nana百度云超清资源:建立一个安全的MSSQL SERVER的启动账号
来源:百度文库 编辑:偶看新闻 时间:2024/05/21 22:28:20
SQL SERVER的安全问题一直是困扰DBA的一个难题,作为开发者和用户希望自己的权限越大越好,最好是SA,而作为DBA希望所有的用户权限越小越好,这总是一对矛盾。一般来说,我们会考虑采用WINDOWS验证模式,建立安全的用户权限,改变SQL SERVER TCP/IP的默认端口...等安全措施,但很多DBA还是忽略了MSSQL SERVER服务的启动账号,这也是一个非常值得重点关注的问题。特别是MSSQL SERVER提供了许多操作系统和注册表扩展存储过程,比如:xp_cmdshell, xp_regdeletekey, xp_regdeletevalue 等等。
我们先来回顾一下MSSQL SERVER执行这些扩展存储过程的步骤。MS SQL SERVER提供的扩展存储过程使你可以向T-SQL一样调用一些动态链接库的内部函数逻辑,而且这些扩展存储过程可以包括WIN32和COM的大多数功能。
当关系数据库引擎确定 Transact-SQL 语句引用扩展存储过程时:
关系数据库引擎将扩展存储过程请求传递到开放式数据服务层。
然后开放式数据服务将包含扩展存储过程函数的 DLL 装载到 SQL Server 2000 地址空间(如果还没有装载)。
开放式数据服务将请求传递到扩展存储过程。
开放式数据服务将操作结果传递到数据库引擎。
[quote[从上图中我们可以清楚的看到SQL Server 2000的数据库引擎通过扩展存储过程和Windows Resources进行交互。而扩展存储过程可以完成处理操作系统任务的关键是要有一个自己的身份SID,这个SID就来自MSSQL SERVER服务启动账号。所以如果这个MSSQL SERVER服务启动账号是administrators组的用户,我们就可以通过这些扩展存储过程做任意想做的事情:删除系统信息,破坏注册表等等。如果我们限制MSSQL SERVER服务启动账号的权限,这样即使“黑客”或怀有恶意的开发人员获得数据库的管理员权限,也不会对操作系统造成很大的影响。只要有数据库的备份我们可以非常方便的恢复数据库,而不要重新安装系统。所以为了更安全的保护我们的系统,我们希望MSSQL SERVER服务启动账号的权限越低越好。
作为系统的一个服务,启动MSSQL SERVER 2000服务的用户账号也需要一些必要的权限,下面我们就通过一个具体的实例来解释这些权限(本实例只针对成员服务器,如果是DC和启动了活动目录Active Directory还需要其它的配置):[/quote]1. 通过本地用户管理,建立一个本地用户sqlserver,密码:123456;//最好换个难猜的用户名并且设强密码...不要纯数字,易被嗅探及破解.
2. 如果现在就我们打开SERVICES配置通过该用户启动,系统会报错误:
Source:Service Control Manager
Event ID:7000
Description:
The %service% service failed to start due to the following error:
The service did not start due to a logon failure.
No Data will be available.
这是因为作为一个普通用户是无法启动服务的,我们需要给sqlserver用户分配必要的权限。
SQL Server服务启动账号必须有3个基本权限:数据库本地目录的读写权限;
启动本地服务的权限;
读取注册表的权限;3. 赋予sqlserver用户MSSQL目录的读写权限;
因为我的SQL SERVER是安装在D盘,所以我在权限管理中,将D:\PROGRMAM FILE\Microsoft SQL Server\MSSQL读写权限赋予sqlserver用户。//最好不要装在系统盘
4. 分配sqlserver用户启动本地服务的权限;
这个比较复杂,我只举例作为成员服务器的情况。 l 启动“Local Security Setting” MMC 管理单元。 //控制面板------>管理工具---->本地安全策略
l 展开Local Policy,然后单击User Rights Assignment。 //本地策略-------->用户权限指派
l 在右侧窗格中,右键单击Log on as Service,将用户添加到该策略,然后单击OK。 //作为服务登陆
l 在右侧窗格中,右键单击Log on as a batch job,将用户添加到该策略,然后单击OK //作为批处理作业登陆
l 在右侧窗格中,右键单击Locks pages in memory,将用户添加到该策略,然后单击OK //内存中锁定页
l 在右侧窗格中,右键单击Act as part of the operating systme,将用户添加到该策略,然后单击OK //以操作系统方式操作
l 在右侧窗格中,右键单击Bypass traverse checking,将用户添加到该策略,然后单击OK //跳过遍历检查
l 在右侧窗格中,右键单击Replace a process level token,将用户添加到该策略,然后单击OK //替换进程级记号
l 关闭“Local Security Setting” MMC 管理单元。 如图
5. 重新启动系统,用sqlserver用户登陆系统;
6. 再重新启动系统,再用administrator用户登陆,打开SERVICES管理工具,配置用该用户启动MSSQLSERVER服务;
这样我们就可以通过限制SQLSERVER用户的权限来控制SQLSERVER扩展存储过程的权限。现在sqlserver用户只对D:\PROGRMAM FILE\Microsoft SQL Server\MSSQL目录有写的权限,这样就降低了通过xp_cmdshell来删除系统文件的风险。
通过收购(原文就是"收购",不太理解,个人认为是"注册表")来配置是比较繁琐的,幸运的是MS SQLSERVER已经提供了这样的工具来配置启动启动账号,你可以通过SQLSERVER的企业管理器配置,入下图:
PS:注意,我是在win2003下面,在上面的图我直接输入新建的用户sqlserver,最后会启动不了.只有在这里的用户写机器名\用户名,如win2003\sqlserver,这样才可以正常启动,你们也可以试试看是否和我一样.
