SQL SERVER2000安全解決方案
為了保護你服務器上的信息并抵抗蠕蟲病毒,請看Finding and Fixing Slammer Vulnerabilities頁面。
現(xiàn)在你可以通過10種方法去提高你的SQL SERVER的安全性:
1、安裝最新版本的SERVICE PACK。
一種既簡單又高效的方法是把SQL SERVER升級到SQL SERVER2000 SERVICE PACK3(SP3)。要下載SP3,可以點擊以下連接:
你也可以安裝所有他們發(fā)布的安全補丁,如果想通過E-MAIL得到他們最新補丁的發(fā)布資料,可以點擊以下連接:Product Security Notification page
2、用微軟的安全基準分析器(MBSA)來評估你的服務器的安全性。
MBSA是一個用來掃描微軟產(chǎn)品中包含的不安全設置的工具,包括了SQL SERVER和SQL SERVER2000桌面引擎(MSDE 2000)。它可以在本地機上運行或者通過網(wǎng)絡運行。它能夠測試出SQL SERVER中的問題,就如:
*太多的SYSADMIN成員被確定成服務角色
*除了SYSADMIN還創(chuàng)建和賦予可執(zhí)行作業(yè)的權限給其他角色
*空或弱口令
*過多的權限賦給了管理員組
*在SQL SERVER 的數(shù)據(jù)字典中存在不正確的訪問控制列表(ACLs)
*在安裝文件中SA口令是明文
*過多的權限賦給了客人帳號(GUEST)
*SQL SERVER運行在一個域控制服務器上
*如果訪問某些注冊鍵時,對每一組人的配置不正確
*不恰當?shù)腟QL SERVER服務帳號配置
*缺少服務包和安全升級
微軟發(fā)布MBSA提供免費下載。
3、使用WINDOWS系統(tǒng)認證模式
無論如何,你應該需要使用WINDOWS系統(tǒng)認證模式來連接到SQL SERVER。他們會保護你的SQL SERVER防止一些受限的WIDOWS用戶或域用戶基于互聯(lián)網(wǎng)的攻擊。你的服務器也會受益于WINDOWS強制安全機制,如更加強壯的證明協(xié)議和強制性的口令復雜性。而且,信任委托(有跨越多個服務器的信任能力)只是在WIDOWS認證模式下可用。在客戶端,WINDOWS認證模式消除了口令保存,在使用標準的SQL SERVER登錄時口令保存是一個非常大的弱點。
對于在SQL SERVER安裝帶有企業(yè)管理模塊WINDOWS認證模式安全:
1) 展開一個服務組
2) 右鍵這個服務,然后點擊屬性
3) 在“Security”標簽上,在“Authentication”下,點擊“WINDOWS ONLY”
對于更多的信息,參看幫助。
4、有計劃的隔離你的服務器進行備份
邏輯和物理上的隔離來虛構一個根本安全的SQL SERVER。有數(shù)據(jù)庫的主機將防止在一個物被理保護的地方,理想的環(huán)境是有各種監(jiān)控系統(tǒng)的機房。數(shù)據(jù)庫應該放置在你們公司內部網(wǎng)并不和互聯(lián)網(wǎng)直接相連安全的區(qū)域。有計劃的備份所有的數(shù)據(jù)并保存?zhèn)浞菰诒镜匾酝獾陌踩珔^(qū)域。更詳細的產(chǎn)品備份指南請參考SQL SERVER 2000操作指南。
5、分配一個強壯的SA口令
即使是把服務器配成WIDOWS認證模式,這SA帳號也必須有一個強壯的口令。這將不會把一個空或弱口令暴露在將來,當服務器配置成了混合認證模式。
對于分配SA的口令:
1) 展開一個服務器組,然后展開一個服務器。
2) 展開“Security”,然后點擊“Logins”。
3) 在詳細框中,右鍵SA,然后點擊“Properties”。
4) 在“Password”欄中,鍵入新的口令。
更多的信息,參看“System Administrator (sa) Login”主題的幫助。
6、限制SQL SERVER特權級別服務
SQL SERVER 2000 和SQL SERVER代理像WINDOWS 系統(tǒng)的服務一樣運行。每個服務必須被授予一個得到了安全內容的WINDOWS系統(tǒng)帳號。SQL SERVER 允許SA用戶登錄,和一些案例的其他可以訪問操作系統(tǒng)特征的用戶。這些操作系統(tǒng)調用被用來處理服務進程自己的安全訪問。如果服務器被“黑”,操作系統(tǒng)調用可能被用于延伸到自己擁有的過程等其他資源被訪問的攻擊;谶@個問題,SQL SERVER 服務主要賦予他必要的特權就可以了。
推薦以下的設置:
*SQL SERVER 引擎/MSSQL 服務
