This Domain(Admin5.com) is for Sale:

建立安全的MSSQLServer启动账号

时间:2007-12-23  来源:不详  作者:迈克DB

l在右侧窗格中,右键单击Actaspartoftheoperatingsystme,将用户添加到该策略,然后单击OK
l在右侧窗格中,右键单击Bypasstraversechecking,将用户添加到该策略,然后单击OK
l在右侧窗格中,右键单击Replaceaprocessleveltoken,将用户添加到该策略,然后单击OK
l关闭“LocalSecuritySetting”MMC治理单元。
如图:
5.重新启动系统,用sqlserver用户登陆系统;
6.再重新启动系统,已administrator用户登陆,打开SERVICES治理工具,配置用该用户启动MSSQLSERVER服务;


这样我们就可以通过限制SQLSERVER用户的权限来控制SQLSERVER扩展存储过程的权限。现在sqlserver用户只对D:\PROGRMAMFILE\MicrosoftSQLServer\MSSQL目录有写的权限,这样就降低了通过xp_cmdshell来删除系统文件的风险。

通过收购来配置是比较繁琐的,幸运的是MSSQLSERVER已经提供了这样的工具来配置启动启动账号,你可以通过SQLSERVER的企业治理器配置,入下图:
这样SQLSERVER企业治理器会自动帮你配置好所有的必要条件。包括目录的访问权限,启动服务的权限,访问注册表的权限等等。所以我们正确的配置顺序是:
1.建立用户;
2.在SQLSERVER企业治理器中配置该用户启动;

内容来自dedecms


3.在分配其它相应的权限(假如需要复制操作);
备注:
通过SQLServer企业治理器增加的服务启动账号,会在registry中增加很多信息,即使你更换用户也不会删除,所以在改变服务启动账号不要频繁更换,这样会增大registry的容量。同时要注重,只有属于sysadmin角色的用户才可以配置SQLServer服务的启动账号。
总结:
构建一个安全高效的SQLSERVER是多方面的,深入了解SQLSERVER的运行机制是基础。我们不但要考虑数据库用户的安全,也要考虑SQLSERVER服务的安全性。

看完这篇,您有何感觉呢?

文章评论

共有位Admini5网友发表了评论 查看完整内容

24小时热门信息