亚洲韩日午夜视频,欧美日韩在线精品一区二区三区,韩国超清无码一区二区三区,亚洲国产成人影院播放,久草新在线,在线看片AV色

您好,歡迎來到思海網(wǎng)絡(luò),我們將竭誠為您提供優(yōu)質(zhì)的服務(wù)! 誠征網(wǎng)絡(luò)推廣 | 網(wǎng)站備案 | 幫助中心 | 軟件下載 | 購買流程 | 付款方式 | 聯(lián)系我們 [ 會員登錄/注冊 ]
促銷推廣
客服中心
業(yè)務(wù)咨詢
有事點擊這里…  531199185
有事點擊這里…  61352289
點擊這里給我發(fā)消息  81721488
有事點擊這里…  376585780
有事點擊這里…  872642803
有事點擊這里…  459248018
有事點擊這里…  61352288
有事點擊這里…  380791050
技術(shù)支持
有事點擊這里…  714236853
有事點擊這里…  719304487
有事點擊這里…  1208894568
有事點擊這里…  61352289
在線客服
有事點擊這里…  531199185
有事點擊這里…  61352288
有事點擊這里…  983054746
有事點擊這里…  893984210
當(dāng)前位置:首頁 >> 技術(shù)文章 >> 文章瀏覽
技術(shù)文章

SQL Server 2000安全配置完全攻略

添加時間:2013-3-9 17:19:23  添加: 思海網(wǎng)絡(luò) 

數(shù)據(jù)庫是電子商務(wù)、金融以及ERP系統(tǒng)的基礎(chǔ),通常都保存著重要的商業(yè)伙伴和客戶信息。大多數(shù)企業(yè)、組織以及政府部門的電子數(shù)據(jù)都保存在各種數(shù)據(jù)庫中,他們用這些數(shù)據(jù)庫保存一些個人資料,比如員工薪水、個人資料等等。數(shù)據(jù)庫服務(wù)器還掌握著敏感的金融數(shù)據(jù)。包括交易記錄、商業(yè)事務(wù)和帳號數(shù)據(jù),戰(zhàn)略上的或者專業(yè)的信息,比如專利和工程數(shù)據(jù),甚至市場計劃等等應(yīng)該保護起來防止競爭者和其他非法者獲取的資料。數(shù)據(jù)完整性和合法存取會受到很多方面的安全威脅,包括密碼策略、系統(tǒng)后門、數(shù)據(jù)庫操作以及本身的安全方案。但是數(shù)據(jù)庫通常沒有象操作系統(tǒng)和網(wǎng)絡(luò)這樣在安全性上受到重視。

 

微軟的SQL Server是一種廣泛使用的數(shù)據(jù)庫,很多電子商務(wù)網(wǎng)站、企業(yè)內(nèi)部信息化平臺等都是基于SQL Server上的,但是數(shù)據(jù)庫的安全性還沒有被人們更系統(tǒng)的安全性等同起來,多數(shù)管理員認為只要把網(wǎng)絡(luò)和操作系統(tǒng)的安全搞好了,那么所有的應(yīng)用程序也就安全了。大多數(shù)系統(tǒng)管理員對數(shù)據(jù)庫不熟悉而數(shù)據(jù)庫管理員有對安全問題關(guān)心太少,而且一些安全公司也忽略數(shù)據(jù)庫安全,這就使數(shù)據(jù)庫的安全問題更加嚴(yán)峻了。數(shù)據(jù)庫系統(tǒng)中存在的安全漏洞和不當(dāng)?shù)呐渲猛ǔ斐蓢?yán)重的后果,而且都難以發(fā)現(xiàn)。數(shù)據(jù)庫應(yīng)用程序通常同操作系統(tǒng)的最高管理員密切相關(guān)。廣泛SQL Server數(shù)據(jù)庫又是屬于“端口”型的數(shù)據(jù)庫,這就表示任何人都能夠用分析工具試圖連接到數(shù)據(jù)庫上,從而繞過操作系統(tǒng)的安全機制,進而闖入系統(tǒng)、破壞和竊取數(shù)據(jù)資料,甚至破壞整個系統(tǒng)。

 

這里,我們主要談?wù)撚嘘P(guān)SQL Server2000數(shù)據(jù)庫的安全配置以及一些相關(guān)的安全和使用上的問題。

 

