Sql server 数据库安全配置

已于 2022-12-05 15:01:05 修改
阅读量1.5k 收藏 3
点赞数 1
分类专栏: 心得 文章标签: 数据库 microsoft 服务器
于 2022-12-05 14:58:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoke_86/article/details/128186776
版权

一、确保将“ sa”登录帐户设置为“已禁用”

描述

sa帐户是sysadmin中一个广为人知且经常使用的SQL Server特权帐户。 这是安装期间创建的原始登录,并且始终具 Principal_id = 1,sid = 0x01。实施此控制可降低攻击者对众所周知的主体执行暴力攻击的可能性。

加固建议

运行以下T-SQL命令:

USE [master]
GO
DECLARE @tsql nvarchar(max)
SET @tsql = 'ALTER LOGIN ' + SUSER_NAME(0x01) + ' DISABLE'
EXEC (@tsql)
GO

操作时建议做好记录或备份

二、确保“ sa”登录帐户已重命名 

sa帐户是具有sysadmin特权的众所周知且经常使用的SQL Server登录。 sa登录名是安装期间创建的原始登录名,并且始终具有principal_id = 1和sid = 0x01。 如果名称未知,则对sa登录名发起密码猜测和蛮力攻击更加困难。

加固建议 在以下语句中用自定义的名称替换<different_user>值,然后执行以重命名sa登录名。

ALTER LOGIN sa WITH NAME = <different_user>;

三、确保所有SQL身份验证登录名的“ CHECK_POLICY”选项都设置为“ ON” 

将Windows中使用的相同密码过期策略应用于SQL Server内部使用的密码。 确保SQL登录名符合Windows Server Benchmark所应用的安全密码策略,将确保频繁更改具有sysadmin特权的SQL登录名的密码,以帮助防止通过蛮力攻击造成的损害。 控制 SERVER是sysadmin的等效权限,并且还应该要求具有该权限的登录名具有到期的密码。

加固建议

四、使用以下代码段确定SQL登录名的状态以及是否强制执行其密码复杂性。

SELECT name, is_disabled
FROM sys.sql_logins
WHERE is_policy_checked = 0;

对于审核过程发现的每个<login_name>,执行以下T-SQL语句

ALTER LOGIN [login_name] WITH CHECK_POLICY= ON;

确保将“登录审核”设置为“失败”和“成功登录”

描述

设置日志记录成功和失败的登录SQL Server身份验证尝试。 记录成功和失败的登录信息可提供关键信息,这些信息可用于检测/确认密码猜测攻击。 此外,记录成功的登录尝试可用于在司法调查期间确认服务器访问。

加固建议

执行以下步骤来设置审核级别: 1.打开SQL Server Management Studio。 2.右键单击目标实例,然后选择“属性”并导航到“安全性” 标签。 3.在“登录审核”下选择选项“成功登录失败和成功登录” 部分,然后单击确定。 4.重新启动SQL Server实例。操作时建议做好记录或备份

五、确保Sysadmin角色中所有经过SQL身份验证的登录名的“ CHECK_EXPIRATION”选项都设置为“ ON” 

将Windows中使用的相同密码过期策略应用于SQL Server内部使用的密码。 确保SQL登录名符合Windows Server Benchmark所应用的安全密码策略,将确保频繁更改具有sysadmin特权的SQL登录名的密码,以帮助防止通过蛮力攻击造成的损害。 CONTROL SERVER是sysadmin的等效权限,并且还应该要求具有该权限的登录名具有到期的密码。

加固建议

运行以下T-SQL语句,以CHECK_EXPIRATION = OFF查找sysadmin或等效登录名。 不应返回任何行。

SELECT l.[name], 'sysadmin membership' AS 'Access_Method'
FROM sys.sql_logins AS l
WHERE IS_SRVROLEMEMBER('sysadmin',name) = 1
AND l.is_expiration_checked <> 1
UNION ALL
SELECT l.[name], 'CONTROL SERVER' AS 'Access_Method'
FROM sys.sql_logins AS l
JOIN sys.server_permissions AS p
ON l.principal_id = p.grantee_principal_id
WHERE p.type = 'CL' AND p.state IN ('G', 'W')
AND l.is_expiration_checked <> 1;

对于审核程序发现的每个<login_name>,执行以下T-SQL语句:

