2020国产成人精品视频,性做久久久久久久久,亚洲国产成人久久综合一区,亚洲影院天堂中文av色

搜索
分享

建立一個(gè)安全的MSSQL SERVER的啟動(dòng)賬號(hào)

 intruder 2005-12-16
建立一個(gè)安全的MSSQL SERVER的啟動(dòng)賬號(hào)


SQL SERVER的安全問(wèn)題一直是困擾DBA的一個(gè)難題,作為開(kāi)發(fā)者和用戶希望自己的權(quán)限越大越好,最好是SA,而作為DBA希望所有的用戶權(quán)限越小越好,這總是一對(duì)矛盾。一般來(lái)說(shuō),我們會(huì)考慮采用WINDOWS驗(yàn)證模式,建立安全的用戶權(quán)限,改變SQL SERVER TCP/IP的默認(rèn)端口...等安全措施,但很多DBA還是忽略了MSSQL SERVER服務(wù)的啟動(dòng)賬號(hào),這也是一個(gè)非常值得重點(diǎn)關(guān)注的問(wèn)題。特別是MSSQL SERVER提供了許多操作系統(tǒng)和注冊(cè)表擴(kuò)展存儲(chǔ)過(guò)程,比如:xp_cmdshell, xp_regdeletekey, xp_regdeletevalue 等等。



我們先來(lái)回顧一下MSSQL SERVER執(zhí)行這些擴(kuò)展存儲(chǔ)過(guò)程的步驟。MS SQL SERVER提供的擴(kuò)展存儲(chǔ)過(guò)程使你可以向T-SQL一樣調(diào)用一些動(dòng)態(tài)鏈接庫(kù)的內(nèi)部函數(shù)邏輯,而且這些擴(kuò)展存儲(chǔ)過(guò)程可以包括WIN32和COM的大多數(shù)功能。

當(dāng)關(guān)系數(shù)據(jù)庫(kù)引擎確定 Transact-SQL 語(yǔ)句引用擴(kuò)展存儲(chǔ)過(guò)程時(shí):

關(guān)系數(shù)據(jù)庫(kù)引擎將擴(kuò)展存儲(chǔ)過(guò)程請(qǐng)求傳遞到開(kāi)放式數(shù)據(jù)服務(wù)層。
然后開(kāi)放式數(shù)據(jù)服務(wù)將包含擴(kuò)展存儲(chǔ)過(guò)程函數(shù)的 DLL 裝載到 SQL Server 2000 地址空間(如果還沒(méi)有裝載)。
開(kāi)放式數(shù)據(jù)服務(wù)將請(qǐng)求傳遞到擴(kuò)展存儲(chǔ)過(guò)程。
開(kāi)放式數(shù)據(jù)服務(wù)將操作結(jié)果傳遞到數(shù)據(jù)庫(kù)引擎。
uploads/200511/07_163232_sql.gif

[quote[從上圖中我們可以清楚的看到SQL Server 2000的數(shù)據(jù)庫(kù)引擎通過(guò)擴(kuò)展存儲(chǔ)過(guò)程和Windows Resources進(jìn)行交互。而擴(kuò)展存儲(chǔ)過(guò)程可以完成處理操作系統(tǒng)任務(wù)的關(guān)鍵是要有一個(gè)自己的身份SID,這個(gè)SID就來(lái)自MSSQL SERVER服務(wù)啟動(dòng)賬號(hào)。所以如果這個(gè)MSSQL SERVER服務(wù)啟動(dòng)賬號(hào)是administrators組的用戶,我們就可以通過(guò)這些擴(kuò)展存儲(chǔ)過(guò)程做任意想做的事情:刪除系統(tǒng)信息,破壞注冊(cè)表等等。如果我們限制MSSQL SERVER服務(wù)啟動(dòng)賬號(hào)的權(quán)限,這樣即使“黑客”或懷有惡意的開(kāi)發(fā)人員獲得數(shù)據(jù)庫(kù)的管理員權(quán)限,也不會(huì)對(duì)操作系統(tǒng)造成很大的影響。只要有數(shù)據(jù)庫(kù)的備份我們可以非常方便的恢復(fù)數(shù)據(jù)庫(kù),而不要重新安裝系統(tǒng)。所以為了更安全的保護(hù)我們的系統(tǒng),我們希望MSSQL SERVER服務(wù)啟動(dòng)賬號(hào)的權(quán)限越低越好。

