保护SQL Server数据库的十大绝招[MSSQL防范]
本文“保护SQL Server数据库的十大绝招[MSSQL防范]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
1. 安装最新的服务包
为了提高服务器安全性,最有效的一个办法就是进级到sql server 2000 Service Pack 3a (SP3a).别的,你还应当安装全部已公布的安全更新.
2. 利用Microsoft基线安全性解析器(MBSA)来评价服务器的安全性
MBSA 是个扫描多种Microsoft产品的不安全设置的工具,包含SQL Server和Microsoft SQL Server 2000 Desktop Engine(MSDE 2000).他能在本地运行,也能通过网络运行.该工具针对下面问题对SQL Server安装举行检测:
1) 过量的sysadmin固定服务器角色成员.
2) 授与sysadmin以外的其他角色成立CmdExec功课的权利.
3) 空的或简单的密码.
4) 脆弱的身份考证情势.
5) 授与管理员组过量的权利.
6) SQL Server数据目录中不精确的拜候掌握表(ACL).
7) 安装文件中利用纯文本的sa密码.
8) 授与guest帐户过量的权利.
9) 在同时是域掌握器的系统中运行SQL Server.
10) 全部人(Everyone)组的不精确设置,供应对特定注册表键的拜候.
11) SQL Server 服务帐户的不精确设置.
12) 没有安装必要的服务包和安全更新.
Microsoft 供应 MBSA 的免费下载.
3. 利用视窗系统身份考证情势
在全部大概的时刻,你都应当对指向SQL Server的衔接需求视窗系统身份考证情势.他通过限制对Microsoft 视窗系统用户和域用户帐户的衔接,保护SQL Server免受大部份Internet工具的侵害,并且,你的服务器也将从视窗系统安全加强机制中获益,比方更强的身份考证协议及强迫的密码复杂性和过期时间.别的,凭证委派(在多台服务器间桥接凭证的本领)也只能在视窗系统身份考证情势中利用.在客户端,视窗系统身份考证情势不再需求存储密码.存储密码是利用尺度SQL Server登录的利用程式的主要漏洞之一.要在SQL Server的Enterprise Manager安装视窗系统身份考证情势,请按下列步骤操作:
1)展开服务器组.
2)右键点击服务器,然后点击属性.
3)在安全性选项卡的身份考证中,点击仅限视窗系统.
4. 断绝你的服务器,并按期备份
物理和逻辑上的断绝构成了SQL Server安全性的底子.驻留数据库的机械应当处于一个从物理情势上遭到保护的地方,最佳是个上锁的机房,装备有大水检测及火灾检测及消防系统.数据库应当安装在企业内部网的安全区域中,不要直接衔接到Internet.按期备份全部数据,并将副本保存在安全的站点外地址.
5. 分配一个健旺的sa密码
sa帐户应当总拥有一个健旺的密码,即便在设置为需求 视窗系统 身份考证的服务器上也该如此.这将确保在今后服务器被重新设置为混合情势身份考证时,不会呈现空白或脆弱的sa.
要分配sa密码,请按下列步骤操作:
1) 展开服务器组,然后展开服务器.
2) 展开安全性,然后点击登录.
3) 在细节窗格中,右键点击SA,然后点击属性.
4) 在密码方框中,输入新的密码.
6. 限制 SQL Server服务的权限
SQL Server 2000和SQL Server Agent是作为视窗系统服务运行的.每个服务必须和一个视窗系统帐户相关联,并从这个帐户中衍生出安全性上下文.SQL Server答应sa登录的用户(有时也包含其他用户)来拜候操作系统特点.这些操作系统调用是由拥有服务器进程的帐户的安全性上下文来成立的.假如服务器被攻破了,那么这些操作系统调用大概被操纵来向其他资源举行攻击,只要所拥有的历程(SQL Server服务帐户)能对其举行拜候.因此,为SQL Server服务仅授与必要的权限是非常重要的.
