MSSQL_MSSQL數(shù)據(jù)庫服務(wù)器的安全設(shè)置經(jīng)驗(yàn)分享過程

軟件等級(jí)：

更新時(shí)間：2016-11-11

版本號(hào)：v5.7.10

MySQL Server x64官方正式版免費(fèi)下載

立即下載

MSSQL_MSSQL數(shù)據(jù)庫服務(wù)器的安全設(shè)置經(jīng)驗(yàn)分享過程

對(duì)于MSSQL首先需要為sa設(shè)置一個(gè)強(qiáng)壯的密碼，使用混合身份驗(yàn)證，加強(qiáng)數(shù)據(jù)庫日志的記錄，審核數(shù)據(jù)庫登陸事件的“成功和失敗”。另外注意設(shè)置好各個(gè)數(shù)據(jù)庫用戶的權(quán)限，對(duì)于這些用戶只給予所在數(shù)據(jù)庫的一些權(quán)限。

對(duì)于專用的MSSQL數(shù)據(jù)庫服務(wù)器，按照上文所講的設(shè)置TCP/IP篩選和IP策略，對(duì)外只開放1433和5631端口。刪除一些不需要的和危險(xiǎn)的OLE自動(dòng)存儲(chǔ)過程（會(huì)造成企業(yè)管理器中部分功能不能使用），這些過程包括如下：
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

去掉不需要的注冊(cè)表訪問過程，包括有：

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue

Xp_regenumvalues Xp_regread Xp_regremovemultistring

Xp_regwrite

去掉其他系統(tǒng)存儲(chǔ)過程，如果認(rèn)為還有威脅，當(dāng)然要小心Drop這些過程，可以在測(cè)試機(jī)器上測(cè)試，保證正常的系統(tǒng)能完成工作，這些過程包括：

xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember

xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin

sp_addextendedproc

在實(shí)例屬性中選擇TCP/IP協(xié)議的屬性。選擇隱藏 SQL Server 實(shí)例可防止對(duì)1434端口的探測(cè)，可修改默認(rèn)使用的1433端口。除去數(shù)據(jù)庫的guest賬戶把未經(jīng)認(rèn)可的使用者據(jù)之在外。 例外情況是master和 tempdb 數(shù)據(jù)庫，因?yàn)閷?duì)他們guest帳戶是必需的。在程序中不要用sa用戶去連接任何數(shù)據(jù)庫。網(wǎng)絡(luò)上有建議大家使用協(xié)議加密的，千萬不要這么做，否則你只能重裝MSSQL了。

入侵檢測(cè)和數(shù)據(jù)備份

一、入侵檢測(cè)工作

作為服務(wù)器的日常管理，入侵檢測(cè)是一項(xiàng)非常重要的工作，在平常的檢測(cè)過程中，主要包含日常的服務(wù)器安全例行檢查和遭到入侵時(shí)的入侵檢查，也就是分為在入侵進(jìn)行時(shí)的安全檢查和在入侵前后的安全檢查。系統(tǒng)的安全性遵循木桶原理，木桶原理指的是：一個(gè)木桶由許多塊木板組成，如果組成木桶的這些木板長短不一，那么這個(gè)木桶的最大容量不取決于長的木板，而取決于最短的那塊木板。應(yīng)用到安全方面也就是說系統(tǒng)的安全性取決于系統(tǒng)中最脆弱的地方，這些地方是日常的安全檢測(cè)的重點(diǎn)所在。

日常的安全檢測(cè)

日常安全檢測(cè)主要針對(duì)系統(tǒng)的安全性，工作主要按照以下步驟進(jìn)行：

1.查看服務(wù)器狀態(tài)：

打開進(jìn)程管理器，查看服務(wù)器性能，觀察CPU和內(nèi)存使用狀況。查看是否有CPU和內(nèi)存占用過高等異常情況。

2.檢查當(dāng)前進(jìn)程情況

切換“任務(wù)管理器”到進(jìn)程，查找有無可疑的應(yīng)用程序或后臺(tái)進(jìn)程在運(yùn)行。用進(jìn)程管理器查看進(jìn)程時(shí)里面會(huì)有一項(xiàng)taskmgr，這個(gè)是進(jìn)程管理器自身的進(jìn)程。如果正在運(yùn)行windows更新會(huì)有一項(xiàng)wuauclt.exe進(jìn)程。對(duì)于拿不準(zhǔn)的進(jìn)程或者說不知道是服務(wù)器上哪個(gè)應(yīng)用程序開啟的進(jìn)程，通常的后門如果有進(jìn)程的話，一般會(huì)取一個(gè)與系統(tǒng)進(jìn)程類似的名稱，如svch0st.exe，此時(shí)要仔細(xì)辨別[通常迷惑手段是變字母o為數(shù)字0，變字母l為數(shù)字1]

