欢迎来到天天文库
浏览记录
ID:31433928
大小:110.50 KB
页数:7页
时间:2019-01-09
《microsoft sql server数据库风险分析与建议》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、MicrosoftSQLServer数据库风险分析与建议 【摘要】在当今信息时代,信息的安全越来越受到人们的关注。但从关注信息安全到保障信息安全,还需要每个人共同去努力。本文通过对SQLServer数据库风险的分析,希望能增强人们的安全意识与SQLServer数据库方面综合分析能力。本文提供了17项高风险分析与专业配置建议,对SQLServer数据库风险识别、风险评估与修复等工作具有参考价值。 【关键词】SQLServer;风险;分析;建议 1引言 今天,信息成为人类社会的重要资源,作为存储管理大量信息的数据库,
2、存放着个人信息、企业机密、国家机密等多种类型信息。当世界各国信息安全事件频发,信息的安全越来越受到人们的关注,信息安全保障工作也越发严峻,数据库安全作为信息安全最后一道防线,其重要性不言而喻。 2现状 现在,仍有许多公司、单位使用MicrosoftSQLServer数据库存在:默认安装未做任何安全配置即使用,长期没有更新安全补丁、升级版本,安全设置不正确等情况,导致SQLServer数据库安全漏洞百出。 3分析与建议 本文希望通过SQL7Server数据库风险分析,增强人们的安全意识与SQLServer数据库方面
3、综合分析能力。17项高风险分析与专业配置建议如下。 (1)GDI+VML、EMF、GIF、WMF、BMP、TIFF、PNG等图片文件格式漏洞 GDI+漏洞影响VML(CVE-2007-5348)、EMF(CVE-2008-3012)、GIF(CVE-2008-3013)、WMF(CVE-2008-3014)、BMP(CVE-2008-3015)、TIFF(CVE-2009-2503)、PNG(CVE-2009-3126)等常见的图片文件格式,也就是说机器上有该漏洞的系统一旦打开(甚至不需要用户打开,只要程序解析该文件
4、)包含有漏洞的利用代码的文件就会执行其中的任意代码。 建议:安装MS08-052补丁软件对漏洞进行修补。 (2)口令攻击 当SQLServer审计设置为记录全部或者记录失败时,数据库服务器中存在字典攻击的证据。 建议:一分钟内失败的最大次数为6次,登录失败超过定制的次数,漏洞存在。 (3)弱口令用户 在一个安全的数据库环境中登录用户都要有强壮的密码,特别是具有管理员权限的用户。 强壮的密码建议遵循原则:必须包括字母、数字和特殊字符、至少8位长、密码不常见。 (4)sa口令与用户名相同 SQL7Serve
5、r中默认的登录用户sa具有系统管理员的权限,拥有对数据库的最高权限,攻击者获得sa的密码后就可以对数据库执行任意操作。建议:将sa更改为强口令。 (5)SQLServer补丁 SQLServer是否安装了最新的补丁。当一个版本发布一段时间后,SQLServer的厂家会提供了修补漏洞(包括安全问题)的升级补丁,这些修补都包括在补丁中。 建议:按时关注其官方网站发布的修补信息,及时给数据库服务器安装上最新发布的补丁。 (6)存储过程安全 检查sp_replwritetovarbin、sp_add_jobstep、s
6、p_add_jobserver、sp_add_jobschedule、sp_add_job、sp_dropgroup、sp_depends、sp_add_alert、sp_add_agent_profile、sp_add_agent_parameter、sp_grantlogin、sp_addrole、sp_adduser、sp_executesql、sp_indexes、sp_trace_create、sp_trace_generateevent、sp_trace_setevent、sp_trace_setfilter
7、、sp_trace_setstatus、sp_bindsession、sp_replcmds、sp_replcounters、sp_repldone、sp_repldropcolumn的执行权限是否符合安全要求。 建议:全部设置为仅sysadmin可以执行。 (7)扩展存储过程安全 检查xp_revokelogin、xp_msver、xp_sprintf、xp_sscanf的执行权限是否符合安全要求。 建议:全部设置为仅sysadmin可以执行。7 (8)用户密码过期 密码过期的登录用户。要求用户的密码在一定
8、规则的基础上进行修改对抵御的字典攻击很有用处,因为密码的使用时间越长,密码通过暴力破解、窃取或其他途径被破解的可能性就越大。 建议:口令修改后过期的天数为45天,在口令即将过期时提醒用户修改(天数)为5天,用户也可以自定义这些值。 (9)WindowsNT登录用户不正确 SQLServer允许用户使用操作系统的
此文档下载收益归作者所有