首页 » 应用安全 » 数据库 » MSSQL Server » 正文

Mssql server 常见加固

1,帐号审计

首先删除不需要的用户,不同的业务分配不同的帐号,sa账户不要在业务中使用。

增加帐号登陆审计:打开数据库属性,选择安全性,将安全性中的审计级别调整为”全部”,身份验证调整为”SQL Server”和”Windows”。

SQL SERVER企业管理器 -> 安全性 -> 登陆中删除无关帐号;
SQL SERVER企业管理器 -> 数据库 -> 对应数据库 -> 用户中删除无关帐号;

2,口令处理

查询口令为空的用户:

Select name,Password from syslogins where password is null order by name

为用户设置足够复杂的密码

exec sp_password ‘旧口令’,’新口令’,用户名

3,清理不使用的存储过程

黑客经常利用sql server的存储过程执行命令,进而提权获取服务器权限。

注意:根据业务需求选择性的删除下面这些存储过程。

sp_dropextendedproc 'xp_cmdshell'
sp_dropextendedproc 'Sp_OACreate' 
sp_dropextendedproc 'Sp_OADestroy' 
sp_dropextendedproc 'Sp_OAGetErrorInfo' 
sp_dropextendedproc 'Sp_OAGetProperty'
sp_dropextendedproc 'Sp_OAMethod' 
sp_dropextendedproc 'Sp_OASetProperty' 
sp_dropextendedproc 'Sp_OAStop' 
sp_dropextendedproc 'Xp_regaddmultistring' 
sp_dropextendedproc 'Xp_regdeletekey' 
sp_dropextendedproc 'Xp_regdeletevalue' 
sp_dropextendedproc 'Xp_regenumvalues' 
sp_dropextendedproc 'Xp_regremovemultistring' 
sp_dropextendedproc 'xp_sdidebug' 
sp_dropextendedproc 'xp_availablemedia' 
sp_dropextendedproc 'xp_cmdshell' 
sp_dropextendedproc 'xp_deletemail' 
sp_dropextendedproc 'xp_dirtree' 
sp_dropextendedproc 'xp_dropwebtask' 
sp_dropextendedproc 'xp_dsninfo' 
sp_dropextendedproc 'xp_enumdsn' 
sp_dropextendedproc 'xp_enumerrorlogs' 
sp_dropextendedproc 'xp_enumgroups' 
sp_dropextendedproc 'xp_enumqueuedtasks' 
sp_dropextendedproc 'xp_eventlog' 
sp_dropextendedproc 'xp_findnextmsg' 
sp_dropextendedproc 'xp_fixeddrives' 
sp_dropextendedproc 'xp_getfiledetails' 
sp_dropextendedproc 'xp_getnetname' 
sp_dropextendedproc 'xp_grantlogin' 
sp_dropextendedproc 'xp_logevent' 
sp_dropextendedproc 'xp_loginconfig' 
sp_dropextendedproc 'xp_logininfo' 
sp_dropextendedproc 'xp_makewebtask' 
sp_dropextendedproc 'xp_msver xp_perfend' 
sp_dropextendedproc 'xp_perfmonitor' 
sp_dropextendedproc 'xp_perfsample' 
sp_dropextendedproc 'xp_perfstart' 
sp_dropextendedproc 'xp_readerrorlog' 
sp_dropextendedproc 'xp_readmail' 
sp_dropextendedproc 'xp_revokelogin' 
sp_dropextendedproc 'xp_runwebtask' 
sp_dropextendedproc 'xp_schedulersignal' 
sp_dropextendedproc 'xp_sendmail' 
sp_dropextendedproc 'xp_servicecontrol' 
sp_dropextendedproc 'xp_snmp_getstate' 
sp_dropextendedproc 'xp_snmp_raisetrap' 
sp_dropextendedproc 'xp_sprintf' 
sp_dropextendedproc 'xp_sqlinventory' 
sp_dropextendedproc 'xp_sqlregister' 
sp_dropextendedproc 'xp_sqltrace' 
sp_dropextendedproc 'xp_sscanf' 
sp_dropextendedproc 'xp_startmail' 
sp_dropextendedproc 'xp_stopmail' 
sp_dropextendedproc 'xp_subdirs' 
sp_dropextendedproc 'xp_unc_to_drive' 
sp_dropextendedproc 'xp_dirtree'

4,删除经常被用来执行命令的dll文件

sql server目录下搜索xplog70.dll文件,备份该该文件后删除.


5,监听服务限制

配合iptables限制固定IP访问。

iptables -A INPUT -s x.x.x.x -p tcp --dport 1433 -j ACCEPT 

发表评论