MSSQL数据库服务器安全设置个人经验分享

时间：2021-08-04 来源：互联网编辑：宝哥软件园浏览：次

类型：数据库班级规模：3.1M语言：英语成绩：6.6标签:立即下载。对于专用的MSSQL数据库服务器，如上所述设置TCP/IP过滤和IP策略，只对外开放端口1433和5631。对于MSSQL，需要为sa设置强密码，使用混合认证，加强数据库日志的记录，审核数据库登录事件的“成败”。删除一些不必要且危险的OLE自动存储过程(这会导致企业管理器中的某些功能不可用)。这些过程包括以下内容：sp _ oacreatesp _ oadestroysp _ oageterrorinfo sp _ oagetproperty

Sp _ OAMethod Sp _ OASetProperty Sp _ OAStop

删除不必要的注册表访问过程，包括：

Xp _ regaddmultiling Xp _ regdeletekey Xp _ regdeletevalue

Xp _ regen umvalues Xp _ regrad Xp _ regremovemulti string

Xp_regwrite

删除其他系统存储过程。如果你觉得有威胁，当然要仔细Drop这些程序，可以在测试机上进行测试，保证正常系统可以完成工作。这些程序包括：

XP _ cmdshell XP _ dirtree XP _ dropbwebtask sp _ addsrvrolemember

XP _ makewebtask XP _ runwebtask XP _ subdirs sp _ addlog in

sp _ addextendedproc

在实例属性中选择TCP/IP协议的属性。选择隐藏SQL Server实例以防止对端口1434的探测，并修改默认端口1433。删除数据库的来宾帐户，并将未经授权的用户拒之门外。例外情况是主数据库和tempdb数据库，它们是客户帐户所必需。此外，注意设置每个数据库用户的权限。对于这些用户，只有一些权限被授予他们的数据库。不要使用sa用户连接到程序中的任何数据库。网上有建议大家要用协议加密。不要这样做，否则你将不得不重新安装MSSQL。

入侵检测和数据备份

一、入侵检测工作

作为服务器的日常管理，入侵检测是一项非常重要的工作。在正常的检测过程中，主要包括服务器的日常安全检查和入侵时的入侵检查，即入侵时的安全检查和入侵前后的安全检查。系统的安全性遵循木桶原理，这意味着一个木桶是由许多木板组成的。如果这些木板的长度不同，木桶的最大容量就不取决于长木板，而取决于最短的木板。应用于安全时，也就是说系统的安全性取决于系统中最脆弱的地方，这些地方是日常安全检查的重点。

日常安全检查

日常安全检查主要针对系统的安全，工作主要按照以下步骤进行：

1.检查服务器状态：

打开进程管理器，检查服务器性能，观察CPU和内存使用情况。检查是否存在CPU、内存使用过度等异常情况。

2.检查当前流程

将任务管理器切换到该进程，并找出是否有任何可疑的应用程序或后台进程正在运行。使用流程管理器查看流程时，会有一个taskmgr，它是流程管理器本身的流程。如果windows Update正在运行，将会有一个wuauclt.exe进程。对于不确定的进程或服务器启动的进程，可以在网络上搜索进程的名称来确定。【流程知识库：如果http://www.dofile.com/,后门有流程，一般会取一个类似系统流程的名字，比如svch0st.exe。这个时候，你要仔细分辨一下。【通常混淆的手段是把字母O改成数字0，把字母L改成数字1】

3.检查系统帐户

打开计算机管理，展开本地用户和组选项，查看组选项，检查是否有新帐户添加到管理员组，并检查克隆帐户是否存在。

4.检查当前的端口打开情况

使用activeport检查当前的端口连接，特别注意与外界连接的端口，看是否有未经授权的端口与外界通信。如果是，则立即关闭端口，记录该端口对应的程序，并将程序转移到其他目录，以供以后分析。打开计算机管理软件环境的运行任务，检查当前运行的程序，如果有未知程序，记录程序的位置，打开任务管理器结束进程，尝试用守护进程结束后门等程序的进程树。如果仍然无法完成，请在注册表中搜索程序名称，删除相关键值，然后切换到安全模式将其删除。

