30步檢查SQLServer安全檢查列表

1. 確認(rèn)已經(jīng)安裝了NT/2000和SQL Server的最新補(bǔ)丁程序，不用說(shuō)大家應(yīng)該已經(jīng)安裝好了，但是我覺(jué)得還是在這里提醒一下。
    2. 評(píng)估并且選擇一個(gè)考慮到的安全性但是同時(shí)又不影響功能的網(wǎng)絡(luò)協(xié)議。 多協(xié)議是明智的選擇, 但是它有時(shí)不能在異種的環(huán)境中使用。
    3. 給 "sa" 和 "probe" 帳戶設(shè)定強(qiáng)壯的密碼來(lái)加強(qiáng)其安全性。設(shè)定一個(gè)強(qiáng)壯的密碼并將其保存在一個(gè)安全的地方。 注意: probe帳戶被用來(lái)進(jìn)行性能分析和分發(fā)傳輸。 當(dāng)在標(biāo)準(zhǔn)的安全模態(tài)中用的時(shí)候 , 給這個(gè)帳戶設(shè)定高強(qiáng)度的密碼能影響某些功能的使用。
    4. 使用一個(gè)低特權(quán)用戶作為 SQL 服務(wù)器服務(wù)的查詢操作賬戶，不要用 LocalSystem 或sa。 這個(gè)帳戶應(yīng)該有最小的權(quán)利 ( 注意作為一個(gè)服務(wù)運(yùn)行的權(quán)利是必須的)和應(yīng)該包含( 但不停止)在妥協(xié)的情況下對(duì)服務(wù)器的攻擊。 注意當(dāng)使用企業(yè)管理器做以上設(shè)置時(shí) , 文件，注冊(cè)表和使用者權(quán)利上的 ACLs同時(shí)被處理。
    5. 確定所有的 SQL 服務(wù)器數(shù)據(jù)，而且系統(tǒng)文件是裝置在 NTFS 分區(qū)，且appropraite ACLs 被應(yīng)用。 如果萬(wàn)一某人得到對(duì)系統(tǒng)的存取操作權(quán)限,該層權(quán)限可以阻止入侵者破壞數(shù)據(jù)，避免造成一場(chǎng)大災(zāi)難。
    6.如果不使用Xp_cmdshell就關(guān)掉。 如果使用 SQL 6.5, 至少使用Server Options中的SQLExecutIECmdExec 賬戶操作限制,非sa用戶使用XP_cmdshell.
    在任何的 isql/ osql 窗口中( 或查詢分析器):
    use master
    exec sp_dropextendedproc'xp_cmdshell'
    對(duì) SQLExecutiveCmdExec 的詳細(xì)情況請(qǐng)查看下列文章:
    http://support.microsoft.com/support/kb/article/Q159/2/21.
