奔牛网>数据库>MSSQL>>一个比较完整的MSSQL安全配置方案
2010年03月05日

一个比较完整的MSSQL安全配置方案

教你MSSQL安全配置

首先,要对SQL SERVER打好最新的安全补丁,接着将有安全问题的SQL过程删除,采用如下方法。

删除有安全隐患的扩展:

    exec sp_dropextendedproc 'xp_cmdshell'   [删除此项扩展后,将无法远程连接数据库]

    exec sp_dropextendedproc 'xp_dirtree'    [删除此项扩展后,将无法新建或附加数据库]

    exec sp_dropextendedproc 'xp_enumgroups'

    exec sp_dropextendedproc 'xp_fixeddrives'

    exec sp_dropextendedproc 'xp_loginconfig'

    exec sp_dropextendedproc 'xp_regaddmultistring'

    exec sp_dropextendedproc 'xp_regdeletekey'

    exec sp_dropextendedproc 'xp_regdeletevalue'

    exec sp_dropextendedproc 'xp_regread'

    exec sp_dropextendedproc 'xp_regremovemultistring'

    exec sp_dropextendedproc 'xp_regwrite'

    exec sp_dropextendedproc 'xp_enumerrorlogs'

    exec sp_dropextendedproc 'xp_getfiledetails'

    exec sp_dropextendedproc 'xp_regenumvalues'

    恢复扩展

    exec sp_addextendedproc 'xp_cmdshell', 'xplog70.dll'

    exec sp_addextendedproc 'xp_dirtree', 'xpstar.dll'

    exec sp_addextendedproc 'xp_enumgroups', 'xplog70.dll'

    exec sp_addextendedproc 'xp_fixeddrives', 'xpstar.dll'

    exec sp_addextendedproc 'xp_loginconfig', 'xplog70.dll'

    exec sp_addextendedproc 'xp_regaddmultistring', 'xpstar.dll'

    exec sp_addextendedproc 'xp_regdeletekey', 'xpstar.dll'

    exec sp_addextendedproc 'xp_regdeletevalue', 'xpstar.dll'

    exec sp_addextendedproc 'xp_regread', 'xpstar.dll'

    exec sp_addextendedproc 'xp_regremovemultistring', 'xpstar.dll'

    exec sp_addextendedproc 'xp_regwrite', 'xpstar.dll'

    exec sp_addextendedproc 'xp_enumerrorlogs', 'xpstar.dll'

    exec sp_addextendedproc 'xp_getfiledetails', 'xpstar.dll'

    exec sp_addextendedproc 'xp_regenumvalues', 'xpstar.dll'

全部复制到"SQL查询分析器"

点击菜单上的--"查询"--"执行",就会将有安全问题的SQL过程删除

更改默认SA空密码.数据库链接不要使用SA帐户.单数据库单独设使用帐户.只给public和db_owner权限.

数据库不要放在默认的位置.

SQL不要安装在PROGRAM FILE目录下面.

以 上各项全在我们封杀之列,例如xp_cmdshell屏蔽的方法为:sp_dropextendedproc 'xp_cmdshell',如果需要

的话,再用sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'进行恢复。如果你不知道xp_cmdshell使用的是

哪个.dll文件的话,可以使用 sp_helpextendedproc xp_cmdshell来查看xp_cmdshell使用的是哪个动态联接库。

另外,将xp_cmdshell屏蔽后,我们还需要做的步骤是将 xpsql70.dll文件进行改名,以防止获得SA的攻击者将它

进行恢复。

然后,还可以对SQL SERVER系统服务做独立账号启动,缩小权限。具体的操作方法是:新建个独立用户并设置好

密码去掉用户的所属组,给SQL Server安装目录和数据库文件目录都加上该用户完全控制权限,打开系统...服务

...SQL Server服务...登录...此账户...输入账号和密码...应用...确定...右击重启服务。

最后,除了上面两种比较有效的方法之外,你可以通过修改SQL Server的1433端口,来避免人家对1433端口攻击,还有程序上的过滤控制也可以提高SQL Server的安全性。

顶(0)
踩(0)
最新评论