ALTER LOGIN [login_name] WITH CHECK_EXPIRATION = ON;

操作时建议做好记录或备份

小珂OK
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL Server数据库安全设置
涛涛baby
08-29 1388
一、设置审核级别 设置SQL Server的审核选项,针对登录成功和失败的用户都要进行审核。 数据库属性-安全性,登录审核勾选失败和成功的登录 二、修改SQL Server服务的运行身份,设置目录权限 默认情况下,SQL Server服务是以本地系统的身份运行的。也就是说,SQL Server服务进程对系统拥有一切操作的权限,这是很不安全的。因此,我们需要将SQL Server服务的运
SQL Server 数据库安全性②
Vaska_的博客
04-18 326
6、强制存取控制方法 在强制存取控制中,数据库管理系统所管理的全部实体被分为主体和客体两大类 主体是系统中的活动实体 项数据库管理系统所管理的实际用户 客体是系统中的被动实体 文件、基本表、索引、视图 敏感度标记 对于主体和客体,DBMS为它们每个实例(值)指派一个敏感度标记: 绝密(Top Secret,TS) 机密(Secret,S) 可信(Confidential,C) 公开(Public,P) TS>=S>=C>=P 强制存取控制规则: ①仅当主体的许可证级别大于或等于客体的密级
[用户 'sa' 登录失败。原因: 该帐户禁用]的解决方案
weixin_30597269的博客
01-29 796
用户 'sa' 登录失败。原因: 该帐户禁用 打开security(安全性) -- logins(登录名) ,右键选中sa,选择properties(属性),点击Status(状态)切换到状态面板,将Login(登录)设置为Enabled(启用)。 转载于:https://www.cnblogs.com/xpxu/archive/2010/01/29/1659475.html...
数据库SA账户经常被锁定,如何处理?
07-30 2082
(2)在“对象资源管理器”中展开“安全性”,右击“登录名”,在弹出的菜单中点击“新建登录名”。此处注意:1、在登录名右侧的文本框中输入新建的管理员账号名称;3、强制密码过期不建议勾选(勾选之后太麻烦),当然如果有单独需求的可勾选。(4)点击“用户映射”,在右侧的面板中勾选该账号可以进行管理操作的数据库名称,并在该面板下面的“数据库角色成员身份”中勾选 db_owner 项。(3)点击“服务器角色”。在右侧的服务器角色面板中,如图勾选以下两项。(5)点击“状态”,进行权限设置
windows身份验证被禁用 sa账号被锁定解决方法
tianen2010的博客
06-30 1691
WindowsSA账号被锁或者密码忘记,同时windows账号还被禁用了的处理
SQL Serversa账号的安全管理
三空道人的博客
03-01 1106
​对于众所周知账户,如Windows的administrator账户,SQL Serversa账户,我们都需要确认其是否安全。下面我们给出加强sa账户安全的四种方案: 给sa强密码 修改sa名称 禁用sa账户 只使用Windows登陆验证 如下给出前三种加强sa账户安全的脚本: use master go --给sa强密码 alter login s...
用户 sa 登录失败。_Sqlserver2008R2特定用户只能查看管理指定的数据库
weixin_39877898的博客
11-26 221
一、新建登录名安全性---登录名---右键---新建登录名二、设置public权限默认情况下,public用户能看到所有的数据库。REVOKE VIEW ANY DATABASE TO [public]--这个是取消数据库公开的权限,也就是除了sa角色外,任何人都不能查看数据库Sa可以查看所有数据库。三、将待授权的数据库的db_owner指派给刚注册的新用户在数据库中新建查询,输入下列...
sqlserver数据库SSH配置1
08-08
随着数据安全的日益重要,SQLServer 数据库的安全性也变得越来越重要。SQLServer 数据库 SSH 配置可以提供加密的数据传输和身份验证,保护数据库免受未经授权的访问。同时,SSH 配置还可以提供远程访问数据库的能力...
SQL Server 数据库安全配置手册
01-18
SQL Server 数据库安全配置手册,本文档描述了为加强MS SQL Server数据库安全而需要做的设置
图书馆SQL Server数据库安全配置.pdf
09-19
图书馆SQL Server数据库安全配置.pdf
SQL Server数据库同步配置.docx
