SQL SERVER的安全問題一直是困擾DBA的一個難題,作為開發者和用戶希望自己的權限越大越好,最好是SA,而作為DBA希望所有的用戶權限越小越好,這總是一對矛盾。一般來說,我們會考慮采用WINDOWS驗證模式,建立安全的用戶權限,改變SQL SERVER TCP/IP的默認端口...等安全措施,但很多DBA還是忽略了MSSQL SERVER服務的啟動賬號,這也是一個非常值得重點關注的問題。特別是MSSQL SERVER提供了許多操作系統和注冊表擴展存儲過程,比如:xp_cmdshell, xp_regdeletekey, xp_regdeletevalue 等等。 我們先來回顧一下MSSQL SERVER執行這些擴展存儲過程的步驟。MS SQL SERVER提供的擴展存儲過程使你可以向T-SQL一樣調用一些動態鏈接庫的內部函數邏輯,而且這些擴展存儲過程可以包括WIN32和COM的大多數功能。 當關系數據庫引擎確定 Transact-SQL 語句引用擴展存儲過程時: 關系數據庫引擎將擴展存儲過程請求傳遞到開放式數據服務層。 然後開放式數據服務將包含擴展存儲過程函數的 DLL 裝載到 SQL Server 2000 地址空間(如果還沒有裝載)。 開放式數據服務將請求傳遞到擴展存儲過程。 開放式數據服務將操作結果傳遞到數據庫引擎。 從上圖中我們可以清楚的看到SQL Server 2000的數據庫引擎通過擴展存儲過程和Windows Resources進行交互。而擴展存儲過程可以完成處理操作系統任務的關鍵是要有一個自己的身份SID,這個SID就來自MSSQL SERVER服務啟動賬號。所以如果這個MSSQL SERVER服務啟動賬號是administrators組的用戶,我們就可以通過這些擴展存儲過程做任意想做的事情:刪除系統信息,破壞注冊表等等。如果我們限制MSSQL SERVER服務啟動賬號的權限,這樣即使“黑客”或懷有惡意的開發人員獲得數據庫的管理員權限,也不會對操作系統造成很大的影響。只要有數據庫的備份我們可以非常方便的恢復數據庫,而不要重新安裝系統。所以為了更安全的保護我們的系統,我們希望MSSQL SERVER服務啟動賬號的權限越低越好。 作為系統的一個服務,啟動MSSQL SERVER 2000服務的用戶賬號也需要一些必要的權限,下面我們就通過一個具體的實例來解釋這些權限(本實例只針對成員服務器,如果是DC和啟動了活動目錄Active Directory還需要其它的配置): 1.通過本地用戶管理,建立一個本地用戶sqlserver,密碼:123456; 2.如果現在就我們打開SERVICES配置通過該用戶啟動,系統會報錯誤: Source:Service Control Manager Event ID:7000 Description: The %service% service failed to start due to the following error: The service did not start due to a logon failure. No Data will be available. 這是因為作為一個普通用戶是無法啟動服務的,我們需要給sqlserver用戶分配必要的權限。 SQL Server服務啟動賬號必須有3個基本權限: 數據庫本地目錄的讀寫權限; 啟動本地服務的權限; 讀取注冊表的權限; 3.賦予sqlserver用戶MSSQL目錄的讀寫權限; 因為我的SQL SERVER是安裝在D盤,所以我在權限管理中,將D:\PROGRMAM FILE\Microsoft SQL Server\MSSQL讀寫權 限賦予sqlserver用戶。 4. 分配sqlserver用戶啟動本地服務的權限; 這個比較復雜,我只舉例作為成員服務器的情況。 啟動“Local Security Setting” MMC 管理單元。 展開Local Policy,然後單擊User Rights Assignment。 在右側窗格中,右鍵單擊Log on as Service,將用戶添加到該策略,然後單擊OK。 在右側窗格中,右鍵單擊Log on as a batch job,將用戶添加到該策略,然後單擊OK 在右側窗格中,右鍵單擊Locks pages in memory,將用戶添加到該策略,然後單擊OK 在右側窗格中,右鍵單擊Act as part of the operating systme,將用戶添加到該策略,然後單擊OK 在右側窗格中,右鍵單擊Bypass traverse checking,將用戶添加到該策略,然後單擊OK 在右側窗格中,右鍵單擊Replace a process level token,將用戶添加到該策略,然後單擊OK 關閉“Local Security Setting” MMC 管理單元。 如圖: 5.重新啟動系統,用sqlserver用戶登陸系統; 6.再重新啟動系統,已administrator用戶登陸,打開SERVICES管理工具,配置用該用戶啟動MSSQLSERVER服務; 這樣我們就可以通過限制SQLSERVER用戶的權限來控制SQLSERVER擴展存儲過程的權限。現在sqlserver用戶只對D:\PROGRMAM FILE\Microsoft SQL Server\MSSQL目錄有寫的權限,這樣就降低了通過xp_cmdshell來刪除系統文件的風險。 通過收購來配置是比較繁瑣的,幸運的是MS SQLSERVER已經提供了這樣的工具來配置啟動啟動賬號,你可以通過SQLSERVER的企業管理器配置,入下圖: 這樣SQL SERVER企業管理器會自動幫你配置好所有的必要條件。包括目錄的訪問權限,啟動服務的權限,訪問注冊表的權限等等。所以我們正確的配置順序是:
1.建立用戶; 2.在SQL SERVER企業管理器中配置該用戶啟動; 3.在分配其它相應的權限(如果需要復制操作); 備注: 通過SQL Server企業管理器增加的服務啟動賬號,會在registry中增加很多信息,即使你更換用戶也不會刪除,所以在改變服務啟動賬號不要頻繁更換,這樣會增大registry的容量。同時要注意,只有屬於sysadmin角色的用戶才可以配置SQL Server服務的啟動賬號。 總結: 構建一個安全高效的SQLSERVER是多方面的,深入了解SQLSERVER的運行機制是基礎。我們不但要考慮數據庫用戶的安全,也要考慮SQLSERVER服務的安全性。
,