如果有被命名的實例,它們被命名成MSSQL$實例名。作為一個WINDOWS域用戶帳號所帶有的常規(guī)用戶權限運行。不能作為一個本地的系統(tǒng)管理員,或域管理員帳號運行。
*SQL SERVER 代理服務/SQL SERVER 代理
如果在你的環(huán)境中不許要就關掉以上服務;或者作為一個WINDOWS域用戶帳號所帶有的常規(guī)用戶權限運行以上服務。不能作為一個本地的系統(tǒng)管理員,或域管理員帳號運行。
重要:如果是以下的有一個條件為真,SQL SERVER 代理回需要本地WINDOWS 管理員權限:
SQL SERVER 代理連接到正在使用標準的SQL SERVER認證的SQL SERVER(不推薦)。
SQL SERVER 代理使用了一個多服務器中連接使用標準SQL SERVER認證的主服務器帳號。
SQL SERVER 代理運行微軟的ACTIVEX 腳本或通過沒有SYSADMIN服務角色綁定的用戶運行批處理工作。
如果你需要改變關聯(lián)了一個SQL SERVER 服務的帳號,使用 SQL SERVER 企業(yè)管理工具。企業(yè)管理工具可以允許適當設置SQL SERVER使用的文件和注冊表。沒有使用過這微軟管理控制臺服務JAVA 程序去改變這些帳號,是因為這需要許多的注冊手工校對、NTFS 文件系統(tǒng)許可和微軟WINDOWS 用戶的權限。
更多的信息請參看SQL SERVER 參考書。
改變帳號信息將會在下一次啟動后生效。如果你需要改變關聯(lián)了SQL SERVER 和SQL SERVER 代理的帳號,你必須兩種服務分別的使用企業(yè)管理工具來修改。
7、在防火墻上禁止SQL SERVER端口
默認安裝SQL SERVER 監(jiān)控TCP端口 1433 和UDP端口1434。配置你的防火墻去過濾針對這些端口的外來數(shù)據(jù)包。關聯(lián)被命名實例的額外端口也將被防火墻隔離。
8、使用更安全的文件系統(tǒng)
在安裝SQL SERVER時NTFS是首選的文件系統(tǒng)。這比FAT文件系統(tǒng)更穩(wěn)定和易于恢復,使之有文件和目錄訪問控制和文件加密的安全選項。在安裝的過程中,如果檢測到是NTFS文件系統(tǒng)SQL SERVER將在注冊主鍵和文件中適當?shù)脑O置訪問控制列表,這中設置是不能改變的。
通過文件加密,在同一個帳號下運行的SQL SERVER數(shù)據(jù)庫文件被加密,只有這個帳號才能解開文件。如果你需要改變運行SQL SERVER 的帳號,你必須在舊的帳號下解密那些數(shù)據(jù)文件,然后在新的帳號下再加密。
9、刪除或保護舊的安裝文件
SQL SERVER 安裝文件可能包含明文或弱加密信任狀、在安裝時的日志等其他敏感的配置信息。這些日志文件位置的變更顯示了已安裝的SQL SERVER版本。在 SQL SERVER 2000,以下的文件可能受到攻擊:sqlstp.log,sqlsp.log,和setup.iss 在:\Program Files\Microsoft SQL Server\MSSQL\Install目錄中的默認安裝信息,和:\Program Files\Microsoft SQL Server\ MSSQL$\Install 目錄中被命名的實例。
如果當前系統(tǒng)是一個從SQL SERVER 7.0版本升級的安裝,以下文件你要好好檢查:setup.iss 在 %Windir% 目錄,和sqlsp.log 在WINDOWS 系統(tǒng)的臨時目錄。
微軟發(fā)布一些免費的工具,查找和刪除你系統(tǒng)中的口令文件。更多的信息請參考微軟網(wǎng)站。
10、審計SQL SERVER 的連接
SQL SERVER 能以日志的形式記錄事件信息并可以給系統(tǒng)管理員查看。在最小化時,你可以把嘗試連接到SQL SERVER的失敗連接記錄下來和時常的查看日志。當有可能,保存這些日志到一個不同與數(shù)據(jù)文件存放的硬盤。
在SQL SERVER中使用企業(yè)管理工具錯誤連接的審計:
1)展開一個服務組。
2)右鍵點擊一個服務器,然后點擊“Properties”。
3)在“Security”選框上,在“Audit Level”下點擊“Failure”。
你必須停止和從新啟動服務這個設置才會生效。
更多的信息請查看SQL SERVER 幫助。
海騰數(shù)據(jù)中心(技術部整理)
2007-10-12
海騰公告海騰數(shù)據(jù)最新新聞公告
Copyright© 2004-2020 河南海騰電子技術有限公司 版權所有 經(jīng)營性ICP/ISP證 備案號:B1-20180452 豫公網(wǎng)安備 41019702002018號 電子營業(yè)執(zhí)照