料 (例如追蹤目錄位置, dbsnmp 位址等).
SNMP_RW_RECOMM
POLICY
將 Oracle 代理程式 SNMP 讀寫組態檔 (snmp_rw.ora) 的存取權限制在 Oracle 軟體集和 DBA 群組.
WDBSVR_NAME
POLICY
Oracle HTTP Server mod_plsql 組態檔權限
WDBSVR_NAME_NT
POLICY
Oracle HTTP Server mod_plsql 組態檔權限 (Windows)
WDBSVR_DESC
POLICY
確定將 Oracle HTTP Server mod_plsql 組態檔 (wdbsvr.app) 的權限限制在 Oracle 軟體集和 DBA 群組.
WDBSVR_IMPACT
POLICY
Oracle HTTP Server mod_plsql 組態檔 (wdbsvr.app) 包含認證時使用的「資料庫存取描述區」. 可供公開存取的 mod_plsql 組態檔會讓惡意使用者得以修改「資料庫存取描述區」設定值, 進而存取 PL/SQL 應用程式或發動「拒絕服務」攻擊.
WDBSVR_RECOMM
POLICY
將 Oracle HTTP Server mod_plsql 組態檔 (wdbsvr.app) 的存取權限制在 Oracle 軟體集和 DBA 群組.
XSQL_NAME
POLICY
Oracle XSQL 組態檔權限
XSQL_NAME_NT
POLICY
Oracle XSQL 組態檔權限 (Windows)
XSQL_DESC
POLICY
確定將 Oracle XSQL 組態檔 (XSQLConfig.xml) 的權限限制在 Oracle 軟體集和 DBA 群組
XSQL_IMPACT
POLICY
Oracle XSQL 組態檔 (XSQLConfig.xml) 包含機密資料庫連線資訊. 可供公開存取的 XSQL 組態檔可能洩露資料庫使用者名稱和密碼, 而被用來存取機密資料或發動進一步的攻擊.
XSQL_RECOMM
POLICY
將 Oracle XSQL 組態檔 (XSQLConfig.xml) 的存取權限制在 Oracle 軟體集和 DBA 群組.
HTACCESS_NAME
POLICY
Oracle HTTP Server 分散式組態檔權限
HTACCESS_NAME_NT
POLICY
Oracle HTTP Server 分散式組態檔權限 (Windows)
HTACCESS_DESC
POLICY
確定將 Oracle HTTP Server 分散式組態檔的權限限制在 Oracle 軟體集和 DBA 群組
HTACCESS_IMPACT
POLICY
Oracle HTTP Server 分散式組態檔 (通常是 .htaccess) 是用在 Web 資料夾的存取控制和認證上. 您可以修改此檔案, 以存取內含機密資訊的頁面.
HTACCESS_RECOMM
POLICY
將 Oracle HTTP Server 分散式組態檔的存取權限制在 Oracle 軟體集和 DBA 群組.
WEBCACHE_OWNER_NAME
POLICY
Web Cache 初始化檔案擁有者
WEBCACHE_OWNER_DESC
POLICY
確定 Web Cache 初始化檔案 (webcache.xml) 為 Oracle 軟體擁有者所擁有.
WEBCACHE_OWNER_IMPACT
POLICY
Web Cache 將機密資訊儲存在初始化檔案 (webcache.xml) 中. 您可以使用可公開存取的 Web Cache 初始化檔案來擷取機密資料 (例如管理員密碼雜湊).
WEBCACHE_OWNER_RECOMM
POLICY
將 Web Cache 初始化檔案 (webcache.xml) 的權限限制在 Oracle 軟體集的擁有者和 DBA 群組.
