sql server 2008威脅和漏洞矩陣
儘管 SQL Server 包含各種安全機制,但是每個系統中都存在可被惡意利用的功能。每項暴露資料或其他資訊的功能,如果實施錯誤,就可視為風險。
儘管每項功能可能表示存在一個風險,但是所有風險並不等同。有些風險需要更改操作,有些風險需要更改設定,而有些風險需要更改程式碼。下表列出了一些風險,以及為了減少風險可以採取的預防步驟。
過程威脅和漏洞
威脅或漏洞 定義 緩解措施
安全策略
安全策略是單位為了防止、跟蹤和響應安全威脅而遵從的過程和步驟的記錄。它包含有關係統的適當訪問許可權、修補程式及防火牆和防病毒機制等策略。
建立、檢查、分發和維護有效的安全策略。有關如何建立安全策略的詳細資訊,請參閱保護 SQL Server。
“最小許可權”原則
“最小許可權”原則指的是系統應僅允許針對安全物件的所需訪問級別。此外,訪問許可權僅對有直接需求的使用者啟用,且僅啟用指定的時間。可能編寫的應用程式提供了過多的訪問許可權,而帳戶也可能具有太多的訪問許可權。
根據最小許可權原則檢查並實施安全性。有關如何開發使用最小許可權概念的應用程式的詳細資訊,請參閱 MSDN 上的 Best Practices in a Least Privileged Environment(最小許可權環境下的最佳做法)。
安全公告
Microsoft 在不同的平臺上驗證並測試了安全資訊後就會立即釋出它們。沒有注意到這些公告的單位將無法實施適當的安全指南,從而給自己的系統帶來了風險。
檢視並跟蹤 SQL Server 安全公告。有關詳細資訊,請參閱 TechNet 上的 Microsoft Security Bulletin Search(Microsoft 安全公告搜尋)。
平臺威脅和漏洞
威脅或漏洞 定義 緩解措施
系統未更新(未應用軟體更新)
Microsoft 釋出軟體更新以使 SQL Server 具有更高的安全性。不跟蹤或應用這些軟體更新會使系統更易受到攻擊。
檢視並應用所有可用的 Service Pack 和修補程式。有關詳細資訊,請參閱 SQL Server TechCenter 上的 Downloads(下載)頁。
網路埠利用
網路是對 SQL Server 進行攻擊性訪問的主要來源。向 Internet 開放標準埠可招致攻擊。
如果伺服器與 Internet 連線,請啟用伺服器上的防火牆,並使用 SQL Server 配置管理器工具來設定網路配置。還應考慮使用安全套接字層 (SSL) 來獲得更強的安全性。有關防火牆和 SQL Server 的詳細資訊,請參閱如何為資料庫引擎訪問配置 Windows 防火牆。有關如何配置網路設定的詳細資訊,請參閱 SQL Server 配置管理器。有關如何在 SQL Server 中使用安全套接字層的詳細資訊,請參閱加密與 SQL Server 的連線。
不恰當的服務帳戶設定
經常給 SQL Server 的服務帳戶授予了對平臺或網路的過多訪問許可權。
SQL Server 服務帳戶應當按最小許可權的原則執行,並且應當具有強密碼。有關服務帳戶的詳細資訊,請參閱設定 Windows 服務帳戶。有關密碼的詳細資訊,請參閱強密碼。
外圍應用太廣泛
SQL Server 的特徵和功能可能會發生不必要的暴露。
使用 SQL Server 配置管理器和基於策略的管理可以控制功能和其他元件。有關詳細資訊,請參閱瞭解外圍應用配置器。
啟用了不必要的儲存過程
某些擴充套件的儲存過程允許對作業系統或登錄檔進行訪問。
除非絕對必要,否則不要啟用允許訪問作業系統或登錄檔的儲存過程。有關詳細資訊,請參閱瞭解外圍應用配置器。
身份驗證威脅和漏洞
威脅或漏洞 定義 緩解措施
弱密碼
簡單的密碼極易受到強力攻擊或字典攻擊。
請始終使用複雜的強密碼。有關詳細資訊,請參閱強密碼。另請參閱 CREATE LOGIN (Transact-SQL) 和 ALTER LOGIN (Transact-SQL) 語句中的 CHECK_POLICY 和 CHECK_EXPIRATION 選項。
使用者帳戶未稽核
使用者(主體)經常變更職位或離開單位。如果使用者帳戶的訪問許可權沒有更改,仍可通過以前的許可權級別來訪問系統。
應經常稽核使用者帳戶,以確保啟用的資料庫伺服器和物件訪問許可權適當。有關如何稽核 SQL Server 訪問許可權的詳細資訊,請參閱監視錯誤日誌。
程式設計威脅和漏洞
威脅或漏洞 定義 緩解措施
SQL 注入
將惡意查詢嵌入合法查詢的做法。
有關處理 SQL 注入攻擊的詳細資訊,請參閱 SQL 注入。
