要资料 文章 文库 视频 Code iProcess 课程 角色 咨询 工具 火云堂 讲座吧   成长之路  
会员   
 
  
每天15篇文章
不仅获得谋生技能
更可以追随信仰
 
 
     
   
分享到
sql2000数据库安全设置
 

发布于2013-5-31

 

--简单的,只允许sql的用户访问sql(防止利用administrator组用户访问)

1.企业管理器--右键SQL实例--属性--安全性--身份验证--选择"sql server和windows"--确定

2.企业管理器--安全性--登陆--右键sa--设置密码--其他用户也设置密码

3.删除用户:

BUILTIN/Administrators

<机器名>/Administrator --这个用户不一定有

这样可以防止用windows身份登陆SQL

4.设置进入企业管理器需要输入密码

在企业管理器中

--右键你的服务器实例(就是那个有绿色图标的)

--编辑SQL Server注册属性

--选择"使用 SQL Server 身份验证"

--并勾选"总是提示输入登录名和密码"

--确定

--经过上面的设置,你的SQL Server基本上算是安全了.

其次,改默认端口,隐藏服务器,减少被攻击的可能性

SQL Server服务器

--开始

--程序

--Microsoft SQL Server

--服务器网络实用工具

--启用的协议中"TCP/IP"

--属性

--默认端口,输入一个自已定义的端口,比如2433

--勾选隐藏服务器

--切换到你新增的用户要控制的数据库:use 你的库名 >> go

--新增用户

exec sp_addlogin 'test' --添加登录 
exec sp_grantdbaccess N'test' --使其成为当前数据库的合法用户
exec sp_addrolemember N'db_owner', N'test' --授予对自己数据库的所有权限

--这样创建的用户就只能访问自己的数据库,及数据库中包含了guest用户的公共表 go

--删除测试用户

exec sp_revokedbaccess N'test' --移除对数据库的访问权限 
exec sp_droplogin N'test' --删除登录

最后一步,为具体的用户设置具体的访问权

这个可以参考下面的最简示例:

--添加 --添加用户:

exec sp_addlogin '用户名','密码','默认数据库名'

--添加到数据库

exec sp_grantdbaccess '用户名','数据库名'

--分本权限

grant insert,select,update,delete on table1 to public

 /*SQL安全性*/
  
  /*通过企业管理器设置安全性*/
  
  /*注意!部分版本的SQL默认为只允许windows用户登陆,sa的登陆将无效,
  解决方法是在企业管理器右击左边控制台目录的服务器图标,选属性/安全性选项卡,
  将“仅windows”单选钮改选为“SQL server和windows”即可
  */

1、控制台/服务器目录/安全性/登录,右击/新建登录

----1)名称下输入登录用户名,身份验证下选择“sql身份验证”,输入密码

---- 选择该用户登陆默认数据库及语言

-----2)单击服务器角色,选择该登录在服务器上的权限,各权限意义如下:

------a)system adminstrators 可执行 SQL Server 安装中的任何操作。

------b)security adminstrators 可管理服务器的登录。

------c)server adminstrators 可配置服务器范围的设置

------d)setup adminstrators 可以管理扩展的存储过程

------e)process adminstrators 可以管理运行在 SQL Server 中的进程

------f)disk adminstrators 可以管理磁盘文件

------g)database creators 可以创建和更改数据库

------h)bulk insert adminstrators 可以执行大容量插入操作

----可点击属性查看权限的相关信息

----3)单击数据库访问选项卡,选择该登录可访问的数据库及数据库角色

----数据库角色:

------a)public

------public 角色

------public 角色是一个特殊的数据库角色,每个数据库用户都属于它。public 角色:

------捕获数据库中用户的所有默认权限。

------无法将用户、组或角色指派给它,因为默认情况下它们即属于该角色。

------含在每个数据库中,包括 master、msdb、tempdb、model 和所有用户数据库。

------无法除去

------b)db_owner

------进行所有数据库角色的活动,以及数据库中的其它维护和配置活动

------该角色的权限跨越所有其它固定数据库角色。

------c)db_accessadmin

------在数据库中添加或删除 Windows NT 4.0 或 Windows 2000 组和用户以及 SQL Server 用户。

------d)db_datareader

------查看来自数据库中所有用户表的全部数据。

------e)db_datawriter

------添加、更改或删除来自数据库中所有用户表的数据

------f)db_ddladmin

------添加、修改或除去数据库中的对象(运行所有 DDL)

