中国移动SQLServer2021数据库安全配置手册.pdf

《中国移动SQLServer2021数据库安全配置手册.pdf》由会员分享，可在线阅读，更多相关《中国移动SQLServer2021数据库安全配置手册.pdf（68页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、中国移动SQLServer2021数据库安全配置手册文档编号:项目代号:中国移动SQLServer2000数据库安全配置手册Version 0.2中国移动通信CHINA MOBILE中国移动通信有限公司二零零四年十二月拟 制:批 准:会 签:标准化:版本操纵版本号日期参与人员更新说明分发操纵编号读者文档权限与文档的要紧关系1创建、修改、读取负责编制、修改、审核2批准负责本文档的批准程序3标准化审核作为本项目的标准化负责人，负责对本文档进行标准化审核4读取5读取目 录第1章 目的与范围.11.1 目的.11.2 适用范围.11.3 阅读指南.11.4 参考规范.2第2章 数据库安全规范.32.1

2、 操作系统安全.32.1.1 安装数据库.42.1.2 注册表设置.52.1.3 系统 月 艮 务.62.1.4 文件目录访问权限设置.72.7.5 文件共享设置.82.2 帐户安全.82.3 密码安全.102.4 访问权限.H2.5 日志记录.B2.6 加密.142.7 管理员客户端安全.152.8 网络端口.152.9 安全补丁.172.10 其它.17第3章 SQLSERVER安全配置方法.193.1 操作系统安全.193.1.1 数据库安装.193.1.2 注册表设置.193.1.3 系统服务.203.1.4 文件目录访问权限.273.1.5 文件共享.223.2 帐户安全.223.3

3、 密码安全.233.4 访问权限.243.5 日志记录.263.6 加密.273.7 管理员客户端安全.283.8 网络安全.283.8.1 不要让人随便探测到你的TCP/IP端U.283.8.2 修改TCP/IP使用的端口.293.8.3 拒绝来自1434端口的探测.303.8.4 对网络连接进行IP限制.303.9 安全补丁.31第4章 保持SQL SERVER 2000数据库服务器安全.334.1 定期执行备份.334.2 审核构成员身份.334.3 监控审核日志.344.4 确保安装最新的SERVICE PACK与修补程序.344.5 执行安全评估.344.6 使用安全性通告服务.34

4、4.7 远程管理.354.8 小结.37附录1：SQL SERVER 2000数据库服务器的安全概述.38SQL SERVER 2000 安全模型.38保护服 务器访问的安全.45保护数据 库访问的安全.46附录2：SQL SERVER 2000数据库服务器的安全威胁模型.50SOL注入 51网络窃听 53未经授权的服务器访问.54密码破解 55附录3：SQLSERVER安全配置检查表.56第1章目的与范围1.1 目的为了加强中国移动集团下属各公司的网络系统安全管理，全面提高中国移动集团下属各公司业务网与办公网的网络安全水平，保证网络通信畅通与信息系统的正常运营，提高网络服务质量，特制定本方法

5、。本文档旨在于规范中国移动集团下属各公司对SQLServer2000数据库进行的安全加固。1.2 适用范围本方法适用于对中国移动集团下属各公司业务网与办公网系统的数据库系统加固进行指导。本体系适用于中国移动集团下属各公司各层组织体系的安全管理机构与安全管理员、系统管理员。本体系管理范围包含中国移动集团下属各公司所有业务网与办公网系统范围内的SQLServer2000数据库系统、附着其上的数据资产与数据库系统的技术人员等。微软SQLServer 2000产品家族包含7个版本，能够运行在掌上电脑、普通32位IA架构服务器与64位非IA架构服务器上，本手册只针对应用最广泛的SQLServer企业版与

6、标准版，并约定它们运行的服务器操作系统为Windows 2000/2003服务器标准版与企业版。1.3 阅读指南为提高本手册的应用价值，我们将安全规范总结成为一个检查表，附在手册的第二章第9节，管理员能够按照这个检查表逐项检查本系统是否符合安全规范的要求。应用程序对数据库系统安全也有重要影响，限于篇幅，本体系只提出对应用程序加固的设计原则与参考资料，各单位可根据这些原则与实际情况进行安全检查，以避免应用系统称之整体系统安全的软肋。在 SQLServer2000资源工具箱中，微软提供了更全面的SQLServer2000安全理论与实践，推荐各位安全管理员阅读。1.4 参考规范1.ISO/IEC 1

