22,301
社区成员




详细分析16条SQL安全戒律
1、登录认证:为了安全起见,如果可以的话把Windows认证模式设置为唯一认证模式
由于使用了集成安全方式,用户可以信赖操作系统的安全性,不必再维持两个独立的安全模式,这样大大简化了用户的管理工作,还可以使密码不再受到连接字符串的限制。
2、花上一定时间审计用空密码或者弱密码登录SQL的请求
使用以下的代码可以对空密码进行检测:
Use master
Select name,
Password
from syslogins
where password is null
order by name
有很多免费工具和商业工具可以用来检测弱密码登录。SQLPing2就是一款可以用来检测弱密码和空密码的免费软件。
3、勤于检查组和角色成员
虽然SQL服务器安全模式有很多增强功能,但是它还是增加了一个额外许可层,我们必须监控好该层,以确定没有任何用户被赋予超过他们需要的访问权限,并确定没有任何用户规避了安全系统获得了权限的提升。还有一些幽灵用户,他们在公司内的职位改变了,但SQL服务器的许可结构并没有及时做出调整。确定用组进行对象访问权限的分配,而不是个人。
4、注意SQL服务器的物理安全
当你忙于干活的时候,把服务器锁在安全的地方,藏好你的钥匙。要知道如果有人接近了服务器,总会找到方法进入系统。
5、 多用用户自定义的存储表过程和视图来重写应用程序。
这样做可以最大限度减少需要直接访问数据表的操作,程序开发人员可以更好地控制数据存取的过程。
6、启用日志功能,记录所有的用户登录情况。
可以用以下的代码编写脚本达到这个目的:
xp_instance_regwrite N'HKEY_LOCAL_MACHINE', N'SOFTWARE\Microsoft\MSSQLServer\MSSQLServer',N'AuditLevel', REG_DWORD,3
7、检查master..Sp_password,看存不存在木马程序代码。
比较你的产品脚本和全新安装系统的默认脚本之间的区别,并使该代码处于方便使用的状态。
8、检查master..Sp_helpstartup,看存不存在可疑木马进程。
确保没有被人在服务器里安装了后门程序。用Sp_unmakestartup移除任何可疑进程。
9、除非确实需要,否则请禁用SQL邮件功能。
启用邮件功能会让潜伏的攻击者找到另外一个途径来传播潜在的木马程序和病毒,并让他们很轻易发动一次拒绝服务攻击。虽然邮件功能的存在本身是无害的,但是它很可能会被攻击者所利用。
10、从数据库移除的游客(Guest)身份用户,避免任何未授权用户的非法操作。
这原本就是默认设置,不过还是要警惕以防万一某些DBO放松了对访问权的控制。也有存在例外的情况,那就是主数据库和临时数据库(tempdb),因为对它们而言,游客帐户是必需的。
11、确保所有的SQL服务器数据和系统文件都安装在NTFS分区。
确认必要的许可已经准备就绪,以防有非法入侵者获得对操作系统的存取操作权限,酿成大灾难。
12、使用低特权用户而不是LocalSystem或Administrator作为SQL服务器服务的访问操作帐户。
这个帐户应该只拥有最低权限(最好是本地用户的权限),并应该能够协助阻止服务器受到攻击。请注意,当使用Enterprise Manager或SQL Server Configuration Manager (SQL 2005版) 想要执行这个设置时,对文件、注册表和用户权限的访问控制表都是自动完成的。
13、设置强密码来保护sa帐户的安全。
前提是你设置的是SQL Server和Windows安全认证模式。如果可以,请把Windows认证模式设置为唯一的认证模式,这样可以不必担心有人会强行切入你的sa帐户。即便做了这样的设置,你还是要设置一个强密码,以防有人改变你的安全认证模式。
14、选择你确实需要的那些网络库
如果SQL服务器只允许本地访问,那何不禁用所有的网络库,并使用共享内存来访问SQL服务器呢?这样做可能会更好。只要把'(local)'作为服务器名就可以了。如果你的SQL服务器需要连接其他主机,那就使用TCP/IP netlib,然后确定是否需要SSL安全协议。
15、确保你已经安装了最新的操作系统及SQL服务器的Service Packs和Hot-Fixes。
这个应该不用别人提醒广大用户都会去做的。很简单,只要在你的SQL服务器上运行代码"select @@version",比较连接页面的结果就行了。
16、把危险存储过程和扩展存储过程设置为只允许系统管理员对其进行存取操作。
这些进程很多(推荐对下面列表中的进程进行设置),需要花上不少时间才能完成以上设置。切记先不要在产品服务器上执行这些设置,最好先在开发机上做测试,这样你就不用担心会影响到任何系统功能了。
sp_sdidebug xp_availablemedia xp_cmdshell xp_deletemail xp_dirtree
xp_dropwebtask xp_dsninfo xp_enumdsn xp_enumerrorlogs xp_enumgroups
xp_enumqueuedtasks xp_eventlog xp_findnextmsg xp_fixeddrives xp_getfiledetails
xp_getnetname xp_grantlogin xp_logevent xp_loginconfig xp_logininfo
xp_makewebtask xp_msver xp_regread xp_perfend xp_perfmonitor