在進行SQL Server 2000數(shù)據(jù)庫的安全配置之前,首先你必須對操作系統(tǒng)進行安全配置,保證你的操作系統(tǒng)處于安全狀態(tài)。然后對你要使用的操作數(shù)據(jù)庫軟件(程序)進行必要的安全審核,比如對ASP、PHP等腳本,這是很多基于數(shù)據(jù)庫的WEB應(yīng)用常出現(xiàn)的安全隱患,對于腳本主要是一個過濾問題,需要過濾一些類似 , ‘ ; @ / 等字符,防止破壞者構(gòu)造惡意的SQL語句。

 

在做完上面三步基礎(chǔ)之后,我們再來討論SQL Server的安全配置。

 

1、使用安全的密碼策略:

我們把密碼策略擺在所有安全配置的第一步,請注意,很多數(shù)據(jù)庫帳號的密碼過于簡單,這跟系統(tǒng)密碼過于簡單是一個道理。對于sa更應(yīng)該注意,同時不要讓sa帳號的密碼寫于應(yīng)用程序或者腳本中。健壯的密碼是安全的第一步!

SQL Server2000安裝的時候,如果是使用混合模式,那么就需要輸入sa的密碼,除非你確認必須使用空密碼。這比以前的版本有所改進。

同時養(yǎng)成定期修改密碼的好習(xí)慣。數(shù)據(jù)庫管理員應(yīng)該定期查看是否有不符合密碼要求的帳號。比如使用下面的SQL語句:

Use master Select name,Password from syslogins where password is null

2、使用安全的帳號策略:

由于SQL Server不能更改sa用戶名稱,也不能刪除這個超級用戶,所以,我們必須對這個帳號進行最強的保護,當(dāng)然,包括使用一個非常強壯的密碼,最好不要在數(shù)據(jù)庫應(yīng)用中使用sa帳號,只有當(dāng)沒有其它方法登錄到 SQL Server 實例(例如,當(dāng)其它系統(tǒng)管理員不可用或忘記了密碼)時才使用 sa。建議數(shù)據(jù)庫管理員新建立一個擁有與sa一樣權(quán)限的超級用戶來管理數(shù)據(jù)庫。安全的帳號策略還包括不要讓管理員權(quán)限的帳號泛濫。

SQL Server的認證模式有Windows身份認證和混合身份認證兩種。如果數(shù)據(jù)庫管理員不希望操作系統(tǒng)管理員來通過操作系統(tǒng)登陸來接觸數(shù)據(jù)庫的話,可以在帳號管理中把系統(tǒng)帳號“BUILTIN\Administrators”刪除。不過這樣做的結(jié)果是一旦sa帳號忘記密碼的話,就沒有辦法來恢復(fù)了。

很多主機使用數(shù)據(jù)庫應(yīng)用只是用來做查詢、修改等簡單功能的,請根據(jù)實際需要分配帳號,并賦予僅僅能夠滿足應(yīng)用要求和需要的權(quán)限。比如,只要查詢功能的,那么就使用一個簡單的public帳號能夠select就可以了。

 

3、加強數(shù)據(jù)庫日志的記錄:

審核數(shù)據(jù)庫登錄事件的“失敗和成功”,在實例屬性中選擇“安全性”,將其中的審核級別選定為全部,這樣在數(shù)據(jù)庫系統(tǒng)和操作系統(tǒng)日志里面,就詳細記錄了所有帳號的登錄事件。如圖:

 

 

請定期查看SQL Server日志檢查是否有可疑的登錄事件發(fā)生,或者使用DOS命令。findstr /C:"登錄" d:\Microsoft SQL Server\MSSQL\LOG\*.*。

 

4、管理擴展存儲過程:

對存儲過程進行大手術(shù),并且對帳號調(diào)用擴展存儲過程的權(quán)限要慎重。其實在多數(shù)應(yīng)用中根本用不到多少系統(tǒng)的存儲過程,而SQL Server的這么多系統(tǒng)存儲過程只是用來適應(yīng)廣大用戶需求的,所以請刪除不必要的存儲過程,因為有些系統(tǒng)的存儲過程能很容易地被人利用起來提升權(quán)限或進行破壞。

如果你不需要擴展存儲過程xp_cmdshell請把它去掉。使用這個SQL語句:

use master sp_dropextendedproc 'xp_cmdshell'

xp_cmdshell是進入操作系統(tǒng)的最佳捷徑,是數(shù)據(jù)庫留給操作系統(tǒng)的一個大后門。如果你需要這個存儲過程,請用這個語句也可以恢復(fù)過來。 sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'。

 