我们举荐你采取下列设置:
1) SQL Server Engine/MSSQLServer
假如拥有指定实例,那么他们应当被命名为MSSQL$InstanceName.作为具有普通用户权限的视窗系统域用户帐户运行.不要作为本地系统、本地管理员或域管理员帐户来运行.
2) SQL Server Agent Service/SQLServerAgent
假如你的环境中没必要,请禁用该服务;不然请作为具有普通用户权限的视窗系统域用户帐户运行.不要作为本地系统、本地管理员或域管理员帐户来运行.
重点: 假以下列条件之一成立,那么SQL Server Agent将需求本地视窗系统管理员权限:
SQL Server Agent利用尺度的SQL Server身份考证衔接到SQL Server(不举荐);
SQL Server Agent利用多服务器管理主服务器(MSX)帐户,而该帐户利用尺度SQL Server身份考证举行衔接;
SQL Server Agent运行非sysadmin固定服务器角色成员所拥有的Microsoft ActiveX脚本或 CmdExec功课.
假如你需求更改和SQL Server服务相关联的帐户,请利用 SQL Server Enterprise Manager.Enterprise Manager将为SQL Server所利用的文件和注册表键设置符合的权限.不要利用Microsoft管理掌握台的“服务”(在掌握面板中)来更改这些帐户,因为这样需求手动地调制大量的注册表键和NTFS文件系统权限及Micorsoft 视窗系统用户权限.
帐户信息的更改将在下一次服务启动时见效.假如你需求更改和SQL Server及SQL Server Agent相关联的帐户,那么你必须利用Enterprise Manager辨别对两个服务举行更改.
7. 在防火墙上禁用SQL Server端口
SQL Server的默许安装将监督TCP端口1433及UDP端口1434.设置你的防火墙来过滤掉到达这些端口的数据包.并且,还应当在防火墙上禁止和指定实例相关联的其他端口.
8. 利用最安全的文件系统
NTFS是最合适安装SQL Server的文件系统.他比FAT文件系统更安定且更简单恢复.并且他还包含一些安全选项,比方文件和目录ACL及文件加密(EFS).在安装历程中,假如侦测到 NTFS,SQL Server将在注册表键和文件上设置符合的ACL.不该该去更改这些权限.
通过EFS,数据库文件将在运行SQL Server的帐户身份下举行加密.只有这个帐户才能解密这些文件.假如你需求更改运行SQL Server的帐户,那么你必须首先在陈帐户下解密这些文件,然后在新帐户下重新举行加密.
9. 删除或保护旧的安装文件
SQL Server安装文件大概包含由纯文本或简单加密的凭证和其他在安装历程中记录的敏感设置信息.这些日记文件的保存位置取决于所安装的SQL Server版本.在SQL Server 2000中,下列文件大概遭到影响:默许安装时:\Program Files\Microsoft SQL Server\MSSQL\Install目录中,及指定实例的:\Program Files\Microsoft SQL Server\ MSSQL$\Install目录中的sqlstp.log, sqlsp.log和setup.iss.
假如当前的系统是从SQL Server 7.0安装进级而来的,那么还应当查抄下列文件:%Windir% 目录中的setup.iss及视窗系统 Temp目录中的sqlsp.log.
Microsoft公布了一个免费的实用工具Killpwd,他将从你的系统中找到并删除这些密码.
10. 考核指向SQL Server的衔接
SQL Server能记录事件信息,用于系统管理员的检查.至少你应当记录失利的SQL Server衔接尝试,并按期地查看这个日记.在大概的情形下,不要将这些日记和数据文件保存在同一个硬盘上.
要在SQL Server的Enterprise Manager中考核失利衔接,请按下列步骤操作:
1) 展开服务器组.
2) 右键点击服务器,然后点击属性.
3) 在安全性选项卡的考核等级中,点击失利.
4) 要使这个设置见效,你必须终止并重新启动服务器.
以上是“保护SQL Server数据库的十大绝招[MSSQL防范]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
本文地址: | 与您的QQ/BBS好友分享! |