xp_perfsample xp_perfstart xp_readerrorlog xp_readmail xp_revokelogin
xp_runweb
文章来源:www.itzero.com-IT动力源
附系统安全设置简易手册:
1. 权限
(1) 各个盘的根目录应该只有 system 跟 administrator有权限(网站目录自行酌情配置)
(2) 目录权限
c:\windows administrators 和 SYSTEM 完全控制,其它删除
c:\windows\repair administrators 和 SYSTEM 完全控制,其它删除
c:\windows\temp everyone -> 完全
c:\windows\assembly everyone -> 读
c:\windows\microsoft.net administrators 和 SYSTEM 完全控制,users 读取,读取和运行,列出文件夹目录,其它删除
c:\windows\system32 administrators 和 SYSTEM 完全控制,users 读取,读取和运行,列出文件夹目录,其它删除
c:\windows\system32\inetsrv\MetaBack administrators 和 SYSTEM 完全控制,其它删除
c:\program files\ administrators 和 SYSTEM 完全控制,其它删除
c:\program files\Common Files administrators 和 SYSTEM 完全控制,users 读取,读取和运行,列出文件夹目录,其它删除
c:\Documents and Settingrs administrators 和 SYSTEM 完全控制,其它删除
c:\Documents and Settingrs\All Users administrators 和 SYSTEM 完全控制,其它删除
(3) 文件权限
adsnt.dll;adsiis.dll;adsiisex.dll;cmd.exe;command.exe;netstat.exe;net.exe;net1.exe;cacls.exe;sc.exe;regsvr32.exe;ftp.exe;tftp.exe;regedit.exe;at.exe;attrib.exe
只有 administrators 和 SYSTEM 有权限
删除sethc.exe文件,建立同名文件夹,然后给此文件夹administrators 和 SYSTEM 完全控制,其它删除
(4)网站目录权限
网站目录可以给administrators 和 SYSTEM 完全控制,aspnet,iwan完全控制,iusr则看情况,如果要上传,则完全控制,如果不需要,那给读取权限则可.
2. 注册表
到HKEY_CLASSES_ROOT\CLSID\删除以下的CLSID
clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8
clsid:F935DC26-1CF0-11D0-ADB9-00C04FD58A0B
clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B
clsid:093FF999-1EA0-4079-9525-9614C3504B74
3. 服务
没用的服务可以禁用
browser,cryptsvc,dhcp,dfs,trkwks,msdtc,dnscache,ersvc,helpsvc,spooler,remoteregistry,lmhosts,wzcsvc,lanmanworkstation
4. 组件
删除危险组件
regsvr32 /u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32 /u C:\WINDOWS\system32\shell32.dll
del C:\WINDOWS\System32\shell32.dll
运行 gpedit.msc -> 计算机配置 -> 安全设置 -> 本地策略 ->安全选项
网络访问: 可匿名访问的共享
网络访问: 可匿名访问的命名管道
网络访问: 可远程访问的注册表路径
网络访问: 可远程访问的注册表路径和子路径
将以上四项的内容全部删除
网络访问: 不允许 SAM 账户的匿名枚举
网络访问: 不允许 SAM 账户和共享的匿名枚举
网络访问: 不允许存储网络身份验证的凭据或 .NET Passports
网络访问: 限制匿名访问命名管道和共享
将以上四项通通设为“已启用”
5. 删除 administratos 组的终端登录权限,改为为每个管理员加上远程权限(可选)
运行 gpedit.msc -> 计算机配置 -> 安全设置 -> 本地策略 -> 用户权限分配 -> 通过终端允许登录
7.审核策略(可选)
运行 gpedit.msc ->计算机配置 ->安全设置 ->本地策略 ->审核策略
策略更改: 无审核
登录事件: 成功,失败
对象访问: 失败
过程追踪: 无审核
目录服务访问:无审核
特权使用: 无审核
系统事件: 成功,失败
账户登录事件:成功,失败
账户管理: 成功,失败
8.用户锁定(可选)
运行 gpedit.msc ->计算机配置 ->安全设置 ->帐户策略
设置为阈值3次,复位时间30分钟.
SQL注入专题
http://topic.csdn.net/u/20081205/09/3dd06076-bcbe-45d4-998c-8999fdbe6fae.html