如果你不需要請丟棄OLE自動存儲過程(會造成管理器中的某些特征不能使用),這些過程包括如下:

 

 

Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注冊表訪問的存儲過程,注冊表存儲過程甚至能夠讀出操作系統(tǒng)管理員的密碼來,如下: :
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regremovemultistring Xp_regwrite

還有一些其他的擴展存儲過程,你也最好檢查檢查。在處理存儲過程的時候,請確認一下,避免造成對數(shù)據(jù)庫或應(yīng)用程序的傷害。

 

5、使用協(xié)議加密:

SQL Server 2000使用的Tabular Data Stream協(xié)議來進行網(wǎng)絡(luò)數(shù)據(jù)交換,如果不加密的話,所有的網(wǎng)絡(luò)傳輸都是明文的,包括密碼、數(shù)據(jù)庫內(nèi)容等等,這是一個很大的安全威脅。能被人在網(wǎng)絡(luò)中截獲到他們需要的東西,包括數(shù)據(jù)庫帳號和密碼。所以,在條件容許情況下,最好使用SSL來加密協(xié)議,當(dāng)然,你需要一個證書來支持。

 

6、不要讓人隨便探測到你的TCP/IP端口:

默認情況下,SQL Server使用1433端口監(jiān)聽,很多人都說SQL Server配置的時候要把這個端口改變,這樣別人就不能很容易地知道使用的什么端口了。可惜,通過微軟未公開的1434端口的UDP探測可以很容易知道SQL Server使用的什么TCP/IP端口了(請參考《深入探索SQL Server網(wǎng)絡(luò)連接的安全問題》)。

不過微軟還是考慮到了這個問題,畢竟公開而且開放的端口會引起不必要的麻煩。在實例屬性中選擇TCP/IP協(xié)議的屬性。選擇隱藏 SQL Server 實例。如果隱藏了 SQL Server 實例,則將禁止對試圖枚舉網(wǎng)絡(luò)上現(xiàn)有的 SQL Server 實例的客戶端所發(fā)出的廣播作出響應(yīng)。這樣,別人就不能用1434來探測你的TCP/IP端口了(除非用Port Scan)。

 

7、修改TCP/IP使用的端口:

請在上一步配置的基礎(chǔ)上,更改原默認的1433端口。在實例屬性中選擇網(wǎng)絡(luò)配置中的TCP/IP協(xié)議的屬性,將TCP/IP使用的默認端口變?yōu)槠渌丝凇?

 

 

9、拒絕來自1434端口的探測:

由于1434端口探測沒有限制,能夠被別人探測到一些數(shù)據(jù)庫信息,而且還可能遭到DOS攻擊讓數(shù)據(jù)庫服務(wù)器的CPU負荷增大,所以對Windows 2000操作系統(tǒng)來說,在IPSec過濾拒絕掉1434端口的UDP通訊,可以盡可能地隱藏你的SQL Server。

 

10、對網(wǎng)絡(luò)連接進行IP限制:

SQL Server 2000數(shù)據(jù)庫系統(tǒng)本身沒有提供網(wǎng)絡(luò)連接的安全解決辦法,但是Windows 2000提供了這樣的安全機制。使用操作系統(tǒng)自己的IPSec可以實現(xiàn)IP數(shù)據(jù)包的安全性。請對IP連接進行限制,只保證自己的IP能夠訪問,也拒絕其他IP進行的端口連接,把來自網(wǎng)絡(luò)上的安全威脅進行有效的控制。

上面主要介紹的一些SQL Server的安全配置,經(jīng)過以上的配置,可以讓SQL Server本身具備足夠的安全防范能力。當(dāng)然,更主要的還是要加強內(nèi)部的安全控制和管理員的安全培訓(xùn),而且安全性問題是一個長期的解決過程,還需要以后進行更多的安全維護。  

關(guān)鍵字:SQL Server、數(shù)據(jù)庫、電子商務(wù)

分享到:

頂部 】 【 關(guān)閉
版權(quán)所有:佛山思海電腦網(wǎng)絡(luò)有限公司 ©1998-2024 All Rights Reserved.
聯(lián)系電話:(0757)22630313、22633833
中華人民共和國增值電信業(yè)務(wù)經(jīng)營許可證: 粵B1.B2-20030321 備案號:粵B2-20030321-1
網(wǎng)站公安備案編號:44060602000007 交互式欄目專項備案編號:200303DD003  
察察 工商 網(wǎng)安 舉報有獎  警警  手機打開網(wǎng)站