7、7799-2000 信息安全管理有用规则2.ISO/IEC 13335 信息技术安全管理指南3.ISO 7498-2 信息处理系统开放系统互连基本参考模型-安全体系结构4.SSE-CMM 系统安全工程能力成熟模型5.GB/T18336-2001 信息技术安全技术信息技术安全性评估准则6.GB/T17859-1999 计算机信息系统安全等级保护划分准则7.中国移动业务支撑系统安全框架8.中国移动业务连续性技术规范9.中国移动业务支撑系统安全技术规范1 0.中国移动业务支撑系统安全总体技术规范1 1.SQL Server2000资源工具箱第2章数据库安全规范加固S Q L S e rv e r1数

8、据库的操作，包含对网络、主机、数据库与应用程序的加固2,与对数据库系统的安全管理等5个方面，因此，数据库安全规范也包含了上述5个方面的内容。如下图所示：SQL Server安全性些尿、用户和粘色数岖昨对象共享审核和记录文件和n录注册表tffi庭星汪霞/磔底钊议而I图2.1：数据库安全规范分类基于易用性、有用性与方便管理的原则，本手册将重点讨论操作系统安全 帐户安全、密码安全、访问权限安全、日志记录、加密 管理员客户端安全、网络与安全补丁等9个方面的规范。2.1操作系统安全微软SQLServer 2000产品家族包含7个版本，本手册只针对对应用最广泛的SQLServer企业版与标准版，并约定它们

9、运行的服务器操作系统为Windows 2000/2003服务器标准版与企业版邛艮于篇幅，本文不再讨论对Windows20()0/2003操作系统的加固，请读者参考Windows2000/20()3主机加固手册。操作系统安全规范包含数据库安装、注册表设置、系统服务、文件目录访问权限设置与文件共享五部分内容。对Windows 2000/2003操作系统的加固，请阅读有关配置手册，并可用MSBP（微软安全基准分析工具）定期检查。2.1.1安装数据库安装SQLServer时，除程序与数据文件外，还会安装多个Windows系统服务。默认情况下，程序及数据文件位于Program FilesMicrosof

10、t SQL Server目录下。项目全面资料服务 MSSQLSERVER MSSQLServerADHelper Microsoft Search SQLSERVERAGENT文件夹 program filesMicrosoft SQL Servermssqlbinn（程序文件）program filesMicrosoft SQL Servermssqldata（数 据 文 件，包含.mdf.log 与.ndf）program filesMicrosoft SQL Server80tools（共享工具/联机丛书）program filesMicrosoft SQL Servermssqllog

11、s（错误日志）program filesMicrosoft SQL Servermssqlbackup（备份文件）program filesMicrosoft SQL Servermssqljobs（临时作业输出文件）关于命名实例，文件路径中使用了实例名：program filesMicrosoft SQL ServerMSSQL$实例名binn program filesMicrosoft SQL ServerMSSQL$实例名data数据库安装应遵循如下规范项目安全规范准备工作1.创建一个具有最低权限的本地帐户，须通过它来运行SQL Server服务。安装过程中提示进行服务设置时，请使用此

12、帐户。请一定不要使用本地系统帐户或者管理员帐户（除非应用系统需要）2.确保不要在域操纵器上安装SQL Server3.确保在NTFS格式的分区上安装SQL Server4.在非系统卷（操作系统所在卷以外的其他卷）上安装SQL Server程序及数据库文件安装1.在生产服务器上安装SQL Server时，请选择自定义安装选项2.不应在生产数据库服务器上安装表3.2中所列的项目a）升级工具：用于升级SQLServer 6.5b）复制支持：数据库用于复制的脚本及二进制文件。（假如不需要进行复制，请不要安装）c）全文搜索：全文搜索引擎（Microsoft Search服务）。假如不需要进行全文搜索，请

