计算机安全技术TOOLS教程课件6.4.1 实例：MS SQL Server 2005安全管理.docVIP

6.4.1 实例——MS SQL Server 2005安全管理 第1步：启动Microsoft SQL Server Management Studio，如图6-26所示，在【对象资源管理器】窗口中选择【ZTG2003】/【安全性】/【登录名】选项。在右侧窗口里双击“sa”，弹出【登录属性-sa】对话框，如图6-27所示。 图6-26 Microsoft SQL Server Management Studio 图6-27 【登录属性-sa】对话框 第2步：在图6-27中，选择【强制实施密码策略】复选框，对sa用户进行最强的保护，另外，密码的选择也要足够复杂。 第3步：在SQL Server 2005中有Windows身份认证和混合身份认证。如果不希望系统管理员登录数据库，可以把系统账号BUILTIN\Administrators删除或禁止，在图6-26中，右键单击BUILTIN\Administrators账号，选择【属性】，弹出【登录属性-BUILTIN\ Administrators】对话框，如图6-28所示，单击左侧窗口中的【状态】，在右侧窗口中，把【是否允许连接到数据库引擎】改为拒绝，【登录】改为禁用即可。 第4步：使用IPSec策略阻止所有访问本机的TCP1433，也可以对TCP1433端口进行修改，不过，在SQL Server 2005中，可以使用TCP动态端口，启动SQL Server Configuration Manager，如图6-29所示，右键单击TCP/IP，选择【属性】，弹出【TCP/IP属性】对话框，如图6-30所示。 在图6-30中，在【IPALL】属性框中的【TCP动态端口】右侧输入“0”。配置为监听动态端口，在启动时会检查操作系统中的可用端口并且从中选择一个。 如图6-31所示，可以指定SQL Server是否监听所有绑定到计算机网卡的IP地址。如果设置为【是】，则IPALL属性框的设置将应用于所有IP地址；如果设置为【否】，则使用每个IP地址各自的属性对话框对各个IP地址进行配置。默认值为【是】。 图6-28 【登录属性-BUILTIN\Administrators】对话框 图6-29 SQL Server Configuration Manager 图6-30 【TCP/IP属性】对话框 图6-31 监听设置 第5步：删除不必要的扩展存储过程（或存储过程）。 因为有些存储过程能够很容易地被入侵者利用来提升权限或进行破坏，所以需要将必要的存储过程或扩展存储过程删除。 xp_cmdshell是一个很危险的扩展存储过程，如果不需要xp_cmdshell，那么最好将它删除。删除的方法如图6-32所示。 图6-32 删除扩展存储过程 下面给出了可以考虑删除的扩展存储过程（或存储过程），仅供参考： xp_regaddmultistring、xp_regdeletekey、xp_regdetetevalue、xp_regenumkeys、xp_cmdshell、xp_dirtree、xp_fileexist、xp_getnetname、xp_terminate_process、xp_regenumvalues、xp_regread、xp_regwrite、xp_readwebtask、xp_makewebtask、xp_regremovemultistring。 OLE自动存储过程：sp_OACreate、sp_OADestroy、sp_OAGetErrorInfo、sp_OAGetProperty、sp_OAMethod sp_OASetProperty、sp_OAStop。 访问注册表的存储过程：xp_regaddmultistring、xp_regdeletekey、xp_regdeletevalue、xp_regenumvalues、xp_regread、xp_regremovemultistring、xp_regwrite。 sp_makewebtask、sp_add_job、sp_addtask、sp_addextendedproc等。 第6步：在图6-32中，右键单击ZTG2003（位于图的左上角），选择【属性】，弹出【服务器属性-ZTG2003】对话框，如图6-33所示。在图6-33中，单击左侧窗口中的【安全性】，在右侧窗口中，选择【登录审核】中的【失败和成功的登录】，选择【启用C2审核跟踪】复选框，C2是一个政府安全等级，它确保系统能够保护资源并且具有足够的审核能力。C2允许监视对所有数据库实体的所有访问企图。 图6-33 【服务器属性-ZTG2003】对话框