当前位置: 首页 > 图文教程 > 数据库 > MSSQL > 建立安全的MSSQL SERVER启动账号

MSSQL
修复断电等损坏的SQL 数据库
SQL 返回期间内的所有日期
数据库中的内容字段被挂马的替换方法 SQL注入
同一个sql语句 连接两个数据库服务器
SQL Server 空值处理策略[推荐]
sql2005 create file遇到操作系统错误5拒绝访问 错误1802
SQL SERVER 删除重复内容行
SQL SERVER 的SQL语句优化方式小结
数据库高并发情况下重复值写入的避免 字段组合约束
一个有趣的SQL命题 用一条语句切换BIT型的真假值
AspNetPager分页控件 存储过程
SQL Server自动生成日期加数字的序列号
远程连接局域网内的SQL Server 的方法
把数据批量插入具有Identity列的表的方法
SQL Server 索引维护sql语句
从两种SQL表连接写法来了解过去
SQLServer 循环批处理
从每个分类选择10条记录的sql语句
SQLServer XML查询快速入门(18句话)
被遗忘的SQLServer比较运算符谓词

建立安全的MSSQL SERVER启动账号


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-30   浏览: 122 ::
收藏到网摘: n/a

 SQL SERVER的安全问题一直是困扰DBA的一个难题,作为开发者和用户希望自己的权限越大越好,最好是SA,而作为DBA希望所有的用户权限越小越好,这总是一对矛盾。一般来说,我们会考虑采用WINDOWS验证模式,建立安全的用户权限,改变SQL SERVER TCP/IP的默认端口...等安全措施,但很多DBA还是忽略了MSSQL SERVER服务的启动账号,这也是一个非常值得重点关注的问题。特别是MSSQL SERVER提供了许多操作系统和注册表扩展存储过程,比如:xp_cmdshell, xp_regdeletekey, xp_regdeletevalue 等等。 
 
     我们先来回顾一下MSSQL SERVER执行这些扩展存储过程的步骤。MS SQL SERVER提供的扩展存储过程使你可以向T-SQL一样调用一些动态链接库的内部函数逻辑,而且这些扩展存储过程可以包括WIN32和COM的大多数功能。
当关系数据库引擎确定 Transact-SQL 语句引用扩展存储过程时: 
关系数据库引擎将扩展存储过程请求传递到开放式数据服务层。 
然后开放式数据服务将包含扩展存储过程函数的 DLL 装载到 SQL Server 2000 地址空间(如果还没有装载)。 
开放式数据服务将请求传递到扩展存储过程。 
开放式数据服务将操作结果传递到数据库引擎。 
从上图中我们可以清楚的看到SQL Server 2000的数据库引擎通过扩展存储过程和Windows Resources进行交互。而扩展存储过程可以完成处理操作系统任务的关键是要有一个自己的身份SID,这个SID就来自MSSQL SERVER服务启动账号。所以如果这个MSSQL SERVER服务启动账号是administrators组的用户,我们就可以通过这些扩展存储过程做任意想做的事情:删除系统信息,破坏注册表等等。如果我们限制MSSQL SERVER服务启动账号的权限,这样即使“黑客”或怀有恶意的开发人员获得数据库的管理员权限,也不会对操作系统造成很大的影响。只要有数据库的备份我们可以非常方便的恢复数据库,而不要重新安装系统。所以为了更安全的保护我们的系统,我们希望MSSQL SERVER服务启动账号的权限越低越好。
作为系统的一个服务,启动MSSQL SERVER 2000服务的用户账号也需要一些必要的权限,下面我们就通过一个具体的实例来解释这些权限(本实例只针对成员服务器,如果是DC和启动了活动目录Active Directory还需要其它的配置):
1.  通过本地用户管理,建立一个本地用户sqlserver,密码:123456;
2.  如果现在就我们打开SERVICES配置通过该用户启动,系统会报错误:
Source:Service Control Manager
Event ID:7000
Description:
The %service% service failed to start due to the following error:
The service did not start due to a logon failure.
No Data will be available.
这是因为作为一个普通用户是无法启动服务的,我们需要给sqlserver用户分配必要的权限。
SQL Server服务启动账号必须有3个基本权限:
l         数据库本地目录的读写权限;
l         启动本地服务的权限;
l         读取注册表的权限;
 
3.  赋予sqlserver用户MSSQL目录的读写权限;
因为我的SQL SERVER是安装在D盘,所以我在权限管理中,将D:\PROGRMAM FILE\Microsoft SQL Server\MSSQL读写权限赋予sqlserver用户。
4.  分配sqlserver用户启动本地服务的权限;
这个比较复杂,我只举例作为成员服务器的情况。
l         启动“Local Security Setting” MMC 管理单元。 
l         展开Local Policy,然后单击User Rights Assignment。 
l         在右侧窗格中,右键单击Log on as Service,将用户添加到该策略,然后单击OK。 
l         在右侧窗格中,右键单击Log on as a batch job,将用户添加到该策略,然后单击OK
l         在右侧窗格中,右键单击Locks pages in memory,将用户添加到该策略,然后单击OK
l         在右侧窗格中,右键单击Act as part of&