    如果你不需要 xp_cmdshell 那請(qǐng)停用它。請(qǐng)記住一個(gè)系統(tǒng)系統(tǒng)管理員如果需要的話總是能把它增加回來(lái)。這也好也不好 - 一個(gè)侵入者可能發(fā)現(xiàn)它不在，只需要把他加回來(lái)?？紤]也除去在下面的 dll但是移除之前必須測(cè)試因?yàn)橛行ヾll同時(shí)被一些程序所用。 要找到其他的程序是否使用相同的 dll:
    首先得到該 dll 。
    select o.name,c.text from dbo.syscomments c , dbo.sysobjects o where c.id=o.id and o.name='xp_cmdshell'
    其次,使用相同的 dll發(fā)現(xiàn)其他的擴(kuò)展儲(chǔ)存操作是否使用該dll。
    select o.name,c.text from dbo.syscomments c , dbo.sysobjects o where c.id=o.id and c.text='xplog70.dll'
    用戶可以用同樣的辦法處理下面步驟中其他你想去掉的進(jìn)程。
    7. 如不需要就停用對(duì)象連接與嵌入自動(dòng)化儲(chǔ)存程序 ( 警告 - 當(dāng)這些儲(chǔ)存程序被停用的時(shí)候 , 一些企業(yè)管理器功能可能丟失). 如果你決定停用該進(jìn)程那么請(qǐng)給他們寫(xiě)一個(gè)腳本這樣在以后你用到他們的時(shí)候你能夠把他們重新添加回來(lái) 。 記住, 我們?cè)谶@里正在做的是鎖定一個(gè)應(yīng)用程序的功能 - 你的開(kāi)發(fā)平臺(tái)應(yīng)該放到其他機(jī)器上。
    8. 禁用你不需要的注冊(cè)表存取程序。(同上面的警告)這些包括:
    Xp_regaddmultistring
    Xp_regdeletekey
    Xp_regdeletevalue
    Xp_regenumvalues
    Xp_regremovemultistring
    注意 :我過(guò)去一直在這里列出 xp_regread/ xp_regwrite但是這些程序的移除影響一些主要功能包括日志和SP的安裝，所以他們的移除不被推薦。
    9.移除其他你認(rèn)為會(huì)造成威脅的系統(tǒng)儲(chǔ)存進(jìn)程。 這種進(jìn)程是相當(dāng)多的，而且他們也會(huì)浪費(fèi)一些CPU時(shí)間。 小心不要首先在一個(gè)配置好的服務(wù)器上這樣做。首先在開(kāi)發(fā)的機(jī)器上測(cè)試，確認(rèn)這樣不會(huì)影響到任何的系統(tǒng)功能。
    10. 在企業(yè)管理器中"安全選項(xiàng)" 之下禁用默認(rèn)登錄。(只有SQL 6.5) 當(dāng)使用整合的安全時(shí)候,這使未經(jīng)認(rèn)可的不在 syslogins 表中使用者無(wú)權(quán)登陸一個(gè)有效的數(shù)據(jù)庫(kù)服務(wù)器。
    1. 確認(rèn)已經(jīng)安裝了NT/2000和SQL Server的最新補(bǔ)丁程序，不用說(shuō)大家應(yīng)該已經(jīng)安裝好了，但是我覺(jué)得還是在這里提醒一下。
    2. 評(píng)估并且選擇一個(gè)考慮到的安全性但是同時(shí)又不影響功能的網(wǎng)絡(luò)協(xié)議。 多協(xié)議是明智的選擇, 但是它有時(shí)不能在異種的環(huán)境中使用。
    3. 給 "sa" 和 "probe" 帳戶設(shè)定強(qiáng)壯的密碼來(lái)加強(qiáng)其安全性。設(shè)定一個(gè)強(qiáng)壯的密碼并將其保存在一個(gè)安全的地方。 注意: probe帳戶被用來(lái)進(jìn)行性能分析和分發(fā)傳輸。 當(dāng)在標(biāo)準(zhǔn)的安全模態(tài)中用的時(shí)候 , 給這個(gè)帳戶設(shè)定高強(qiáng)度的密碼能影響某些功能的使用。
    4. 使用一個(gè)低特權(quán)用戶作為 SQL 服務(wù)器服務(wù)的查詢操作賬戶，不要用 LocalSystem 或sa。 這個(gè)帳戶應(yīng)該有最小的權(quán)利 ( 注意作為一個(gè)服務(wù)運(yùn)行的權(quán)利是必須的)和應(yīng)該包含( 但不停止)在妥協(xié)的情況下對(duì)服務(wù)器的攻擊。 注意當(dāng)使用企業(yè)管理器做以上設(shè)置時(shí) , 文件，注冊(cè)表和使用者權(quán)利上的 ACLs同時(shí)被處理。
    5. 確定所有的 SQL 服務(wù)器數(shù)據(jù)，而且系統(tǒng)文件是裝置在 NTFS 分區(qū)，且appropraite ACLs 被應(yīng)用。 如果萬(wàn)一某人得到對(duì)系統(tǒng)的存取操作權(quán)限,該層權(quán)限可以阻止入侵者破壞數(shù)據(jù)，避免造成一場(chǎng)大災(zāi)難。
    6.如果不使用Xp_cmdshell就關(guān)掉。 如果使用 SQL 6.5, 至少使用Server Options中的SQLExecutIECmdExec 賬戶操作限制,非sa用戶使用XP_cmdshell.