13、不要安装d）联机丛书：SQL Server文档e）开发工具：C 开发人员所使用的标头与库文件、Microsoft数据访问（MDAC）、XML软件开发工具包（SDK）及用于存储过程调试的接口f）代码实例：用于为开发人员提供指导的示例代码3.身份认证：请选择Windows身份验证模式，除非应用系统务必要求混合模式（使用SQLServer帐号而不是AD帐号）。Windows身份验证有下列优点：a）实现帐户与密码的统一管理与安全策略b）凭据不在网络上传送，而是使用标准的Kerberov5认证协议0应用程序数据库连接不要求提供凭据假如应用系统务必要求“混合模式”，请 为 s a 帐户创建一个强密码，并制

14、定密码安全管理策略，s a 帐户是密码猜测与字典攻击的首选目标2.1.2注册表设置项目安全规范限 制 对SQLServer安装SQL Server会创建下列注册表项与子项：关于默认实例：创建的注册表项目的访问权限HKEY_LOCAL_MACHINESOFTWAREMICROSOFTMSSQLSERVER关于命名实例：HKEY_LOCAL_MACHINESOFTWAREMICROSOFTMICROSOFT SQLSERVERMNSTANCENAME关 于SQL服务：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMSSQLSERVER应该保证Ev

15、eryone组不能具备权限访问上述注册表键值的权限保 护SAM数据库假如SQLServer没有被AD管理，则Windows本地帐户信息存储在本机SAM数据库中，独立服务器在本地SAM数据库中存储帐户名称与单向密码哈希(LMHash),该数据库是注册表的构成部分。通常只有Administrators组的成员才具有对帐户信息的访问权限。尽管实际上密码并不存储于SAM中，且密码哈希不可逆，但假如攻击者获得了 SAM数据库的副本，便可利用强力攻击密码破解技术来获得有效的凭据。因此，应如下所示在注册表中创建键(不是值)NoLMHash,禁 止 在SAM中存储LMHash%HKLMSystemCurren

16、tCor)tro 1 SetContro 1 LSANoLMHash2.1.3系统服务要减少受攻击面并确保不受未发现的服务漏洞的影响，请禁用任何非必需的服务。运行那些仍使用最低权限帐户的服务。项目安全规范SQLServer 服SQL服务安装程序运行期间将安装下列四个Windows服务：务 MSSQLSERVER（关于命名实例，则为 MSSQL$InstanceName）。此为3有关全面信息，请参阅 Microsoft 知识库文章 299656 How to Prevent Windows from Storing a LAN Manager Hash ofYour Password in Ac

17、tive Directory and Local SAM Databases（英文）SQL Server数据库引擎，是唯一的强制安装服务。SQLSERVERAGENT（关于命名实例，贝 U 为 SQLAgent$InstanceName）。可借助此支持服务制定命令执行计划及在出错时通知操作人员。MSSQLServerADHelpero 它可提供 Active Directory 集成服务，包含数据库实例注册。Microsoft Search。它可提供全文搜索能力。在任何情况下均须通过本地系统帐户来运行此服务。Microsoft DTC：提供分布式事务操纵能力，假如不通过Microsoft DT

18、C使用分布式事务，请禁用该服务。只 有 MSSQLSERVER数据库引擎是必备的。其余服务提供了附加功能，只在特定情况下才需要使用。如并非必需，请禁用这些服务。服务帐号不应将SQL Server配置为以本地系统帐户或者本地Administrators组的任何成员帐户运行。有关配置用于运行MSSQLSERVER的服务帐户2.1.4文件目录访问权限设置除利用ACL保证操作系统文件的安全外，还要强化NTFS权限来限制对SQLServer程序文件、数据文件、日志文件与系统级工具的访问。此外，还应只同意SQL Server服务帐户访问其所需的内容。位置SQL服务帐户的权限安装位置(Program Fil

19、esMicrosoft SQL ServerMSSQL)读取并执行列出文件夹内容读取数据库文件目录(.mdf、.ndf、.ldf文件)(Program FilesMicrosoft SQL ServerMSSQLData)完全操纵错误日志文件目录(Program FilesMicrosoft SQL ServerMSSQLLOG)完全操纵备份文件目录(Program FilesMicrosoft SQL ServerMSSQLBackup)完全操纵作业临时文件输出目录完全操纵(Program FilesMicrosoft SQL ServerMSSQLJobs)2.1.5文件共享设置取消所有不

