1. 如何安全配置SQL Server 2000

2. [08-24 16:58:12]   来源：http://www.85jc.com  网络技术   阅读：8143次

概要：如果你不需要扩展存储过程xp_cmdshell请把它去掉。使用这个SQL语句： use master sp_dropextendedproc |xp_cmdshell| xp_cmdshell是进入*作系统的最佳捷径，是数据库留给*作系统的一个大后门。 如果你需要这个存储过程，请用这个语句也可以恢复过来。 sp_addextendedproc |xp_cmdshell|, |xpsql70.dll| 如果你不需要请丢弃OLE自动存储过程（会造成管理器中的某些特征不能使用）， 这些过程包括如下： Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop 去掉不需要的注册表访问的存储过程，注册表存储过程甚至能够读出*作系统管理员的密码来，如下： Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue

如何安全配置SQL Server 2000,标签：网络知识,网络学习,http://www.85jc.com
如果你不需要扩展存储过程xp_cmdshell请把它去掉。使用这个SQL语句：  
use master  
sp_dropextendedproc |xp_cmdshell|  
xp_cmdshell是进入*作系统的最佳捷径，是数据库留给*作系统的一个大后门。  
如果你需要这个存储过程，请用这个语句也可以恢复过来。 
sp_addextendedproc |xp_cmdshell|, |xpsql70.dll|  
如果你不需要请丢弃OLE自动存储过程（会造成管理器中的某些特征不能使用），  
这些过程包括如下：  
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty  
Sp_OAMethod Sp_OASetProperty Sp_OAStop  
去掉不需要的注册表访问的存储过程，注册表存储过程甚至能够读出*作系统管理员的密码来，如下：  
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue  
Xp_regenumvalues Xp_regread Xp_regremovemultistring  
Xp_regwrite  
还有一些其他的扩展存储过程，你也最好检查检查。  
在处理存储过程的时候，请确认一下，避免造成对数据库或应用程序的伤害。  
5、使用协议加密  
SQL Server 2000使用的Tabular Data Stream协议来进行网络数据交换，  
如果不加密的话，所有的网络传输都是明文的，包括密码、数据库内容等等，  
这是一个很大的安全威胁。能被人在网络中截获到他们需要的东西，包括数据库帐号和密码。  
所以，在条件容许情况下，最好使用SSL来加密协议，当然，你需要一个证书来支持。  
6、不要让人随便探测到你的TCP/IP端口  
默认情况下，SQL Server使用1433端口*，很多人都说SQL Server配置的时候要把这个端口改变，  
这样别人就不能很容易地知道使用的什么端口了。  
可惜，通过微软未公开的1434端口的UDP探测可以很容易知道SQL Server使用的什么TCP/IP端口了。  
不过微软还是考虑到了这个问题，毕竟公开而且开放的端口会引起不必要的麻烦。  
在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例。  
如果隐藏了 SQL Server 实例，则将禁止对试图枚举网络上现有的 SQL Server 实例的客户端  
所发出的广播作出响应。这样，别人就不能用1434来探测你的TCP/IP端口了（除非用Port Scan）。  
7、修改TCP/IP使用的端口  
请在上一步配置的基础上，更改原默认的1433端口。  
在实例属性中选择网络配置中的TCP/IP协议的属性，将TCP/IP使用的默认端口变为其他端口.  
9、拒绝来自1434端口的探测  
由于1434端口探测没有限制，能够被别人探测到一些数据库信息，而且还可能遭到DOS攻击让数据库服务器的CPU负荷增大，所以对Windows 2000*作系统来说，在IPSec过滤拒绝掉1434端口的UDP通讯，  
可以尽可能地隐藏你的SQL Server。  
10、对网络连接进行IP限制  
SQL Server 2000数据库系统本身没有提供网络连接的安全解决办法，  
但是Windows 2000提供了这样的安全机制。使用*作系统自己的IPSec可以实现IP数据包的安全性。  
请对IP连接进行限制，只保证自己的IP能够访问，也拒绝其他IP进行的端口连接，  
把来自网络上的安全威胁进行有效的控制。  
关于IPSec的使用请参看：asp" target=_blank>http://www.microsoft.com/china/technet/security/ipsecloc.asp 
上面主要介绍的一些SQL Server的安全配置，经过以上的配置，可以让SQL Server本身具备足够的安全防范能力。当然，更主要的还是要加强内部的安全控制和管理员的安全培训，  
而且安全性问题是一个长期的解决过程，还需要以后进行更多的安全维护。 

上一页  [1] [2] 

上一篇：用Java实现FTP服务器解决方案