MSSQL安全设置的具体步骤和方法小结_MsSql

第一步肯定是打上SQL SERVER最新的安全补丁.如果这一步都没有做好,那我们也没有继续下去的必要了。

第二步是修改默认的1433端口,并且将SQL SERVER隐藏。这样能禁止对试图枚举网络上现有的 SQL Server 客户端所发出的广播作出响应。另外,还需要在TCP/IP筛选中将1433端口屏蔽掉,尽可能的隐藏你的SQL SERVER数据库。这样子一但让攻击创建了SQL SERVER的账号,也不能马上使用查询分析器远程登陆来进行下一步的攻击。单从ASP,PHP等页面构造恶意语句的话,还有需要查看返回值的问题,总比 不上直接查询分析器来得利落。所以我们首先要做到即使让别人注入了,也不能让攻击者下一步做得顺当。修改方法:企业管理器 --> 你的数据库组 --> 属性 --> 常规 --> 网络配置 --> TCP/IP --> 属性 ,在这儿将你的默认端口进行修改,和SQL SERVER的隐藏。

第三步是很重要的一步,SQL INJECTION往往在WEB CODE中产生。而做为系统管理员或者数据库管理员,总不能常常的去看每一段代码。即使常常看代码,也不能保证我们在上面的疏忽。那怎么办?我们就要从数 据库角色着手,让数据库用户的权限划分到最低点。SQL SERVER的默认权限让人真的很头疼,权限大得非常的高,权限小的又什么都做不了,SYSADMIN和db_owner真是让人又爱又恨。攻击者一但确 认了网站存在SQL INJECTION漏洞,肯定有一步操作步骤就是测试网站的SQL SERVER使用者具有多大的权限。一般都会借助Select IS_SRVROLEMEMBER('sysadmin'),或者Select IS_MEMBER('db_owner'),再或者用user = 0(让字符和数字进行比较,SQL SERVER就会提示了错误信息,从该信息中即可知道一些敏感信息)等语句进行测试。方法还有,我也不敢多说了。其一怕错,其二怕联盟中的人扁。在当前, 如果网站的数据库使用者用的是SA权限,再加上确认了WEB所处在的绝对路径,那么就宣告了你的网站的OVER。db_owner权限也一样,如果确认了 绝对路径,那么有50%的机会能给你的机器中上WEB 方式的木马,如海阳等。所以这儿我们确认了一点,我们必须要创建自已的权限,让攻击者找不着下嘴的地方。在这儿引用一个SQL SERVER联机帮助中的例子:

  创建 SQL Server 数据库角色的方法(企业管理器)
  创建 SQL Server 数据库角色
  1. 展开服务器组,然后展开服务器。
  2. 展开"数据库"文件夹,然后展开要在其中创建角色的数据库。
  3. 右击"角色",然后单击"新建数据库角色"命令。
  4. 在"名称"框中输入新角色的名称。
  5. 单击"添加"将成员添加到"标准角色"列表中,然后单击要添加的一个或多个用户。(可选)
  只有选定数据库中的用户才能被添加到角色中。
  对象权限
  处理数据或执行过程时需要称为对象权限的权限类别:
  · Select、Insert、Update 和 Delete 语句权限,它们可以应用到整个表或视图中。
  · Select 和 Update 语句权限,它们可以有选择性地应用到表或视图中的单个列上。
  · Select 权限,它们可以应用到用户定义函数。
  · Insert 和 Delete 语句权限,它们会影响整行,因此只可以应用到表或视图中,而不能应用到单个列上。
  · EXECUTE 语句权限,它们可以影响存储过程和函数。
  语句权限
  创 建数据库或数据库中的项(如表或存储过程)所涉及的活动要求另一类称为语句权限的权限。例如,如果用户必须能够在数据库中创建表,则应该向该用户授予 Create TABLE 语句权限。语句权限(如 Create DATABASE)适用于语句自身,而不适用于数据库中定义的特定对象。
  语句权限有:
  · BACKUP DATABASE
  · BACKUP LOG
  · Create DATABASE
  · Create DEFAULT
  · Create FUNCTION
  · Create PROCEDURE
  · Create RULE
  · Create TABLE
  · Create VIEW
  暗示性权限
  暗示性权限控制那些只能由预定义系统角色的成员或数据库对象所有者执行的活动。例如,sysadmin 固定服务器角色成员自动继承在 SQL Server 安装中进行操作或查看的全部权限。
  数据库对象所有者还有暗示性权限,可以对所拥有的对象执行一切活动。例如,拥有表的用户可以查看、添加或删除数据,更改表定义,或控制允许其他用户对表进行操作的权限。
  db_owner 在数据库中有全部权限。
  db_accessadmin 可以添加或删除用户 ID。
  db_securityadmin 可以管理全部权限、对象所有权、角色和角色成员资格。
  db_ddladmin 可以发出 ALL DDL,但不能发出 GRANT、REVOKE 或 DENY语句。
  db_backupoperator 可以发出 DBCC、CHECKPOINT 和 BACKUP 语句。
  db_datareader 可以选择数据库内任何用户表中的所有数据。 db_datawriter 可以更改数据库内任何用户表中的所有数据。
  db_denydatareader 不能选择数据库内任何用户表中的任何数据。
  db_denydatawriter 不能更改数据库内任何用户表中的任何数据。
  在 这儿把新建的数据库角色的权限配置好,比如需要使用哪个表、视图、存储过程等。然后把Db_owner和db_securityadmin、 db_backupoperator取消,不给攻击者BACKUP DATABASE和Create TABLE的机会,一但攻击者具有这两个权限,那么你的网站就还处在十分危险的状态。还有注意一下,在创建数据库账号时,千万不能对服务器角色进行选择。
  第四步是修改SQL SERVER内置存储过程。SQL SERVER估计是为了安装或者其它方面,它内置了一批危险的存储过程。能读到注册表信息,能写入注册表信息,能读磁盘共享信息等等......各位看到 这儿,心里可能会在想,我的网站中有其它的代码,又不像查询分析器那样能查接将结果输出。给你这个权限,又不能怎么样,还是看不到信息。如果各位这样想就 大错特错了。提示一下,如果攻击者有Create TABLE的权限,那么创建一个临时表,然后将信息Insert到表中,然Select出来,接着跟数字进行比较,让SQL SERVER报错,那么结果就全出来了......所以我们要报着宁错杀,不放过的态度进行修补。
  先来列出危险的内置存储过程:
  xp_cmdshell
  xp_regaddmultistring
  xp_regdeletekey
  xp_regdeletevalue
  xp_regenumkeys
  xp_regenumvalues
  xp_regread
  xp_regremovemultistring
  xp_regwrite
  ActiveX自动脚本:
  sp_OACreate
  sp_OADestroy
  sp_OAMethod
  sp_OAGetProperty
  sp_OASetProperty
  sp_OAGetErrorInfo
  sp_OAStop
  将有安全问题的SQL过程删除.比较全面.一切为了安全!
  删除有安全隐患的扩展:
  exec sp_dropextendedproc 'xp_cmdshell' [删除此项扩展后,将无法远程连接数据库]
  exec sp_dropextendedproc 'xp_dirtree' [删除此项扩展后,将无法新建或附加数据库]
  exec sp_dropextendedproc 'xp_enumgroups'
  exec sp_dropextendedproc 'xp_fixeddrives'
  exec sp_dropextendedproc 'xp_loginconfig'
  exec sp_dropextendedproc 'xp_regaddmultistring'
  exec sp_dropextendedproc 'xp_regdeletekey'
  exec sp_dropextendedproc 'xp_regdeletevalue'
  exec sp_dropextendedproc 'xp_regread'
  exec sp_dropextendedproc 'xp_regremovemultistring'
  exec sp_dropextendedproc 'xp_regwrite'
  exec sp_dropextendedproc 'xp_enumerrorlogs'
  exec sp_dropextendedproc 'xp_getfiledetails'
  exec sp_dropextendedproc 'xp_regenumvalues'
  恢复扩展
  exec sp_addextendedproc 'xp_cmdshell', 'xplog70.dll'
  exec sp_addextendedproc 'xp_dirtree', 'xpstar.dll'
  exec sp_addextendedproc 'xp_enumgroups', 'xplog70.dll'
  exec sp_addextendedproc 'xp_fixeddrives', 'xpstar.dll'
  exec sp_addextendedproc 'xp_loginconfig', 'xplog70.dll'
  exec sp_addextendedproc 'xp_regaddmultistring', 'xpstar.dll'
  exec sp_addextendedproc 'xp_regdeletekey', 'xpstar.dll'
  exec sp_addextendedproc 'xp_regdeletevalue', 'xpstar.dll'
  exec sp_addextendedproc 'xp_regread', 'xpstar.dll'
  exec sp_addextendedproc 'xp_regremovemultistring', 'xpstar.dll'
  exec sp_addextendedproc 'xp_regwrite', 'xpstar.dll'
  exec sp_addextendedproc 'xp_enumerrorlogs', 'xpstar.dll'
  exec sp_addextendedproc 'xp_getfiledetails', 'xpstar.dll'
  exec sp_addextendedproc 'xp_regenumvalues', 'xpstar.dll'
  全部复制到"SQL查询分析器"
  点击菜单上的--"查询"--"执行",就会将有安全问题的SQL过程删除(以上是7i24的正版用户的技术支持)
  更改默认SA空密码.数据库链接不要使用SA帐户.单数据库单独设使用帐户.只给public和db_owner权限.
  数据库不要放在默认的位置.
  SQL不要安装在PROGRAM FILE目录下面.
  以 上各项全在我们封杀之列,例如xp_cmdshell屏蔽的方法为:sp_dropextendedproc 'xp_cmdshell',如果需要的话,再用sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'进行恢复。如果你不知道xp_cmdshell使用的是哪个.dll文件的话,可以使用 sp_helpextendedproc xp_cmdshell来查看xp_cmdshell使用的是哪个动态联接库。另外,将xp_cmdshell屏蔽后,我们还需要做的步骤是将 xpsql70.dll文件进行改名,以防止获得SA的攻击者将它进行恢复。
  我们做到这儿,你的SQL SERVER就基本上安全了。但是信息还是能一样的外泄。毕竟Select我们是无法取消的,除非你的网站用的是HTML。SQL INJECTION的防范还需要我们这些程序员来注意,这才是治本之法。

