7、SQL权限的安全设置
ASP+MSSQL是黑客最感兴趣的网站,通常黑客能很轻松的利用MSSQL的漏洞拿到系统权限,因此这一块是大家要加以重视。
首先系统安装的时候,尽量不要默认安装到c:\Program files目录里面,然后安装好之后要打好SQL数据库最新的补丁程序。然后数据库不要放在默认的位置,接下来就要看网站是否需要远程登录sql服务器,我们建议能不用远程就不要用,如果必须使用的话,那建议大家可以把端口改成一个高端端口,这样黑客很难找到。
在做好安全安装的工作之后,就要把SA设置一个复杂的密码,然后把SQL里面的BUILTIN\Administrators用户组删除,这样是避免黑客以WINDOWS身份登录SQL。接着在企业管理器里面编辑SQL Server注册属性,选择使用“使用SQL Server身份验证”并勾选“总是提示输入登录名和密码”。
然后在增加用户的时候,只给public和db_owner权限。
添加用户
exec sp_addlogin 'abc'
使它变为当前数据库的合法用户
exec sp_grantdbaccess N'abc'
授予abc用户对数据库的db_owner权限
exec sp_addrolemember N'db_owner', N'abc'
最后我们就要删除一些黑客常用到的调用SHELL,操作注册表,调用COM组件的权限:
打开查询分析器,输入:
use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
点击菜单上“查询”里面的“执行”,这样就可以把这些会被黑客利用的权限删除掉。