拒绝亡羊补牢!SQL Server服务器安全防护!
生活随笔
收集整理的這篇文章主要介紹了
拒绝亡羊补牢!SQL Server服务器安全防护!
小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.
??????? ?拒絕亡羊補牢!SQL Server服務(wù)器安全防護! 當今社會網(wǎng)絡(luò)日益普及,人們徹徹底底感受到了它的無所不能,可就在人們享受它所帶來便捷的同時,網(wǎng)絡(luò)病毒、***也接種而來,不斷有報道個人、企業(yè)、單位等等遭到病毒以及***的***襲擊后系統(tǒng)出現(xiàn)故障無法使用、數(shù)據(jù)被竊取、硬盤被格式化、客戶的機密資料被公開在網(wǎng)上傳播等等,看來網(wǎng)絡(luò)日益普及的今天,網(wǎng)絡(luò)安全也迫在眉睫!<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /> SQL Server服務(wù)器對IT界來說可謂家喻戶曉,尤其在中國,由于小中型企業(yè)占絕大多數(shù),而且他們首選的數(shù)據(jù)庫七、八成都是SQL Server 數(shù)據(jù)庫,可以看出SQL Server數(shù)據(jù)庫在中國應(yīng)用的普遍性,由此SQL Server數(shù)據(jù)庫的安全防護也顯的極為重要,一但數(shù)據(jù)庫服務(wù)器被******奪取管理權(quán)限后,他們便能肆意進行操作,竊取客戶資料、低格磁盤、變相勒索等等,由此造成的損失不是能用金錢就可以來衡量了。 既然知道了SQL Server服務(wù)器的重要性,何不先下手為強,及早的為SQL Server服務(wù)器筑起一道銅墻鐵壁,將到訪的惡意行為統(tǒng)統(tǒng)拒之門外! 下圖為SQL Server數(shù)據(jù)庫安全防范的典型架構(gòu),也是在此力推的防護架構(gòu): 從圖中可以看出,客戶端在訪問后臺數(shù)據(jù)庫時首先經(jīng)過外圍防火墻,過濾掉非法用戶訪問,然后通過Web服務(wù)器來訪問數(shù)據(jù)庫中屬于自己的數(shù)據(jù),假設(shè)這時第一道防火墻被***拿下,***想利用Web服務(wù)器滲入后臺服務(wù)器!是不是有點緊張了,不用擔心, Web服務(wù)器與后臺服務(wù)器之間還建有一層防火墻,而這層防火墻免去了客戶端訪問Web服務(wù)器時漏洞百出的協(xié)議,可以將限制在拉升一個級別,如果***的***有一定水準向這層防火墻在次發(fā)起***時,肯定需要一定時間,這段時間就是管理員進行手工防范的時候,理所當然就對管理員就有了新的要求,那么能力有限的管理員到了這步真的只能任由***擺布了嗎,那倒未必。 ?其實真真的防御還在最后,打個比方吧,某天一張藏寶圖落在了10個人手中,寶藏是箱金幣,拿到了可以夠幾輩子花,于是這10個人便踏上了尋寶的旅途,一路艱辛一路困阻,到最后只剩下一個人 到達了目的地,可找到它時卻發(fā)現(xiàn)寶箱上了一把怎么也打不開的鎖!這就是問題的關(guān)鍵了。 回過頭來看,假設(shè)第二層防火墻也被***癱瘓了,當***赤裸裸的面對后臺所有數(shù)據(jù)庫時,卻發(fā)現(xiàn)到了這一步怎么也進不去了,這就時最終的效果,也是本文所要論述的中心-----SQL Server配置。 SQL Server安全性可以被分為以下兩種: 1.載體安全性 2.配置安全性 什么是載體安全性?從字面就可以理解出,載體顧名思義就是裝載它的實體,我們知道數(shù)據(jù)庫的裝載平臺除了系統(tǒng)就沒有別的了,所以載體安全性就可以理解為系統(tǒng)安全性。 那么什么又是配置安全性?配置安全性可以理解為針對數(shù)據(jù)庫本身所作的安全配置措施。 一.??載體安全性 ??? 載體安全性細劃之后又可以分為: 1.系統(tǒng)安全性 2.物理安全性 3.網(wǎng)絡(luò)配置安全性 1.???? 系統(tǒng)安全性 ?? 在系統(tǒng)安全性的防范中主要有以下幾點: 1.及時更新補丁,不給系統(tǒng)留下任何補丁漏洞。 2.安裝防毒軟件 3.禁用用戶,刪除系統(tǒng)中的隱藏用戶,注意這里所說的隱藏用戶是圖形界面看不到的用戶,查看及刪除的辦法必須在注冊表中進行操作: ? 打開運行,輸入regedit ? 展開HKEY_Local_MACHINE ?
