SQL SERVER2000安全解決方案

為了保護(hù)你服務(wù)器上的信息并抵抗蠕蟲病毒,請看Finding and Fixing Slammer Vulnerabilities頁面。
現(xiàn)在你可以通過10種方法去提高你的SQL SERVER的安全性:
1、安裝最新版本的SERVICE PACK。
一種既簡單又高效的方法是把SQL SERVER升級到SQL SERVER2000 SERVICE PACK3(SP3)。要下載SP3,可以點擊以下連接:
你也可以安裝所有他們發(fā)布的安全補(bǔ)丁,如果想通過E-MAIL得到他們最新補(bǔ)丁的發(fā)布資料,可以點擊以下連接:Product Security Notification page
2、用微軟的安全基準(zhǔn)分析器(MBSA)來評估你的服務(wù)器的安全性。
MBSA是一個用來掃描微軟產(chǎn)品中包含的不安全設(shè)置的工具,包括了SQL SERVER和SQL SERVER2000桌面引擎(MSDE 2000)。它可以在本地機(jī)上運(yùn)行或者通過網(wǎng)絡(luò)運(yùn)行。它能夠測試出SQL SERVER中的問題,就如:
*太多的SYSADMIN成員被確定成服務(wù)角色
*除了SYSADMIN還創(chuàng)建和賦予可執(zhí)行作業(yè)的權(quán)限給其他角色
*空或弱口令
*過多的權(quán)限賦給了管理員組
*在SQL SERVER 的數(shù)據(jù)字典中存在不正確的訪問控制列表(ACLs)
*在安裝文件中SA口令是明文
*過多的權(quán)限賦給了客人帳號(GUEST)
*SQL SERVER運(yùn)行在一個域控制服務(wù)器上
*如果訪問某些注冊鍵時,對每一組人的配置不正確
*不恰當(dāng)?shù)腟QL SERVER服務(wù)帳號配置
*缺少服務(wù)包和安全升級
微軟發(fā)布MBSA提供免費下載。
3、使用WINDOWS系統(tǒng)認(rèn)證模式
無論如何,你應(yīng)該需要使用WINDOWS系統(tǒng)認(rèn)證模式來連接到SQL SERVER。他們會保護(hù)你的SQL SERVER防止一些受限的WIDOWS用戶或域用戶基于互聯(lián)網(wǎng)的攻擊。你的服務(wù)器也會受益于WINDOWS強(qiáng)制安全機(jī)制,如更加強(qiáng)壯的證明協(xié)議和強(qiáng)制性的口令復(fù)雜性。而且,信任委托(有跨越多個服務(wù)器的信任能力)只是在WIDOWS認(rèn)證模式下可用。在客戶端,WINDOWS認(rèn)證模式消除了口令保存,在使用標(biāo)準(zhǔn)的SQL SERVER登錄時口令保存是一個非常大的弱點。
對于在SQL SERVER安裝帶有企業(yè)管理模塊WINDOWS認(rèn)證模式安全:
1) 展開一個服務(wù)組
2) 右鍵這個服務(wù),然后點擊屬性
3) 在“Security”標(biāo)簽上,在“Authentication”下,點擊“WINDOWS ONLY”
對于更多的信息,參看幫助。
4、有計劃的隔離你的服務(wù)器進(jìn)行備份
邏輯和物理上的隔離來虛構(gòu)一個根本安全的SQL SERVER。有數(shù)據(jù)庫的主機(jī)將防止在一個物被理保護(hù)的地方,理想的環(huán)境是有各種監(jiān)控系統(tǒng)的機(jī)房。數(shù)據(jù)庫應(yīng)該放置在你們公司內(nèi)部網(wǎng)并不和互聯(lián)網(wǎng)直接相連安全的區(qū)域。有計劃的備份所有的數(shù)據(jù)并保存?zhèn)浞菰诒镜匾酝獾陌踩珔^(qū)域。更詳細(xì)的產(chǎn)品備份指南請參考SQL SERVER 2000操作指南。
5、分配一個強(qiáng)壯的SA口令
即使是把服務(wù)器配成WIDOWS認(rèn)證模式,這SA帳號也必須有一個強(qiáng)壯的口令。這將不會把一個空或弱口令暴露在將來,當(dāng)服務(wù)器配置成了混合認(rèn)證模式。
對于分配SA的口令:
1) 展開一個服務(wù)器組,然后展開一個服務(wù)器。
2) 展開“Security”,然后點擊“Logins”。
3) 在詳細(xì)框中,右鍵SA,然后點擊“Properties”。
4) 在“Password”欄中,鍵入新的口令。
更多的信息,參看“System Administrator (sa) Login”主題的幫助。
6、限制SQL SERVER特權(quán)級別服務(wù)
SQL SERVER 2000 和SQL SERVER代理像WINDOWS 系統(tǒng)的服務(wù)一樣運(yùn)行。每個服務(wù)必須被授予一個得到了安全內(nèi)容的WINDOWS系統(tǒng)帳號。SQL SERVER 允許SA用戶登錄,和一些案例的其他可以訪問操作系統(tǒng)特征的用戶。這些操作系統(tǒng)調(diào)用被用來處理服務(wù)進(jìn)程自己的安全訪問。如果服務(wù)器被“黑”,操作系統(tǒng)調(diào)用可能被用于延伸到自己擁有的過程等其他資源被訪問的攻擊�；�于這個問題,SQL SERVER 服務(wù)主要賦予他必要的特權(quán)就可以了。
