建立安全的MSSQL SERVER启动账号

2016-01-29 16:43 4 1 收藏

建立安全的MSSQL SERVER启动账号,建立安全的MSSQL SERVER启动账号

【 tulaoshi.com - SQLServer 】

 SQL SERVER的安全问题一直是困扰DBA的一个难题,作为开发者和用户希望自己的权限越大越好,最好是SA,而作为DBA希望所有的用户权限越小越好,这总是一对矛盾。一般来说,我们会考虑采用WINDOWS验证模式,建立安全的用户权限,改变SQL SERVER TCP/IP的默认端口...等安全措施,但很多DBA还是忽略了MSSQL SERVER服务的启动账号,这也是一个非常值得重点关注的问题。特别是MSSQL SERVER提供了许多操作系统和注册表扩展存储过程,比如:xp_cmdshell, xp_regdeletekey, xp_regdeletevalue 等等。 
 
     我们先来回顾一下MSSQL SERVER执行这些扩展存储过程的步骤。MS SQL SERVER提供的扩展存储过程使你可以向T-SQL一样调用一些动态链接库的内部函数逻辑,而且这些扩展存储过程可以包括WIN32和COM的大多数功能。
当关系数据库引擎确定 Transact-SQL 语句引用扩展存储过程时: 
关系数据库引擎将扩展存储过程请求传递到开放式数据服务层。 
然后开放式数据服务将包含扩展存储过程函数的 DLL 装载到 SQL Server 2000 地址空间(如果还没有装载)。 
开放式数据服务将请求传递到扩展存储过程。 
开放式数据服务将操作结果传递到数据库引擎。 
从上图中我们可以清楚的看到SQL Server 2000的数据库引擎通过扩展存储过程和Windows Resources进行交互。而扩展存储过程可以完成处理操作系统任务的关键是要有一个自己的身份SID,这个SID就来自MSSQL SERVER服务启动账号。所以如果这个MSSQL SERVER服务启动账号是administrators组的用户,我们就可以通过这些扩展存储过程做任意想做的事情:删除系统信息,破坏注册表等等。如果我们限制MSSQL SERVER服务启动账号的权限,这样即使“黑客”或怀有恶意的开发人员获得数据库的管理员权限,也不会对操作系统造成很大的影响。只要有数据库的备份我们可以非常方便的恢复数据库,而不要重新安装系统。所以为了更安全的保护我们的系统,我们希望MSSQL SERVER服务启动账号的权限越低越好。
作为系统的一个服务,启动MSSQL SERVER 2000服务的用户账号也需要一些必要的权限,下面我们就通过一个具体的实例来解释这些权限(本实例只针对成员服务器,如果是DC和启动了活动目录Active Directory还需要其它的配置):
1.  通过本地用户管理,建立一个本地用户sqlserver,密码:123456;
2.  如果现在就我们打开SERVICES配置通过该用户启动,系统会报错误:
Source:Service Control Manager
Event ID:7000
Description:
The %service% service failed to start due to the following error:
The service did not start due to a logon failure.
No Data will be available.
这是因为作为一个普通用户是无法启动服务的,我们需要给sqlserver用户分配必要的权限。
SQL Server服务启动账号必须有3个基本权限:
l         数据库本地目录的读写权限;
l         启动本地服务的权限;
l         读取注册表的权限;
 
3.  赋予sqlserver用户MSSQL目录的读写权限;
因为我的SQL SERVER是安装在D盘,所以我在权限管理中,将D:PROGRMAM FILEMicrosoft SQL ServerMSSQL读写权限赋予sqlserver用户。
4.  分配sqlserver用户启动本地服务的权限;
这个比较复杂,我只举例作为成员服务器的情况。
l         启动“Local Security Setting” MMC 管理单元。 
l         展开Local Policy,然后单击User Rights Assignment。 
l         在右侧窗格中,右键单击Log on as Service,将用户添加到该策略,然后单击OK。 
l         在右侧窗格中,右键单击Log on as a batch job,将用户添加到该策略,然后单击OK
l         在右侧窗格中,右键单击Locks pages in memory,将用户添加到该策略,然后单击OK
l         在右侧窗格中,右键单击Act as part of&

来源:http://www.tulaoshi.com/n/20160129/1499401.html

延伸阅读
标签: 暗黑3
《暗黑3》账号安全的保护   最近出现了一些关于账号安全的问题,当游戏处于良好发展趋势,并且游戏内物品逐步增值的时候,出现这些问题就在所难免。服务器及账号安全一直是所有人关心的问题,除了依靠更多更现金的安全手段外,自我防范意识也是非常重要的一个方面。今天这位玩家在官方论坛总结出的一些日常注意事项,就非常好的帮助我们加...
标签: SQLServer
  返回当前日期和时间 通过函数GETDATE(),你可以获得当前的日期和时间。函数GETDATE()可以用来作为DATEDIME型字段的缺省值。这对插入记录时保存当时的时间是有用的。要建立一个表,其中的记录包含有当前的日期和时间,可以添加一个DATETIME型字段,指定其缺省值为函数GETDATE()的返回值,就象这样: CREATE TABLE site_log ( &nbs...
  //判断一个机器的MSSQL是否启动,通过SQL DMO是可以的,但对于没有装MSSQL的客户端来说就没办法,此处用的是连接MSSQL的1433端口,如果端口号不同,可以通过传递端口. unit Judge_U; interface uses   SysUtils, Classes, IdBaseComponent, IdComponent, IdTCPConnection, IdIcmpClient,   IdTCPClient, ...
1、安装MSSQL时使用混合模式,当然SA密码最好不能为空,在SQL2005中,可以对SA这个超级用户名进行修改或删除。 use master ALTER LOGIN [sa] WITH NAME=[zxs] /*修改SA帐号*/ sp_password '111111','123456','sa' /*修改SA密码*/ 使用以上命令可修改SA帐号,也可进行图形化的修改 使用安全的帐号策略。对SA或等同用户进行最强的保护,当然,包...
标签: windows系统
win8系统无法启动Mssql的解决方法   MSSQL2005是是由微软官方发布的MSSQL数据库服务器软件,该软件集数据库管理与服务为一体,在MSSQL系列版本中,2005是较为经典的一款软件;故此很多用户在win8系统下依旧使用MSSQL2005服务器,不过有部分用户在win8系统下安装MSSQL2005后,出现启动服务失败的问题,对于该问题我们应用如何解决呢?下...

经验教程

634

收藏

13
微博分享 QQ分享 QQ空间 手机页面 收藏网站 回到头部