3.檢查系統(tǒng)帳號(hào)

打開計(jì)算機(jī)管理，展開本地用戶和組選項(xiàng)，查看組選項(xiàng)，查看administrators組是否添加有新帳號(hào)，檢查是否有克隆帳號(hào)。

4.查看當(dāng)前端口開放情況

使用activeport，查看當(dāng)前的端口連接情況，尤其是注意與外部連接著的端口情況，看是否有未經(jīng)允許的端口與外界在通信。如有，立即關(guān)閉該端口并記錄下該端口對(duì)應(yīng)的程序并記錄，將該程序轉(zhuǎn)移到其他目錄下存放以便后來分析。打開計(jì)算機(jī)管理==》軟件環(huán)境==》正在運(yùn)行任務(wù)[在此處可以查看進(jìn)程管理器中看不到的隱藏進(jìn)程]，查看當(dāng)前運(yùn)行的程序，如果有不明程序，記錄下該程序的位置，打開任務(wù)管理器結(jié)束該進(jìn)程，對(duì)于采用了守護(hù)進(jìn)程的后門等程序可嘗試結(jié)束進(jìn)程樹，如仍然無法結(jié)束，在注冊(cè)表中搜索該程序名，刪除掉相關(guān)鍵值，切換到安全模式下刪除掉相關(guān)的程序文件。

5.檢查系統(tǒng)服務(wù)

運(yùn)行services.msc，檢查處于已啟動(dòng)狀態(tài)的服務(wù)，查看是否有新加的未知服務(wù)并確定服務(wù)的用途。對(duì)于不清楚的服務(wù)打開該服務(wù)的屬性，查看該服務(wù)所對(duì)應(yīng)的可執(zhí)行文件是什么，如果確定該文件是系統(tǒng)內(nèi)的正常使用的文件，可粗略放過。查看是否有其他正常開放服務(wù)依存在該服務(wù)上，如果有，可以粗略的放過。如果無法確定該執(zhí)行文件是否是系統(tǒng)內(nèi)正常文件并且沒有其他正常開放服務(wù)依存在該服務(wù)上，可暫時(shí)停止掉該服務(wù)，然后測(cè)試下各種應(yīng)用是否正常。對(duì)于一些后門由于采用了hook系統(tǒng)API技術(shù)，添加的服務(wù)項(xiàng)目在服務(wù)管理器中是無法看到的，這時(shí)需要打開注冊(cè)表中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices項(xiàng)進(jìn)行查找，通過查看各服務(wù)的名稱、對(duì)應(yīng)的執(zhí)行文件來確定是否是后門、木馬程序等。

6.查看相關(guān)日志

運(yùn)行eventvwr.msc，粗略檢查系統(tǒng)中的相關(guān)日志記錄。在查看時(shí)在對(duì)應(yīng)的日志記錄上點(diǎn)右鍵選“屬性”，在“篩選器”中設(shè)置一個(gè)日志篩選器，只選擇錯(cuò)誤、警告，查看日志的來源和具體描述信息。對(duì)于出現(xiàn)的錯(cuò)誤如能在服務(wù)器常見故障排除中找到解決辦法則依照該辦法處理該問題，如果無解決辦法則記錄下該問題，詳細(xì)記錄下事件來源、ID號(hào)和具體描述信息，以便找到問題解決的辦法。

7.檢查系統(tǒng)文件

主要檢查系統(tǒng)盤的exe和dll文件，建議系統(tǒng)安裝完畢之后用dir *.exe /s >1.txt將C盤所有的exe文件列表保存下來，然后每次檢查的時(shí)候再用該命令生成一份當(dāng)時(shí)的列表，用fc比較兩個(gè)文件，同樣如此針對(duì)dll文件做相關(guān)檢查。需要注意的是打補(bǔ)丁或者安裝軟件后重新生成一次原始列表。檢查相關(guān)系統(tǒng)文件是否被替換或系統(tǒng)中是否被安裝了木馬后門等惡意程序。必要時(shí)可運(yùn)行一次殺毒程序?qū)ο到y(tǒng)盤進(jìn)行一次掃描處理。

8.檢查安全策略是否更改

打開本地連接的屬性，查看“常規(guī)”中是否只勾選了“TCP/IP協(xié)議”，打開“TCP/IP”協(xié)議設(shè)置，點(diǎn)“高級(jí)”==》“選項(xiàng)”，查看“IP安全機(jī)制”是否是設(shè)定的IP策略，查看“TCP/IP”篩選允許的端口有沒有被更改。打開“管理工具”=》“本地安全策略”，查看目前使用的IP安全策略是否發(fā)生更改。

