30步檢查SQLServer安全檢查列表

1. 確認已經(jīng)安裝了NT/2000和SQL Server的最新補丁程序，不用說大家應(yīng)該已經(jīng)安裝好了，但是我覺得還是在這里提醒一下。
    2. 評估并且選擇一個考慮到的安全性但是同時又不影響功能的網(wǎng)絡(luò)協(xié)議。 多協(xié)議是明智的選擇, 但是它有時不能在異種的環(huán)境中使用。
    3. 給 "sa" 和 "probe" 帳戶設(shè)定強壯的密碼來加強其安全性。設(shè)定一個強壯的密碼并將其保存在一個安全的地方。 注意: probe帳戶被用來進行性能分析和分發(fā)傳輸。 當在標準的安全模態(tài)中用的時候 , 給這個帳戶設(shè)定高強度的密碼能影響某些功能的使用。
    4. 使用一個低特權(quán)用戶作為 SQL 服務(wù)器服務(wù)的查詢操作賬戶，不要用 LocalSystem 或sa。 這個帳戶應(yīng)該有最小的權(quán)利 ( 注意作為一個服務(wù)運行的權(quán)利是必須的)和應(yīng)該包含( 但不停止)在妥協(xié)的情況下對服務(wù)器的攻擊。 注意當使用企業(yè)管理器做以上設(shè)置時 , 文件，注冊表和使用者權(quán)利上的 ACLs同時被處理。
    5. 確定所有的 SQL 服務(wù)器數(shù)據(jù)，而且系統(tǒng)文件是裝置在 NTFS 分區(qū)，且appropraite ACLs 被應(yīng)用。 如果萬一某人得到對系統(tǒng)的存取操作權(quán)限,該層權(quán)限可以阻止入侵者破壞數(shù)據(jù)，避免造成一場大災(zāi)難。
    6.如果不使用Xp_cmdshell就關(guān)掉。 如果使用 SQL 6.5, 至少使用Server Options中的SQLExecutIECmdExec 賬戶操作限制,非sa用戶使用XP_cmdshell.
    在任何的 isql/ osql 窗口中( 或查詢分析器):
    use master
    exec sp_dropextendedproc'xp_cmdshell'
    對 SQLExecutiveCmdExec 的詳細情況請查看下列文章:
    http://support.microsoft.com/support/kb/article/Q159/2/21.
    如果你不需要 xp_cmdshell 那請停用它。請記住一個系統(tǒng)系統(tǒng)管理員如果需要的話總是能把它增加回來。這也好也不好 - 一個侵入者可能發(fā)現(xiàn)它不在，只需要把他加回來?？紤]也除去在下面的 dll但是移除之前必須測試因為有些dll同時被一些程序所用。 要找到其他的程序是否使用相同的 dll:
    首先得到該 dll 。
    select o.name,c.text from dbo.syscomments c , dbo.sysobjects o where c.id=o.id and o.name='xp_cmdshell'
    其次,使用相同的 dll發(fā)現(xiàn)其他的擴展儲存操作是否使用該dll。
    select o.name,c.text from dbo.syscomments c , dbo.sysobjects o where c.id=o.id and c.text='xplog70.dll'
    用戶可以用同樣的辦法處理下面步驟中其他你想去掉的進程。
    7. 如不需要就停用對象連接與嵌入自動化儲存程序 ( 警告 - 當這些儲存程序被停用的時候 , 一些企業(yè)管理器功能可能丟失). 如果你決定停用該進程那么請給他們寫一個腳本這樣在以后你用到他們的時候你能夠把他們重新添加回來 。 記住, 我們在這里正在做的是鎖定一個應(yīng)用程序的功能 - 你的開發(fā)平臺應(yīng)該放到其他機器上。
    8. 禁用你不需要的注冊表存取程序。(同上面的警告)這些包括:
    Xp_regaddmultistring
    Xp_regdeletekey
    Xp_regdeletevalue
    Xp_regenumvalues
    Xp_regremovemultistring
    注意 :我過去一直在這里列出 xp_regread/ xp_regwrite但是這些程序的移除影響一些主要功能包括日志和SP的安裝，所以他們的移除不被推薦。
    9.移除其他你認為會造成威脅的系統(tǒng)儲存進程。 這種進程是相當多的，而且他們也會浪費一些CPU時間。 小心不要首先在一個配置好的服務(wù)器上這樣做。首先在開發(fā)的機器上測試，確認這樣不會影響到任何的系統(tǒng)功能。
    10. 在企業(yè)管理器中"安全選項" 之下禁用默認登錄。(只有SQL 6.5) 當使用整合的安全時候,這使未經(jīng)認可的不在 syslogins 表中使用者無權(quán)登陸一個有效的數(shù)據(jù)庫服務(wù)器。