5.检查系统服务

运行services.msc，检查已启动的服务，检查是否有新的未知服务，并确定服务的用途。对于不明确的服务，打开该服务的属性，检查该服务对应的可执行文件是什么。如果确定文件在系统中正常使用，可以大致放开。检查服务上是否还有其他正常开放的服务，如果有，大致放开。如果无法确定可执行文件是否是系统中的正常文件，并且服务上没有其他正常打开的服务，可以暂时停止服务，然后测试各种应用是否正常。对于一些后门，由于钩子系统API技术，在服务管理器中看不到添加的服务项。此时，需要打开注册表中的HKEY _ local _ MachineSystemCurrentControlSetServices项，通过查看每个服务的名称和对应的执行文件，找出是后门程序还是木马程序。

6.检查相关日志

运行eventvwr.msc粗略检查系统中的相关日志记录。查看时，右键单击相应的日志记录并选择属性，在过滤器中设置日志过滤器，仅选择错误和警告，并查看日志的来源和具体描述信息。如果在服务器的常见故障排除中能找到解决方法，则应按此方法处理问题；如果没有解决方案，则应记录问题，并详细记录事件来源、ID号和具体描述信息，以便找到问题的解决方案。

7.检查系统文件

主要检查系统盘的exe和dll文件。建议安装系统后，使用dir *。exe /s 1.txt保存c盘中所有exe文件的列表，然后每次使用这个命令生成当时的列表，将两个文件与fc进行比较，同样的方式对dll文件做相关的检查。需要注意的是，在打补丁或安装软件后，原始列表会重新生成一次。检查相关系统文件是否被替换或系统中是否安装了木马后门等恶意程序。如有必要，您可以运行防病毒程序来扫描一次系统磁盘。

8.检查安全策略是否已更改

打开本地连接的属性，检查是否在常规中只勾选了TCP/IP协议，打开TCP/IP协议设置，点击高级==选项，检查IP安全机制是否为设置的IP策略，检查TCP/IP过滤器允许的端口是否有变化。打开“管理工具”=“本地安全策略”，检查当前的IP安全策略是否有变化。

9.检查目录权限

重点检查系统目录和重要应用权限是否有变化。需要查看的目录是c:c:winnt；

c:winntsystem32；c:winntsystem32 inetsrv；c:winntsystem32 inetsrvdata；c:文件和

设置；然后检查serv-u安装目录，查看这些目录的权限是否已更改。检查system32下的一些重要文件是否更改了权限，包括cmd、net、ftp、tftp、cacls等文件。

10.检查启动项目

主要检查当前开机自启动程序。您可以使用AReporter来检查引导过程。

第二，发现入侵时的应对措施

对于立即发现的入侵事件，以下情况旨在处理已损坏的系统。如果系统尚未损坏或暂时无法检测到损坏，请按照上述检查步骤检查一次，然后酌情考虑以下措施。系统损坏后，应立即采取以下措施：

根据情况，决定是通过远程处理还是现场处理很重要。如果情况严重，建议采用野外处理。如采用现场处理，发现入侵立即通知机房关闭服务器，待处理人员到达机房后断开网线，再进入系统检查。如果采用远程处理，情况严重的话，第一时间停止所有应用服务，更改IP策略只允许远程管理端口连接然后重启服务器，重启后再远程连接进行处理。重新启动之前，请使用AReporter检查引导自启动程序。然后进行安全检查。

以下措施针对用户站点被入侵但不危及系统的情况。如果用户要求加强自己网站的安全性，可以通过以下方式加强用户网站的安全性：

网站根目录-仅给予管理员读取权限，该权限是继承的。

wwwroot-授予web用户读写权限。高级拥有删除子文件夹和文件的权限

日志文件-对系统的写权限。

数据库-给予网络用户读写权限。高级无权删除子文件夹和文件

如果需要进一步修改，可以根据用户站点的特点，对html、js、图片文件夹等常用文件存储目录只给予读权限，对asp等脚本文件给予上表中的权限。此外，还要查看用户站点对应的安全日志，找出漏洞产生的原因，协助用户修补漏洞。

数据备份和数据恢复

数据备份工作大致如下：

1.每月备份一次系统数据。

2.备份系统后每两周备份一次应用数据，主要包括IIS、server-u、数据库等数据。

3.确保备份数据的安全性，并将这些数据备份放在不同的类别中。由于基本采用完全备份的方式，因此在数据保留期内，只能保留本次备份和上次备份的两份数据。

数据恢复工作：