windows下mssql常用安全配置方式

js54520062

在windows下的mssql數(shù)據(jù)庫是ASP，net和很多程序常用的數(shù)據(jù)庫存儲(chǔ)方式。天信網(wǎng)絡(luò)數(shù)據(jù)中心（簡(jiǎn)稱天

信網(wǎng)絡(luò)）但由于mssql本身的問題和配置不當(dāng)，經(jīng)常會(huì)因?yàn)閙ssql導(dǎo)致服務(wù)器被惡意入侵，在此，本文以

sql2000為例介于預(yù)防的目的講一下mssql的安全配置。

第一步 軟件安裝
mssql安裝時(shí)建議不要選擇安裝在程序配置的默認(rèn)目錄C盤下，一般將路徑改至其他盤符。
安裝時(shí)選擇的安全模式應(yīng)為sql和windows混合安全模式
sa密碼強(qiáng)度盡量設(shè)置高，密碼長度建議不要低于12位
默認(rèn)啟動(dòng)組選擇系統(tǒng)

第二步 修改啟動(dòng)用戶
在windows用戶管理中新建一個(gè)不存在于任何一個(gè)組權(quán)限的獨(dú)立用戶，作為sql的啟動(dòng)用戶，密碼強(qiáng)度不

要低于12位并與sa密碼不同。
給sql的安裝目錄和數(shù)據(jù)存儲(chǔ)目錄該用戶的完全控制權(quán)限，給安裝目錄和數(shù)據(jù)存儲(chǔ)目錄所在的盤符該用戶

的讀取權(quán)限（非繼承權(quán)限）。
開始-程序-microsoft sql server -企業(yè)管理器
選擇mssql注冊(cè) 本地?cái)?shù)據(jù)庫 反鍵-屬性
安全性 登陸  將用戶更改為上面設(shè)置的sql用戶并確認(rèn)密碼
此時(shí)sqlserver會(huì)自動(dòng)重啟 如果出現(xiàn)無法啟動(dòng)請(qǐng)檢查安裝目錄所采盤符的根目錄權(quán)限

第三步 刪除危險(xiǎn)SP及存儲(chǔ)過程
在企業(yè)管理器內(nèi)選擇查詢分析器并在其中輸入以下內(nèi)容并執(zhí)行
use master
exec sp_dropextendedproc ’xp_cmdshell’
exec sp_dropextendedproc ’xp_enumgroups’
exec sp_dropextendedproc ’xp_loginconfig’
exec sp_dropextendedproc ’xp_enumerrorlogs’
exec sp_dropextendedproc ’xp_getfiledetails’
exec sp_dropextendedproc ’Sp_OACreate’
exec sp_dropextendedproc ’Sp_OADestroy’
exec sp_dropextendedproc ’Sp_OAGetErrorInfo’
exec sp_dropextendedproc ’Sp_OAGetProperty’
exec sp_dropextendedproc ’Sp_OAMethod’
exec sp_dropextendedproc ’Sp_OASetProperty’
exec sp_dropextendedproc ’Sp_OAStop’
exec sp_dropextendedproc ’xp_regaddmultistring’
exec sp_dropextendedproc ’xp_regdeletekey’
exec sp_dropextendedproc ’xp_regdeletevalue’
exec sp_dropextendedproc ’xp_regenumvalues’
exec sp_dropextendedproc ’xp_regremovemultistring’
exec sp_dropextendedproc ’xp_regwrite’
drop procedure sp_makewebtask
go


第四步 禁用sql端口的外部訪問（可選）
如果數(shù)據(jù)庫只有本地訪問不存在外部訪問的話。
可以利用我們之前降到的windows策略功能禁用1433的端口外部訪問或者修改sql配置變更外部訪問端口.