时间: 2024-11-05 16:34:17

MSSQL安全设置的具体步骤和方法小结_MsSql的相关文章

MSSQL安全设置的具体步骤和方法小结

第一步肯定是打上SQL SERVER最新的安全补丁.如果这一步都没有做好,那我们也没有继续下去的必要了. 第二步是修改默认的1433端口,并且将SQL SERVER隐藏.这样能禁止对试图枚举网络上现有的 SQL Server 客户端所发出的广播作出响应.另外,还需要在TCP/IP筛选中将1433端口屏蔽掉,尽可能的隐藏你的SQL SERVER数据库.这样子一但让攻击创建了SQL SERVER的账号,也不能马上使用查询分析器远程登陆来进行下一步的攻击.单从ASP,PHP等页面构造恶意语句的话,还有

SQL Server 2005 数据库转 SQL Server 2000的方法小结_MsSql

今天有朋友推荐个活就是把Sql Server 2005的数据库转到Sql Server 2000里,但实际操作起来遇到的问题还不少,网上搜了一些办法,在此陈列出来,并把我使用时遇到的问题及解决方案一并记录下来,以备后期查阅 前几步和网上说的一样,先生成2000的脚本,然后再到2000里面执行.操作如下: 打开 SQL Server 2005 的Manger Studio -- 打开"对象资源管理器"(没有的话按F8), 连接到你的实例 找到你要转换的数据库(建议先将此数据库里的登录名清