    1. 確認已經(jīng)安裝了NT/2000和SQL Server的最新補丁程序，不用說大家應(yīng)該已經(jīng)安裝好了，但是我覺得還是在這里提醒一下。
    2. 評估并且選擇一個考慮到的安全性但是同時又不影響功能的網(wǎng)絡(luò)協(xié)議。 多協(xié)議是明智的選擇, 但是它有時不能在異種的環(huán)境中使用。
    3. 給 "sa" 和 "probe" 帳戶設(shè)定強壯的密碼來加強其安全性。設(shè)定一個強壯的密碼并將其保存在一個安全的地方。 注意: probe帳戶被用來進行性能分析和分發(fā)傳輸。 當在標準的安全模態(tài)中用的時候 , 給這個帳戶設(shè)定高強度的密碼能影響某些功能的使用。
    4. 使用一個低特權(quán)用戶作為 SQL 服務(wù)器服務(wù)的查詢操作賬戶，不要用 LocalSystem 或sa。 這個帳戶應(yīng)該有最小的權(quán)利 ( 注意作為一個服務(wù)運行的權(quán)利是必須的)和應(yīng)該包含( 但不停止)在妥協(xié)的情況下對服務(wù)器的攻擊。 注意當使用企業(yè)管理器做以上設(shè)置時 , 文件，注冊表和使用者權(quán)利上的 ACLs同時被處理。
    5. 確定所有的 SQL 服務(wù)器數(shù)據(jù)，而且系統(tǒng)文件是裝置在 NTFS 分區(qū)，且appropraite ACLs 被應(yīng)用。 如果萬一某人得到對系統(tǒng)的存取操作權(quán)限,該層權(quán)限可以阻止入侵者破壞數(shù)據(jù)，避免造成一場大災(zāi)難。
    6.如果不使用Xp_cmdshell就關(guān)掉。 如果使用 SQL 6.5, 至少使用Server Options中的SQLExecutIECmdExec 賬戶操作限制,非sa用戶使用XP_cmdshell.
    在任何的 isql/ osql 窗口中( 或查詢分析器):
    use master
    exec sp_dropextendedproc'xp_cmdshell'
    對 SQLExecutiveCmdExec 的詳細情況請查看下列文章:
    http://support.microsoft.com/support/kb/article/Q159/2/21.
    如果你不需要 xp_cmdshell 那請停用它。請記住一個系統(tǒng)系統(tǒng)管理員如果需要的話總是能把它增加回來。這也好也不好 - 一個侵入者可能發(fā)現(xiàn)它不在，只需要把他加回來?？紤]也除去在下面的 dll但是移除之前必須測試因為有些dll同時被一些程序所用。 要找到其他的程序是否使用相同的 dll:
    首先得到該 dll 。
    select o.name,c.text from dbo.syscomments c , dbo.sysobjects o where c.id=o.id and o.name='xp_cmdshell'
    其次,使用相同的 dll發(fā)現(xiàn)其他的擴展儲存操作是否使用該dll。
    select o.name,c.text from dbo.syscomments c , dbo.sysobjects o where c.id=o.id and c.text='xplog70.dll'
    用戶可以用同樣的辦法處理下面步驟中其他你想去掉的進程。
    7. 如不需要就停用對象連接與嵌入自動化儲存程序 ( 警告 - 當這些儲存程序被停用的時候 , 一些企業(yè)管理器功能可能丟失). 如果你決定停用該進程那么請給他們寫一個腳本這樣在以后你用到他們的時候你能夠把他們重新添加回來 。 記住, 我們在這里正在做的是鎖定一個應(yīng)用程序的功能 - 你的開發(fā)平臺應(yīng)該放到其他機器上。
    8. 禁用你不需要的注冊表存取程序。(同上面的警告)這些包括:
    Xp_regaddmultistring
    Xp_regdeletekey
    Xp_regdeletevalue
    Xp_regenumvalues
    Xp_regremovemultistring
    注意 :我過去一直在這里列出 xp_regread/ xp_regwrite但是這些程序的移除影響一些主要功能包括日志和SP的安裝，所以他們的移除不被推薦。
    9.移除其他你認為會造成威脅的系統(tǒng)儲存進程。 這種進程是相當多的，而且他們也會浪費一些CPU時間。 小心不要首先在一個配置好的服務(wù)器上這樣做。首先在開發(fā)的機器上測試，確認這樣不會影響到任何的系統(tǒng)功能。
    10. 在企業(yè)管理器中"安全選項" 之下禁用默認登錄。(只有SQL 6.5) 當使用整合的安全時候,這使未經(jīng)認可的不在 syslogins 表中使用者無權(quán)登陸一個有效的數(shù)據(jù)庫服務(wù)器。