推薦以下的設(shè)置:
*SQL SERVER 引擎/MSSQL 服務(wù)
如果有被命名的實例,它們被命名成MSSQL$實例名。作為一個WINDOWS域用戶帳號所帶有的常規(guī)用戶權(quán)限運(yùn)行。不能作為一個本地的系統(tǒng)管理員,或域管理員帳號運(yùn)行。
*SQL SERVER 代理服務(wù)/SQL SERVER 代理
如果在你的環(huán)境中不許要就關(guān)掉以上服務(wù);或者作為一個WINDOWS域用戶帳號所帶有的常規(guī)用戶權(quán)限運(yùn)行以上服務(wù)。不能作為一個本地的系統(tǒng)管理員,或域管理員帳號運(yùn)行。
重要:如果是以下的有一個條件為真,SQL SERVER 代理回需要本地WINDOWS 管理員權(quán)限:
SQL SERVER 代理連接到正在使用標(biāo)準(zhǔn)的SQL SERVER認(rèn)證的SQL SERVER(不推薦)。
SQL SERVER 代理使用了一個多服務(wù)器中連接使用標(biāo)準(zhǔn)SQL SERVER認(rèn)證的主服務(wù)器帳號。
SQL SERVER 代理運(yùn)行微軟的ACTIVEX 腳本或通過沒有SYSADMIN服務(wù)角色綁定的用戶運(yùn)行批處理工作。
如果你需要改變關(guān)聯(lián)了一個SQL SERVER 服務(wù)的帳號,使用 SQL SERVER 企業(yè)管理工具。企業(yè)管理工具可以允許適當(dāng)設(shè)置SQL SERVER使用的文件和注冊表。沒有使用過這微軟管理控制臺服務(wù)JAVA 程序去改變這些帳號,是因為這需要許多的注冊手工校對、NTFS 文件系統(tǒng)許可和微軟WINDOWS 用戶的權(quán)限。
更多的信息請參看SQL SERVER 參考書。
改變帳號信息將會在下一次啟動后生效。如果你需要改變關(guān)聯(lián)了SQL SERVER 和SQL SERVER 代理的帳號,你必須兩種服務(wù)分別的使用企業(yè)管理工具來修改。
7、在防火墻上禁止SQL SERVER端口
默認(rèn)安裝SQL SERVER 監(jiān)控TCP端口 1433 和UDP端口1434。配置你的防火墻去過濾針對這些端口的外來數(shù)據(jù)包。關(guān)聯(lián)被命名實例的額外端口也將被防火墻隔離。
8、使用更安全的文件系統(tǒng)
在安裝SQL SERVER時NTFS是首選的文件系統(tǒng)。這比FAT文件系統(tǒng)更穩(wěn)定和易于恢復(fù),使之有文件和目錄訪問控制和文件加密的安全選項。在安裝的過程中,如果檢測到是NTFS文件系統(tǒng)SQL SERVER將在注冊主鍵和文件中適當(dāng)?shù)脑O(shè)置訪問控制列表,這中設(shè)置是不能改變的。
通過文件加密,在同一個帳號下運(yùn)行的SQL SERVER數(shù)據(jù)庫文件被加密,只有這個帳號才能解開文件。如果你需要改變運(yùn)行SQL SERVER 的帳號,你必須在舊的帳號下解密那些數(shù)據(jù)文件,然后在新的帳號下再加密。
9、刪除或保護(hù)舊的安裝文件
SQL SERVER 安裝文件可能包含明文或弱加密信任狀、在安裝時的日志等其他敏感的配置信息。這些日志文件位置的變更顯示了已安裝的SQL SERVER版本。在 SQL SERVER 2000,以下的文件可能受到攻擊:sqlstp.log,sqlsp.log,和setup.iss 在:\Program Files\Microsoft SQL Server\MSSQL\Install目錄中的默認(rèn)安裝信息,和:\Program Files\Microsoft SQL Server\ MSSQL$\Install 目錄中被命名的實例。
如果當(dāng)前系統(tǒng)是一個從SQL SERVER 7.0版本升級的安裝,以下文件你要好好檢查:setup.iss 在 %Windir% 目錄,和sqlsp.log 在WINDOWS 系統(tǒng)的臨時目錄。
微軟發(fā)布一些免費的工具,查找和刪除你系統(tǒng)中的口令文件。更多的信息請參考微軟網(wǎng)站。
10、審計SQL SERVER 的連接
SQL SERVER 能以日志的形式記錄事件信息并可以給系統(tǒng)管理員查看。在最小化時,你可以把嘗試連接到SQL SERVER的失敗連接記錄下來和時常的查看日志。當(dāng)有可能,保存這些日志到一個不同與數(shù)據(jù)文件存放的硬盤。
在SQL SERVER中使用企業(yè)管理工具錯誤連接的審計:
1)展開一個服務(wù)組。
2)右鍵點擊一個服務(wù)器,然后點擊“Properties”。
3)在“Security”選框上,在“Audit Level”下點擊“Failure”。
你必須停止和從新啟動服務(wù)這個設(shè)置才會生效。
更多的信息請查看SQL SERVER 幫助。

                                                    海騰數(shù)據(jù)中心(技術(shù)部整理)
                                                    2007-10-12