SNMP_RO_OWNER_NAME
POLICY
Oracle 代理程式 SNMP 唯讀組態檔擁有者
SNMP_RO_OWNER_DESC
POLICY
確定 Oracle 代理程式 SNMP 唯讀組態檔 (snmp_ro.ora) 為 Oracle 軟體擁有者所擁有
SNMP_RO_OWNER_IMPACT
POLICY
Oracle 代理程式 SNMP 唯讀組態檔 (snmp_ro.ora) 包含代理程式的監聽位址, SQL*Net 監聽器的名稱以及它所知道的 Oracle 資料庫服務, 再加上追蹤參數. 可供公開存取的 SNMP 唯讀組態檔可用來擷取機密資料 (例如追蹤目錄位置, dbsnmp 位址等).
SNMP_RO_OWNER_RECOMM
POLICY
將 Oracle 代理程式 SNMP 唯讀組態檔 (snmp_ro.ora) 的權限限制在 Oracle 軟體集的擁有者和 DBA 群組.
SNMP_RW_OWNER_NAME
POLICY
Oracle 代理程式 SNMP 讀寫組態檔擁有者
SNMP_RW_OWNER_DESC
POLICY
確定 Oracle 代理程式 SNMP 讀寫組態檔 (snmp_rw.ora) 為 Oracle 軟體擁有者所擁有
SNMP_RW_OWNER_IMPACT
POLICY
Oracle 代理程式 SNMP 讀寫組態檔 (snmp_rw.ora) 包含代理程式的監聽位址, SQL*Net 監聽器的名稱以及它所知道的 Oracle 資料庫服務, 再加上追蹤參數. 可供公開存取的 SNMP 讀寫組態檔可用來擷取機密資料 (例如追蹤目錄位置, dbsnmp 位址等).
SNMP_RW_OWNER_RECOMM
POLICY
將 Oracle 代理程式 SNMP 讀寫組態檔 (snmp_rw.ora) 的權限限制在 Oracle 軟體集的擁有者和 DBA 群組.
WDBSVR_OWNER_NAME
POLICY
Oracle HTTP Server mod_plsql 組態檔擁有者
WDBSVR_OWNER_DESC
POLICY
確定 Oracle HTTP Server mod_plsql 組態檔 (wdbsvr.app) 為 Oracle 軟體擁有者所擁有
WDBSVR_OWNER_IMPACT
POLICY
Oracle HTTP Server mod_plsql 組態檔 (wdbsvr.app) 包含認證時使用的「資料庫存取描述區」. 可供公開存取的 mod_plsql 組態檔會讓惡意使用者得以修改「資料庫存取描述區」設定值, 進而存取 PL/SQL 應用程式或發動「拒絕服務」攻擊.
WDBSVR_OWNER_RECOMM
POLICY
將 Oracle HTTP Server mod_plsql 組態檔 (wdbsvr.app) 的權限限制在 Oracle 軟體集的擁有者和 DBA 群組.
XSQL_OWNER_NAME
POLICY
Oracle XSQL 組態檔擁有者
XSQL_OWNER_DESC
POLICY
確定 Oracle XSQL 組態檔 (XSQLConfig.xml) 為 Oracle 軟體擁有者所擁有
XSQL_OWNER_IMPACT
POLICY
Oracle XSQL 組態檔 (XSQLConfig.xml) 包含機密資料庫連線資訊. 可供公開存取的 XSQL 組態檔可能洩露資料庫使用者名稱和密碼, 而被用來存取機密資料或發動進一步的攻擊.
XSQL_OWNER_RECOMM
POLICY
將 Oracle XSQL 組態檔 (XSQLConfig.xml) 的權限限制在 Oracle 軟體集的擁有者和 DBA 群組.
HTACCESS_OWNER_NAME
POLICY
Oracle HTTP Server 分散式組態檔擁有者
HTACCESS_OWNER_DESC
POLICY
確定將 Oracle HTTP Server 分散式組態檔擁有權限制在 Oracle 軟體集和 DBA 群組
HTACCESS_OWNER_IMPACT
POLICY
Oracle HTTP Server 分散式組態檔 (通常是 .htaccess) 是用在 Web 資料夾的存取控制和認證上. 您可以修改此檔案, 以存取內含機密資訊的頁面.
HTACCESS_OWNER_RECOMM
POLICY
將 Oracle HTTP Server 分散式組態檔擁有權限制在 Oracle 軟體集和 DBA 群組.
