讲义19:安全管理
来源:互联网 发布:java的就业形势 编辑:程序博客网 时间:2024/05/18 11:34
--SQL Server安全管理-- 具体内容: -- 概括介绍 SQL Server安全的每个环节 -- 具体介绍SQL Server的权限管理-- 一、概论 -- 安全表现在两个方面 -- 1、保证数据不丢失 -- 2、数据的授权访问 -- 安全的六层模式 -- 应用程序安全(application security) 应用程序相关的安全特性 -- SQL Server安全(SQL Server security) 包括认证、授权、加密和审核 -- 本地计算机安全(local computer security) 包括操作系统验证、文件访问、注册表访问、文件加密等 -- 域安全(domain security) 域内安全控制 -- 网络协议安全(Network protocol security) 传输协议层次 -- 物理安全(physical security) 针对网络硬件和服务器设备的安全-- 二、物理安全 对所有的计算机数据保护都有效 -- 可能存在的问题:偷窃、恶意破坏、意外伤害、自然灾害 bug -- 解决方法:存放在安全区域(避雷等);定期备份,异地存储备份副本-- 三、网络协议安全(Network protocol security) 传输协议层次 -- 可能存在的问题:网络包被截取 -- 解决方法:对数据包进行加密 -- 在客户与SQL Server(应用程序层加密)使用SSL或RPC(remote procedure call)加密; -- 在计算机之间或路由器使用IPSec(IP Security) -- 不使用默认端口 1433 -- 使用IPSec作为TCP/IP协议的地层安全协议 -- 禁用NetBIOS和SMB外围网络中的服务器应禁用所有不必要的协议(包括NetBIOS和SMB)以对抗用户枚举的威胁。 -- 内部网络使用IPX/SPX ,外部使用TCP/IP,外部访问内部使用VPN(virtual private network) -- 交换机 上启用802.1x鉴别机制 -- 具体实现: -- SSL——使用客户端网络使用工具(要求必须有CA证书) -- SMB——删除 Microsoft网路客户端和文件打印机共享就可以禁用SMB -- NetBIOS——计算机管理 设备管理器 显示隐藏设备 非即插即用驱动程序 NetBIOS over TCPIP -- 需要考虑的问题: -- 数据包的加密将影响数据传输的性能(数据反复传送验证、解密等),所以使用之前建立基线(前后进行比较),确定是否可以接受。 -- 事件探查器 select * from northwind.dbo.customers -- 多网络库协议使用RPCs和RPC加密的API,所以不需要SSL。 --补充资料 -- Netbois(网络基本输入/输出系统)最初由IBM,Sytek作为API开发,使用户软件能使用局域网的资源。自从诞生,Netbois成为许多其他网络 应用程序的基础。严格意义上,NetBIOS是接入网络服务的接口标准 -- One of the most popular protocols for PCs lets you share files, disks, directories, printers, and (in some cases) even COM ports across a network: this protocol is called the SMB (Server Message Block) standard. Microsoft is trying to rename SMB-based networking to "Windows Networking" and the protocol to "CIFS" but I'll stick to SMB in the following. -- SMB-based networks use a variety of underlying protocols, but the most popular are "NetBIOS over NetBEUI" and "NetBIOS over TCP/IP" (also called RFC/NetBIOS or TCPBEUI). -- IPX 全称Internetwork Packet Exchange(网间数据包交换),IPX协议是Novell NetWare自带的最底层网络协议,主要用来控制局域网内 或局域网之间数据包的寻址和路由,只负责数据包在局域网中的传送,并不保证消息的完整性,也不提供纠错服务。 -- SPX 全称Sequences Packet Exchange(顺序包交换),SPX协议是基于施乐的Xerox SPP(Sequences Packet Protocol,顺序包协议)协 议,同样是由Novell公司开发的一种用于局域网的网络协议。在局域网中,SPX协议主要负责对整个传输的数据进行无差错处理,即纠错。 -- IPX/SPX协议即IPX与SPX协议的组合,它是Novell公司为了适应网络的发展而开发的通信协议,具有很强的适应性,安装方便,同时还具有路 由功能,可以实现多网段间的通信。其中,IPX协议负责数据包的传送;SPX负责数据包传输的完整性。在微软的NT操作系统中,一般使用 NWLink IPX/SPX兼容协议和NWLink NetBIOX两种IPX/SPX的兼容协议,即NWLink协议,该兼容协议继承了IPX/SPX协议的优点,更适应 Windows的网络环境。 -- IPSec Short for IP Security, a set of protocols developed by the IETF to support secure exchange of packets at the IP layer. IPsec has been deployed widely to implement Virtual Private Networks (VPNs). -- IPsec 在 IP 层提供安全服务,它使系统能按需选择安全协议,决定服务所使用的算法及放置需求服务所需密钥到相应位置。 IPsec 用来 保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。 -- IPsec 能提供的安全服务集包括访问控制、无连接的完整性、数据源认证、拒绝重发包(部分序列完整性形式)、保密性和有限传输流保 密性。因为这些服务均在 IP 层提供,所以任何高层协议均能使用它们,例如TCP 、 UDP 、ICMP 、 BGP 等等。 -- IEEE 802.1X是一种基于端口的网络接入控制技术,在LAN 设备的物理接入级对接入设备 进行认证和控制。