3.7.5.3 SQL Server安全分析

作者: 王达 出处:电子工业出版社 　2007-07-26 11:40　   砖    好    评论  条 　进入论坛

阅读提示：本章仅从基础层面对黑客攻击的一些主要方面进行介绍，如了解黑客攻击的类型和主要攻击方式，端口和漏洞扫描，以及在Windows 2000/Server 2003系统下针对拒绝服务攻击所进行的TCP协议深层配置。本文介绍了SQL Server安全分析.

3．SQL Server安全分析
MBSA 2.0.1将扫描 SQL Server 7.0 和 SQL Server 2000 中的安全问题，如身份验证模式的类型、sa账户密码状态，以及SQL服务账户成员身份。关于每一个SQL Server扫描结果的说明都显示在安全报告中，并带有关于修复发现的任何问题的操作说明。
MBSA 2.0.1的SQL Server安全分析功能如下。
检查将确定Sysadmin角色的成员的数量，并将结果显示在安全报告中。
检查将确定是否有本地SQL Server账户采用了简单密码（如空白密码）。
检查将确定被扫描的SQL Server上使用的身份验证模式。
检查将验证SQL Server目录是否都将访问权只限制到SQL服务账户和本地Administrators。
检查将确定SQL Server 7.0和SQL Server 2000 sa账户密码是否以明文形式写到%temp%\sqlstp.log和%temp%\setup.iss文件中。
检查将确定SQL Server Guest账户是否具有访问数据库（MASTER、TEMPDB和MSDB除外）的权限。
检查将确定SQL Server是否在一个担任域控制器的系统上运行。
检查将确保Everyone组对"HKLM\Software\Microsoft\Microsoft SQL Server"和"HKLM\Software\Microsoft\MSSQLServer"两注册表项的访问权被限制为读取权限。如果Everyone组对这些注册表项的访问权限高于读取权限，那么这种情况将在安全扫描报告中被标记为严重安全漏洞。
检查将确定SQL Server服务账户在被扫描的计算机上是否为本地或Domain Administrators组的成员，或者是否有SQL Server服务账户在LocalSystem上下文中运行。
下载并安装MBSA 2.0.1软件后，运行即打开如图3-50所示的程序主界面，在这里可以选择是检测一台计算机，还是检测多台计算机。如果要检测一台（通常是当前计算机，但也可以是网络中其他计算机），则单击"Scan a computer"链接，打开如图3-51所示对话框。在"User name"栏中默认显示的当前计算机名。用户也可以更改，或者在下面的"IP address"栏中输入要检测的其他计算机IP地址。

图3-50  MBSA 2.0.1程序主界面

图3-51  单台计算机检测的配置界面

在对话框下面有许多复选框。其中主要涉及到选择要扫描检测的项目，包括Windows系统本身、IIS和SQL等相关选项，也就是MBSA的3大主要功能。根据所检测的计算机系统中所安装的程序系统和实际需求来确定即可。如一般的客户端系统只需检测Windows系统本身，则需要选择“Check for Windows administrative vulnerabilities”（检测Windows系统管理权限的脆弱性）和“Check for weak passwords”（检测用户密码的脆弱性）和“Check for security updates”（检测安全更新，也就是安全补丁的安装）复选框；而如果是对于在IIS中配置了网站、FTP站点和邮件服务器等，则需要选择“Check for IIS administrative vulnerabilities”（检测IIS管理权限的脆弱性）复选框；如果是SQL服务器系统，则需要选择“Check for SQL administrative vulnerabilities”（检测SQL管理权限的脆弱性）。如果选择了“Configure computers for Microsoft Update and scanning prerequisites”复选框，则检测的同时程序会自动为所检测的计算机下载没有安装的安全补丁，否则不会下载安装。如果要形成检测结果报告文件，则在“Security report name”栏中输入报告文件名称。
输入要检测的计算机，并选择好要检测的项目后，单击如图3-51所示界面中【Satrt scan】按钮，程序则自动开始检测已选择的项目。检测完成后会形成一个报告，如图3-52所示。
在报告中凡是检测到存在严重安全隐患的则以红色的“×”显示，中等级别的则以黄色的“×”显示。而且用户还可以单击“How to correct this”链接，得知该如何配置才能纠正这些不正当的设置。当然它是直接打开互联网站的网页，而且目前仍是英文的。在笔者的检测中，从结果中可以看出，它的前面两项（File System和Guest Account）严重隐患是说笔者当前系统中不是所有磁盘分区都是NTFS格式和启用了Guest（来宾）账户。第3项（Automatic Updates）中等级别的隐患，是说系统中的自更新功能没有启用。
如果要同时检测多台计算机上的安全漏洞，则需在如图3-50所示程序主界面中单击【Scan more than one computer】按钮，打开如图3-53所示对话框。

图3-52  MBSA的检测结果报告

图3-53  检测多台计算机的配置界面

在这里可以指定要扫描检测的多部计算机。所扫描的多台计算机范围可以通过在对话框中的“Domain name”文本框中输入这些计算机所在域来确定。这样的话，则检测相应域中所有的计算机，也可以通过在“IP address range”栏中输入IP地址段中的起始IP地址和终止IP地址来确定，这样只检测IP地址范围内的计算机。然后单击【Start Scan】按钮同样可开始检测。

回书目   上一节   下一节