20、使用的共享，并强化对任何必需共享的NTFS权限。默认情况下，所有用户对新创建的文件共享均具有完全操纵权限。应强化这些默认权限，以确保只有经授权的用户才能访问共享所展露的文件。除了要对共享所展露的文件与文件夹使用显式共享权限外，还应当对它们使用NTFS ACLo假如不同意对计算机进行远程管理，请取消因此而不使用的管理共享，比如C$与 Admin$o注意：某些应用程序可能要求有诸如Microsoft Management Server(SMS)或 者 Microsoft Operations Manager(MOM)等管理共享。有关全面信息，请参阅Microsoft 知识库文章 318751 Ho

21、w To:Remove Administrative Shares inWindows 2000 or Windows NT 4.0(英文)。2.2 帐户安全下面的内容假定读者已经读过附录1：SQLServer 2000数据库服务器安全概述,熟悉了 SQLServer的安全模型。为保护帐户的安全，应遵循如下原则：项目内容保证 SQL Server服务帐户的安全1.使用最低权限帐户运行SQL Server服务可将设法从SQL Server执行操作系统命令的攻击者所造成的危害降至最低水平。不应为SQL Server服务帐户授予诸如Adm inistrators构成员身份等较高特权2.假如出于某些目

22、的(比如，执行网络备份、进行复制或者日志传送)需 要 从 SQL Server访问网络资源，SQL Server服务帐户务必能够在网络内通过身份验证，建议使用最低权限A D 域帐户删除或者禁用不使用的帐户在 SQL Server 2000 SP3安装过程中,Sqldbreg2.exe将创建“调试程序”帐户。VisualStudio.NET将在调试所管理的.NET代码中的存储过程时使用该帐户。由于该帐户的唯一用途就是为调试提供支持，因此能够从生产数据库服务器中将其删除禁用 Windows来宾帐户Windows来宾帐户是匿名连接计算机时所使用的帐户。要限制到数据库服务器的匿名连接，请使该帐户保持在

23、禁用状态重命名管理员帐户默认的本地管理员帐户因其在计算机上享有的较高特权而成为恶意使用的目标。要提高安全性，请重命名默认的管理员帐户，并为其指定一个强密码强制执行强密码策略为防范密码猜测与强力字典攻击，应通过配置安全策略来应用强密码策略。这部分具体内容见下一节：密码安全限制远程登录使用“本地安全策略”工具从Everyone组中删除“从网络访问此计算机”用户权限，以对可远程登录服务器者施加限制禁用空会话（匿名登录）为了防止匿名访问，请禁用空会话。空会话是未经身份验证或者匿名的用户在两台计算机间建立的会话。假如不禁用空会话，攻击者便可匿名（即，不需要进行身份验证）连接到服务器其它原则1.要求帐户委

24、派批准。无特别批准，请不要在Active Directory中将域帐户标记为信任委派。2.不要使用共享帐户。请不要创建供多人使用的共享帐户。为经授权的个人提供其专用帐户。可对各人的活动分别进行审核，并相应分配构成员身份与特权。3.限制本地Administrators构成员身份。理想的情况是，管理帐户不超过两个。这有助于提供可说明性。同时，请不要共享密码，这也是为了提供可说明性。4.限制管理员帐户进行交互式登录。假如只执行本地管理，则取消“从网络访问此计算机”以拒绝授予网络登录权限，便可限制管理员帐户进行交互式登录。这样做能够防止用户（不管出于善意还是其他动机）利用管理员帐户远程登录到服务器。假

25、如本地管理策略灵活性太差，可实施安全远程管理。有关远程管理的全面信息，请参阅本模块后文中的远程管理。5.启 用NTLMv2身份验证：假如客户端计算机利用Windows身份验证连接到数据库服务器，则应当对数据库服务器进行配置，让其使用安全性最高的Windows身份验证版本，即NTLMv242.3密码安全不管是使用AD帐户还是SQLServer帐户，都应保证其密码符合强安全策略。1.设置密码长度与复杂性。强制执行强密码降低了密码猜测或者字典攻击的成功几率。2.设置密码过期。定期使密码失效可降低旧密码被用来进行未经授权访问的几率。有效期的确定通常以公司的安全策略作为指导。下表为默认与建议的密码策略设

