SQL SERVER2000安全解決方案

為了保護(hù)你服務(wù)器上的信息并抵抗蠕蟲病毒,請(qǐng)看Finding and Fixing Slammer Vulnerabilities頁面。
現(xiàn)在你可以通過10種方法去提高你的SQL SERVER的安全性:
1、安裝最新版本的SERVICE PACK。
一種既簡(jiǎn)單又高效的方法是把SQL SERVER升級(jí)到SQL SERVER2000 SERVICE PACK3(SP3)。要下載SP3,可以點(diǎn)擊以下連接:
你也可以安裝所有他們發(fā)布的安全補(bǔ)丁,如果想通過E-MAIL得到他們最新補(bǔ)丁的發(fā)布資料,可以點(diǎn)擊以下連接:Product Security Notification page
2、用微軟的安全基準(zhǔn)分析器(MBSA)來評(píng)估你的服務(wù)器的安全性。
MBSA是一個(gè)用來掃描微軟產(chǎn)品中包含的不安全設(shè)置的工具,包括了SQL SERVER和SQL SERVER2000桌面引擎(MSDE 2000)。它可以在本地機(jī)上運(yùn)行或者通過網(wǎng)絡(luò)運(yùn)行。它能夠測(cè)試出SQL SERVER中的問題,就如:
*太多的SYSADMIN成員被確定成服務(wù)角色
*除了SYSADMIN還創(chuàng)建和賦予可執(zhí)行作業(yè)的權(quán)限給其他角色
*空或弱口令
*過多的權(quán)限賦給了管理員組
*在SQL SERVER 的數(shù)據(jù)字典中存在不正確的訪問控制列表(ACLs)
*在安裝文件中SA口令是明文
*過多的權(quán)限賦給了客人帳號(hào)(GUEST)
*SQL SERVER運(yùn)行在一個(gè)域控制服務(wù)器上
*如果訪問某些注冊(cè)鍵時(shí),對(duì)每一組人的配置不正確
*不恰當(dāng)?shù)腟QL SERVER服務(wù)帳號(hào)配置
*缺少服務(wù)包和安全升級(jí)
微軟發(fā)布MBSA提供免費(fèi)下載。
3、使用WINDOWS系統(tǒng)認(rèn)證模式
無論如何,你應(yīng)該需要使用WINDOWS系統(tǒng)認(rèn)證模式來連接到SQL SERVER。他們會(huì)保護(hù)你的SQL SERVER防止一些受限的WIDOWS用戶或域用戶基于互聯(lián)網(wǎng)的攻擊。你的服務(wù)器也會(huì)受益于WINDOWS強(qiáng)制安全機(jī)制,如更加強(qiáng)壯的證明協(xié)議和強(qiáng)制性的口令復(fù)雜性。而且,信任委托(有跨越多個(gè)服務(wù)器的信任能力)只是在WIDOWS認(rèn)證模式下可用。在客戶端,WINDOWS認(rèn)證模式消除了口令保存,在使用標(biāo)準(zhǔn)的SQL SERVER登錄時(shí)口令保存是一個(gè)非常大的弱點(diǎn)。
對(duì)于在SQL SERVER安裝帶有企業(yè)管理模塊WINDOWS認(rèn)證模式安全:
1) 展開一個(gè)服務(wù)組
2) 右鍵這個(gè)服務(wù),然后點(diǎn)擊屬性
3) 在“Security”標(biāo)簽上,在“Authentication”下,點(diǎn)擊“WINDOWS ONLY”
對(duì)于更多的信息,參看幫助。
4、有計(jì)劃的隔離你的服務(wù)器進(jìn)行備份
邏輯和物理上的隔離來虛構(gòu)一個(gè)根本安全的SQL SERVER。有數(shù)據(jù)庫的主機(jī)將防止在一個(gè)物被理保護(hù)的地方,理想的環(huán)境是有各種監(jiān)控系統(tǒng)的機(jī)房。數(shù)據(jù)庫應(yīng)該放置在你們公司內(nèi)部網(wǎng)并不和互聯(lián)網(wǎng)直接相連安全的區(qū)域。有計(jì)劃的備份所有的數(shù)據(jù)并保存?zhèn)浞菰诒镜匾酝獾陌踩珔^(qū)域。更詳細(xì)的產(chǎn)品備份指南請(qǐng)參考SQL SERVER 2000操作指南。
