保护SQL Server 2000安全性的十个步骤

最新推荐文章于 2024-04-23 19:02:14 发布
最新推荐文章于 2024-04-23 19:02:14 发布
阅读量665 收藏
点赞数
分类专栏: sql 文章标签: sql server 服务器 windows microsoft manager 防火墙

保护SQL Server 2000安全性的十个步骤

http://www.enet.com.cn 2007年06月05日17:52 <script src="/i/asource.js" type="text/javascript"></script> 赛迪网

<script src="/i/digest.js" type="text/javascript"></script>

【导读】:这里介绍了为提高 SQL Server 安装的安全性,您可以实施的十件事情

  分配一个强健的sa密码

  sa帐户应该总拥有一个强健的密码,即使在配置为要求 Windows 身份验证的服务器上也该如此。这将保证在以后服务器被重新配置为混合模式身份验证时,不会出现空白或脆弱的sa。

  要分配sa密码,请按下列步骤操作:

  展开服务器组,然后展开服务器。

  展开安全性,然后点击登录。

  在细节窗格中,右键点击SA,然后点击属性。

  在密码方框中,输入新的密码。

  限制 SQL Server服务的权限

  SQL Server 2000 和 SQL Server Agent 是作为 Windows 服务运行的。每个服务必须与一个 Windows 帐户相关联,并从这个帐户中衍生出安全性上下文。SQL Server允许sa 登录的用户(有时也包括其他用户)来访问操作系统特性。这些操作系统调用是由拥有服务器进程的帐户的安全性上下文来创建的。如果服务器被攻破了,那么这些操作系统调用可能被利用来向其他资源进行攻击,只要所拥有的过程(SQL Server服务帐户)可以对其进行访问。因此,为 SQL Server 服务仅授予必要的权限是十分重要的。

  我们推荐您采用下列设置:

  SQL Server Engine/MSSQLServer

  如果拥有指定实例,那么它们应该被命名为MSSQL$InstanceName。作为具有一般用户权限的 Windows 域用户帐户运行。不要作为本地系统、本地管理员或域管理员帐户来运行。

  SQL Server Agent Service/SQLServerAgent

  如果您的环境中不需要,请禁用该服务;否则请作为具有一般用户权限的Windows域用户帐户运行。不要作为本地系统、本地管理员或域管理员帐户来运行。

  重点: 如果下列条件之一成立,那么 SQL Server Agent 将需要本地 Windows管理员权限:

  SQL Server Agent 使用标准的 SQL Server 身份验证连接到SQL Server(不推荐)。

  SQL Server Agent 使用多服务器管理主服务器(MSX)帐户,而该帐户使用标准 SQL Server 身份验证进行连接。

  SQL Server Agent 运行非sysadmin固定服务器角色成员所拥有的 Microsoft ActiveXreg;脚本或 CmdExec 作业。

  如果您需要更改与 SQL Serve r服务相关联的帐户,请使用 SQL Server Enterprise Manager。Enterprise Manager 将为 SQL Server 所使用的文件和注册表键设置合适的权限。不要使用 Microsoft 管理控制台的"服务"(在控制面板中)来更改这些帐户,因为这样需要手动地调制大量的注册表键和NTFS文件系统权限以及Micorsoft Windows用户权限。

  帐户信息的更改将在下一次服务启动时生效。如果您需要更改与 SQL Server 以及 SQL Server Agent 相关联的帐户,那么您必须使用 Enterprise Manager 分别对两个服务进行更改。

  在防火墙上禁用 SQL Server 端口

  SQL Server 的默认安装将监视 TCP 端口 1433 以及UDP端口 1434。配置您的防火墙来过滤掉到达这些端口的数据包。而且,还应该在防火墙上阻止与指定实例相关联的其他端口。

  使用最安全的文件系统

  NTFS 是最适合安装 SQL Server 的文件系统。它比 FAT 文件系统更稳定且更容易恢复。而且它还包括一些安全选项,例如文件和目录 ACL 以及文件加密(EFS)。在安装过程中,如果侦测到 NTFS,SQL Server 将在注册表键和文件上设置合适的 ACL。不应该去更改这些权限。