这样SQL SERVER企业管理器会自动帮你配置好所有的必要条件。包括目录的访问权限,启动服务的权限,访问注册表的权限等等。所以我们正确的配置顺序是:
1. 建立用户;
2. 在SQL SERVER企业管理器中配置该用户启动;
3. 在分配其它相应的权限(如果需要复制操作);
备注:
通过SQL Server企业管理器增加的服务启动账号,会在registry中增加很多信息,即使你更换用户也不会删除,所以在改变服务启动账号不要频繁更换,这样会增大registry的容量。同时要注意,只有属于sysadmin角色的用户才可以配置SQL Server服务的启动账号。
总结:
构建一个安全高效的SQLSERVER是多方面的,深入了解SQLSERVER的运行机制是基础。我们不但要考虑数据库用户的安全,也要考虑SQLSERVER服务的安全性。
tip:
请确认 SQL Server 实例配置为使用 Windows 身份认证和 SQL Server 身份认证。为此,请确认在正在运行 SQL Server 的计算机上存在下列注册表项。对于默认的 SQL Server 实例:
HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\MSSQLServer\LoginMode
对于 SQL Server 的命名实例:
HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\\MSSQLServer\LoginMode
请确认已设置下列注册表项的值:
身份认证类型 值
仅限于 Windows 身份认证 1
混合模式(SQL Server 身份认证和 Windows 身份认证) 2
注意:如果您对注册表进行了任何更改,必须关闭并重新启动 SQL Server 实例使更改生效。
我们先来回顾一下MSSQL SERVER执行这些扩展存储过程的步骤。MS SQL SERVER提供的扩展存储过程使你可以向T-SQL一样调用一些动态链接库的内部函数逻辑,而且这些扩展存储过程可以包括WIN32和COM的大多数功能。
当关系数据库引擎确定 Transact-SQL 语句引用扩展存储过程时:
关系数据库引擎将扩展存储过程请求传递到开放式数据服务层。
然后开放式数据服务将包含扩展存储过程函数的 DLL 装载到 SQL Server 2000 地址空间(如果还没有装载)。
开放式数据服务将请求传递到扩展存储过程。
开放式数据服务将操作结果传递到数据库引擎。
[quote[从上图中我们可以清楚的看到SQL Server 2000的数据库引擎通过扩展存储过程和Windows Resources进行交互。而扩展存储过程可以完成处理操作系统任务的关键是要有一个自己的身份SID,这个SID就来自MSSQL SERVER服务启动账号。所以如果这个MSSQL SERVER服务启动账号是administrators组的用户,我们就可以通过这些扩展存储过程做任意想做的事情:删除系统信息,破坏注册表等等。如果我们限制MSSQL SERVER服务启动账号的权限,这样即使“黑客”或怀有恶意的开发人员获得数据库的管理员权限,也不会对操作系统造成很大的影响。只要有数据库的备份我们可以非常方便的恢复数据库,而不要重新安装系统。所以为了更安全的保护我们的系统,我们希望MSSQL SERVER服务启动账号的权限越低越好。
作为系统的一个服务,启动MSSQL SERVER 2000服务的用户账号也需要一些必要的权限,下面我们就通过一个具体的实例来解释这些权限(本实例只针对成员服务器,如果是DC和启动了活动目录Active Directory还需要其它的配置):[/quote]1. 通过本地用户管理,建立一个本地用户sqlserver,密码:123456;//最好换个难猜的用户名并且设强密码...不要纯数字,易被嗅探及破解.
2. 如果现在就我们打开SERVICES配置通过该用户启动,系统会报错误:
Source:Service Control Manager
Event ID:7000
Description:
The %service% service failed to start due to the following error:
The service did not start due to a logon failure.
No Data will be available.
