安裝最新的服務包
爲了提高服務器安全性,最有效的一(yī)個方法就是升級到 SQL Server 2000 Service Pack 3a (SP3a)。
另外(wài),您還應該安裝所有已發布的安全更新。
使用 Microsoft 基線安全性分(fēn)析器(MBSA)來評估服務器的安全性
MBSA 是一(yī)個掃描多種 Microsoft 産品的不安全配置的工(gōng)具,包括 SQL Server 和 Microsoft SQL Server 2000 Desktop Engine (MSDE 2000)。它可以在本地運行,也可以通過網絡運行。該工(gōng)具針對下(xià)面問題對 SQL Server 安裝進行檢測:
1) 過多的sysadmin固定服務器角色成員(yuán)。
2) 授予sysadmin以外(wài)的其他角色創建 CmdExec 作業的權利。
3) 空的或簡單的密碼。
4) 脆弱的身份驗證模式。
5) 授予管理員(yuán)組過多的權利。
6) SQL Server數據目錄中(zhōng)不正确的訪問控制表(ACL)。
7) 安裝文件中(zhōng)使用純文本的sa密碼。
8) 授予guest帳戶過多的權利。
9) 在同時是域控制器的系統中(zhōng)運行SQL Server。
10) 所有人(Everyone)組的不正确配置,提供對特定注冊表鍵的訪問。
11) SQL Server 服務帳戶的不正确配置。
12) 沒有安裝必要的服務包和安全更新。
Microsoft 提供 MBSA 的免費(fèi)下(xià)載。
使用Windows身份驗證模式
在任何可能的時候,您都應該對指向SQLServer的連接要求Windows身份驗證模式。它通過限制Microsoft Windows用戶和域用戶帳戶的連接,保護SQLServer免受大(dà)部分(fēn)internet的工(gōng)具的侵害,而且,您的服務器也将從Windows安全增強機制中(zhōng)獲益,例如更強的身份驗證協議以及強制的密碼複雜(zá)性和過期時間。另外(wài),憑證委派(在多台服務器間橋接憑證的能力)也隻能在Windows身份驗證模式中(zhōng)使用。在客戶端,Windows身份驗證模式不再需要存儲密碼。存儲密碼是使用标準SQL Server登陸的應用程序的主要漏洞之一(yī)。
要在SQLServer的EnterpriseManager安裝Windows身份驗證模式,請按下(xià)列步驟操作:
1)展開(kāi)服務器組。
2)右鍵點擊服務器,然後點擊屬性。
3)在安全性選項卡的身份驗證中(zhōng),點擊僅限Windows。
隔離(lí)您的服務器,并定期備份
物(wù)理和邏輯上的隔離(lí)組成了SQLServer安全性的基礎。駐留數據庫的機器應該處于一(yī)個從物(wù)理形式上受到保護的地方,最好是一(yī)個上鎖的機房,配備有洪水檢測以及火(huǒ)災檢測/消防系統。數據庫應該安裝在企業内部網的安全區域中(zhōng),不要直接連接到intetnet。定期備份所有數據,并将副本保存在安全的站點外(wài)地點。
分(fēn)配一(yī)個強健的sa密碼
sa帳戶應該總擁有一(yī)個強健的密碼,即使在配置爲要求 Windows 身份驗證的服務器上也該如此。這将保證在以後服務器被重新配置爲混合模式身份驗證時,不會出現空白(bái)或脆弱的sa。
要分(fēn)配sa密碼,請按下(xià)列步驟操作:
1) 展開(kāi)服務器組,然後展開(kāi)服務器。
2) 展開(kāi)安全性,然後點擊登錄。
3) 在細節窗格中(zhōng),右鍵點擊SA,然後點擊屬性。
4) 在密碼方框中(zhōng),輸入新的密碼。
限制 SQL Server服務的權限
SQL Server 2000 和 SQL Server Agent 是作爲 Windows 服務運行的。每個服務必須與一(yī)個 Windows 帳戶相關聯,并從這個帳戶中(zhōng)衍生(shēng)出安全性上下(xià)文。SQL Server允許sa 登錄的用戶(有時也包括其他用戶)來訪問操作系統特性。這些操作系統調用是由擁有服務器進程的帳戶的安全性上下(xià)文來創建的。如果服務器被攻破了,那麽這些操作系統調用可能被利用來向其他資(zī)源進行攻擊,隻要所擁有的過程(SQL Server服務帳戶)可以對其進行訪問。因此,爲 SQL Server 服務僅授予必要的權限是十分(fēn)重要的。
我(wǒ)(wǒ)們推薦您采用下(xià)列設置:
1) SQL Server Engine/MSSQLServer
如果擁有指定實例,那麽它們應該被命名爲MSSQL$InstanceName。作爲具有一(yī)般用戶權限的Windows 域用戶帳戶運行。不要作爲本地系統、本地管理員(yuán)或域管理員(yuán)帳戶來運行。