9.檢查目錄權(quán)限

重點(diǎn)查看系統(tǒng)目錄和重要的應(yīng)用程序權(quán)限是否被更改。需要查看的目錄有c：；c：winnt；

C：winntsystem32；c：winntsystem32inetsrv；c：winntsystem32inetsrvdata；c：documents and

Settings；然后再檢查serv-u安裝目錄，查看這些目錄的權(quán)限是否做過變動(dòng)。檢查system32下的一些重要文件是否更改過權(quán)限，包括：cmd，net，ftp，tftp，cacls等文件。

10.檢查啟動(dòng)項(xiàng)

主要檢查當(dāng)前的開機(jī)自啟動(dòng)程序�？梢允褂肁Reporter來檢查開機(jī)自啟動(dòng)的程序。

二、發(fā)現(xiàn)入侵時(shí)的應(yīng)對(duì)措施

對(duì)于即時(shí)發(fā)現(xiàn)的入侵事件，以下情況針對(duì)系統(tǒng)已遭受到破壞情況下的處理，系統(tǒng)未遭受到破壞或暫時(shí)無法察覺到破壞先按照上述的檢查步驟檢查一遍后再酌情考慮以下措施。系統(tǒng)遭受到破壞后應(yīng)立即采取以下措施：

數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)

數(shù)據(jù)備份工作大致如下：

1. 每月備份一次系統(tǒng)數(shù)據(jù)。

2. 備份系統(tǒng)后的兩周單獨(dú)備份一次應(yīng)用程序數(shù)據(jù)，主要包括IIS、serv-u、數(shù)據(jù)庫等數(shù)據(jù)。

3. 確保備份數(shù)據(jù)的安全，并分類放置這些數(shù)據(jù)備份。因基本上采用的都是全備份方法，對(duì)于數(shù)據(jù)的保留周期可以只保留該次備份和上次備份數(shù)據(jù)兩份即可。

數(shù)據(jù)恢復(fù)工作：

1.系統(tǒng)崩潰或遇到其他不可恢復(fù)系統(tǒng)正常狀態(tài)情況時(shí)，先對(duì)上次系統(tǒng)備份后發(fā)生的一些更改事件如應(yīng)用程序、安全策略等的設(shè)置做好備份，恢復(fù)完系統(tǒng)后再恢復(fù)這些更改。

2.應(yīng)用程序等出錯(cuò)采用最近一次的備份數(shù)據(jù)恢復(fù)相關(guān)內(nèi)容。

服務(wù)器性能優(yōu)化

1 服務(wù)器性能優(yōu)化

系統(tǒng)性能優(yōu)化

整理系統(tǒng)空間：

刪除系統(tǒng)備份文件，刪除驅(qū)動(dòng)備份。

視情況嚴(yán)重決定處理的方式，是通過遠(yuǎn)程處理還是通過實(shí)地處理。如情況嚴(yán)重建議采用實(shí)地處理。如采用實(shí)地處理，在發(fā)現(xiàn)入侵的第一時(shí)間通知機(jī)房關(guān)閉服務(wù)器，待處理人員趕到機(jī)房時(shí)斷開網(wǎng)線，再進(jìn)入系統(tǒng)進(jìn)行檢查。如采用遠(yuǎn)程處理，如情況嚴(yán)重第一時(shí)間停止所有應(yīng)用服務(wù)，更改IP策略為只允許遠(yuǎn)程管理端口進(jìn)行連接然后重新啟動(dòng)服務(wù)器，重新啟動(dòng)之后再遠(yuǎn)程連接上去進(jìn)行處理，重啟前先用AReporter檢查開機(jī)自啟動(dòng)的程序。然后再進(jìn)行安全檢查。

以下處理措施針對(duì)用戶站點(diǎn)被入侵但未危及系統(tǒng)的情況，如果用戶要求加強(qiáng)自己站點(diǎn)的安全性，可按如下方式加固用戶站點(diǎn)的安全：

站點(diǎn)根目錄――只給administrator讀取權(quán)限，權(quán)限繼承下去。

wwwroot ――給web用戶讀取、寫入權(quán)限。高級(jí)里面有刪除子文件夾和文件權(quán)限

logfiles――給system寫入權(quán)限。

database――給web用戶讀取、寫入權(quán)限。高級(jí)里面沒有刪除子文件夾和文件權(quán)限

如需要進(jìn)一步修改，可針對(duì)用戶站點(diǎn)的特性對(duì)于普通文件存放目錄如html、js、圖片文件夾只給讀取權(quán)限，對(duì)asp等腳本文件給予上表中的權(quán)限。另外查看該用戶站點(diǎn)對(duì)應(yīng)的安全日志，找出漏洞原因，協(xié)助用戶修補(bǔ)程序漏洞。