  通过 EFS,数据库文件将在运行 SQL Server 的帐户身份下进行加密。只有这个帐户才能解密这些文件。如果您需要更改运行 SQL Server 的帐户,那么您必须首先在旧帐户下解密这些文件,然后在新帐户下重新进行加密。

  删除或保护旧的安装文件

  SQL Server 安装文件可能包含由纯文本或简单加密的凭证和其他在安装过程中记录的敏感配置信息。这些日志文件的保存位置取决于所安装的SQL Server版本。在 SQL Server 2000 中,下列文件可能受到影响:默认安装时:/Program Files/Microsoft SQL Server/MSSQL/Install文件夹中,以及指定实例的:/Program Files/Microsoft SQL Server/ MSSQL$/Install文件夹中的sqlstp.log, sqlsp.log和setup.iss

  如果当前的系统是从 SQL Server 7.0 安装升级而来的,那么还应该检查下列文件:%Windir% 文件夹中的setup.iss以及Windows Temp文件夹中的sqlsp.log。

  审核指向 SQL Server 的连接

  SQL Server 可以记录事件信息,用于系统管理员的审查。至少您应该记录失败的 SQL Server 连接尝试,并定期地查看这个日志。在可能的情况下,不要将这些日志和数据文件保存在同一个硬盘上。

  要在 SQL Server 的 Enterprise Manager 中审核失败连接,请按下列步骤操作:

  展开服务器组。

  右键点击服务器,然后点击属性。

  在安全性选项卡的审核等级中,点击失败。

  要使这个设置生效,您必须停止并重新启动服务器。

xiaoxiru
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
保护SQL Server十个步骤
03-03
SQL Server 2000SQL Server Agent是作为Windows服务运行的。每个服务必须与一个Windows帐户相关联,并从这个帐户中衍生出安全性上下文。SQL Server允许sa登录的用户(有时也包括其他用户)来访问操作系统特性。这些操作系统调用是由拥有服务器进程的帐户的安全性上下文来创建的。如果服务器被攻破了,那么这些 操作系统调用可能被利用来向其他资源进行攻击,只要所拥有的过程(SQL Server服务帐户)可以对其进行访问。因此,为SQL Server服务仅授予必要的权限是十分重要的。
保护SQL Server 2000十个步骤
03-03
本文介绍了为提高SQL Server安装的安全性,可以实施的十件事情。
如何提高SQL Server安全性
duyiwuer888的专栏
10-05 537
1限制 SQL Server服务的权限    SQL Server 2000SQL Server Agent 是作为 Windows 服务运行的。每个服务必须与一个 Windows 帐户相关联,并从这个帐户中衍生出安全性上下文。SQL Server允许sa 登录的用户(有时也包括其他用户)来访问操作系统特性。这些操作系统调用是由拥有服务器进程的帐户的安全性上下文来创建的。如果服务器被攻破了,
SQL Server - 提高服务器安全性13招
jnrjian的博客
11-08 1035
这可以避免端口号暴露给传入的连接请求,并有助于SQL Server安全性。因此,应该禁用SQL Server中未使用的组件和功能,这样将限制潜在攻击的机会。让我们分解在处理SQL Server安全性(当今最流行的关系数据库之一)时要采取的不同领域和步骤。这是数据库环境中常见的安全风险,因此,您应该使用非默认端口来加强SQLServer安全性。要启用扩展保护,请转到SQL Server配置管理器,右键单击协议,然后转到高级,扩展保护。可以使用各种加密机制来保护SQL Server数据库中的敏感数据。
Sql server 数据库安全配置
xiaoke_86的专栏
12-05 1428
一、确保将“ sa”登录帐户设置为“已禁用”描述sa帐户是sysadmin中一个广为人知且经常使用的SQL Server特权帐户。 这是安装期间创建的原始登录,并且始终具 Principal_id = 1,sid = 0x01。实施此控制可降低攻击者对众所周知的主体执行暴力攻击的可能性。加固建议运行以下T-SQL命令: 操作时建议做好记录或备份二、确保“ sa”登录帐户已重命名 sa帐户是具有sysadmin特权的众所周知且经常使用的SQL Server登录。 sa登录名是安装期间创建的原始登录名,并且
SQLServer数据库命令练习之安全性管理
weixin_44977886的博客
12-06 1023
SQL SERVER 2019 & MYSQL80 数据库命令练习之数据库安全性管理
SQLserver安全设置攻略
aome1470的博客
03-21 199
日前SQLINJECTION的攻击测试愈演愈烈,很多大型的网站和论坛都相继被注入。这些网站一般使用的多为SQLSERVER数据库,正因为如此,很多人开始怀疑SQLSERVER安全性。其实SQLSERVER2000已经通过了美国政府的C2级安全认证-这是该行业所能拥有的最高认证级别,所以使用SQLSERVER还是相当的安全的。当然和ORCAL、DB2等还是有差距,但是SQLSER...
SqlServer2008端口及防火墙设置:
wozengcong的专栏
06-29 6831
SqlServer2008端口及防火墙设置: 1.       开始程序,sqlserver r2——>配置工具——>配置管理器    SQL Server网络配置——>SQLEXPRESS的协议下的TCP/IP协议,并将其启用。    将IP2中的动态端口去掉,端口改为1433,已启用改为是 将本机地址IP4中的动态
Sqlserver 端口问题
Hank's Techblog
03-08 563
1、服务器的网络实用工具中的启动的TCP/IP协议的属性中将“隐藏服务器”选上,那么tcp端口将强制将端口改为2433,无论是填写的是1433还是什么;2、如果修改了端口,连接时需要ip地址+端口号;
跨网远程连接SQLSERVER不同实例不同端口
Andrewniu的博客
05-09 2063
现在有一台A电脑和一台B电脑,A是公司的服务器,安装了两个数据库实例(Sql Server 2012 和Sql Server2008 R2),B电脑在家,安装了Sql Server数据库两台电脑不在一个局域网(我们考虑的是不同网络的两台数据库连接),比如A电脑在公司,B电脑在家里,现在我要在家里用B电脑连接到公司的A电脑里的数据库。 以下以Sql Server 2008 R2设置为例,Sql S...
关于SQL Server数据库安全
03-09
本文对数据库安全的内涵和要求及数据库管理系SQL Serer的安全防护机制,如身份认证、访问控制、完整性保障、访问审计、数据加密与视图、存储过程等进行了详细分析和研究。
SQLServer安全及性能优化
03-07