SQLServer 连接异常与解决方法小结_MsSql

一:[MICROSOFT][ODBC SQL SERVER DRIVER][SQL SERVER]用户'(null)'登陆失败,未与信任SQL SERVER连接相关联处理 原因是由于SQL Server使用了"仅 Windows"的身份验证方式, 因此用户无法使用SQL Server的登录帐户(如 sa )进行连接 (方法一)改成:Windows"的身份验证方式 二.SQL Server不存在或访问被拒绝 一般情况下,有几种可能性: 1.SQL Server名称或IP地址拼写

SQL Server存储过程中编写事务处理的方法小结_MsSql

本文实例讲述了SQL Server存储过程中编写事务处理的方法.分享给大家供大家参考,具体如下: SQL Server中数据库事务处理是相当有用的,鉴于很多SQL初学者编写的事务处理代码存往往存在漏洞,本文我们介绍了三种不同的方法,举例说明了如何在存储过程事务处理中编写正确的代码.希望能够对您有所帮助. 在编写SQL Server 事务相关的存储过程代码时,经常看到下面这样的写法: begin tran update statement 1 ... update statement 2 ...

SQLServer 数据导入导出的几种方法小结_MsSql

1. SQL Server导入导出向导,这种方式是最方便的.导入向导,微软提供了多种数据源驱动,包括SQL Server Native Cliant, OLE DB For Oracle,Flat File Source,Access,Excel,XML等,基本上可以满足系统开发的需求. 同样导出向导也有同样多的目的源驱动,可以把数据导入到不同的目的源. 对数据库管理人员来说这种方式简单容易操作,导入时SQL Server也会帮你建立相同结构的Table. 2. 用.NET的代码实现(比如有一个

sqlserver substring函数使用方法小结_MsSql

在操作sqlserver时候用到了substring函数 SUBSTRING ( expression, start, length ) 参数 expression 字符串.二进制字符串.文本.图像.列或包含列的表达式.请勿使用包含聚合函数的表达式. start 整数或可以隐式转换为 int 的表达式,指定子字符串的开始位置. length 整数或可以隐式转换为 int 的表达式,指定子字符串的长度(但是结果并补一个返回length字符长度,要看expression的长度和start的设置!!!

sqlserver中的自定义函数的方法小结_MsSql

"自定义函数"是我们平常的说法,而"用户定义的函数"是 SQL Server 中书面的说法. SQL Server 2000 允许用户创建自定义函数,自定义函数可以有返回值. 自定义函数分为:标量值函数或表值函数 如果 RETURNS 子句指定一种标量数据类型,则函数为标量值函数.可以使用多条 Transact-SQL 语句定义标量值函数. 如果 RETURNS 子句指定 TABLE,则函数为表值函数. 表值函数又可分为:内嵌表值函数(行内函数)或多语句函数 如果

SQL 重复记录问题的处理方法小结_MsSql

1.查找重复记录 ①如果只是不想在查询结果中存在重复记录, 可以加Distinct select distinct * from TestTable ②如果是想查询重复的记录及其数量 select UserID,UserName,count(*) as '记录数' from TestTable Group by UserID,UserName having count(*)>1 ③ID不重复, 但是字段重复的记录只显示一条 select * from TestTable where UserID

SQL CONVERT转化函数使用方法小结_MsSql

格式: CONVERT(data_type,expression[,style]) 说明: 此样式一般在时间类型(datetime,smalldatetime)与字符串类型(nchar,nvarchar,char,varchar) 相互转换的时候才用到. 例子: SELECT CONVERT(varchar(30),getdate(),101) now 结果为: now --------------------------------------- |09/15/2001 Style数字在转换时