作為系統(tǒng)的一個(gè)服務(wù),啟動(dòng)MSSQL SERVER 2000服務(wù)的用戶賬號(hào)也需要一些必要的權(quán)限,下面我們就通過(guò)一個(gè)具體的實(shí)例來(lái)解釋這些權(quán)限(本實(shí)例只針對(duì)成員服務(wù)器,如果是DC和啟動(dòng)了活動(dòng)目錄Active Directory還需要其它的配置):[/quote]1. 通過(guò)本地用戶管理,建立一個(gè)本地用戶sqlserver,密碼:123456;//最好換個(gè)難猜的用戶名并且設(shè)強(qiáng)密碼...不要純數(shù)字,易被嗅探及破解.

2. 如果現(xiàn)在就我們打開(kāi)SERVICES配置通過(guò)該用戶啟動(dòng),系統(tǒng)會(huì)報(bào)錯(cuò)誤:

Source:Service Control Manager
Event ID:7000
Description:
The %service% service failed to start due to the following error:
The service did not start due to a logon failure.
No Data will be available.

這是因?yàn)樽鳛橐粋€(gè)普通用戶是無(wú)法啟動(dòng)服務(wù)的,我們需要給sqlserver用戶分配必要的權(quán)限。

SQL Server服務(wù)啟動(dòng)賬號(hào)必須有3個(gè)基本權(quán)限:
    數(shù)據(jù)庫(kù)本地目錄的讀寫權(quán)限;
    啟動(dòng)本地服務(wù)的權(quán)限;
    讀取注冊(cè)表的權(quán)限;
3. 賦予sqlserver用戶MSSQL目錄的讀寫權(quán)限;

因?yàn)槲业腟QL SERVER是安裝在D盤,所以我在權(quán)限管理中,將D:\PROGRMAM FILE\Microsoft SQL Server\MSSQL讀寫權(quán)限賦予sqlserver用戶。//最好不要裝在系統(tǒng)盤
uploads/200511/07_163744_sql.jpg

4. 分配sqlserver用戶啟動(dòng)本地服務(wù)的權(quán)限;

這個(gè)比較復(fù)雜,我只舉例作為成員服務(wù)器的情況。
    l 啟動(dòng)“Local Security Setting” MMC 管理單元。 //控制面板------>管理工具---->本地安全策略

    l 展開(kāi)Local Policy,然后單擊User Rights Assignment。 //本地策略-------->用戶權(quán)限指派

    l 在右側(cè)窗格中,右鍵單擊Log on as Service,將用戶添加到該策略,然后單擊OK。 //作為服務(wù)登陸

    l 在右側(cè)窗格中,右鍵單擊Log on as a batch job,將用戶添加到該策略,然后單擊OK //作為批處理作業(yè)登陸

    l 在右側(cè)窗格中,右鍵單擊Locks pages in memory,將用戶添加到該策略,然后單擊OK //內(nèi)存中鎖定頁(yè)

    l 在右側(cè)窗格中,右鍵單擊Act as part of the operating systme,將用戶添加到該策略,然后單擊OK //以操作系統(tǒng)方式操作

    l 在右側(cè)窗格中,右鍵單擊Bypass traverse checking,將用戶添加到該策略,然后單擊OK //跳過(guò)遍歷檢查

    l 在右側(cè)窗格中,右鍵單擊Replace a process level token,將用戶添加到該策略,然后單擊OK //替換進(jìn)程級(jí)記號(hào)

    l 關(guān)閉“Local Security Setting” MMC 管理單元。
如圖

uploads/200511/07_165752_sql.jpg

5. 重新啟動(dòng)系統(tǒng),用sqlserver用戶登陸系統(tǒng);

6. 再重新啟動(dòng)系統(tǒng),再用administrator用戶登陸,打開(kāi)SERVICES管理工具,配置用該用戶啟動(dòng)MSSQLSERVER服務(wù)
uploads/200511/07_165829_sql.jpg