这是因为作为一个普通用户是无法启动服务的,我们需要给sqlserver用户分配必要的权限。
SQL Server服务启动账号必须有3个基本权限:数据库本地目录的读写权限;
启动本地服务的权限;
读取注册表的权限;3. 赋予sqlserver用户MSSQL目录的读写权限;
因为我的SQL SERVER是安装在D盘,所以我在权限管理中,将D:\PROGRMAM FILE\Microsoft SQL Server\MSSQL读写权限赋予sqlserver用户。//最好不要装在系统盘
4. 分配sqlserver用户启动本地服务的权限;
这个比较复杂,我只举例作为成员服务器的情况。 l 启动“Local Security Setting” MMC 管理单元。 //控制面板------>管理工具---->本地安全策略
l 展开Local Policy,然后单击User Rights Assignment。 //本地策略-------->用户权限指派
l 在右侧窗格中,右键单击Log on as Service,将用户添加到该策略,然后单击OK。 //作为服务登陆
l 在右侧窗格中,右键单击Log on as a batch job,将用户添加到该策略,然后单击OK //作为批处理作业登陆
l 在右侧窗格中,右键单击Locks pages in memory,将用户添加到该策略,然后单击OK //内存中锁定页
l 在右侧窗格中,右键单击Act as part of the operating systme,将用户添加到该策略,然后单击OK //以操作系统方式操作
l 在右侧窗格中,右键单击Bypass traverse checking,将用户添加到该策略,然后单击OK //跳过遍历检查
l 在右侧窗格中,右键单击Replace a process level token,将用户添加到该策略,然后单击OK //替换进程级记号
l 关闭“Local Security Setting” MMC 管理单元。 如图
5. 重新启动系统,用sqlserver用户登陆系统;
6. 再重新启动系统,再用administrator用户登陆,打开SERVICES管理工具,配置用该用户启动MSSQLSERVER服务;
这样我们就可以通过限制SQLSERVER用户的权限来控制SQLSERVER扩展存储过程的权限。现在sqlserver用户只对D:\PROGRMAM FILE\Microsoft SQL Server\MSSQL目录有写的权限,这样就降低了通过xp_cmdshell来删除系统文件的风险。
通过收购(原文就是"收购",不太理解,个人认为是"注册表")来配置是比较繁琐的,幸运的是MS SQLSERVER已经提供了这样的工具来配置启动启动账号,你可以通过SQLSERVER的企业管理器配置,入下图:
PS:注意,我是在win2003下面,在上面的图我直接输入新建的用户sqlserver,最后会启动不了.只有在这里的用户写机器名\用户名,如win2003\sqlserver,这样才可以正常启动,你们也可以试试看是否和我一样.
这样SQL SERVER企业管理器会自动帮你配置好所有的必要条件。包括目录的访问权限,启动服务的权限,访问注册表的权限等等。所以我们正确的配置顺序是:
1. 建立用户;
2. 在SQL SERVER企业管理器中配置该用户启动;
3. 在分配其它相应的权限(如果需要复制操作);
备注:
通过SQL Server企业管理器增加的服务启动账号,会在registry中增加很多信息,即使你更换用户也不会删除,所以在改变服务启动账号不要频繁更换,这样会增大registry的容量。同时要注意,只有属于sysadmin角色的用户才可以配置SQL Server服务的启动账号。
总结:
构建一个安全高效的SQLSERVER是多方面的,深入了解SQLSERVER的运行机制是基础。我们不但要考虑数据库用户的安全,也要考虑SQLSERVER服务的安全性。
tip:
请确认 SQL Server 实例配置为使用 Windows 身份认证和 SQL Server 身份认证。为此,请确认在正在运行 SQL Server 的计算机上存在下列注册表项。对于默认的 SQL Server 实例:
HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\MSSQLServer\LoginMode
对于 SQL Server 的命名实例:
HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\\MSSQLServer\LoginMode
请确认已设置下列注册表项的值:
身份认证类型 值
仅限于 Windows 身份认证 1
混合模式(SQL Server 身份认证和 Windows 身份认证) 2
注意:如果您对注册表进行了任何更改,必须关闭并重新启动 SQL Server 实例使更改生效。
哪些有集成的MSSQL SERVER 2000数据库下载
MSSQL如何为表建立一个主键
MSSQL语句的一个小问题
请教大家一个MSSQL的问题
找一个免费的MSSQL空间
win2000 server的安全设置
sql server 的建立日期如何更改
在MSSQL Server数据库中什么数据类型可以储存带有图片和文字的内容?
oracle mssql的区别?
MSSQL的若干问题?
以JSP和SQL Server建立一个商品销售网站的具体做法?
SQL server在一个组中怎样建立两个以上的服务器?
SQL server中怎样在一个SQL组中建立两个以上的服务器?
MSSQL中的dbo是什么角色?怎么以其他用户进去后建立的表还是dbo.xxxxxx?
关于jubuilder中建立mssql BMP的问题(请高手指教)
windows 2000 server的安全配制方案
win2000 server那些服务是不太安全的?
asp连接MSSQL的一个小问题 请高手指点
asp连接MSSQL的一个小问题 请高手指点
单位对外网开放的MSSQL服务器,请问要做哪些安全设置?急!!!!
在mssql server 200中,用update或insert有没有更省事的文章排版的方法
管理员需要在一台安装Windows Server 2003 操作系统的计算机上建立一个特殊的共享文件夹
mssql和mysql的区别
MSSQL数据库的定时任务