Windows 2003服務(wù)器安全加固方案
sql服務(wù)器安全加固
安裝最新的mdac(http://www.microsoft.com/data/download.htm)
5.1 密碼策略
由于sql server不能更改sa用戶名稱,也不能刪除這個(gè)超級(jí)用戶,所以,我們必須對(duì)這個(gè)帳號(hào)進(jìn)行最強(qiáng)的保護(hù),當(dāng)然,包括使用一個(gè)非常強(qiáng)壯的密碼,最好不要在數(shù)據(jù)庫應(yīng)用中使用sa帳號(hào)。新建立一個(gè)擁有與sa一樣權(quán)限的超級(jí)用戶來管理數(shù)據(jù)庫。同時(shí)養(yǎng)成定期修改密碼的好習(xí)慣。數(shù)據(jù)庫管理員應(yīng)該定期查看是否有不符合密碼要求的帳號(hào)。比如使用下面的sql語句:
use master
select name,password from syslogins where password is null
5.2 數(shù)據(jù)庫日志的記錄
核數(shù)據(jù)庫登錄事件的"失敗和成功",在實(shí)例屬性中選擇"安全性",將其中的審核級(jí)別選定為全部,這樣在數(shù)據(jù)庫系統(tǒng)和操作系統(tǒng)日志里面,就詳細(xì)記錄了所有帳號(hào)的登錄事件。
5.3 管理擴(kuò)展存儲(chǔ)過程
xp_cmdshell是進(jìn)入操作系統(tǒng)的最佳捷徑,是數(shù)據(jù)庫留給操作系統(tǒng)的一個(gè)大后門。請(qǐng)把它去掉。使用這個(gè)sql語句:
use master
sp_dropextendedproc ’xp_cmdshell’
注:如果你需要這個(gè)存儲(chǔ)過程,請(qǐng)用這個(gè)語句也可以恢復(fù)過來。
sp_addextendedproc ’xp_cmdshell’, ’xpsql70.dll’
ole自動(dòng)存儲(chǔ)過程(會(huì)造成管理器中的某些特征不能使用),這些過程包括如下(不需要可以全部去掉:
sp_oacreate sp_oadestroy sp_oageterrorinfo sp_oagetproperty
sp_oamethod sp_oasetproperty sp_oastop
去掉不需要的注冊(cè)表訪問的存儲(chǔ)過程,注冊(cè)表存儲(chǔ)過程甚至能夠讀出操作系統(tǒng)管理員的密碼來,如下:
xp_regaddmultistring xp_regkey xp_regvalue xp_regenumvalues
xp_regread xp_regremovemultistring xp_regwrite
5.4 防tcp/ip端口探測(cè)
在實(shí)例屬性中選擇tcp/ip協(xié)議的屬性。選擇隱藏 sql server 實(shí)例。
請(qǐng)?jiān)谏弦徊脚渲玫幕A(chǔ)上,更改原默認(rèn)的1433端口。
在ipsec過濾拒絕掉1434端口的udp通訊,可以盡可能地隱藏你的sql server。
對(duì)網(wǎng)絡(luò)連接進(jìn)行ip限制
使用操作系統(tǒng)自己的ipsec可以實(shí)現(xiàn)ip數(shù)據(jù)包的安全性。請(qǐng)對(duì)ip連接進(jìn)行限制,保證只有自己的ip能夠訪問,拒絕其他ip進(jìn)行的端口連接。
通過以上的配置,禁止了服務(wù)器開放不必要的端口,防止服務(wù)被植入后門程序,通過配置目錄權(quán)限可以防止入侵者拿到welshell后提權(quán),加強(qiáng)了服務(wù)器的安全性,避免了對(duì)服務(wù)器的攻擊和加強(qiáng)了TCP協(xié)議棧。通過iis的配置提高了iis的安全性和穩(wěn)定性。修改了sql server的默認(rèn)端口,可以防止惡意用戶對(duì)服務(wù)器進(jìn)行掃描嘗試暴力破解sa賬戶提供數(shù)據(jù)庫的安全性。對(duì)服務(wù)器實(shí)現(xiàn)了整體的安全加固。
【W(wǎng)indows 服務(wù)器安全加固方案】相關(guān)文章:
服務(wù)器安全維護(hù)合同12-07
房屋加固維修合同06-13
網(wǎng)站服務(wù)器下的計(jì)算機(jī)安全論文10-10
建筑物加固改造分析論文10-09
談建筑結(jié)構(gòu)常用的加固方式的論文10-09