26、置：此外，还应记录失败的登录尝试，以检测与跟踪恶意行为。有关全面信息，请参阅第五节：日志记录密码策略默认设置建议的最低设置强制密码历史经 历1个密码经 历24个密码密码最长期限42天42天最短密码期限。天2天最短密码长度0个字符8个字符密码务必符合复杂性要求禁用启用为域中所有用户均设置使用可逆加密的强密码禁用禁用4注意：要支持NTLMV2,客户端务必运行Windows 2000、Windows Server 2003或者Windows NT 4.0操作系统,并安装 Service Pack 42.4访问权限请按照下列规范来改进数据库中的授权设置:项目说明使用强sa（系 统 管 理员）密码默认系

27、统管理员（sa）帐户一直是无数攻击的目标。它 是SQL Server管理固定服务器角色sysadmin的默认成员，请确保对此帐户使用强密码。1.即便将身份验证从SQL改 为Windows,sa仍然处于活动状态2.对所有帐户，特 别 是 特 权 帐 户（如sysadmin与db_owner角色的成员）均使用强密码。假如使用复制，请给用于与远程分布式服务器建立连接的distributor_admin帐户也使用强密码。删 除SQL来宾用户帐户假如启用了 Windows 2000的来宾帐户，则安装SQL Server时会创建一个来宾用户帐户。假如登录有对SQL Server的访问权限，但没有通过数据库

28、用户帐户对数据库进行访问的权限，则登录便会具有来宾的身份建 议 禁 用Windows的来宾帐户。此外，还要从所有用户定义数据库中删除来宾帐户。请注意，无 法 从master、tempdb、复制及分发数据库中删除来宾帐户删 除BUILTINXAdministrators服务器登录默认情况下，系统会 将BUILTINXAdministrators本 地Windows组添加到sysadmin固定服务器角色，以 对SQL Server进行管理。这意味着作为BUILTINAdministrators成员的域管理员能够不受限制地访问SQL Server数据库。大多数公司会对域管理员与数据库管理员角色加以区

29、分。假如要进行这种区分，请删除BUILTINAdministrators SQL Server登录。一种好的做法是，按下列步骤中所示，专门创建这样一个Windows组：它的位置中包含特定数据库管理，并被作为服务器登录添加到SQL Server中不为公共角色授予权限所有数据库均包含一个公共数据库角色。每个其他用户、组与角色都是该公共角色的成员。您无法删除公共角色的成员，只是，能够不为授予对应用程序的数据库表、存储过程及其他对象访问权限的公共角色授予权限。否则，便无法利用用户定义的数据库角色获得所需授权，由于公共角色会为数据库中的用户授予默认权限保证存储过程限制对应用程序的存储过程的访问。请不要为

30、公共角色或者来宾用户授的安全予对所创建的任何存储过程的访问权限。保证存储过程安全的要紧防线先是要确保使用强身份验证，然后是提供精确授权，从而实现只同意必要的用户权限来运行存储过程。建议的做法是：为应用程序创建一个SQL Server登录，将登录映射到数据库用户，再将用户添加到用户定义数据库角色，然后为角色授予权限。保证扩展存储过程的安全关于下列存储过程，管理员才能有权利访问sp_ sd i d e b ug xp_ pe rf e ndxp_ a va i 1 a b 1 e me d i a xp_ pe rf moni torxp_ c md sh e ll xp_ pe rf sa mp

31、lexp_ d e le te ma i 1 xp_ pe rf sta rtxp_ d i rtre e xp_ re a d e rrorlogxp_ d ropwe b ta sk xp_ re a d ma i lxp_ d sni nf o xp_ re vok e log i nxp_ e numd sn xprunwe b ta skxp_ e nume rrorlog s xp_ sc h e d ule rsi g na lxp_ e numg roups xp_ se nd ma i lxpe numque ue d ta sk s xpse rvi c e c ontro