5、分配一個(gè)強(qiáng)壯的SA口令
即使是把服務(wù)器配成WIDOWS認(rèn)證模式,這SA帳號(hào)也必須有一個(gè)強(qiáng)壯的口令。這將不會(huì)把一個(gè)空或弱口令暴露在將來,當(dāng)服務(wù)器配置成了混合認(rèn)證模式。
對(duì)于分配SA的口令:
1) 展開一個(gè)服務(wù)器組,然后展開一個(gè)服務(wù)器。
2) 展開“Security”,然后點(diǎn)擊“Logins”。
3) 在詳細(xì)框中,右鍵SA,然后點(diǎn)擊“Properties”。
4) 在“Password”欄中,鍵入新的口令。
更多的信息,參看“System Administrator (sa) Login”主題的幫助。
6、限制SQL SERVER特權(quán)級(jí)別服務(wù)
SQL SERVER 2000 和SQL SERVER代理像WINDOWS 系統(tǒng)的服務(wù)一樣運(yùn)行。每個(gè)服務(wù)必須被授予一個(gè)得到了安全內(nèi)容的WINDOWS系統(tǒng)帳號(hào)。SQL SERVER 允許SA用戶登錄,和一些案例的其他可以訪問操作系統(tǒng)特征的用戶。這些操作系統(tǒng)調(diào)用被用來處理服務(wù)進(jìn)程自己的安全訪問。如果服務(wù)器被“黑”,操作系統(tǒng)調(diào)用可能被用于延伸到自己擁有的過程等其他資源被訪問的攻擊。基于這個(gè)問題,SQL SERVER 服務(wù)主要賦予他必要的特權(quán)就可以了。
推薦以下的設(shè)置:
*SQL SERVER 引擎/MSSQL 服務(wù)
如果有被命名的實(shí)例,它們被命名成MSSQL$實(shí)例名。作為一個(gè)WINDOWS域用戶帳號(hào)所帶有的常規(guī)用戶權(quán)限運(yùn)行。不能作為一個(gè)本地的系統(tǒng)管理員,或域管理員帳號(hào)運(yùn)行。
*SQL SERVER 代理服務(wù)/SQL SERVER 代理
如果在你的環(huán)境中不許要就關(guān)掉以上服務(wù);或者作為一個(gè)WINDOWS域用戶帳號(hào)所帶有的常規(guī)用戶權(quán)限運(yùn)行以上服務(wù)。不能作為一個(gè)本地的系統(tǒng)管理員,或域管理員帳號(hào)運(yùn)行。
重要:如果是以下的有一個(gè)條件為真,SQL SERVER 代理回需要本地WINDOWS 管理員權(quán)限:
SQL SERVER 代理連接到正在使用標(biāo)準(zhǔn)的SQL SERVER認(rèn)證的SQL SERVER(不推薦)。
SQL SERVER 代理使用了一個(gè)多服務(wù)器中連接使用標(biāo)準(zhǔn)SQL SERVER認(rèn)證的主服務(wù)器帳號(hào)。
SQL SERVER 代理運(yùn)行微軟的ACTIVEX 腳本或通過沒有SYSADMIN服務(wù)角色綁定的用戶運(yùn)行批處理工作。
如果你需要改變關(guān)聯(lián)了一個(gè)SQL SERVER 服務(wù)的帳號(hào),使用 SQL SERVER 企業(yè)管理工具。企業(yè)管理工具可以允許適當(dāng)設(shè)置SQL SERVER使用的文件和注冊(cè)表。沒有使用過這微軟管理控制臺(tái)服務(wù)JAVA 程序去改變這些帳號(hào),是因?yàn)檫@需要許多的注冊(cè)手工校對(duì)、NTFS 文件系統(tǒng)許可和微軟WINDOWS 用戶的權(quán)限。