SQLServer安全及性能优化 修补漏洞 安装程序补丁修补漏洞 随时关注微软官方网站补丁升级 关闭不必要的端口 关闭联必要的服务 数据库引擎 SQL Server Analysis Services SQL Server Reporting Services SQL Server Integration Services SQL Server 代理 SQL Full-text Filter Daemon launcher SQL Server Browser 同时开启所有服务系统性能会变得很差,根据需要手动启动或者禁用某个服务 DTC: Distributed Transaction Coordinator(分布式事务处理协调器),用于协调多个数据库、消息队列、文件系统等等资源管理器的事务,由于内部开发中并不使用这个功能,远程数据库服务器上也并不经常使用,因此建议关闭这个服务 禁用不使用的协议 Shared Memory 默认为已启用状态,这个协议只能用于本地连接,不能用于远程连接,一般用于其它协议出问题的时候管理作诊断使用 TCP/IP 禁用不需要使用的协议,减少网络攻击对象 减少监听的网卡和IP地址 改变监听端口号 安全地设置账户 Windows身份验证[微软推荐的方式] 优势: 1.访问SqlServer时速度更快,不用输入用户名和密码 2.可以利用Windows系统的自身工具和安全策略管理账户 3.安全确认和口令加密、审核、口令失效、最小口令长度和账号锁定 SqlServer身份验证 1.将sa账户名更改为其它账户名比如nocial,防止黑客利用sa进行攻击 2.删除不使用的账户 3.对已有账户设置安全密码[强制密码规则] 4.限制登录->远程登录、匿名登录 5.限制用户角色和权限,一般将权限设置到最低。设置角色的时候不要为public角色授予任何权限,并且从sysadmin这个角色中删除windows的administrators组,提高系统安全性。 删除不必要的数据库对象 删除危险的存储过程 xp_cmdshell:执行操作系统命令,这是一个系统后门[可以移动文件位置、创建用户、提升用户权限],建议不需要则删除掉。 ole自动化存储过程 任务管理存储过程 强化文件和目录安全 数据库最终以文件的形式存储在文件系统中 使用NTFS设置权限 限制共享【不能设置为完全控制】 及时审核日志 sqlserver的审核机制可以帮助跟踪并且阻止系统中没有授权的用户他的行为。比如没有授权的用户登录系统会阻止这次登录,并且把这次操作给记录下来。审核机制既能跟踪失败记录也能跟踪成功记录。所有的数据库平台均在不同程度上提供了审查功能。 跟踪用户行为 保护数据库 数据库性能优化 数据库的性能优化主要有两个方面:减少查询比较次数、减少资源的征用。 使用工具Sql Server Profiler优化数据库的性能,减少资源的征用 SqlServer Profiler的功能 Sql Server Profiler的用法  定义跟踪  登录连接、失败和断开  Select、Insert、Update和Delete语句  SQL批处理的开始或结束  写入到Sql server错误日志的错误  安全权限检查  Profiler执行的事件 让Profiler监视我们感兴趣的事件,可以监视的事件太多,监视太多会大大降低性能和增大表数据,只监视与数据库的性能密切相关的哪些事件。常见的感兴趣的事件:  执行查询的性能  单个用户或应用程序的活动  逻辑磁盘的读写  语句级别上的CPU占用  Standart模板的事件类 优化数据库性能可以从五个层次来进行:  优先级一:减少数据的访问【减少磁盘访问】  优先级二:返回更少数据【减少网络传输或磁盘访问】  优先级三:减少交互次数【减少网络传输或磁盘访问】  优先级四:减少开销【减少CPU及内存开销】  优先级五:利用更多资源【增加资源】 技术上从四个方面来解决性能优化问题 1、调整数据库结构设计 2、调整应用程序结构设计 3、调整数据库SQL语句 4、调整服务器内存分配 如果不熟悉sqlserver可以使用数据库引擎优化顾问来对数据库提出优化建议,然后通过系统管理的修改达到目的。 数据库引擎优化顾问  数据库引擎优化顾问介绍  分析一个或多个数据库的工作负荷和物理实现,工作负荷可以是优化的sql语句或者sqlserver profiler的跟踪文件和数据表。我们可以在运行引擎优化顾问前运用sqlserver profiler记录一些事件,然后将跟踪结果存储为文件或者数据表,然后把这些提供给数据库引擎优化顾问,让它去分析。  提出合理的物理设计结构,物理设计结构包括数据库中的索引、索引视图、非聚集索引、聚集索引视图等等。对工作负荷进行分析后,数据库优化顾问会建议添加删除修改数据库的物理设计结构。推荐一组合理的物理结构以降低工作负荷的开销。从而提高数据库的性能 数据库性能优化的常见问题 如何发现问题,如何分析导致性能降低的原因仍然是数据库管理员要掌握的知识。 事务占用资源的时间过长,造成阻塞 许多用户同时访问数据库的时候会产生大量事务,许多用户同时竞争一个资源导致占用资源的时间过长,造成阻塞。从而降低了数据库执行效率。产生这样的现象的原因如下: 1、多表连接查询,查询期间占用多个表 2、事务需要占用太多资源,容易出现多个事务占用对方资源的状况。从而导致死锁 解决之道: 1、避免多表连接查询,联合过多的表会在查询中占用过多的资源。很容易因为别的事务占用资源而相互等待。 2、使用统一的SQL语句规范,特别是访问表的顺序要保持一致,这样可以避免互相占用资源而导致的死锁。 