【正文】 ...............................................................................................................29 不要讓人隨便探測(cè)到你的 TCP/IP端口 .......................................................................................29 修改 TCP/IP使用的端口 ...............................................................................................................29 拒絕來(lái)自 1434端口的探測(cè) ...........................................................................................................30 對(duì)網(wǎng)絡(luò)連接進(jìn)行 IP限制 ................................................................................................................31 安全補(bǔ)丁 ........................................................................................................................................31第4章 保持SQL SERVER 2022數(shù)據(jù)庫(kù)服務(wù)器安全 ...................................................34 定期執(zhí)行備份 ................................................................................................................................34 審核組成員身份 ............................................................................................................................34 監(jiān)控審核日志 ................................................................................................................................35 確保安裝最新的 SERVICE PACK 和修補(bǔ)程序 ..............................................................................35 執(zhí)行安全評(píng)估 ................................................................................................................................36 使用安全性通告服務(wù) ....................................................................................................................36 遠(yuǎn)程管理 ........................................................................................................................................37 小結(jié) ................................................................................................................................................39附錄1：SQL SERVER 2022數(shù)據(jù)庫(kù)服務(wù)器的安全概述 ......................................................40SQL SERVER 2022 安全模型 ..............................................................................................................................40保護(hù)服務(wù)器訪問(wèn)的安全 .....................................................................................................................................47保護(hù)數(shù)據(jù)庫(kù)訪問(wèn)的安全 .....................................................................................................................................48附錄2：SQL SERVER 2022數(shù)據(jù)庫(kù)服務(wù)器的安全威脅模型 ..............................................53SQL 注入 54iii / 70網(wǎng)絡(luò)竊聽(tīng) 56未經(jīng)授權(quán)的服務(wù)器訪問(wèn) .....................................................................................................................................57密碼破解 58附錄3：SQLSERVER安全配置檢查表 ................................................................................591 / 70第1章 目的與范圍 目的為了加強(qiáng)中國(guó)移動(dòng)集團(tuán)下屬各公司的網(wǎng)絡(luò)系統(tǒng)安全管理，全面提高中國(guó)移動(dòng)集團(tuán)下屬各公司業(yè)務(wù)網(wǎng)和辦公網(wǎng)的網(wǎng)絡(luò)安全水平，保證網(wǎng)絡(luò)通信暢通和信息系統(tǒng)的正常運(yùn)營(yíng)，提高網(wǎng)絡(luò)服務(wù)質(zhì)量，特制定本方法。應(yīng)用程序?qū)?shù)據(jù)庫(kù)系統(tǒng)安全也有重要影響，限于篇幅，本體系只提出對(duì)應(yīng)用程序加固的設(shè)計(jì)原則和參考資料，各單位可根據(jù)這些原則和實(shí)際情況進(jìn)行安全檢查，以避免2 / 70應(yīng)用系統(tǒng)稱(chēng)為整體系統(tǒng)安全的軟肋。默認(rèn)情況下，程序及數(shù)據(jù)文件位于 \Program Files\Microsoft SQL Server\ 目錄下。