更多的信息請(qǐng)參看SQL SERVER 參考書。
改變帳號(hào)信息將會(huì)在下一次啟動(dòng)后生效。如果你需要改變關(guān)聯(lián)了SQL SERVER 和SQL SERVER 代理的帳號(hào),你必須兩種服務(wù)分別的使用企業(yè)管理工具來修改。
7、在防火墻上禁止SQL SERVER端口
默認(rèn)安裝SQL SERVER 監(jiān)控TCP端口 1433 和UDP端口1434。配置你的防火墻去過濾針對(duì)這些端口的外來數(shù)據(jù)包。關(guān)聯(lián)被命名實(shí)例的額外端口也將被防火墻隔離。
8、使用更安全的文件系統(tǒng)
在安裝SQL SERVER時(shí)NTFS是首選的文件系統(tǒng)。這比FAT文件系統(tǒng)更穩(wěn)定和易于恢復(fù),使之有文件和目錄訪問控制和文件加密的安全選項(xiàng)。在安裝的過程中,如果檢測(cè)到是NTFS文件系統(tǒng)SQL SERVER將在注冊(cè)主鍵和文件中適當(dāng)?shù)脑O(shè)置訪問控制列表,這中設(shè)置是不能改變的。
通過文件加密,在同一個(gè)帳號(hào)下運(yùn)行的SQL SERVER數(shù)據(jù)庫文件被加密,只有這個(gè)帳號(hào)才能解開文件。如果你需要改變運(yùn)行SQL SERVER 的帳號(hào),你必須在舊的帳號(hào)下解密那些數(shù)據(jù)文件,然后在新的帳號(hào)下再加密。
9、刪除或保護(hù)舊的安裝文件
SQL SERVER 安裝文件可能包含明文或弱加密信任狀、在安裝時(shí)的日志等其他敏感的配置信息。這些日志文件位置的變更顯示了已安裝的SQL SERVER版本。在 SQL SERVER 2000,以下的文件可能受到攻擊:sqlstp.log,sqlsp.log,和setup.iss 在:\Program Files\Microsoft SQL Server\MSSQL\Install目錄中的默認(rèn)安裝信息,和:\Program Files\Microsoft SQL Server\ MSSQL$\Install 目錄中被命名的實(shí)例。
如果當(dāng)前系統(tǒng)是一個(gè)從SQL SERVER 7.0版本升級(jí)的安裝,以下文件你要好好檢查:setup.iss 在 %Windir% 目錄,和sqlsp.log 在WINDOWS 系統(tǒng)的臨時(shí)目錄。
微軟發(fā)布一些免費(fèi)的工具,查找和刪除你系統(tǒng)中的口令文件。更多的信息請(qǐng)參考微軟網(wǎng)站。
10、審計(jì)SQL SERVER 的連接
SQL SERVER 能以日志的形式記錄事件信息并可以給系統(tǒng)管理員查看。在最小化時(shí),你可以把嘗試連接到SQL SERVER的失敗連接記錄下來和時(shí)常的查看日志。當(dāng)有可能,保存這些日志到一個(gè)不同與數(shù)據(jù)文件存放的硬盤。
在SQL SERVER中使用企業(yè)管理工具錯(cuò)誤連接的審計(jì):
1)展開一個(gè)服務(wù)組。
2)右鍵點(diǎn)擊一個(gè)服務(wù)器,然后點(diǎn)擊“Properties”。
3)在“Security”選框上,在“Audit Level”下點(diǎn)擊“Failure”。
你必須停止和從新啟動(dòng)服務(wù)這個(gè)設(shè)置才會(huì)生效。
更多的信息請(qǐng)查看SQL SERVER 幫助。

                                                    海騰數(shù)據(jù)中心(技術(shù)部整理)
                                                    2007-10-12