這樣我們就可以通過(guò)限制SQLSERVER用戶的權(quán)限來(lái)控制SQLSERVER擴(kuò)展存儲(chǔ)過(guò)程的權(quán)限?,F(xiàn)在sqlserver用戶只對(duì)D:\PROGRMAM FILE\Microsoft SQL Server\MSSQL目錄有寫的權(quán)限,這樣就降低了通過(guò)xp_cmdshell來(lái)刪除系統(tǒng)文件的風(fēng)險(xiǎn)。


通過(guò)收購(gòu)(原文就是"收購(gòu)",不太理解,個(gè)人認(rèn)為是"注冊(cè)表")來(lái)配置是比較繁瑣的,幸運(yùn)的是MS SQLSERVER已經(jīng)提供了這樣的工具來(lái)配置啟動(dòng)啟動(dòng)賬號(hào),你可以通過(guò)SQLSERVER的企業(yè)管理器配置,入下圖:
uploads/200511/07_170111_sql.jpg

PS:注意,我是在win2003下面,在上面的圖我直接輸入新建的用戶sqlserver,最后會(huì)啟動(dòng)不了.只有在這里的用戶寫機(jī)器名\用戶名,如win2003\sqlserver,這樣才可以正常啟動(dòng),你們也可以試試看是否和我一樣.
這樣SQL SERVER企業(yè)管理器會(huì)自動(dòng)幫你配置好所有的必要條件。包括目錄的訪問(wèn)權(quán)限,啟動(dòng)服務(wù)的權(quán)限,訪問(wèn)注冊(cè)表的權(quán)限等等。所以我們正確的配置順序是:

1. 建立用戶;

2. 在SQL SERVER企業(yè)管理器中配置該用戶啟動(dòng);

3. 在分配其它相應(yīng)的權(quán)限(如果需要復(fù)制操作);

備注:

通過(guò)SQL Server企業(yè)管理器增加的服務(wù)啟動(dòng)賬號(hào),會(huì)在registry中增加很多信息,即使你更換用戶也不會(huì)刪除,所以在改變服務(wù)啟動(dòng)賬號(hào)不要頻繁更換,這樣會(huì)增大registry的容量。同時(shí)要注意,只有屬于sysadmin角色的用戶才可以配置SQL Server服務(wù)的啟動(dòng)賬號(hào)。

總結(jié):

構(gòu)建一個(gè)安全高效的SQLSERVER是多方面的,深入了解SQLSERVER的運(yùn)行機(jī)制是基礎(chǔ)。我們不但要考慮數(shù)據(jù)庫(kù)用戶的安全,也要考慮SQLSERVER服務(wù)的安全性。

tip:
請(qǐng)確認(rèn) SQL Server 實(shí)例配置為使用 Windows 身份認(rèn)證和 SQL Server 身份認(rèn)證。為此,請(qǐng)確認(rèn)在正在運(yùn)行 SQL Server 的計(jì)算機(jī)上存在下列注冊(cè)表項(xiàng)。對(duì)于默認(rèn)的 SQL Server 實(shí)例:
HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\MSSQLServer\LoginMode
對(duì)于 SQL Server 的命名實(shí)例:
HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\\MSSQLServer\LoginMode
請(qǐng)確認(rèn)已設(shè)置下列注冊(cè)表項(xiàng)的值:
身份認(rèn)證類型 值
僅限于 Windows 身份認(rèn)證 1
混合模式(SQL Server 身份認(rèn)證和 Windows 身份認(rèn)證) 2

注意:如果您對(duì)注冊(cè)表進(jìn)行了任何更改,必須關(guān)閉并重新啟動(dòng) SQL Server 實(shí)例使更改生效。

    本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間,所有內(nèi)容均由用戶發(fā)布,不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購(gòu)買等信息,謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請(qǐng)點(diǎn)擊一鍵舉報(bào)。
    轉(zhuǎn)藏 分享 獻(xiàn)花(0

    0條評(píng)論

    發(fā)表

    請(qǐng)遵守用戶 評(píng)論公約

    類似文章 更多