关于SQLServer 2000的安全配置
时间:2007-12-23 来源:不详 作者:迈克DB
Sp_OAMethodSp_OASetPropertySp_OAStop
去掉不需要的注册表访问的存储过程,注册表存储过程甚至能够读出操作系统治理员的密码来,如下:
Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalue
Xp_regenumvaluesXp_regreadXp_regremovemultistring
Xp_regwrite
还有一些其他的扩展存储过程,你也最好检查检查。在处理存储过程的时候,请确认一下,避免造成对数据库或应用程序的伤害。
5、使用协议加密
SQLServer2000使用的TabularDataStream协议来进行网络数据交换,假如不加密的话,所有的网络传输都是明文的,包括密码、数据库内容等等,这是一个很大的安全威胁。能被人在网络中截获到他们需要的东西,包括数据库帐号和密码。所以,在条件容许情况下,最好使用SSL来加密协议,当然,你需要一个证书来支持。
6、不要让人随便探测到你的TCP/IP端口
默认情况下,SQLServer使用1433端口监听,很多人都说SQLServer配置的时候要把这个端口改变,这样别人就不能很轻易地知道使用的什么端口了。可惜,通过微软未公开的1434端口的UDP探测可以很轻易知道SQLServer使用的什么TCP/IP端口了。不过微软还是考虑到了这个问题,究竟公开而且开放的端口会引起不必要的麻烦。在实例属性中选择TCP/IP协议的属性。选择隐藏SQLServer实例。假如隐藏了SQLServer实例,则将禁止对试图枚举网络上现有的SQLServer实例的客户端所发出的广播作出响应。这样,别人就不能用1434来探测你的TCP/IP端口了(除非用PortScan)。
内容来自dedecms
7、修改TCP/IP使用的端口
请在上一步配置的基础上,更改原默认的1433端口。在实例属性中选择网络配置中的TCP/IP协议的属性,将TCP/IP使用的默认端口变为其他端口.
8、拒绝来自1434端口的探测
由于1434端口探测没有限制,能够被别人探测到一些数据库信息,而且还可能遭到DOS攻击让数据库服务器的CPU负荷增大,所以对Windows2000操作系统来说,在IPSec过滤拒绝掉1434端口的UDP通讯,可以尽可能地隐藏你的SQLServer。
9、对网络连接进行IP限制
SQLServer2000数据库系统本身没有提供网络连接的安全解决办法,但是Windows2000提供了这样的安全机制。使用操作系统自己的IPSec可以实现IP数据包的安全性。请对IP连接进行限制,只保证自己的IP能够访问,也拒绝其他IP进行的端口连接,把来自网络上的安全威胁进行有效的控制。关于IPSec的使用请参看:
织梦内容管理系统
http://www.microsoft.com/china/technet/security/ipsecloc.asp;
上面主要介绍的一些SQLServer的安全配置,经过以上的配置,可以让SQLServer本身具备足够的安全防范能力。当然,更主要的还是要加强内部的安全控制和治理员的安全培训,而且安全性问题是一个长期的解决过程,还需要以后进行更多的安全维护。
上一篇:保护Access 2000数据库的安全 下一篇:Rman操作简单分析
文章评论
共有位Admini5网友发表了评论 查看完整内容