建立一個(gè)安全的MSSQL SERVER的啟動(dòng)賬號(hào)
|
SQL SERVER的安全問(wèn)題一直是困擾DBA的一個(gè)難題,,作為開(kāi)發(fā)者和用戶希望自己的權(quán)限越大越好,,最好是SA,而作為DBA希望所有的用戶權(quán)限越小越好,這總是一對(duì)矛盾,。一般來(lái)說(shuō),,我們會(huì)考慮采用WINDOWS驗(yàn)證模式,建立安全的用戶權(quán)限,,改變SQL SERVER TCP/IP的默認(rèn)端口...等安全措施,,但很多DBA還是忽略了MSSQL SERVER 服務(wù)的啟動(dòng)賬號(hào),這也是一個(gè)非常值得重點(diǎn)關(guān)注的問(wèn)題,。特別是MSSQL SERVER提供了許多操作系統(tǒng)和注冊(cè)表擴(kuò)展存儲(chǔ)過(guò)程,,比如:xp_cmdshell, xp_regdeletekey, xp_regdeletevalue 等等。 我們先來(lái)回顧一下MSSQL SERVER執(zhí)行這些擴(kuò)展存儲(chǔ)過(guò)程的步驟,。MS SQL SERVER提供的擴(kuò)展存儲(chǔ)過(guò)程使你可以向T-SQL一樣調(diào)用一些動(dòng)態(tài)鏈接庫(kù)的內(nèi)部函數(shù)邏輯,,而且這些擴(kuò)展存儲(chǔ)過(guò)程可以包括WIN32和COM的大多數(shù)功能。 當(dāng)關(guān)系 數(shù)據(jù)庫(kù)引擎確定 Transact-SQL 語(yǔ)句引用擴(kuò)展存儲(chǔ)過(guò)程時(shí): 關(guān)系 數(shù)據(jù)庫(kù)引擎將擴(kuò)展存儲(chǔ)過(guò)程請(qǐng)求傳遞到開(kāi)放式 數(shù)據(jù)服務(wù)層,。 然后開(kāi)放式 數(shù)據(jù)服務(wù)將包含擴(kuò)展存儲(chǔ)過(guò)程函數(shù)的 DLL 裝載到 SQL Server 2000 地址空間(如果還沒(méi)有裝載),。 開(kāi)放式 數(shù)據(jù)服務(wù)將請(qǐng)求傳遞到擴(kuò)展存儲(chǔ)過(guò)程。 開(kāi)放式 數(shù)據(jù)服務(wù)將操作結(jié)果傳遞到 數(shù)據(jù)庫(kù)引擎,。 
[quote[從上圖中我們可以清楚的看到SQL Server 2000的數(shù)據(jù)庫(kù)引擎通過(guò)擴(kuò)展存儲(chǔ)過(guò)程和Windows Resources進(jìn)行交互,。而擴(kuò)展存儲(chǔ)過(guò)程可以完成處理操作系統(tǒng)任務(wù)的關(guān)鍵是要有一個(gè)自己的身份SID,這個(gè)SID就來(lái)自MSSQL SERVER服務(wù)啟動(dòng)賬號(hào),。所以如果這個(gè)MSSQL SERVER服務(wù)啟動(dòng)賬號(hào)是administrators組的用戶,,我們就可以通過(guò)這些擴(kuò)展存儲(chǔ)過(guò)程做任意想做的事情:刪除系統(tǒng)信息,破壞注冊(cè)表等等,。如果我們限制MSSQL SERVER服務(wù)啟動(dòng)賬號(hào)的權(quán)限,,這樣即使“黑客”或懷有惡意的開(kāi)發(fā)人員獲得數(shù)據(jù)庫(kù)的管理員權(quán)限,也不會(huì)對(duì)操作系統(tǒng)造成很大的影響,。只要有數(shù)據(jù)庫(kù)的備份我們可以非常方便的恢復(fù)數(shù)據(jù)庫(kù),,而不要重新安裝系統(tǒng)。所以為了更安全的保護(hù)我們的系統(tǒng),,我們希望MSSQL SERVER服務(wù)啟動(dòng)賬號(hào)的權(quán)限越低越好,。
作為系統(tǒng)的一個(gè)服務(wù),啟動(dòng)MSSQL SERVER 2000服務(wù)的用戶賬號(hào)也需要一些必要的權(quán)限,,下面我們就通過(guò)一個(gè)具體的實(shí)例來(lái)解釋這些權(quán)限(本實(shí)例只針對(duì)成員服務(wù)器,,如果是DC和啟動(dòng)了活動(dòng)目錄Active Directory還需要其它的配置):[/quote]1. 通過(guò)本地用戶管理,建立一個(gè)本地用戶sqlserver,,密碼:123456,;//最好換個(gè)難猜的用戶名并且設(shè)強(qiáng)密碼...不要純數(shù)字,易被嗅探及破解.
2. 如果現(xiàn)在就我們打開(kāi)SERVICES配置通過(guò)該用戶啟動(dòng),系統(tǒng)會(huì)報(bào)錯(cuò)誤:
Source:Service Control Manager
Event ID:7000
Description:
The %service% service failed to start due to the following error:
The service did not start due to a logon failure.
No Data will be available.