盡管實(shí)際上密碼并不存儲(chǔ)于 SAM 中，且密碼哈希不可逆，但如果攻擊者獲得了 SAM 數(shù)據(jù)庫(kù)的副本，便可利用強(qiáng)力攻擊密碼破解技術(shù)來(lái)獲得有效的憑據(jù)。? MSSQLServerADHelper。如并非必需，請(qǐng)禁用這些服務(wù)。如果不允許對(duì)計(jì)算機(jī)進(jìn)行遠(yuǎn)程管理，請(qǐng)取消因此而不使用的管理共享，例如 C$ 和 Admin$。要限制到數(shù)據(jù)庫(kù)服務(wù)器的匿名連接，請(qǐng)使該帳戶保持在禁用狀態(tài)重命名管理員帳戶默認(rèn)的本地管理員帳戶因其在計(jì)算機(jī)上享有的較高特權(quán)而成為惡意使用的目標(biāo)。為經(jīng)授權(quán)的個(gè)人提供其專(zhuān)用帳戶。這樣做可以防止用戶（無(wú)論出于善意還是其他動(dòng)機(jī)）利用管理員帳戶遠(yuǎn)程登錄到服務(wù)器。有效期的確定通常以公司的安全策略作為指導(dǎo)。刪除 SQL 來(lái)賓用戶帳戶如果啟用了 Windows 2022 的來(lái)賓帳戶，則安裝 SQL Server 時(shí)會(huì)創(chuàng)建一個(gè)來(lái)賓用戶帳戶。每個(gè)其他用戶、組和角色都是該公共角色的成員。應(yīng)當(dāng)對(duì)此設(shè)置進(jìn)行更改，以只允許 sysadmin 角色的成員排定作業(yè)其它 1. 限制 sysadmin 的成員數(shù)。在 SQL Server Service Pack 3 之前的版本中，公共角色不具有對(duì)各種默認(rèn) SQL Server 數(shù)據(jù)庫(kù)對(duì)象的訪問(wèn)權(quán)限。? 529：這表示嘗試使用未知用戶帳戶或使用密碼無(wú)效的有效用戶帳戶進(jìn)行了登錄。? 評(píng)估性能成本。您或許能夠使用客戶端網(wǎng)絡(luò)實(shí)用工具，但不應(yīng)在 Web 服務(wù)器上安裝此實(shí)用工具，而應(yīng)由應(yīng)用程序通過(guò)將端口號(hào)附加于 Server 或 Data Source 屬性，在其連接字符串中指定該端口號(hào)，如以下代碼中所示。有關(guān)詳細(xì)信息，請(qǐng)參閱 Microsoft 知識(shí)庫(kù)文章 308091 BUG:Hide Server Option Cannot Be Used on Multiple Instances of SQL Server 2022（英文）。通過(guò)在數(shù)據(jù)庫(kù)服務(wù)器上安裝證書(shū)來(lái)進(jìn)行加密。3. 使用專(zhuān)用計(jì)算機(jī)作為數(shù)據(jù)庫(kù)服務(wù)器。請(qǐng)一定不要使用本地系統(tǒng)帳戶或管理員帳戶（除非應(yīng)用系統(tǒng)需要）2. 確保不要在域控制器上安裝 SQL Server3. 確保在 NTFS 格式的分區(qū)上安裝 SQL Server4. 在非系統(tǒng)卷（操作系統(tǒng)所在卷以外的其他卷）上安裝 SQL Server 程序及數(shù)據(jù)庫(kù)文件5. 刪除不必要的服務(wù)操作結(jié)果：SQLServer安裝正常20 / 70 注冊(cè)表設(shè)置編號(hào) 402 名稱(chēng) 檢查注冊(cè)表權(quán)限 重要等級(jí)： 高基本信息：應(yīng)該保證EveryOne組不能具備權(quán)限訪問(wèn)SQLServer創(chuàng)建注冊(cè)表鍵值的權(quán)限檢測(cè)內(nèi)容：安裝 SQL Server 會(huì)創(chuàng)建以下注冊(cè)表項(xiàng)和子項(xiàng)：? 對(duì)于默認(rèn)實(shí)例：HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSSQLSERVER? 對(duì)于命名實(shí)例：HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MICROSOFT SQL SERVER\INSTANCENAME? 對(duì)于 SQL 服務(wù)：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSSQLSERVER應(yīng)該保證EveryOne組不能具備權(quán)限訪問(wèn)上述注冊(cè)表鍵值的權(quán)限建議操作：操作結(jié)果：去掉不必要的權(quán)限只有 MSSQLSERVER 數(shù)據(jù)庫(kù)引擎是必備的。? MSSQLServerADHelper。安全的帳號(hào)策略還包括不要讓管理員權(quán)限的帳號(hào)泛濫。健壯的密碼是安全的第一步！檢測(cè)內(nèi)容：查看是否有名為sa的用戶帳號(hào)；查看sa 用戶密碼是否足夠強(qiáng)??；Windows帳號(hào)是否符合密碼安全策略；（參考第二章3節(jié)）建議操作：SQL Server2022安裝的時(shí)候，如果是使用混合模式，那么就需要輸入sa的密碼，除非你確認(rèn)必須使用空密碼。對(duì)下列存儲(chǔ)過(guò)程，只能由管理員訪問(wèn)或被刪除sp_sdidebugxp_availablemediaxp_perfendxp_perfmonitor25 / 70xp_cmdshellxp_deletxp_dirtreexp_dropwebtaskxp_dsninfoxp_enumdsnxp_enumerrorlogsxp_enumgroupsxp_enumqueuedtasksxp_eventlogxp_findnextmsgxp_fixeddrivesxp_getfiledetailsxp_getnamexp_grantloginxp_logeventxp_loginconfigxp_logininfoxp_makewebtaskxp_msver xp_regreadxp_perfsamplexp_perfstartxp_readerrorlogxp_readmailxp_revokeloginxp_runwebtaskxp_schedulersignalxp_sendmailxp_servicecontrolxp_snmp_getstatexp_snmp_raisetrapxp_sprintfxp_sqlinventoryxp_sqlregisterxp_sqltracexp_sscanfxp_startmailxp_stopmailxp_subdirsxp_unc_to_drivexp_dirtree 檢測(cè)內(nèi)容：? 查看所有擴(kuò)展存儲(chǔ)過(guò)程；建議操作：如果你不需要擴(kuò)展存儲(chǔ)過(guò)程 xp_cmdshell 請(qǐng)把它去掉。39。, REG_DWORD,3 請(qǐng)定期查看SQL Server日志檢查是否有可疑的登錄事件發(fā)生，或者使用DOS命令。操作結(jié)果：隱藏 1434 端口 修改TCP/IP 使用的端口編號(hào)： 413 名稱(chēng)： 修改 TCP/IP 使用的端口 重要等級(jí)： 高基本信息：默認(rèn)情況下，SQL Server 使用 1433 端口監(jiān)聽(tīng)，很多人都說(shuō) SQL Server 配置的時(shí)候要把這個(gè)端口改變，這樣別人就不能很容易地知道使用的什么端口了。如果出現(xiàn)這種情況，請(qǐng)手動(dòng)下載該 XML 文件，然后將其置于 MBSA 程序目錄中。5. 單擊“Start scan”（開(kāi)始掃描）。7. 除“Check for SQL vulnerabilities”（檢查 SQL 缺陷）外，清除所有復(fù)選標(biāo)記。9. 復(fù)查失敗的檢查，并修復(fù)易受