6.4.1 实例——MS SQL Server 2005安全管理

《6.4.1 实例——MS SQL Server 2005安全管理》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、6.4.1实例——MSSQLServer2005安全管理第1步：启动“MicrosoftSQLServerManagementStudio”，如图6.26所示，在“对象资源管理器”窗口中选择“ZTG2003”→“安全性”→“登录名”选项。在右侧窗口里双击“sa”，弹出“登录属性-sa”对话框，如图6.27所示。图6.26MicrosoftSQLServerManagementStudio图6.27“登录属性-sa”对话框第2步：在图6.27中，选择“强制实施策略”复选框，对sa用户进行最强的保护，另外，密码的选择也要

2、足够复杂。第3步：在SQLServer2005中有Windows身份认证和混合身份认证。如果不希望系统管理员登录数据库，可以把系统账号“BUILTINAdministrators”删除或禁止，在图6.26中，右键单击“BUILTINAdministrators”账号，选择“属性”，弹出“登录属性-BUILTINAdministrators”对话框，如图6.28所示，单击左侧窗口中的“状态”，在右侧窗口中，把“是否允许连接到数据库引擎”改为拒绝，“登录”改为禁用即可。图6.28“登录属性-BUILTINAdmi

3、nistrators”对话框第4步：使用IPSec策略阻止所有访问本机的TCP1433，也可以对TCP1433端口进行修改，不过，在SQLServer2005中，可以使用TCP动态端口，启动“SQLServerConfigurationManager”，如图6.29所示，右键单击“TCP/IP”，选择“属性”，弹出“TCP/IP属性”对话框，如图6.30所示。图6.29SQLServerConfigurationManager在图6.30中，在“IPALL”属性框中的“TCP动态端口”右侧输入“0”。配置为监听动态端

4、口，在启动时会检查操作系统中的可用端口并且从中选择一个。如图6.31所示，可以指定SQLServer是否监听所有绑定到计算机网卡的IP地址。如果设置为“是”，则“IPALL”属性框的设置将应用于所有IP地址；如果设置为“否”，则使用每个IP地址各自的属性对话框对各个IP地址进行配置。默认值为“是”。图6.30“TCP/IP属性”对话框图6.31监听设置第5步：删除不必要的扩展存储过程（或存储过程）。因为有些存储过程能够很容易地被入侵者利用来提升权限或进行破坏，所以需要将必要的存储过程或扩展存储过程删除。xp_cmds

5、hell是一个很危险的扩展存储过程，如果不需要xp_cmdshell，那么最好将它删除。删除的方法如图6.32所示。图6.32删除扩展存储过程下面给出了可以考虑删除的扩展存储过程（或存储过程），仅供参考：xp_regaddmultistring、xp_regdeletekey、xp_regdetetevalue、xp_regenumkeys、xp_cmdshell、xp_dirtree、xp_fileexist、xp_getnetname、xp_terminate_process、xp_regenumvalues、x

6、p_regread、xp_regwrite、xp_readwebtask、xp_makewebtask、xp_regremovemultistring。OLE自动存储过程：sp_OACreate、sp_OADestroy、sp_OAGetErrorInfo、sp_OAGetProperty、sp_OAMethodsp_OASetProperty、sp_OAStop。访问注册表的存储过程：xp_regaddmultistring、xp_regdeletekey、xp_regdeletevalue、xp_regenumv

7、alues、xp_regread、xp_regremovemultistring、xp_regwrite。sp_makewebtask、sp_add_job、sp_addtask、sp_addextendedproc等。第6步：在图6.32中，右键单击“ZTG2003”（位于图的左上角），选择“属性”，弹出“服务器属性-ZTG2003”对话框，如图6.33所示。在图6.33中，单击左侧窗口中的“安全性”，在右侧窗口中，选择“登录审核”中的“失败和成功的登录”，选择“启用C2审核跟踪”复选框，C2是一个政府安全等级，它

8、确保系统能够保护资源并且具有足够的审核能力。C2允许监视对所有数据库实体的所有访问企图。图6.33“服务器属性-ZTG2003”对话框