2) SQL Server Agent Service/SQLServerAgent
如果您的環境中(zhōng)不需要,請禁用該服務;否則請作爲具有一(yī)般用戶權限的Windows域用戶帳戶運行。不要作爲本地系統、本地管理員(yuán)或域管理員(yuán)帳戶來運行。
重點: 如果下(xià)列條件之一(yī)成立,那麽 SQL Server Agent 将需要本地 Windows管理員(yuán)權限:
SQL Server Agent 使用标準的 SQL Server 身份驗證連接到SQL Server(不推薦)。
SQL Server Agent 使用多服務器管理主服務器(MSX)帳戶,而該帳戶使用标準 SQL Server 身份驗證進行連接。
SQL Server Agent 運行非sysadmin固定服務器角色成員(yuán)所擁有的 Microsoft ActiveX?腳本或 CmdExec 作業。
如果您需要更改與 SQL Server服務相關聯的帳戶,請使用 SQL Server Enterprise Manager。Enterprise Manager 将爲 SQL Server 所使用的文件和注冊表鍵設置合适的權限。不要使用 Microsoft 管理控制台的"服務"(在控制面闆中(zhōng))來更改這些帳戶,因爲這樣需要手動地調制大(dà)量的注冊表鍵和NTFS文件系統權限以及Micorsoft Windows用戶權限。
帳戶信息的更改将在下(xià)一(yī)次服務啓動時生(shēng)效。如果您需要更改與 SQL Server 以及 SQL Server Agent 相關聯的帳戶,那麽您必須使用 Enterprise Manager 分(fēn)别對兩個服務進行更改。
在防火(huǒ)牆上禁用 SQL Server 端口
SQL Server 的默認安裝将監視 TCP 端口 1433 以及UDP端口 1434。配置您的防火(huǒ)牆來過濾掉到達這些端口的數據包。而且,還應該在防火(huǒ)牆上阻止與指定實例相關聯的其他端口。
使用最安全的文件系統
NTFS 是最适合安裝 SQL Server 的文件系統。它比 FAT 文件系統更穩定且更容易恢複。而且它還包括一(yī)些安全選項,例如文件和目錄 ACL 以及文件加密(EFS)。在安裝過程中(zhōng),如果偵測到 NTFS,SQL Server 将在注冊表鍵和文件上設置合适的 ACL。不應該去(qù)更改這些權限。
通過 EFS,數據庫文件将在運行 SQL Server 的帳戶身份下(xià)進行加密。隻有這個帳戶才能解密這些文件。如果您需要更改運行 SQL Server 的帳戶,那麽您必須首先在舊(jiù)帳戶下(xià)解密這些文件,然後在新帳戶下(xià)重新進行加密。
删除或保護舊(jiù)的安裝文件
SQL Server 安裝文件可能包含由純文本或簡單加密的憑證和其他在安裝過程中(zhōng)記錄的敏感配置信息。這些日志(zhì)文件的保存位置取決于所安裝的SQL Server版本。在 SQL Server 2000 中(zhōng),下(xià)列文件可能受到影響:默認安裝時<systemdrive>:\Program Files\Microsoft SQL Server\MSSQL\Install文件夾中(zhōng),以及指定實例的<systemdrive>:\Program Files\Microsoft SQL Server\ MSSQL$<Instance Name>\Install文件夾中(zhōng)的sqlstp.loG, sqlsp.log和setup.iss
如果當前的系統是從 SQL Server 7.0 安裝升級而來的,那麽還應該檢查下(xià)列文件:%Windir% 文件夾中(zhōng)的setup.iss以及Windows Temp文件夾中(zhōng)的sqlsp.loG。
Microsoft發布了一(yī)個免費(fèi)的實用工(gōng)具 Killpwd,它将從您的系統中(zhōng)找到并删除這些密碼。
審核指向 SQL Server 的連接
SQL Server 可以記錄事件信息,用于系統管理員(yuán)的審查。至少您應該記錄失敗的 SQL Server 連接嘗試,并定期地查看這個日志(zhì)。在可能的情況下(xià),不要将這些日志(zhì)和數據文件保存在同一(yī)個硬盤上。
要在 SQL Server 的 Enterprise Manager 中(zhōng)審核失敗連接,請按下(xià)列步驟操作:
1) 展開(kāi)服務器組。
2) 右鍵點擊服務器,然後點擊屬性。
3) 在安全性選項卡的審核等級中(zhōng),點擊失敗。
4) 要使這個設置生(shēng)效,您必須停止并重新啓動服務器。
