資源描述:
《sql server安全專題-sql server 2000的安全配置--》由會員上傳分享,免費在線閱讀����,更多相關內容在學術論文-天天文庫。
1�����、SQLServer安全專題:SQLServer2000的安全配置>> 數據庫是電子商務�、金融以及ERP系統(tǒng)的基礎,通常都保存著重要的商業(yè)伙伴和客戶信息��。大多數企業(yè)、組織以及政府部門的電子數據都保存在各種數據庫中��,他們用這些數據庫保存一些個人資料�,比如員工薪水�、個人資料等等。數據庫服務器還掌握著敏感的金融數據���。包括交易記錄���、商業(yè)事務和帳號數據,戰(zhàn)略上的或者專業(yè)的信息��,比如專利和工程數據��,甚至市場計劃等等應該保護起來防止競爭者和其他非法者獲取的資料����。數據完整性和合法存取會受到很多方面的安全威脅,包括密碼策略����、系統(tǒng)后門、數據庫操作以及本身的安全方案���。但是數據庫通常沒有象操作系統(tǒng)和網絡這樣在安全性上
2�����、受到重視�。 微軟的SQLServer是一種廣泛使用的數據庫�����,很多電子商務網站��、企業(yè)內部信息化平臺等都是基于SQLServer上的�����,但是數據庫的安全性還沒有被人們更系統(tǒng)的安全性等同起來���,多數管理員認為只要把網絡和操作系統(tǒng)的安全搞好了��,那么所有的應用程序也就安全了�。大多數系統(tǒng)管理員對數據庫不熟悉而數據庫管理員有對安全問題關心太少��,而且一些安全公司也忽略數據庫安全,這就使數據庫的安全問題更加嚴峻了���。數據庫系統(tǒng)中存在的安全漏洞和不當的配置通常會造成嚴重的后果�����,而且都難以發(fā)現���。數據庫應用程序通常同操作系統(tǒng)的最高管理員密切相關�。廣泛SQLServer數據庫又是屬于端口型的數據庫,這就表示任何人都能夠用分
3��、析工具試圖連接到數據庫上���,從而繞過操作系統(tǒng)的安全機制�,進而闖入系統(tǒng)�、破壞和竊取數據資料,甚至破壞整個系統(tǒng)�。 這里��,我們主要談論有關SQLServer2000數據庫的安全配置以及一些相關的安全和使用上的問題���?���! ≡谶M行SQLServer2000數據庫的安全配置之前,首先你必須對操作系統(tǒng)進行安全配置���,保證你的操作系統(tǒng)處于安全狀態(tài)����。然后對你要使用的操作數據庫軟件(程序)進行必要的安全審核�,比如對ASP、PHP等腳本�����,這是很多基于數據庫的icrosoftSQLServerMSSQLLOG*.* 4����、管理擴展存儲過程 對存儲過程進行大手術,并且對帳號調用擴展存儲過程的權限要慎重�����。其實在多數應用
4���、中根本用不到多少系統(tǒng)的存儲過程����,而SQLServer的這么多系統(tǒng)存儲過程只是用來適應廣大用戶需求的,所以請刪除不必要的存儲過程�,因為有些系統(tǒng)的存儲過程能很容易地被人利用起來提升權限或進行破壞?��! ∪绻悴恍枰獢U展存儲過程xp_cmdshell請把它去掉���。使用這個SQL語句: usemastersp_dropextendedproc'xp_cmdshell'xp_cmdshell是進入操作系統(tǒng)的最佳捷徑是數據庫留給操作系統(tǒng)的一個大后門。如果你需要這個存儲過程�,請用這個語句也可以恢復過來��。sp_addextendedproc'xp_cmdshell','x
5����、psql70.dll' 如果你不需要請丟棄OLE自動存儲過程(會造成管理器中的某些特征不能使用),這些過程包括如下: Sp_OACreateSp_OADestroy Sp_OAGetErrorInfoSp_OAGetPropertySp_OAMethod Sp_OASetProperty Sp_OAStop 12下一頁>>>>這篇文章來自..���,���。去掉不需要的注冊表訪問的存儲過程,注冊表存儲過程甚至能夠讀出操作系統(tǒng)管理員的密碼來,如下: Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalue Xp_regenumval
6��、uesXp_regreadXp_regremovemultistringXp_reg協議來進行網絡數據交換����,如果不加密的話,所有的網絡傳輸都是明文的�����,包括密碼�、數據庫內容等等,這是一個很大的安全威脅����。能被人在網絡中截獲到他們需要的東西,包括數據庫帳號和密碼�����。所以�����,在條件容許情況下�,最好使用SSL來加密協議�,當然����,你需要一個證書來支持?���! ?、不要讓人隨便探測到你的TCP/IP端口 默認情況下�����,SQLServer使用1433端口監(jiān)聽��,很多人都說SQLServer配置的時候要把這個端口改變���,這樣別人就不能很容易地知道使用的什么端口了?����?上?����,通過微軟未公開的1434端口的UDP探測可以很容易知道S
7、QLServer使用的什么TCP/IP端口了(請參考《深入探索SQLServer網絡連接的安全問題》)�����?���! 〔贿^微軟還是考慮到了這個問題,畢竟公開而且開放的端口會引起不必要的麻煩�����。在實例屬性中選擇TCP/IP協議的屬性�����。選擇隱藏SQLServer實例。如果隱藏了SQLServer實例�����,則將禁止對試圖枚舉網絡上現有的SQLServer實例的客戶端所發(fā)出的廣播作出響應�。這樣��,別人就不能用1434來探測