這是因?yàn)樽鳛橐粋€(gè)普通用戶是無(wú)法啟動(dòng)服務(wù)的,,我們需要給sqlserver用戶分配必要的權(quán)限,。
SQL Server服務(wù)啟動(dòng)賬號(hào)必須有3個(gè)基本權(quán)限:
3. 賦予sqlserver用戶MSSQL目錄的讀寫(xiě)權(quán)限;
因?yàn)槲业腟QL SERVER是安裝在D盤(pán),,所以我在權(quán)限管理中,,將D:\PROGRMAM FILE\Microsoft SQL Server\MSSQL讀寫(xiě)權(quán)限賦予sqlserver用戶。//最好不要裝在系統(tǒng)盤(pán)
4. 分配sqlserver用戶啟動(dòng)本地服務(wù)的權(quán)限,;
這個(gè)比較復(fù)雜,,我只舉例作為成員服務(wù)器的情況。
l 啟動(dòng)“Local Security Setting” MMC 管理單元,。 //控制面板------>管理工具---->本地安全策略
l 展開(kāi)Local Policy,,然后單擊User Rights Assignment。 //本地策略-------->用戶權(quán)限指派
l 在右側(cè)窗格中,,右鍵單擊Log on as Service,,將用戶添加到該策略,然后單擊OK,。 //作為服務(wù)登陸
l 在右側(cè)窗格中,,右鍵單擊Log on as a batch job,將用戶添加到該策略,,然后單擊OK //作為批處理作業(yè)登陸
l 在右側(cè)窗格中,,右鍵單擊Locks pages in memory,將用戶添加到該策略,,然后單擊OK //內(nèi)存中鎖定頁(yè)
l 在右側(cè)窗格中,,右鍵單擊Act as part of the operating systme,將用戶添加到該策略,,然后單擊OK //以操作系統(tǒng)方式操作
l 在右側(cè)窗格中,,右鍵單擊Bypass traverse checking,,將用戶添加到該策略,然后單擊OK //跳過(guò)遍歷檢查
l 在右側(cè)窗格中,,右鍵單擊Replace a process level token,,將用戶添加到該策略,然后單擊OK //替換進(jìn)程級(jí)記號(hào)
l 關(guān)閉“Local Security Setting” MMC 管理單元,。 如圖
5. 重新啟動(dòng)系統(tǒng),,用sqlserver用戶登陸系統(tǒng);
6. 再重新啟動(dòng)系統(tǒng),,再用administrator用戶登陸,,打開(kāi)SERVICES管理工具,配置用該用戶啟動(dòng)MSSQLSERVER服務(wù),;
這樣我們就可以通過(guò)限制SQLSERVER用戶的權(quán)限來(lái)控制SQLSERVER擴(kuò)展存儲(chǔ)過(guò)程的權(quán)限?,F(xiàn)在sqlserver用戶只對(duì)D:\PROGRMAM FILE\Microsoft SQL Server\MSSQL目錄有寫(xiě)的權(quán)限,這樣就降低了通過(guò)xp_cmdshell來(lái)刪除系統(tǒng)文件的風(fēng)險(xiǎn),。
通過(guò)收購(gòu)(原文就是"收購(gòu)",不太理解,個(gè)人認(rèn)為是"注冊(cè)表")來(lái)配置是比較繁瑣的,,幸運(yùn)的是MS SQLSERVER已經(jīng)提供了這樣的工具來(lái)配置啟動(dòng)啟動(dòng)賬號(hào),你可以通過(guò)SQLSERVER的企業(yè)管理器配置,,入下圖:
PS:注意,我是在win2003下面,在上面的圖我直接輸入新建的用戶sqlserver,最后會(huì)啟動(dòng)不了.只有在這里的用戶寫(xiě)機(jī)器名\用戶名,如win2003\sqlserver,這樣才可以正常啟動(dòng),你們也可以試試看是否和我一樣.
這樣SQL SERVER企業(yè)管理器會(huì)自動(dòng)幫你配置好所有的必要條件,。包括目錄的訪問(wèn)權(quán)限,啟動(dòng)服務(wù)的權(quán)限,,訪問(wèn)注冊(cè)表的權(quán)限等等,。所以我們正確的配置順序是:
1. 建立用戶;
2. 在SQL SERVER企業(yè)管理器中配置該用戶啟動(dòng),;
3. 在分配其它相應(yīng)的權(quán)限(如果需要復(fù)制操作),;
備注:
通過(guò)SQL Server企業(yè)管理器增加的服務(wù)啟動(dòng)賬號(hào),會(huì)在registry中增加很多信息,,即使你更換用戶也不會(huì)刪除,,所以在改變服務(wù)啟動(dòng)賬號(hào)不要頻繁更換,這樣會(huì)增大registry的容量,。同時(shí)要注意,,只有屬于sysadmin角色的用戶才可以配置SQL Server服務(wù)的啟動(dòng)賬號(hào)。
總結(jié):
構(gòu)建一個(gè)安全高效的SQLSERVER是多方面的,,深入了解SQLSERVER的運(yùn)行機(jī)制是基礎(chǔ),。我們不但要考慮數(shù)據(jù)庫(kù)用戶的安全,也要考慮SQLSERVER服務(wù)的安全性,。
tip:
請(qǐng)確認(rèn) SQL Server 實(shí)例配置為使用 Windows 身份認(rèn)證和 SQL Server 身份認(rèn)證,。為此,請(qǐng)確認(rèn)在正在運(yùn)行 SQL Server 的計(jì)算機(jī)上存在下列注冊(cè)表項(xiàng),。對(duì)于默認(rèn)的 SQL Server 實(shí)例:
HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer\MSSQLServer\LoginMode
對(duì)于 SQL Server 的命名實(shí)例:
HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\\MSSQLServer\LoginMode
請(qǐng)確認(rèn)已設(shè)置下列注冊(cè)表項(xiàng)的值:
身份認(rèn)證類型 值
僅限于 Windows 身份認(rèn)證 1
混合模式(SQL Server 身份認(rèn)證和 Windows 身份認(rèn)證) 2
注意:如果您對(duì)注冊(cè)表進(jìn)行了任何更改,,必須關(guān)閉并重新啟動(dòng) SQL Server 實(shí)例使更改生效,。 | | | |
|
