妙招拆解SQL Server 2000数据库安全[MSSQL防范]
本文“妙招拆解SQL Server 2000数据库安全[MSSQL防范]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
1.利用结实安全的密码战略
很大都据库帐号的密码过于简单,这跟系统密码过于简单是一个原理.关于sa更应当注意,同时不要让sa帐号的密码写于利用程序大概脚本中.结实的密码是安全的第一步!sql server2000安装的时刻,假如是利用混合情势,那么就需求输入sa的密码,除非你确认必须利用空密码.这比从前的版本有所改良.同时养成按期改正密码的好习惯.数据库管理员应当按期查看能否有不符合密码要求的帐号.
比方利用下面的SQL语句: Use masterSelect name,Password from syslogins where password is null
要分配sa密码,请按下列步骤操作: 1) 展开服务器组,然后展开服务器. 2) 展开安全性,然后点击登录. 3) 在细节窗格中,右键点击SA,然后点击属性. 4) 在密码方框中,输入新的密码.
2.利用安全的帐号战略和Windows认证情势
由于SQL Server不能更改sa用户名称,也不能删除这个超级用户,所以,我们必须对这个帐号举行最强的保护,当然,包含利用一个非常强壮的密码,最好不要在数据库利用中利用sa帐号,只有当没有别的办法登录到 SQL Server 实例(比方,当别的系统管理员不可用或忘掉了密码)时才利用 sa.倡议数据库管理员新成立个拥有与sa一样权限的超级用户来管理数据库.安全的帐号战略还包含不要让管理员权限的帐号泛滥.
SQL Server的认证情势有Windows身份认证和混称身份认证两种.在任何大概的时刻,您都应当对指向SQL Server的衔接要求Windows身份考证情势.
Windows认证情势比混合情势更优胜,缘由在以下:
1) 它通过限制对Microsoft Windows用户和域用户帐户的衔接,保护SQL Server免受大部份Internet工具的侵害.
2) 服务器将从Windows安全加强机制中获益,比方更强的身份考证协议以及强迫的密码复杂性和过期时间 .
3) 利用Windows认证,不需求将密码存放在衔接字符串中.存储密码是利用尺度SQL Server登录的利用程序的主要漏洞之一.
4) Windows认证意味着你只需求将密码存放在一个地方.
要在SQL Server的Enterprise Manager安装Windows身份考证情势,请按下列步骤操作: 1)展开服务器组. 2)右键点击服务器,然后点击属性. 3)在安全性选项卡的身份考证中,点击仅限Windows.
3.在防火墙上禁用SQL Server端口
SQL Server的默许安装将监督TCP端口1433以及UDP端口1434.配置您的防火墙来过滤掉到达这些端口的数据包.并且,还应当在防火墙上禁止与指定实例相关联的其他端口.
4.考核指向SQL Server的衔接
SQL Server可以记录事件信息,用于系统管理员的检查.至少您应当记录失利的SQL Server衔接尝试,并按期地查看这个日记.在大概的情形下,不要将这些日记和数据文件保存在同一个硬盘上.
要在SQL Server的Enterprise Manager中考核失利衔接,请按下列步骤操作: 1) 展开服务器组. 2) 右键点击服务器,然后点击属性. 3) 在安全性选项卡的考核等级中,点击失利. 4) 要使这个设置见效,您必须终止并重新启动服务器.
5.管理扩大存储历程
对存储历程举行大手术,并且对帐号调用扩大存储历程的权限要慎重.其实在大都利用中根本用不到多少系统的存储历程,而SQL Server的这么多系统存储历程只是用来适应广大用户需求的,所以请删除不必要的存储历程,因为有些系统的存储历程能很简单地被人操纵起来晋升权限或举行破坏.假如你不需求扩大存储历程xp_cmdshell请把它去掉.利用这个SQL语句: use master sp_dropextendedproc 'xp_cmdshell'
xp_cmdshell是进入操作系统的最佳捷径,是数据库留给操作系统的一个大后门.假如你需求这个存储历程,请用这个语句也可以恢复过来. sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll
假如你不需求请丢弃OLE自动存储历程(会造成管理器中的某些特点不能利用),这些历程包含以下: Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetPropertySp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需求的注册表拜候的存储历程,注册表存储历程乃至可以读出操作系统管理员的密码来,以下: Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regremovemultistring Xp_regwrite
还有一些其他的扩大存储历程,你也最好查抄查抄.在处理存储历程的时刻,请确认一下,避免造成对数据库或利用程序的毁伤.
6.利用视图和存储程序以分配给用户拜候数据的权利
利用视图和存储程序以分配给用户拜候数据的权利,而不是让用户编写一些直接拜候表格的分外查询语句.通过这种方法,你无需在表格中将拜候权利分配给用户.视图和存储程序也可以限制查看的数据.比方,假如你的雇员表格包含一些奥秘的工资信息,你可以成立一个省略了工资栏的视图.
7.利用最安全的文件系统
NTFS是最合适安装SQL Server的文件系统.它比FAT文件系统更安定且更简单恢复.并且它还包含一些安全选项,比方文件和目录ACL以及文件加密(EFS).在安装历程中,假如侦测到 NTFS,SQL Server将在注册表键和文件上设置符合的ACL.不该该去更改这些权限.
通过EFS,数据库文件将在运行SQL Server的帐户身份下举行加密.只有这个帐户才能解密这些文件.假如您需求更改运行SQL Server的帐户,那么您必须首先在陈帐户下解密这些文件,然后在新帐户下重新举行加密.
8.安装进级包
为了提高服务器安全性,最有效的一个办法就是进级到SQL Server 2000 Service Pack 3a (SP3a).别的,您还应当安装全部已公布的安全更新.
9.利用Microsoft基线安全性解析器(MBSA)来评价服务器的安全性
MBSA 是一个扫描多种Microsoft产品的不安全配置的工具,包含SQL Server和Microsoft SQL Server 2000 Desktop Engine(MSDE 2000).它可以在本地运行,也可以通过网络运行.该工具针对下面问题对SQL Server安装举行检测: 1) 过量的sysadmin固定服务器角色成员. 2) 授与sysadmin以外的其他角色成立CmdExec功课的权利. 3) 空的或简单的密码. 4) 脆弱的身份考证情势. 5) 授与管理员组过量的权利. 6) SQL Server数据目录中不精确的拜候掌握表(ACL). 7) 安装文件中利用纯文本的sa密码. 8) 授与guest帐户过量的权利. 9) 在同时是域掌握器的系统中运行SQL Server. 10) 全部人(Everyone)组的不精确配置,供应对特定注册表键的拜候. 11) SQL Server 服务帐户的不精确配置. 12) 没有安装必要的服务包和安全更新.
Microsoft 供应 MBSA 的免费下载.
10.其他安全战略
别的,在安装SQL Server时,还有一些本领值得注意.
利用TCP/IP作为SQL Server的网络库.这是微软举荐利用的库,是承受磨练的.假如服务器将与网络衔接,利用非尺度端口会被一些心胸叵测的人破坏.
利用一个初级别的帐号来运行SQL Server,而不是一个管理帐号.这对系统崩溃的时刻起着保护作用.
不要答应未得到安全答应的客人拜候任何包含安全数据的数据库.
将数据库保护于一个“被锁的房间”.记着,很多骚扰都是来自于内部的人.
以上是“妙招拆解SQL Server 2000数据库安全[MSSQL防范]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
本文地址: | 与您的QQ/BBS好友分享! |