不合理的数据文件设置,影响事务处理的性能 当事务处理产生大量数据的时候,数据文件的大小如果设置不合理将导致数据文件的不断扩展,这也会影响到事务处理的性能,进而影响到整个数据库的性能。 1、频繁操作数据库,导致日志文件增长的过快,因为日志文件记录数据库的原始操作。所以它的增长速度比数据文件要快得多。当日志文件的增长大小设置不合理的时候会导致频繁地扩展文件。从而影响性能 2、查询操作比较频繁,系统数据Tempdb的大小设置不合理。 查询操作比较频繁的时候系统数据Tempdb增长得会比较快,因为查询所产生的临时数据都存放在这个数据库上。如果Tempdb过小当查询数据量较大的时候Tempdb会自动扩展,如果遇到频繁的查询会导致Tempdb不断扩展,从而影响系统性能。这种情况我尽可能地使查询的返回结果比较小 3、大量插入数据,导致数据文件增长过快。不要设置数据文件的自动收缩,它会在忙碌的系统上导致不必要的性能开销。所以如果没有特别需要不要设置数据库的自动收缩。最好采用手动收缩。 磁盘数据组织不合理,导致磁盘的访问次数过多 数据库的磁盘访问都是按照页来访问数据的,无论访问的数据再少都是以页为单位读取,1页为8K。所以如果将经常访问的数据放在一起,数据库读取尽量少的页面就能够完成读取操作。这样效率自然就提高了。也减少了磁盘头的来回移动。否则会多次读取硬盘页面导致访问的效率降低。 对于表A和表B、表C、表D,如果经常查询表A和表B中的数据,那么可以将他们放在同一个文件组M中;如果经常访问表C和表D中的数据可以将他们放在同一个文件组N中。这样读取效率就比较高,因为一次读取就可能包含了两个表中的数据,因此提高了查询效率。要解决“磁盘数据组织不合理,导致磁盘的访问次数过多”这个问题,我们可以将经常读写的数据放置在不同的磁盘上,也就是将经常在一起被多表连接查询的表放在同一个文件组上。这里强调:这里反复提到的“不同的磁盘”指的的是不同的磁盘,而不是同一个硬盘的不同分区。 批量导入数据的时候,要进行特殊设置 当用户需要大批量导入数据的时候会突然增加很多日志记录,并且如果数据表上有索引,数据表每增加一条记录就会在索引上增加一条数据从而降低插入的性能。解决方案: 1、大批量导入数据的时候设置数据库的恢复模式为“大容量日志恢复模式” 2、导入前禁用索引,导入完毕后重建索引。
SQL数据库安全解决方案
04-18
该数据库防火墙套装是GreenSQL公司提供的SQL数据库全面安全解决方案。作为数据库前端安装,为数据库提供伪装和防护。 作为SQL数据库的代理,GreenSQL提供多种数据库保护和加速功能,包括自学习、数据库规则防火墙、安全审计、入侵检测和防护、数据库缓存以及数据库的虚拟补丁等。 GreenSQL is a Unified Database Security solution that is installed as a frontend to databases, fully camouflaging and securing them. GreenSQL works as a SQL reverse proxy and provides several database security and acceleration features including automated learning mode, a database rule-based firewall, database audit, database intrusion detection and prevention, database caching and database virtual patching.
SQLServer安全性文档
05-17
关于SQLServer安全性白皮书,写的很好
sqlserver 2000中创建用户的图文方法
01-19
进入sqlserver的企业管理器界面,新建用户需要两个步骤第一步:安全性 》登录 》新建登录输入用户名 zz8love 并选择sqlserver身份验证 并设置密码 最下面的先不要设置(要不会提示错误什么的)这个完成以后,就需要第...
SQL Server连接中三个常见的错误分析
01-19
一般说来,有以下几种可能性: 1、SQL Server名称或IP地址拼写有误 2、服务器端网络配置有误 3、客户端网络配置有误 要解决这个问题,我们一般要遵循以下的步骤来一步步找出导致错误的原因。 首先,检查网络物理...
sqlserver服务器验证改为混合验证模式步骤
01-19
3、在“安全性”页上的“服务器身份验证”下,选择新的服务器身份验证模式,再单击“确定”。 4、重新启动 SQL Server 服务,可以直接通过右件键点击“对象资源管理器”进行启动。 5、使用该语句启用sa用户:alter ...
【Linux】常用命令
最新发布
m0_54666135的博客
04-23 1089
介绍一些常用的操作文件的命令,有cd命令切换目录、创建目录mkdir、删除空目录rmdir、删除文件rm、复制文件cp、移动文件mv等等操作。
Linux文件/目录高级管理一 头歌
2301_79585673的博客
04-22 582
Linux文件/目录高级管理一
sql server 2000
08-04
SQL Server 2000是一种企业级数据库系统,包含了三个组件(DB, OLAP, English Query)。它具有丰富的前端工具、完善的开发工具以及对XML的支持,这些特点促进了该版本的推广和应用。[3] 要在64位操作系统上安装SQL ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值