------g)db_securityadmin

------管理 SQL Server 2000 数据库角色的角色和成员,并管理数据库中的语句和对象权限

------h)db_backupoperator

------有备份数据库的权限

------i)db_denydatareader

------拒绝选择数据库数据的权限

------j)db_denydatawriter

------拒绝更改数据库数据的权限

2、数据库/用户/新建用户

--通过用户名与登录名进行关联

--如果已经将数据库角色设置好,将自动关联与登录名相同的用户名

--若修改用户名应先将该用户删除再进行关联

--若无关联,该登录用户名将会显示dbo

--若该登录的服务器角色为system adminstrators,则user将恒为dbo

--用户与登录为1对1的关联关系

/*通过查询分析器管理安全性*/

/*新建登录*/

exec sp_addlogin 'lecky','123','sales'

--参数1登录名参数2密码参数3默认数据库

/*承担服务器角色*/

sp_addsrvrolemember 'lecky','sysadmin'

--参数1登录名,参数2为固定服务器角色

--注意:此处与企业管理器的服务器角色名称不同,为简写,如下:

----sysadmin在 SQL Server 中进行任何活动。该角色的权限跨越所有其它固定服务器角色。

----serveradmin 配置服务器范围的设置。

----setupadmin 添加和删除链接服务器,并执行某些系统存储过程(如 sp_serveroption)。

----securityadmin 管理服务器登录。

----processadmin 管理在 SQL Server 实例中运行的进程。

----dbcreator 创建和改变数据库。 ----diskadmin 管理磁盘文件。

----bulkadmin 执行 BULK INSERT 语句。

/*将已经创建的登录映射为数据库用户,并授予数据库角色*/

exec sp_adduser 'lecky','lecky','public'

--参数1登录名,参数2用户名,参数3数据库角色

目前SQL INJECTION的攻击测试愈演愈烈,很多大型的网站和论坛都相继被注入。这些网站一般使用的多为sql server数据库,正因为如此,很多人开始怀疑SQL SERVER的安全性。

其实SQL SERVER 2000已经通过了美国政府的C2级安全认证-这是该行业所能拥有的最高认证级别,所以使用SQL SERVER还是相当的安全的。当然和ORCAL、DB2等还是有差距,但是SQL SERVER的易用性和广泛性还是能成为我们继续使用下去的理由。那怎么样才能使SQL SERVER的设置让人使用的放心呢?

第一步 肯定是打上sql server最新的安全补丁.如果这一步都没有做好,那我们也没有继续下去的必要了。

第二步 是修改默认的1433端口,并且将sql server隐藏。这样能禁止对试图枚举网络上现有的 SQL Server 客户端所发出的广播作出响应。另外,还需要在TCP/IP筛选中将1433端口屏蔽掉,尽可能的隐藏你的SQL SERVER数据库。这样子一但让攻击创建了SQL SERVER的账号,也不能马上使用查询分析器远程登陆来进行下一步的攻击。单从ASP,PHP等页面构造恶意语句的话,还有需要查看返回值的问题,总比不上直接查询分析器来得利落。所以我们首先要做到即使让别人注入了,也不能让攻击者下一步做得顺当。修改方法:企业管理器 --> 你的数据库组 --> 属性 --> 常规 --> 网络配置 --> TCP/IP --> 属性,在这儿将你的默认端口进行修改,和SQL SERVER的隐藏。

第三步 是很重要的一步,SQL INJECTION往往在WEB CODE中产生。而做为系统管理员或者数据库管理员,总不能常常的去看每一段代码。即使常常看代码,也不能保证我们在上面的疏忽。那怎么办?我们就要从数据库角色着手,让数据库用户的权限划分到最低点。sql server的默认权限让人真的很头疼,权限大得非常的高,权限小的又什么都做不了,SYSADMIN和db_owner真是让人又爱又恨。攻击者一但确认了网站存在SQL INJECTION漏洞,肯定有一步操作步骤就是测试网站的SQL SERVER使用者具有多大的权限。一般都会借助SELECT IS_SRVROLEMEMBER('sysadmin'),或者SELECT IS_MEMBER('db_owner'),再或者用user = 0(让字符和数字进行比较,SQL SERVER就会提示了错误信息,从该信息中即可知道一些敏感信息)等语句进行测试。方法还有,我也不敢多说了。其一怕错,其二怕联盟中的人扁。在当前,如果网站的数据库使用者用的是SA权限,再加上确认了WEB所处在的绝对路径,那么就宣告了你的网站的OVER。db_owner权限也一样,如果确认了绝对路径,那么有50%的机会能给你的机器中上WEB 方式的木马,如海阳等。所以这儿我们确认了一点,我们必须要创建自已的权限,让攻击者找不着下嘴的地方。在这儿引用一个SQL SERVER联机帮助中的例子:

创建 sql server 数据库角色的方法(企业管理器)

创建 sql server 数据库角色

1. 展开服务器组,然后展开服务器。

2. 展开"数据库"文件夹,然后展开要在其中创建角色的数据库。

3. 右击"角色",然后单击"新建数据库角色"命令。

4. 在"名称"框中输入新角色的名称。

5. 单击"添加"将成员添加到"标准角色"列表中,然后单击要添加的一个或多个用户。(可选)只有选定数据库中的用户才能被添加到角色中。

对象权限

处理数据或执行过程时需要称为对象权限的权限类别:

· SELECT、INSERT、UPDATE 和 DELETE 语句权限,它们可以应用到整个表或视图中。

· SELECT 和 UPDATE 语句权限,它们可以有选择性地应用到表或视图中的单个列上。

· SELECT 权限,它们可以应用到用户定义函数。

· INSERT 和 DELETE 语句权限,它们会影响整行,因此只可以应用到表或视图中,而不能应用到单个列上。

· EXECUTE 语句权限,它们可以影响存储过程和函数。

语句权限

创建数据库或数据库中的项(如表或存储过程)所涉及的活动要求另一类称为语句权限的权限。例如,如果用户必须能够在数据库中创建表,则应该向该用户授予 CREATE TABLE 语句权限。语句权限(如 CREATE DATABASE)适用于语句自身,而不适用于数据库中定义的特定对象。

语句权限有:

· BACKUP DATABASE

· BACKUP LOG

· CREATE DATABASE

· CREATE DEFAULT

· CREATE FUNCTION

· CREATE PROCEDURE

· CREATE RULE

· CREATE TABLE

· CREATE VIEW

暗示性权限

暗示性权限控制那些只能由预定义系统角色的成员或数据库对象所有者执行的活动。例如,sysadmin 固定服务器角色成员自动继承在 sql server 安装中进行操作或查看的全部权限。

数据库对象所有者还有暗示性权限,可以对所拥有的对象执行一切活动。例如,拥有表的用户可以查看、添加或删除数据,

改表定义,或控制允许其他用户对表进行操作的权限。

db_owner 在数据库中有全部权限。

db_Accessadmin 可以添加或删除用户 ID。

db_securityadmin 可以管理全部权限、对象所有权、角色和角色成员资格。

db_ddladmin 可以发出 ALL DDL,但不能发出 GRANT、REVOKE 或 DENY 语句。

db_backupoperator 可以发出 DBCC、CHECKPOINT 和 BACKUP 语句。

db_datareader 可以选择数据库内任何用户表中的所有数据。

db_datawriter 可以更改数据库内任何用户表中的所有数据。

db_denydatareader 不能选择数据库内任何用户表中的任何数据。

db_denydatawriter 不能更改数据库内任何用户表中的任何数据。

在 这儿把新建的数据库角色的权限配置好,比如需要使用哪个表、视图、存储过程等。然后把Db_owner和db_securityadmin、 db_backupoperator取消,不给攻击者BACKUP DATABASE和CREATE TABLE的机会,一但攻击者具有这两个权限,那么你的网站就还

在十分危险的状态。还有注意一下,在创建数据库账号时,千万不能对服务器角色进行选择。

第四步 是修改sql server内置存储过程。SQL SERVER估计是为了安装或者其它方面,它内置了一批危险的存储过程。能读到注册表信息,能写入注册表信息,能读磁盘共享信息等等......各位看到这儿,心里可能会在想,我的网站中有其它的代码,又不像查询分析器那样能查接将结果输出。给你这个权限,又不能怎么样,还是看不到信息。如果各位这样想就大错特错了。提示一下,如果攻击者有CREATE TABLE的权限,那么创建一个临时表,然后将信息INSERT到表中,然SELECT出来,接着跟数字进行比较,让SQL SERVER报错,那么结果就全出来了......所以我们要报着宁错杀,不放过的态度进行修补

先来列出危险的内置存储过程:

xp_cmdshell
  xp_regaddmultistring
  xp_regdeletekey
  xp_regdeletevalue
  xp_regenumkeys
  xp_regenumvalues
  xp_regread
  xp_regremovemultistring
  xp_regwrite
  ActiveX自动脚本:
  sp_OACreate
  sp_OADestroy
  sp_OAMethod
  sp_OAGetProperty
  sp_OASetProperty
  sp_OAGetErrorInfo
  sp_OAStop

将有安全问题的SQL过程删除.比较全面.一切为了安全!