32、lxp_ e ve ntlog xp_ s nmp_ g e t s t a t exp_ f i nd ne xtmsg xp_ snmp_ ra i se tra pxp_ f i xe d d ri ve s xp_ spri ntfxp_ g e tf i 1 e d e ta i 1 s xp_ sqli nve ntoryxpg e tne tna me xpsqlre g i ste rxp_ g ra ntlog i n xp_ sqltra c exp_ log e ve nt xp_ ssc a nfxplog i nc onf i g xpsta rtma i lxp_

33、log i ni nf o xp_ stopma i lxp_ ma k e we b ta sk xp_ sub d i rsxp_ msve r xp_ unc _ to_ d ri vexp_ re g re a d xp_ d i rtre e限 制 J cmdExec对 sysadmin角色的访问权SQL Server代理使用cmdExec函数来执行Windows命令行应用程序与其排定的脚本。在 SQL Server Service Pack 3 之前的版本中，默认情况下SQL Server代理同意非sysadmin角色所属用户排定可能需要特许系统访限问权限的作业。应当对此设置进行更

34、换，以只同意sysadmin角色的成员排定作业其它1.限 制 sysadmin的成员数。为确保实现个体可说明性，请限制作为sysadmin角色成员的帐户的数量。理想情况下，此角色的成员用户不应超过两位。2.授予受限的数据库权限。只为帐户分配完成作业所绝对必需的权限。应避免使用诸如db_datareader与 db_datawriter等内置角色。这些角色不提供任何授权粒度，并具有对所有自定义数据库对象的访问权限。3.不要更换应用于SQL Server对象的默认权限。在 SQL Server ServicePack 3 之前的版本中，公共角色不具有对各类默认SQL Server数据库对象的访问权

35、限。在 Service Pack 3 中，对安全性设计进行了复审，并通过在非必需处删除公共角色及执行更为精确的角色检查提高了安全性4.限制对敏感命令及存储过程的访问。SQL Server提供了功能强大的与操作系统的挂接。比如，能够使用xp_cmdshell扩展存储过程来运行任何操作系统命令。假如攻击者设法（比如，利 用 SQL注入漏洞）做到了在数据库中随意运行命令，则只有用于运行SQL Server的帐户的安全凭据才能限制其执行操作系统命令的能力。这便是通过最低权限帐户来运行SQL Server的要紧原因2.5日志记录管理员可利用W indows操作系统级审核与SQL S erv er登录审核

36、记录系统事件。具体规范如下：类别解释与说明记录所有失败的Windows登录尝试系统会以事件的形式将Windows登录失败记录在Windows安全事件日志中。下列事件ID表示存在可疑情况：531：这表示尝试使用已禁用的帐户进行了登录。529：这表示尝试使用未知用户帐户或者使用密码无效的有效用户帐户进行了登录。这些审核事件的数量意外增加可能预示着有人在尝试猜测密码。记录文件系统中所有失败的操作系统将失败的审核事件记录在Windows的安全事件日志中，对文件系统进行NTFS审核来检测可能存在的恶意尝试。这一过程分为两个步骤：启用日志记录 审核文件系统中失败的操作启用SQL Server登录审核将SQ

37、LServer审核级别设置为“全部”或 者“失败”2.6加密加密表达在利用EFS(加密文件系统)对数据库文件进行加密与网络协议加密两个层次，由于应用加密都会影响性能，因此建议由管理员按照实际需求进行处理。这部分规范如下表所示：类别解释与说明网络协议加密考虑到性能与通用型，建议使用VPN或者IPSec技术对网络通信进行加密，尽量不要直接利用SQLServer提供的网络加密功能文件加密5使用EFS时应注意下列事项：应当对数据库文件(.MDF)而不是日志文件(.LDF)进行加密。假如对日志文件加密，SQLServer便无法打开数据库。应在文件级而不是目录级进行加密。尽管使用EFS时的最佳做法往往是在

38、目录级进行加密，以便自动加密新添加的文件，但仍应只在文件级对SQLServer数据文件加密，由于这样能够避免将日志文件加密。评估性能成本。使 用EFS会导致性能下降。在目前环境中使 用EFS前请对其进行测试，以确定对性能的实际影响。通常能够忽略这种性能下降，由于该过程启动时，数据文件的解密是由SQL Server来完成的2.7管理员客户端安全SQLServer提供的管理客户端软件为企业管理器与SQLServer跟踪工具，应限定管理员只能从指定的管理终端上访问SQLServer服务器，具体规范如下:类别解释与说明限定管理员只能从指定的终端上使用管理工具连接服务器SQLServer管理工具使用RP