嵌入的密碼
某些應用程式將連線字串儲存到程式或配置檔案中。
不要將密碼或敏感連線資訊儲存在程式、登錄檔或配置檔案中。有關詳細資訊,請參閱密碼策略。
資料訪問威脅和漏洞
威脅或漏洞 定義 緩解措施
未合理使用加密
加密模糊處理 SQL Server 中的資料或連線資訊。需要加密時未進行加密,或在不必要時加密,會帶來不必要的風險和複雜性。
瞭解並正確實施 SQL Server 加密。有關詳細資訊,請參閱 SQL Server 加密。
未合理使用證書
證書是一個驗證身份的機制。SQL Server 可以將證書用於不同用途,包括連線和資料。未正確使用自我認證和延長的驗證期限將導致整體安全性降低。
瞭解並正確實施 SQL Server 證書。有關詳細資訊,請參閱 SQL Server 證書和非對稱金鑰。
SQL Server 金鑰未備份
SQL Server 例項以及它包含的資料庫可以具有用於不同安全用途的多個金鑰。其中包括加密。
應對伺服器金鑰(也稱為服務主金鑰)和資料庫金鑰進行備份並安全儲存。還應對它們進行定期更改。有關詳細資訊,請參閱 SQL Server 和資料庫加密金鑰(資料庫引擎)。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/16436858/viewspace-503151/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 威脅分析矩陣(轉載)矩陣
- Firefox出漏洞 Redhat受威脅FirefoxRedhat
- 矩陣和陣列矩陣陣列
- SQL Server 2008稽核操作組和操作SQLServer
- PHP Everywhere 三個 RCE 漏洞威脅大量 WordPress 網站PHP網站
- iOS也不安全?高危漏洞威脅近半果粉!iOS
- 工信部網路安全威脅和漏洞資訊共享平臺正式上線執行
- SQL Server 2008中Analysis Services的新特性——深入SQL Server 2008SQLServer
- SQL Server 2008 效能監視和優化SQLServer優化
- SQL Server 2008 效能測試和調優SQLServer
- SQL Server 2008的效能和擴充套件SQLServer套件
- “三隻小貓”漏洞威脅全球數百萬思科路由器路由器
- 最大子矩陣和矩陣
- SQL SERVER 2008安全配置SQLServer
- SQL Server 2008 過期SQLServer
- 安裝sql server 2008SQLServer
- SQL Server 2008 安全更改SQLServer
- 微軟之日 --- SQL Server 2008微軟SQLServer
- sql點滴38—SQL Server 2008和SQL Server 2008 R2匯出資料的選項略有不同SQLServer
- SQL隱碼攻擊漏洞威脅網路安全 防禦措施應從編碼開始做起SQL
- SQL Server 2008效能監控和效能優化SQLServer優化
- SQL Server 2008效能監視和優化工具SQLServer優化
- SQL Server 2008效能監視和優化概述SQLServer優化
- SQL Server 2008 的恢復和備份模式SQLServer模式
- 伴隨矩陣和逆矩陣的關係證明矩陣
- 生成螺旋矩陣(方陣、矩陣)矩陣
- 怎樣從SQL Server2008升級到SQL Server 2008 r2SQLServer
- 什麼是網路安全威脅?常見威脅有哪些?
- SQL Server 2008快照備份SQLServer
- SQL Server 2008 優化工具SQLServer優化
- SQL Server 2008備份概述SQLServer
- sql server 2008 是否值得期待?SQLServer
- SQL Server 2008密碼策略SQLServer密碼
- SQL Server 2008 sqlcmd 的使用SQLServer
- SQL Server2008引擎元件SQLServer元件
- Installing SQL Server 2008 on a Windows Server 2008 ClusterSQLServerWindows
- SQL Server 2008還原檔案和檔案組SQLServer
- SQL Server 2008 備份檔案和檔案組SQLServer