删除有安全隐患的扩展:

 exec sp_dropextendedproc 'xp_cmdshell' [删除此项扩展后,将无法远程连接数据库]
  exec sp_dropextendedproc 'xp_dirtree' [删除此项扩展后,将无法新建或附加数据库]
  exec sp_dropextendedproc 'xp_enumgroups'
  exec sp_dropextendedproc 'xp_fixeddrives'
  exec sp_dropextendedproc 'xp_loginconfig'
  exec sp_dropextendedproc 'xp_regaddmultistring'
  exec sp_dropextendedproc 'xp_regdeletekey'
  exec sp_dropextendedproc 'xp_regdeletevalue'
  exec sp_dropextendedproc 'xp_regread'
  exec sp_dropextendedproc 'xp_regremovemultistring'
  exec sp_dropextendedproc 'xp_regwrite'
  exec sp_dropextendedproc 'xp_enumerrorlogs'
  exec sp_dropextendedproc 'xp_getfiledetails'
  exec sp_dropextendedproc 'xp_regenumvalues'

恢复扩展

exec sp_addextendedproc 'xp_cmdshell', 'xplog70.dll'
  exec sp_addextendedproc 'xp_dirtree', 'xpstar.dll'
  exec sp_addextendedproc 'xp_enumgroups', 'xplog70.dll'
  exec sp_addextendedproc 'xp_fixeddrives', 'xpstar.dll'
  exec sp_addextendedproc 'xp_loginconfig', 'xplog70.dll'
  exec sp_addextendedproc 'xp_regaddmultistring', 'xpstar.dll'
  exec sp_addextendedproc 'xp_regdeletekey', 'xpstar.dll'
  exec sp_addextendedproc 'xp_regdeletevalue', 'xpstar.dll'
  exec sp_addextendedproc 'xp_regread', 'xpstar.dll'
  exec sp_addextendedproc 'xp_regremovemultistring', 'xpstar.dll'
  exec sp_addextendedproc 'xp_regwrite', 'xpstar.dll'
  exec sp_addextendedproc 'xp_enumerrorlogs', 'xpstar.dll'
  exec sp_addextendedproc 'xp_getfiledetails', 'xpstar.dll'
  exec sp_addextendedproc 'xp_regenumvalues', 'xpstar.dll'

全部复制到"SQL查询分析器"

点击菜单上的--"查询"--"执行",就会将有安全问题的SQL过程删除(以上是7i24的正版用户的技术支持)

更改默认SA空密码.数据库链接不要使用SA帐户.单数据库单独设使用帐户.只给public和db_owner权限.

数据库不要放在默认的位置.

SQL不要安装在PROGRAM FILE目录下面.

以 上各项全在我们封杀之列,例如xp_cmdshell屏蔽的方法为:sp_dropextendedproc 'xp_cmdshell',如果需要的话,再用sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'进行恢复。如果你不知道xp_cmdshell使用的是哪个.dll文件的话,可以使用 sp_helpextendedproc xp_cmdshell来查看xp_cmdshell使用的是哪个动态联接库。另外,将xp_cmdshell屏蔽后,我们还需要做的步骤是将 xpsql70.dll文件进行改名,以防止获得SA的攻击者将它进行恢复。


 
分享到
 
 


iOS应用安全开发
Web安全之SQL注入攻击
APP安全在渗透测试中的应用
初探PHP的SQL注入攻击的技术
从Google备份看“数据安全”
更多...   


WEB网站与应用安全原理与实践
web应用安全架构设计
创建安全的J2EE Web应用代码
注册信息安全专业人员(CISP)
信息安全管理
信息安全问题与防范


中国银行 信息安全技术及深度防御
Web应用安全架构、入侵检测与防护
某财税领域知名IT服务商 Web安全测试
普瑞克斯 web安全设计、测试与优化
北京和利时 性能和安全性测试
SUN中国工程研究院 JSF框架、安全
更多...   
 
 
 
 
 
每天2个文档/视频
扫描微信二维码订阅
订阅技术月刊
获得每月300个技术资源
 
 

关于我们 | 联系我们 | 京ICP备10020922号 京公海网安备110108001071号