【文章內(nèi)容簡介】 保不受未發(fā)現(xiàn)的服務(wù)漏洞的影響，請禁用任何非必需的服務(wù)。運行那些仍使用最低權(quán)限帳戶的服務(wù)。項目 安全規(guī)范SQLServer服務(wù)SQL 服務(wù)安裝程序運行期間將安裝以下四個 Windows 服務(wù)：? MSSQLSERVER（對于命名實例，則為 MSSQL$InstanceName）。此為 SQL Server 數(shù)據(jù)庫引擎，是唯一的強制安裝服務(wù)。? SQLSERVERAGENT（對于命名實例，則為 SQLAgent$InstanceName）?？山柚酥С址?wù)制定命令執(zhí)行計劃及在出錯時通知操作人員。? MSSQLServerADHelper。它可提供 Active Directory 集成服務(wù)，包括數(shù)據(jù)庫實例注冊。? Microsoft Search。它可提供全文搜索能力。在任何情況下均須通過本地系統(tǒng)帳戶來運行此服務(wù)。? Microsoft DTC：提供分布式事務(wù)控制能力，如果不通過 Microsoft DTC 使用分布式事務(wù)，請禁用該服務(wù)。只有 MSSQLSERVER 數(shù)據(jù)庫引擎是必備的。其余服務(wù)提供了附加功能，只在特定情況下才需要使用。如并非必需，請禁用這些服務(wù)。服務(wù)帳號 不應(yīng)將 SQL Server 配置為以本地系統(tǒng)帳戶或本地 Administrators 組的任何成員帳戶運行。有關(guān)配置用于運行 MSSQLSERVER 的服務(wù)帳戶 文件目錄訪問權(quán)限設(shè)置除利用 ACL 保證操作系統(tǒng)文件的安全外，還要強化 NTFS 權(quán)限來限制對 SQL Server 程序文件、數(shù)據(jù)文件、日志文件以及系統(tǒng)級工具的訪問。此外，還應(yīng)只允許 SQL Server 服務(wù)帳戶訪問其所需的內(nèi)容。位置 SQL 服務(wù)帳戶的權(quán)限安裝位置 讀取并執(zhí)行8 / 70(\Program Files\Microsoft SQL Server\MSSQL\) 列出文件夾內(nèi)容讀取數(shù)據(jù)庫文件目錄（.mdf、.ndf、.ldf 文件）(\Program Files\Microsoft SQL Server\MSSQL\Data)完全控制錯誤日志文件目錄(\Program Files\Microsoft SQL Server\MSSQL\LOG)完全控制備份文件目錄(\Program Files\Microsoft SQL Server\MSSQL\Backup)完全控制作業(yè)臨時文件輸出目錄(\Program Files\Microsoft SQL Server\MSSQL\Jobs)完全控制 文件共享設(shè)置取消所有不使用的共享，并強化對任何必需共享的 NTFS 權(quán)限。默認情況下，所有用戶對新創(chuàng)建的文件共享均具有完全控制權(quán)限。應(yīng)強化這些默認權(quán)限，以確保只有經(jīng)授權(quán)的用戶才能訪問共享所展露的文件。除了要對共享所展露的文件和文件夾使用顯式共享權(quán)限外，還應(yīng)當(dāng)對它們使用 NTFS ACL。如果不允許對計算機進行遠程管理，請取消因此而不使用的管理共享，例如 C$ 和 Admin$。注意：某些應(yīng)用程序可能要求有諸如 Microsoft Management Server (SMS) 或 Microsoft Operations Manager (MOM) 等管理共享。有關(guān)詳細信息，請參閱 Microsoft 知識庫文章 318751 How To:Remove Administrative Shares in Windows 2022 or Windows NT （英文）。 帳戶安全下面的內(nèi)容假定讀者已經(jīng)讀過附錄1：SQLServer 2022數(shù)據(jù)庫服務(wù)器安全概述，熟悉了SQLServer的安全模型。為保護帳戶的安全，應(yīng)遵循如下原則：9 / 70項目 內(nèi)容保證 SQL Server 服務(wù)帳戶的安全1. 使用最低權(quán)限帳戶運行 SQL Server 服務(wù)可將設(shè)法從 SQL Server 執(zhí)行操作系統(tǒng)命令的攻擊者所造成的危害降至最低水平。不應(yīng)為 SQL Server 服務(wù)帳戶授予諸如 Administrators 組成員身份等較高特權(quán)2. 如果出于某些目的（例如，執(zhí)行網(wǎng)絡(luò)備份、進行復(fù)制或日志傳送）需要從 SQL Server 訪問網(wǎng)絡(luò)資源，SQL Server 服務(wù)帳戶必須能夠在網(wǎng)絡(luò)內(nèi)通過身份驗證，建議使用最低權(quán)限AD域帳戶刪除或禁用不使用的帳戶在 SQL Server 2022 SP3 安裝過程中， 將創(chuàng)建“調(diào)試程序”帳戶。