步驟
說明
mdac公升級
安裝最新的mdac(http://www.microsoft.com/data/download.htm
)密碼策略
由於sql server
不能更改
sa使用者名稱,也不能刪除這個超級使用者,所以,我們必須對這個帳號進行最強的保護,當然,包括使用乙個非常強壯的密碼,最好不要在資料庫應用中使用
sa帳號。新建立乙個擁有與
sa一樣許可權的超級使用者來管理資料庫。同時養成定期修改密碼的好習慣。資料庫管理員應該定期檢視是否有不符合密碼要求的帳號。比如使用下面的
sql語句:
use master
select name,password from syslogins where password is null
資料庫日誌的記錄
核資料庫登入事件的「失敗和成功」,在例項屬性中選擇「安全性」,將其中的審核級別選定為全部,這樣在資料庫系統和作業系統日誌裡面,就詳細記錄了所有帳號的登入事件。
管理擴充套件儲存過程
xp_cmdshell
是進入作業系統的最佳捷徑,是資料庫留給作業系統的乙個大後門。請把它去掉。使用這個
sql語句:
use master
sp_dropextendedproc 'xp_cmdshell'
如果你需要這個儲存過程,請用這個語句也可以恢復過來。
sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
ole自動儲存過程(會造成管理器中的某些特徵不能使用),這些過程包括如下(不需要可以全部去掉:
sp_oacreate sp_oadestroy sp_oageterrorinfo sp_oagetproperty
sp_oamethod sp_oasetproperty sp_oastop
去掉不需要的登錄檔訪問的儲存過程,登錄檔儲存過程甚至能夠讀出作業系統管理員的密碼來,如下:
xp_regaddmultistring xp_regdeletekey xp_regdeletevalue xp_regenumvalues xp_regread xp_regremovemultistring xp_regwrite
防tcp/ip埠探測
在例項屬性中選擇
tcp/ip
協議的屬性。選擇隱藏
sql server
例項。請在上一步配置的基礎上,更改原預設的
1433
埠。在
ipsec
過濾拒絕掉
1434
埠的udp
通訊,可以盡可能地隱藏你的
sql server
。對網路連線進行ip限制
使用作業系統自己的
ipsec
可以實現
ip資料報的安全性。請對
ip連線進行限制,保證只有自己的
ip能夠訪問,拒絕其他
ip進行的埠連線。
附:win2003系統建議禁用服務列表
名稱
服務名
建議設定
自動更新
wuauserv
禁用background intelligent transfer service
bits
禁用computer browser
browser
禁用dhcp
禁用ntlmssp
禁用network location awareness
nla禁用
sy**onlog
禁用srvcsurg
禁用remoteregistry
禁用lanmanserver
禁用lmhosts
禁用dhcp
禁用ntlmssp
禁用terminal services
termservice
禁用msiserver
禁用wmi
禁用wmiapsrv
禁用error reporting
errrep
禁用
伺服器安全加固
注 以下所有操作均在centos 6.5 x86 64位系統下完成。寫在最前 安全無小事,一切只要能增強安全性的事情,都是值得去做的。安全配置 1 防止伺服器被ping,禁止該功能。echo 1 proc sys net ipv4 icmp echo ignore all 並且儲存配置到開機自動設定...
Linux伺服器安全加固
一 修改密碼和ssh登入埠,並且盡可能的用金鑰對登入,禁止用密碼登入 主要針對linux 二 修改 etc hosts.allow 設定僅僅允許某幾台去ssh sshd 45.195.修改 etc hosts.deny sshd all in.telnet all 三 把系統中的一些不必要的使用者和...
IIS與SQL伺服器安全加固詳解
iis web伺服器安全加固步驟 步驟 安裝和配置 windows server 2003。注意 1.將 system32 cmd.exe轉移到其他目錄或更名 2.系統帳號盡量少,更改預設帳戶名 如administrator 和描述,密碼盡量複雜 3.拒絕通過網路訪問該計算機 匿名登入 內建管理員帳...