????出現(xiàn)的界面中展開Domains
展開SAM
右擊選擇權(quán)限
出現(xiàn)如下向?qū)?/span>
?? 勾選administrator完全控制權(quán)限,點擊確定結(jié)束操作
?
然后在出現(xiàn)的界面中按F5,展開SAM?????
如下圖,SAM前多了一個加號,展開SAM????出現(xiàn)的界面中展開Domains
展開Account,展開Users
展開Names,這時當前系統(tǒng)的所有用戶都出現(xiàn)在了列表中 假設(shè)要刪除__vmware用戶 如下圖,在__vmware__user用戶中右擊選擇刪除即可
4.組策略中,如禁用自動播放等等 2???? 物理安全性 ????? 物理安全性主要屬于行政方面的管理 ??? 1.不安置于公共場合 ? 2.禁止閑雜人員進入 3.???? 網(wǎng)路配置安全性 ???? ??網(wǎng)絡(luò)配置安全性可以分為以下幾點 1.禁用不需要的服務(wù)(如:FTP、telnet) 2.SQL服務(wù)器與其它服務(wù)器獨立安裝,避免由其它服務(wù)器中的漏洞被利用從而***到SQL 服務(wù)器 3.配合防火墻做相應(yīng)配置,根據(jù)防火墻策略的要求做出相應(yīng)調(diào)整 二.配置安全性 配置安全性可以理解為針對數(shù)據(jù)庫本身所作的安全配置措施,首先來了解下用戶對SQL Server的訪問方式以及驗證方式由哪些 ①用戶的訪問控制 ? 1.訪問方式: ??? 1.windows登錄 ?????? 用Windows帳戶登錄 ???? 2.SQL_Server登錄 ???????用SQL_Server帳戶SA登錄 ???? 2.驗證方式: ????????1.windows驗證 ????? Windows驗證的這種驗證方式相對來說安全性較高,但當前工作環(huán)境如果是域或工作組的話,利用windows驗證會很麻煩,需要手工逐個去添加 ?????? ?2.SQL Server驗證 ?????????? ?相反SQL Server驗證的這種驗證方式會變的很靈活,它不論在域或是工作組只需要一個SA帳戶就行,不過理所當然它的安全性會變低,由于SQL Server不能更改sa用戶名稱,也不能刪除這個超級用戶,所以,我們必須對這個帳號進行最強的保護,使用一個極為復(fù)雜的密碼是首選,并且最好不在數(shù)據(jù)庫中使用sa這個帳戶,除非在沒有其它方法登錄到 SQL Server 實例時在使用sa賬戶。 數(shù)據(jù)庫管理員應(yīng)建立一個與sa有著一樣權(quán)限的超級用戶賬戶來管理數(shù)據(jù)庫。 ??? ②?數(shù)據(jù)存貯安全 ?????? 1.???? 備份 ?? 俗話說留得青山在不怕沒柴燒,每天對數(shù)據(jù)庫進行備份是一個不錯的習慣,假如SQL服務(wù)器因為物理故障損壞造成數(shù)據(jù)丟失,因為之前有了備份就不用太擔心了。 下面來介紹幾種用命令行來進行備份的常見備份方式,在備份之前需要提前配置好備份設(shè)備,也就是備份存放的目錄路徑
?