VisualStudio .NET 將在調(diào)試所管理的 .NET 代碼中的存儲過程時使用該帳戶。由于該帳戶的唯一用途就是為調(diào)試提供支持，因此可以從生產(chǎn)數(shù)據(jù)庫服務(wù)器中將其刪除禁用 Windows 來賓帳戶Windows 來賓帳戶是匿名連接計算機時所使用的帳戶。要限制到數(shù)據(jù)庫服務(wù)器的匿名連接，請使該帳戶保持在禁用狀態(tài)重命名管理員帳戶默認的本地管理員帳戶因其在計算機上享有的較高特權(quán)而成為惡意使用的目標。要提高安全性，請重命名默認的管理員帳戶，并為其指定一個強密碼強制執(zhí)行強密碼策略為防范密碼猜測和強力字典攻擊，應(yīng)通過配置安全策略來應(yīng)用強密碼策略。這部分具體內(nèi)容見下一節(jié)：密碼安全限制遠程登錄 使用“本地安全策略”工具從 Everyone 組中刪除“從網(wǎng)絡(luò)訪問此計算機”用戶權(quán)限，以對可遠程登錄服務(wù)器者施加限制禁用空會話（匿名登錄）為了防止匿名訪問，請禁用空會話?？諘捠俏唇?jīng)身份驗證或匿名的用戶在兩臺計算機間建立的會話。如果不禁用空會話，攻擊者便可匿名（即，不需要進行身份驗證）連接到服務(wù)器其它原則 1. 要求帳戶委派批準。無特別批準，請不要在 Active Directory 中將域帳戶標記為信任委派。2. 不要使用共享帳戶。請不要創(chuàng)建供多人使用的共享帳戶。為經(jīng)授權(quán)的個人提供其專用帳戶?？蓪Ω魅说幕顒臃謩e進行審核，并相應(yīng)分配組成員身份和特權(quán)。10 / 703. 限制本地 Administrators 組成員身份。理想的情況是，管理帳戶不超過兩個。這有助于提供可說明性。同時，請不要共享密碼，這也是為了提供可說明性。4. 限制管理員帳戶進行交互式登錄。如果只執(zhí)行本地管理，則取消“從網(wǎng)絡(luò)訪問此計算機”以拒絕授予網(wǎng)絡(luò)登錄權(quán)限，便可限制管理員帳戶進行交互式登錄。這樣做可以防止用戶（無論出于善意還是其他動機）利用管理員帳戶遠程登錄到服務(wù)器。如果本地管理策略靈活性太差，可實施安全遠程管理。有關(guān)遠程管理的詳細信息，請參閱本模塊后文中的遠程管理。5. 啟用 NTLMv2 身份驗證：如果客戶端計算機利用 Windows 身份驗證連接到數(shù)據(jù)庫服務(wù)器，則應(yīng)當(dāng)對數(shù)據(jù)庫服務(wù)器進行配置，讓其使用安全性最高的 Windows 身份驗證版本，即 NTLMv2 4 密碼安全不管是使用AD帳戶還是SQLServer帳戶，都應(yīng)保證其密碼符合強安全策略。1. 設(shè)置密碼長度和復(fù)雜性。強制執(zhí)行強密碼降低了密碼猜測或字典攻擊的成功幾率。2. 設(shè)置密碼過期。定期使密碼失效可降低舊密碼被用來進行未經(jīng)授權(quán)訪問的幾率。有效期的確定通常以公司的安全策略作為指導(dǎo)。下表為默認和建議的密碼策略設(shè)置：密碼策略 默認設(shè)置 建議的最低設(shè)置強制密碼歷史 記憶 1 個密碼 記憶 24 個密碼4注意：要支持 NTLMV2，客戶端必須運行 Windows 202Windows Server 2022 或 Windows NT174。 ，并安裝 Service Pack 411 / 70密碼最長期限 42 天 42 天最短密碼期限 0 天 2 天最短密碼長度 0 個字符 8 個字符密碼必須符合復(fù)雜性要求 禁用 啟用為域中所有用戶均設(shè)置使用可逆加密的強密碼禁用 禁用此外，還應(yīng)記錄失敗的登錄嘗試，以檢測和跟蹤惡意行為。有關(guān)詳細信息，請參閱第五節(jié)：日志記錄有關(guān)密碼策略的詳細信息，請參閱 Microsoft TechNet 網(wǎng)站上的“Best Practices”，其網(wǎng)址為 （英文）。 訪問權(quán)限請按照以下規(guī)范來改進數(shù)據(jù)庫中的授權(quán)設(shè)置：項目 說明使用強 sa（系統(tǒng)管理員）密碼默認系統(tǒng)管理員 (sa) 帳戶一直是無數(shù)攻擊的目標。它是 SQL Server 管理固定服務(wù)器角色 sysadmin的默認成員，請確保對此帳戶使用強密碼。1. 即便將身份驗證從 SQL 改為 Windows，sa 仍然處于活動狀態(tài)2. 對所有帳戶，尤其是特權(quán)帳戶（如 sysadmin 和 db_owner 角色的成員）均使用強密碼。如果使用復(fù)制，請給用于與遠程分布式服務(wù)器建立連接的distributor_admin 帳戶也使用強密碼。刪除 SQL 來賓用戶帳戶如果啟用了 Windows 2022 的來賓帳戶，則安裝 SQL Server 時會創(chuàng)建一個來賓用戶帳戶。如果登錄有對 SQL Server 的訪問權(quán)限，但沒有通過數(shù)據(jù)庫用戶帳戶對數(shù)據(jù)庫進行訪問的權(quán)限，則登錄便會具有來賓的身份建議禁用 Windows 的來賓帳戶。