39、C协议与服务器进行通信，通过在防火墙上设定同意使用TCP445端口的终端IP地址，能够限定管理员只能从指定的终端上访问SQLServer服务器限定管理员只能从指定的终端通过远程桌面操作服务器远程桌面使用TCP3389端口，通过在防火墙上设定同意使用TCP3389端口的终端IP地址，能够限定管理员只能从指定的终端上访问SQLServer服务器2.8网络端口默认情况下，SQL Server会侦听TCP端口 1433,并 将UDP端口 1434用于客户端与服务器间的协商。应结合使用防火墙与IPSec策略来限制对这些端口的访问，从而将攻击者可兹利用的攻击途径降至最低水平。建议安全配置规范如下:类别解释

40、与说明限制对SQL利用外围防火墙来防止Internet对SQL Server端 口（默认情况下为Server 端口的TCP端口 1433与UDP端口 1434）进行直接访问，但这并不能防止服访问务器遭受内部攻击。对 IPSec策略进行配置，以限制被设计为与数据库连接的Web或者应用程序服务器通过TCP端口 1433与UDP端口1434进行访问配置命名实例来侦听同一端默认情况下，SQL Server的命名实例会动态分配端口号，并对客户端使用UDP协商，以使客户端能够找到命名实例。为避免在内部防火墙开放一列端口号或者不得不创建多个IPSec策略，应使用“Server网络有用工具”来配置实例，使其侦

41、听特定的端口号假如重新配置了服务器的端口号，则还务必重新配置所有客户端，以确保它们能够连接到正确的端口号。您或者许能够使用客户端网络有用工具，但不应在Web服务器上安装此有用工具，而应由应用程序通过将端口号附加于Server或者Data Source属性，在其连接字符串中指定该端口号，如下列代码中所示。Serven=YourServer|YourServerIPAddress,PortNumber配置防火墙来支持DTC通信（如有必要）假如应用程序使用企业服务（COM+）事务，并要求DTC的服务，则可能务必对将Web应用程序与数据库服务器隔离开的防火墙进行专门配置，以在不一致的DTC实例间及DT

42、C与SQL Server间实现DTC通信。有关为DTC开放端口的全面信息，请参阅Microsoft知识库文章250367 INFO:Configuring Microsoft Distributed Transaction Coordinator（DTC）to Work Through a Firewall（英文）。其它考虑如下图中所示，使用Server网络有用工具的“隐藏服务器”选项。假如在SQL网络有用工具的TCP/IP属性对话框中选择了此选项，系统会重新配置SQL Server,使其侦听端口 2433。该选项还会禁止对尝试枚举SQL Server实例的客户端所发出的广播要求做出响应。由于

43、能够使用多种方式枚举端口以发现其位置，因此还不能依靠这一措施来完全隐藏SQL Server端口。注意：仅当存在单一 SQL Server实例时，才能使用此选项。有关全面信息，请参阅 Microsoft 知识库文章 308091 BUG:Hide Server OptionCannot Be Used on Multiple Instances of SQL Server 2000（英文）。2.9安全补丁不及时安装最新的修补程序与更新程序为攻击者提供了充分利用已知漏洞实施攻击的机会。应确认是否使用最新的Windows 2000/2003与SQL Server Service Pack及更新程序对

44、数据库服务器进行了更新。并确保在生产服务器上安装修补程序与更新程序前，尽可能模拟生产服务器环境的测试系统上对它们进行测试。O具体操作步骤：2.1 0其它1.在数据库服务器上安装证书。假如使用Windows身份验证（NTLM或者Kerberos）,系统不可能通过网络向SQL Server传送登录凭据。假如使用SQL身份验证，好的做法是对凭据加密，由于它们是以未加密格式被传送给SQLServer的。通过在数据库服务器上安装证书来进行加密。这样做的结果是，在网络中传送的SQL凭据会被自动加密。确保应用程序安全地存储了数据库连接字符串也是一种好的做法。2.限制对敏感命令及存储过程的访问。SQL Ser