    在任何的 isql/ osql 窗口中( 或查詢分析器):
    use master
    exec sp_dropextendedproc'xp_cmdshell'
    對(duì) SQLExecutiveCmdExec 的詳細(xì)情況請(qǐng)查看下列文章:
    http://support.microsoft.com/support/kb/article/Q159/2/21.
    如果你不需要 xp_cmdshell 那請(qǐng)停用它。請(qǐng)記住一個(gè)系統(tǒng)系統(tǒng)管理員如果需要的話總是能把它增加回來(lái)。這也好也不好 - 一個(gè)侵入者可能發(fā)現(xiàn)它不在，只需要把他加回來(lái)?？紤]也除去在下面的 dll但是移除之前必須測(cè)試因?yàn)橛行ヾll同時(shí)被一些程序所用。 要找到其他的程序是否使用相同的 dll:
    首先得到該 dll 。
    select o.name,c.text from dbo.syscomments c , dbo.sysobjects o where c.id=o.id and o.name='xp_cmdshell'
    其次,使用相同的 dll發(fā)現(xiàn)其他的擴(kuò)展儲(chǔ)存操作是否使用該dll。
    select o.name,c.text from dbo.syscomments c , dbo.sysobjects o where c.id=o.id and c.text='xplog70.dll'
    用戶可以用同樣的辦法處理下面步驟中其他你想去掉的進(jìn)程。
    7. 如不需要就停用對(duì)象連接與嵌入自動(dòng)化儲(chǔ)存程序 ( 警告 - 當(dāng)這些儲(chǔ)存程序被停用的時(shí)候 , 一些企業(yè)管理器功能可能丟失). 如果你決定停用該進(jìn)程那么請(qǐng)給他們寫(xiě)一個(gè)腳本這樣在以后你用到他們的時(shí)候你能夠把他們重新添加回來(lái) 。 記住, 我們?cè)谶@里正在做的是鎖定一個(gè)應(yīng)用程序的功能 - 你的開(kāi)發(fā)平臺(tái)應(yīng)該放到其他機(jī)器上。
    8. 禁用你不需要的注冊(cè)表存取程序。(同上面的警告)這些包括:
    Xp_regaddmultistring
    Xp_regdeletekey
    Xp_regdeletevalue
    Xp_regenumvalues
    Xp_regremovemultistring
    注意 :我過(guò)去一直在這里列出 xp_regread/ xp_regwrite但是這些程序的移除影響一些主要功能包括日志和SP的安裝，所以他們的移除不被推薦。
    9.移除其他你認(rèn)為會(huì)造成威脅的系統(tǒng)儲(chǔ)存進(jìn)程。 這種進(jìn)程是相當(dāng)多的，而且他們也會(huì)浪費(fèi)一些CPU時(shí)間。 小心不要首先在一個(gè)配置好的服務(wù)器上這樣做。首先在開(kāi)發(fā)的機(jī)器上測(cè)試，確認(rèn)這樣不會(huì)影響到任何的系統(tǒng)功能。
    10. 在企業(yè)管理器中"安全選項(xiàng)" 之下禁用默認(rèn)登錄。(只有SQL 6.5) 當(dāng)使用整合的安全時(shí)候,這使未經(jīng)認(rèn)可的不在 syslogins 表中使用者無(wú)權(quán)登陸一個(gè)有效的數(shù)據(jù)庫(kù)服務(wù)器。