此外，還要從所有用戶定義數(shù)據(jù)庫中刪除來賓帳戶。請注意，無法從 master、tempdb、復(fù)制及分發(fā)數(shù)據(jù)庫中刪除來賓帳戶刪除 默認情況下，系統(tǒng)會將 BUILTIN\Administrators 本地 Windows 組添加到 12 / 70BUILTIN\Administrators 服務(wù)器登錄sysadmin 固定服務(wù)器角色，以對 SQL Server 進行管理。這意味著作為 BUILTIN\Administrators 成員的域管理員可以不受限制地訪問 SQL Server 數(shù)據(jù)庫。大多數(shù)公司會對域管理員和數(shù)據(jù)庫管理員角色加以區(qū)分。如果要進行這種區(qū)分，請刪除 BUILTIN\Administrators SQL Server 登錄。一種好的做法是，按以下步驟中所示，專門創(chuàng)建這樣一個 Windows 組：它的位置中包含特定數(shù)據(jù)庫管理，并被作為服務(wù)器登錄添加到SQL Server 中不為公共角色授予權(quán)限所有數(shù)據(jù)庫均包含一個公共數(shù)據(jù)庫角色。每個其他用戶、組和角色都是該公共角色的成員。您無法刪除公共角色的成員，不過，可以不為授予對應(yīng)用程序的數(shù)據(jù)庫表、存儲過程及其他對象訪問權(quán)限的公共角色授予權(quán)限。否則，便無法利用用戶定義的數(shù)據(jù)庫角色獲得所需授權(quán)，因為公共角色會為數(shù)據(jù)庫中的用戶授予默認權(quán)限保證存儲過程的安全限制對應(yīng)用程序的存儲過程的訪問。請不要為公共角色或來賓用戶授予對所創(chuàng)建的任何存儲過程的訪問權(quán)限。保證存儲過程安全的主要防線先是要確保使用強身份驗證，然后是提供精確授權(quán)，從而實現(xiàn)只允許必要的用戶權(quán)限來運行存儲過程。建議的做法是：為應(yīng)用程序創(chuàng)建一個 SQL Server 登錄，將登錄映射到數(shù)據(jù)庫用戶，再將用戶添加到用戶定義數(shù)據(jù)庫角色，然后為角色授予權(quán)限。保證擴展存儲過程的安全對于下列存儲過程，管理員才能有權(quán)利訪問sp_sdidebugxp_availablemediaxp_cmdshellxp_deletxp_dirtreexp_dropwebtaskxp_dsninfoxp_enumdsnxp_enumerrorlogsxp_enumgroupsxp_enumqueuedtasksxp_eventlogxp_perfendxp_perfmonitorxp_perfsamplexp_perfstartxp_readerrorlogxp_readmailxp_revokeloginxp_runwebtaskxp_schedulersignalxp_sendmailxp_servicecontrolxp_snmp_getstate13 / 70xp_findnextmsgxp_fixeddrivesxp_getfiledetailsxp_getnamexp_grantloginxp_logeventxp_loginconfigxp_logininfoxp_makewebtaskxp_msver xp_regreadxp_snmp_raisetrapxp_sprintfxp_sqlinventoryxp_sqlregisterxp_sqltracexp_sscanfxp_startmailxp_stopmailxp_subdirsxp_unc_to_drivexp_dirtree 限制 cmdExec 對 sysadmin 角色的訪問權(quán)限SQL Server 代理使用 cmdExec 函數(shù)來執(zhí)行 Windows 命令行應(yīng)用程序和其排定的腳本。在 SQL Server Service Pack 3 之前的版本中，默認情況下 SQL Server 代理允許非 sysadmin 角色所屬用戶排定可能需要特許系統(tǒng)訪問權(quán)限的作業(yè)。應(yīng)當(dāng)對此設(shè)置進行更改，以只允許 sysadmin 角色的成員排定作業(yè)其它 1. 限制 sysadmin 的成員數(shù)。為確保實現(xiàn)個體可說明性，請限制作為 sysadmin 角色成員的帳戶的數(shù)量。理想情況下，此角色的成員用戶不應(yīng)超過兩位。2. 授予受限的數(shù)據(jù)庫權(quán)限。只為帳戶分配完成作業(yè)所絕對必需的權(quán)限。應(yīng)避免使用諸如 db_datareader 和 db_datawriter 等內(nèi)置角色。這些角色不提供任何授權(quán)粒度，并具有對所有自定義數(shù)據(jù)庫對象的訪問權(quán)限。3. 不要更改應(yīng)用于 SQL Server 對象的默認權(quán)限。在 SQL Server Service Pack 3 之前的版本中，公共角色不具有對各種默認 SQL Server 數(shù)據(jù)庫對象的訪問權(quán)限。在 Serv