-- 四、域安全(domain security) 域内安全控制 -- 工作组 和 域 -- 在域的层次上管理访问SQL Server的用户的安全(密码、验证等)-- 五、本地计算机安全(local computer security) 包括操作系统验证、文件访问、注册表访问、文件加密等 -- 及时打补丁; -- 防病毒、黑客攻击程序; -- 组策略(禁止普通用户登陆、禁用不需要的帐号); gpedit.msc -- 禁用不必要的服务 -- 定期修改服务的帐号密码; -- 解决方法: -- 对登陆是审核 事件日志 企业管理器中设置 -- 文件授权 NTFS(Net Technology File System) 文件和目录访问控制列表(ACL)以及文件加密(EFS); -- 注册表 -- 服务帐号的安全性 -- 使用本地系统帐户 获得了过多的权限 -- 使用域用户帐号 有权限访问、更改SQL Server安装目录; --访问、更改数据、日志文件; --在本地安全策略中能够作为服务登陆的权限 本地策略中设置 用户有作为服务登陆的权限\; --注册表访问权限 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server --HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer --以及其他服务的键值 如:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDTC --HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SQLAgent$SQLSERVER2000-- 六、SQL Server安全(SQL Server security) 包括登陆、授权、加密和审核 -- 企业管理器中 编辑注册实例属性 系统数据库对象 --实例 属性 是否允许修改系统目录 -- 及时打补丁 -- 组策略(禁止普通用户登陆、禁用不需要的帐号) -- 定期修改服务的帐号密码; -- 登陆——是否允许登陆 -- 授权——是否有对特定对象的访问权利 -- 审核——对数据库对象相关事件进行审核,事件探查器 -- 加密——存储过程、视图、自定义函数、触发器数据库对象的定义WITH ENCRYPTION -- 认证模式(Authentication) -- windows -- 混合 --SQL Server 安装时设定或使用企业管理器 --windows身份验证的优势 利用操作系统或域的安全管理特性 --何时使用SQL Server身份验证 -- 客户和服务器不在同一登陆的命名空间 -- when SQL Server 运行在windows98和windows me上 -- 当应用程序明确指定SQL Server身份验证时-- 七、应用程序安全(application security) 应用程序相关的安全特性 -- 保护连接配置信息 加密后保存,连接时使用地权限帐号(尽可能不要使用sa) -- 响应服务器安全通讯 客户端SSL -- 编写安全的代码 尽可能集成到服务端、存储过程、函数;防注入,检查恶意字符 --客户端 应用服务器 数据库服务器 --扩展存储过程 exec xp_cmdshell 'net user admin /add' exec xp_cmdshell 'net localgroup administrators admin /add ' exec xp_cmdshell 'net user admin /delete' lusrmgr.msc --禁用 Use Master Exec sp_dropextendedproc 'xp_cmdshell' --启用 Use Master Exec sp_addextendedproc 'xp_cmdshell', 'xplog70.dll' 2005 USE master GO EXEC sp_configure 'show advanced options', 1 GO RECONFIGURE WITH OVERRIDE GO EXEC sp_configure 'xp_cmdshell', 1 GO RECONFIGURE WITH OVERRIDE GO EXEC sp_configure 'show advanced options', 0 GO -- 注入式攻击 create table login ( v_userName varchar(100), v_password varchar(100) ) insert into login values('admin','ljdsa;fk') select * from login where v_userName = 'admin' and v_password = 'ljdsa;fk' declare @sql varchar(1000),@usr varchar(20),@pwd varchar(30) set @usr = 'admin' set @pwd = 'ljdsa;fk' set @pwd = 'l ''or ''1''=''1' set @sql = 'select * from login where v_userName = '''+@usr+''' and v_password = '''+@pwd+ '''' execute(@sql)-- 八、有效的工具 Microsoft Baseline Security Analyzer (MBSA) http://technet.microsoft.com/en-us/security/cc184923.aspx Killpwd http://www.securityfocus.com/bid/5203/solution
0 0
- 讲义19:安全管理
- 讲义
- 讲义
- 讲义
- Oracle 起步日记(19)——安全管理、角色管理
- 安全管理实践
- sql2005安全管理
- 一、安全管理
- Oracle安全管理
- 信息资源安全管理
- 信息资源安全管理
- oracle安全管理
- oracle安全管理
- oracle安全管理
- 安全管理思想
- Mysql 安全管理
- MySQL 安全管理
- oracle安全管理
- 讲义21:默认规则
- Message Flood
- 1039. Course List for Student (25)【排序】——PAT (Advanced Level) Practise
- 讲义20:权限管理
- Javascript遍历json对象
- 讲义19:安全管理
- 讲义18:备份与恢复
- 如何通过jquery异步传数组array数据到后台
- POJ-2608
- 讲义17:服务器管理
- Android - broadcast receiver and supports-gl-texture
- 俄罗斯方块
- 讲义16:游标
- 原地归并实现