45、ver提供了功能强大的与操作系统的挂接。比如，能够使用xp_cmdshell扩展存储过程来运行任何操作系统命令。假如攻击者设法（比如，利用SQL注入漏洞）做到了在数据库中随意运行命令，则只有用于运行SQLServer的帐户的安全凭据才能限制其执行操作系统命令的能力。这便是通过最低权限帐户来运行SQLServer的要紧原因。3.使用专用计算机作为数据库服务器。还请将其加入群集，以作故障转移之用。4.对数据库服务器采取物理保护。将服务器置于一个安全的计算机房中。5.限制本地登录。除管理员外，不同意任何人在本地登录服务器。第3章 SQLServer安全配置方法3.1 操作系统安全3.1.1 数据库安

46、装401 名称 安装数据库 重要等级：高基本信息：建议使用“自定义”安装选项检测内容：1.系统盘、数据磁盘是否是NTFS分区2.是否已经创建好了最小权限的AD域帐号3.是否是在一台独立服务器上安装SQLServer4.不必要的服务是否没有启用建议操作:1.创建一个具有最低权限的本地帐户，须通过它来运行SQL Server服务。安装过程中提示进行服务设置时，请使用此帐户。请一定不要使用本地系统帐户或者管理员帐户（除非应用系统需要）2.确保不要在域操纵器上安装SQLServer3.确保在NTFS格式的分区上安装SQL Server4.在非系统卷（操作系统所在卷以外的其他卷）上安装SQL Serve

47、r程序及数据库文件5.删除不必要的服务操作结果:SQLServer安装正常3.1.2注册表设置安装SQL Server会创建下列注册表项与子项：编号402名称检查注册表权限重要等级：高基本信息：应该保证EveryOne组不能具备权限访问SQLServer创建注册表键值的权限检测内容：关于默认实例：HKEY_LOCAL_MACHINESOFTWAREMICROSOFTMSSQLSERVER,关于命名实例：HKEY_LOCAL_MACHINESOFTWAREMICROSOFTMICROSOFTSQLSERVERMNSTANCENAME关于SQL服务：HKEY_LOCAL_MACHINESYSTEM

48、CurrentControlSetServicesMSSQLSERVER应该保证EveryOne组不能具备权限访问上述注册表键值的权限建议操作:使用Regedt32.exe工具操作结果：去掉不必要的权限只 有MSSQLSERVER数据库引擎是必备的。其余服务提供了附加功能，只在特定情况下才需要使用。如并非必需，请禁用这些服务3.1.3系统服务i i#403 ps 检查系统服务 重要等级:r s基本信息：只 有MSSQLSERVER数据库引擎是必备的。其余服务提供了附加功能，只在特定情况下才需要使用。如并非必需，请禁用这些服务检测内容：SQL服务安装程序运行期间将安装下列四个Windows服务：

49、MSSQLSERVER（关于命名 实例，则为 MSSQL$InstanceName）。此为SQL Server数据库引擎，是唯一的强制安装服务。SQLSERVERAGENT（关于命名实例，则为 SQLAgent$InstanceName）。可借助此支持服务制定命令执行计划及在出错时通知操作人员。MSSQLServerADHelpero它 可 提 供Active Directory集成服务，包含数据库实例注册。Microsoft Search。它可提供全文搜索能力。在任何情况下均须通过本地系统帐户来运行此服务。Microsoft DTC：提供分布式事务操纵能力，假如不通过Microsoft DT

50、C使用分布式事务，请禁用该服务。建议操作：不安装不需要的服务操作结果:3.1.4文件目录访问权限编号404名称文件目录访问权限重要等级：高基本信息：SQLServer服务器帐号应对最小目录访问具备读写权限检测内容：安装位置(Program FilesMicrosoft SQL ServerMSSQL)读取并执行列出文件夹内容读取数据库文件目录(.mdf、,ndf、df文件)(Program FilesMicrosoft SQL ServerMSSQLData)完全操纵错误日志文件目录(Program FilesMicrosoft SQL ServerMSSQLLOG)完全操纵备份文件目录(Pr