如圖,展開SQL服務(wù)器 展開管理 右擊備份選項,選擇新建備份設(shè)備 輸入備份名稱,在隨后的備份操作中直接調(diào)用備份名稱就可以 指定備份路徑 點擊確定即完成備份目錄新建 下面是用命令行進行備份的幾種常見方法方法 ???? ?1.???? 完全備份 ????? Backup database 數(shù)據(jù)庫名 to 備份設(shè)備 ???2.???? 差異備份 ????? Backup database 數(shù)據(jù)庫名 to 備份設(shè)備 with diff erential ?????? 3.???? 事務(wù)日志備份 ????? Backup log 數(shù)據(jù)庫名 to 備份設(shè)備 二.還原 備份雖然有了,但還得會還原才行,常見的還原方式有 1.???? 完全恢復(fù)還原 ??? 功能強,完全恢復(fù) 2.???? 大容量日志恢復(fù)還原 ??? 功能中,大容量操作步記錄,例如select into 及bulk insert操作的記錄 3.???? 簡單模式還原 功能弱,不記錄日志 知道了還原模式通常有哪些,我們就可以用命令來查看當前數(shù)據(jù)庫的還原模式 select databaseproperty ('數(shù)據(jù)庫名','recovery') 當然用命令還可以手工更改當前數(shù)據(jù)庫的還原模式 alter database 數(shù)據(jù)庫名 set recovery simple(簡單模式)、full(完全恢復(fù))、bulk_logged(大容量模式) 三.傳輸?shù)陌踩?/span> 傳輸安全性可以理解為SSL的加密連接,就是對傳輸數(shù)據(jù)進行加密,下圖為大家演示。 首先需要用到的就是CA證書服務(wù),掛入系統(tǒng)ISO,WIN+R打開運行窗口,輸入sysocmgr /i:sysoc.inf打開windows添加刪除組件向選中其中的CA證書服務(wù),注:CA證書服務(wù)需要IIS的支持,請在安裝前完成IIS安裝 ?點擊下一步繼續(xù)安裝 出現(xiàn)CA類型選擇向?qū)?#xff0c;默認獨立根CA,點擊下一步繼續(xù) 輸入CA公用名稱,這里測試用輸入SQL_Test點擊下一步繼續(xù)采用默認安裝路徑,點擊下一步完成安裝
安裝完畢后,在瀏覽器中輸入[url]http://itet-06/certsrv[/url],打開CA證書申請界面,其中itet-06為CA服務(wù)器的計算機名,如下圖 選擇申請一個證書 選擇高級證書申請 選擇創(chuàng)建并向CA提交一個申請 在姓名選項中輸入當前計算機名,這點很重要,其他選項實驗環(huán)境下可以不填 然后在證書類型中選擇服務(wù)器身份驗證證書 ? 在密鑰選項中的CSP中制定如下圖選項,并選擇將證書保存在本地計算機存儲中,確認無誤后點擊提交 接下來打開證書頒發(fā)機構(gòu) 展開定義的SQL_test,選中掛起的申請 在右側(cè)的掛起證書中右擊選擇所有任務(wù)-頒發(fā) 然后在回到證書頒發(fā)界面,選擇查看掛起的證書申請的狀態(tài) 點擊安裝掛起的此證書 選擇安裝此證書 提示安裝完成,同理在需要進行加密連接的SQL_Server服務(wù)器,重復(fù)此操作 安裝完成后,打開SQL的服務(wù)器網(wǎng)絡(luò)實用工具 勾選強制協(xié)議加密,即可完成SSL加密連接,然后每次啟動SQL后都將自動進行加密連接,如果選擇加密連接后,SQL服務(wù)出現(xiàn)無法啟動的情況,則說明在CA證書上有問題存在,請仔細參照本文的證書演示進行配置。 至此,本文論述的SQL Server上的安全配置到此均完成轉(zhuǎn)載于:https://blog.51cto.com/zhangzhengtao/84011
《新程序員》:云原生和全面數(shù)字化實踐50位技術(shù)專家共同創(chuàng)作,文字、視頻、音頻交互閱讀總結(jié)
以上是生活随笔為你收集整理的拒绝亡羊补牢!SQL Server服务器安全防护!的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Alex学Ruby[详解 block和P
- 下一篇: SQL 2005单用户启动实例