04-05
通过对SQL Server数据库同步配置的学习,我们可以了解到整个同步过程不仅包括了数据库配置方面的设置,还涉及到了安全性管理和数据复制策略的选择。这些步骤对于保证数据的一致性和可靠性至关重要。在实际操作中,...
SQL Server 2000安全配置详解
09-10
SQL Server 2000的安全配置确保数据库系统安全的关键环节。在进行配置时,我们需要遵循一系列步骤和最佳实践,以防止潜在的攻击和数据泄露。 首先,对操作系统的安全配置至关重要。确保操作系统是最新的,安装了...
SQLServer创建用户登录
weixin_33928137的博客
12-19 4078
创建用户登录注意事项 密码是区分大小写的。 只有创建SQL Server登录时,才支持对密码预先进行哈希运算。 如果指定MUST_CHANGE,则CHECK_EXPIRATION和 CHECK_POLICY必须设置为 ON。 否则,该语句将失败。 不支持CHECK_POLICY=OFF和 CHECK_EXPIRATION=ON的组合。 如...
数据库安全配置
weixin_46831054的博客
12-14 2372
MariaDB的安全配置 一.查看并配置数据库存放路径权限 登录数据库 mysql -u root 查看数据库存放路径 show variables where variable_name = ‘datadir’; 退出数据库,查看数据库存放路径权限 ls -l /var/lib | grep mysql 如图权限为755,建议改为700 chmod 700 /var/lib/mysql 二、Mariadb数据库的通用安全配置 1、删除默认的test数据库 进入数据库 mysql -u root 删除
SQLServer】windows身份验证和sa都被禁用解决方法
姜太小白的博客
11-26 4659
1、首先必须单用户模式启动SQL Server实例(注意,要以管理员权限运行cmd窗口,否则可能遇到权限问题) 关掉数据库服务 cmd 执行 net stop mssqlserver 找到数据库安装地址 在cmd下执行 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe /m /f 进入单用户模式 2、其实只要你有操作系统的管理员权限,那么借助sqlcmd工具,很容易也很简单就能获取拥有sy...
提高SqlServer数据库的安全性,禁用sa账户
zgphacker2010的专栏
10-31 3923
Sqlsever 数据库有两种登陆身份验证模式,一种是windows身份验证;一种是sqlserver 账户验证模式,在sqlserver 账户验证模式中,sa账户是大家所熟知的,并且sa也是内置的默认管理员账户,拥有最高的操作权限;前面提到,sa账户是大家所熟知的,那么,一些别有用心的人也知道sa账户,这就为我们的数据安全留下了隐患; 黑客会通过扫描程序在互联网上大量扫描,会发现那些开着远程访问,并且使用sa账户的数据库服务器,然后用穷举法不断尝试密码,即使是你的密码在怎么复杂,也扛不住它24小时不间.
sqlserver 数据库 只能用sa权限登录的安全策略
妹妹的秘密
07-22 1144
1.问题: windows 收到 弱口令攻击 暴力攻击后,sqlserver 数据库,账号密码被锁定,提示只能用sa账号登录。 2.原因: windows 本地安全策略 =》安全设置=》账户策略=》账户锁定策略 账户锁定阀值: 5次无效登录 表示5次暴力破解攻击后,账户就自动锁定了,所以无法使用。 账户锁定时间: 30分钟 锁定30分钟账号密码不能用 重置账户锁定计数器:30分钟后 30分钟后,又可以用了。 3.解决: 如果无法修改数据库账户、密码、端口 的话,只能将“账户锁定阀值”改成 0次无效登
"用户 'sa' 登录失败。原因: 该帐户禁用
速冻的博客
01-12 2818
"用户 ‘sa登录失败。原因: 该帐户禁用。"的解决方案 打开security(安全性) – logins(登录名) ,右键选中sa,选择properties(属性),点击Status(状态)切换到状态面板,将Login(登录)设置为Enabled(启用)。 ...
数据库查询与操作指南-以Nebula图数据库为例
最新发布
DZSpace,专注于计算机科学与技术领域的技术博主,致力于分享实用知识与技巧,帮助读者快速掌握技术要点,共同探索计算机世界的无限可能。欢迎访问DZSpace的博客,一起学习进步!
07-26 332
数据库查询与操作指南-以Nebula图数据库为例
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值