【sl新手达人】保护资料抵御攻击–.ppt

【SQL 新手達人】保護資料、抵禦攻擊 – 以 SQL Server 2005 安全機制為例 陳俊宇 資深講師 恆逸資訊教育訓練中心 精誠公司 討論主題 防護伺服器層級 防護資料庫層級 權限 討論主題 防護伺服器層級 防護資料庫層級 權限 SQL Server 安全概念（一） SQL Server 安全概念（二） Window 層級 與 Windows Server 2003 整合 群組原則、軟體原則等 SQL Server 層級 關閉未使用的功能、服務，減少駭客攻擊區域 使用『SQL Server 介面區組態』 加密網路傳輸的資料 使用安全通訊端層（SSL）來--『SQL Server 組態管理員』 IPSec、VPN SQL 登入帳號的密碼原則 密碼複雜性、密碼過期 減少駭客攻擊區域 - 使用SAC（1） SQL Server 介面區組態 SQL Server Surface Area Configuration（SAC） 用來啟用、停用 SQL Server 2005 的功能、服務和遠端連接 預設組態 為停用了部份功能和元件 若為升級安裝，所有功能、服務和連接會保留其升級前的設定狀態 預設： Express、Evaluation 以及 Developer 版本只允許本機用戶端連接 Enterprise、Standard 以及 Workgroup 版本可接聽透過 TCP/IP 連接的遠端用戶端 使用 SAC（2） 使用 SAC（3）- 資料庫引擎 資料庫引擎服務設定 停止、啟動服務 設定『遠端連接』、『本機連接』 TCP/IP、具名管道等等 功能預設值 – 未啟用、未設定 特定分散式查詢 CLR整合 DAC Database Mail 原生 XML Web Service OLE Automation Servcie Broker SQL Mail Web 助理 xp_cmdshell 使用 SAC（4）- Analysis Server 停止、啟動服務設定 『遠端連接』、『本機連接』 功能預設值- 未啟用 特定資料採礦查詢 是否啟用 DMX OPENROWSET 函數 匿名連接 連接物件 例如：連結維度和連結量值群組 使用者自訂函數 使用者自訂函數的組件（可以是 CLR 或 COM 物件） 使用 SAC（5）- Reporting Services 停止、啟動服務設定 功能預設值- 未啟用 排程的事件和報表傳遞 排程報表傳遞、報表快照集，以及報表快取逾期 Web 服務和 HHTP 存取 簡易物件存取通訊協定（SOAP）要求和 URL 存取要求 Windows 整合式安全性 使用 SAC（6）- 全文檢索 停止、啟動服務設定 建議 若是沒有使用，請停用此服務，並調整啟動類型為：手動 使用 SAC（7）- sac 公用程式 sac 公用程式 可以用於匯入和匯出 SQL Server 介面區組態 在一部電腦上設定介面區，並將相同的設定套用、部署至其他電腦（整合單位、組織的安全規範） 加密網路傳輸的資料（1） 方法有： 利用安全通訊端層（SSL）來加密 SQL Server 與用戶端應用程式之間透過網路傳輸的資料 利用 IPSec 在傳輸期間加密；IPSec 是由用戶端和伺服器作業系統所提供的，不需設定 SQL Server。 啟用 SSL 加密 可提高其安全性。也會降低效能。需要額外的處理： 在連接時需要額外的網路往返 從應用程式傳送到 SQL Server 的封包必須利用用戶端網路程式庫來加密，並使用伺服器網路程式庫來解密 從 SQL Server 傳送到應用程式的封包必須使用伺服器網路程式庫來加密，並使用用戶端網路程式庫來解密 無法支援加密的用戶端將遭到拒絕存取 登入封包已經加密 若未安裝憑證 SQL Server 會在啟動時產生自我簽署憑證 此自我簽署憑證可用來代替信任的憑證授權單位發行的憑證，但它並不提供認證或不可否認性 加密網路傳輸的資料（2） 設定 SQL Server 的 SSL 在伺服器上提供（安裝）憑證 設定伺服器接受加密的連接 執行 [SQL Server 組態管理員]＼[SQL Server 2005 網路組態]＼[伺服器執行個體 的通訊協定]＼滑鼠右鍵＼[內容]。 在 [憑證]＼下拉式清單選取所需的憑證＼[確定]。 在 [旗標]＼[強制加密]＼選[是]＼[確定]。 重新啟動 SQL Server 服務。 設定用戶端要求加密的連接 將原始憑證或匯出的憑證檔複製到用戶端電腦。 在用戶端電腦上，使用 [憑證] 嵌入式管理單元安裝根憑證或匯出的憑證檔。 執行 [SQL Server 組態管理員]＼[SQL Native Client 組態]＼滑鼠右鍵＼[內容]。 在 [旗標]＼[強制通訊協定加密]＼選 [