ALL_PRIVILEGE_NAME
POLICY
授權 ALL PRIVILEGES
ALL_PRIVILEGE_DESC
POLICY
確定一律不將 ALL PRIVILEGES 授與任何使用者或角色
ALL_PRIVILEGE_IMPACT
POLICY
可以將權限授權給任何使用者或角色. 但過度的權限可能會被誤用. 因此, 請勿將 ALL PRIVILEGES 授權給任何使用者或角色.
ALL_PRIVILEGE_RECOMM
POLICY
可以將權限授權給任何使用者或角色. 但過度的權限可能會被誤用. 因此, 請勿將 ALL PRIVILEGES 授權給任何使用者或角色.
SELECT_ANY_TABLE_NAME
POLICY
授權 SELECT ANY TABLE 權限
SELECT_ANY_TABLE_DESC
POLICY
確定一律不將 SELECT ANY PRIVILEGE 授與任何使用者或角色
SELECT_ANY_TABLE_IMPACT
POLICY
SELECT ANY TABLE 權限可用來授權使用者或角色, 讓他們可以檢視不是他們擁有的表格中的資料. 惡意使用者如果可以存取具備此權限的任何使用者帳戶, 便可以使用此權限來存取機密資料.
SELECT_ANY_TABLE_RECOMM
POLICY
一律不要授權 SELECT ANY TABLE 權限.
SELECT_PRIVILEGE_NAME
POLICY
存取 DBA_* 視觀表
SELECT_PRIVILEGE_DESC
POLICY
確定一律不將 Select 權限授與任何 DBA_ 視觀表
SELECT_PRIVILEGE_IMPACT
POLICY
DBA_* 視觀表提供對資料庫權限和原則設定值的存取. 部份視觀表也允許檢視可供瞭解安全原則的機密 PL/SQL 程式碼.
SELECT_PRIVILEGE_RECOMM
POLICY
請勿將 SELECT 權限授與 DBA_ 視觀表. 如果有使用者擁有 SELECT 權限, 請確定所有對 DBA_ 視觀表的存取都會受到稽核.
INSERT_FAILURE_NAME
POLICY
稽核插入失敗
INSERT_FAILURE_DESC
POLICY
確定稽核重要資料物件的插入失敗
INSERT_FAILURE_IMPACT
POLICY
不稽核重要資料物件的插入失敗可能會讓惡意使用者得以滲透系統安全.
INSERT_FAILURE_RECOMM
POLICY
稽核重要資料物件的插入失敗.
EXECUTE_AND_OTHER_PRIVLEGES_NAME
POLICY
「目錄物件」上的 EXECUTE 與 READ/WRITE 權限
EXECUTE_AND_OTHER_PRIVLEGES_DESC
POLICY
確認使用者在相同目錄物件上不具有 EXECUTE 與 READ/WRITE 權限
EXECUTE_AND_OTHER_PRIVLEGES_IMPACT
POLICY
專業的惡意使用者會利用提供 EXECUTE 與 READ/WRITE 權限的目錄物件.
EXECUTE_AND_OTHER_PRIVLEGES_RECOMM
POLICY
Oracle 不建議將特定目錄物件的 EXECUTE 與 READ/WRITE 權限提供給任何使用者.
PUBLIC_EXECUTE_PRIV_DIROBJ_NAME
POLICY
對於 PUBLIC 的「目錄物件」EXECUTE 權限
PUBLIC_EXECUTE_PRIV_DIROBJ_DESC
POLICY
確認 PUBLIC 不具有目錄物件上的 EXECUTE 權限.
PUBLIC_EXECUTE_PRIV_DIROBJ_IMPACT
POLICY
專業的惡意使用者會利用授與 EXECUTE 權限給 PUBLIC 的目錄物件.
PUBLIC_EXECUTE_PRIV_DIROBJ_RECOMM
POLICY
Oracle 不建議將目錄物件上的 EXECUTE 權限授與 PUBLIC.