使用表面区域配置工具保护服务
CISSP公司:Kevin Beaver
在SQL Server 2005中,你可以手工地配置来平衡安全性和功能之间的关系。然而,如果你想要确保你覆盖了所有的安全基础范围,并且只想激活你绝对需要的服务(还有最小化对“表面”的攻击),微软使得这项工作对你而言简单化了。我说的是SQL Server 表面区域配置工具,这是构建在SQL Server 2005和 SQL Server 2005 Express 版本上的。
你可以通过开始/程序/微软SQL Server 2005/配置工具,或者简单的点击一下表面区域配置工具链接(安装过程中,在如下图1显示的最后安装窗口中)即可访问表面区域配置了。
Figure 1: 微软 SQL Server 2005 安装
一旦启动了这个工具,你有两个主要的配置选项,如下图2所示:
1. 针对服务和连接的表面区域配置。
2. 针对特性的表面区域配置。
Figure 2: SQL Server 2005 表面区域配置
你在本地机器上或者在远程系统上完成了如下的更改,如果你的默认设置是不允许网络连接的话,那么这个过程就没有看上去那么直观了。默认的是本地主机,但是你可以通过图3所示的链接(更改计算机)选择一个远程系统。
Figure 3:针对服务和连接的表面区域配置
针对服务和连接的配置选项允许你管理数据库引擎和浏览器访问,以及更多的内容,这个根据你的SQL Server的版本而定,还有如下配置页面上显示的一个运行SQL Server Express的服务器上的网络连接。
针对特性的配置选项可以让你配置服务代理(Service Broker),xp_cmdshell,以及如下图所示更多的内容。
Figure 4:针对特性的表面区域配置
还有用来导出硬化的SQL Server 2005配置,以及导入到另一台服务器的SAC命令行工具,这样就不需要你重复配置的步骤了。这个工具(sac.exe)是在程序/微软SQL Server \90\共享中,它的命令行开关在如下图5显示的位置。
Figure 5:命令行提示
记住,以前的SQL Server版本在升级到SQL Server 2005之后仍然将会保留他们的设置,所以运行表面区域配置工具是必需的。
还有一个更重要的步骤就是启动你的SQL Server 2005安装来从一个坏人的视角进行测试。你可以尝试攻击SQL Server密码,查找存储过程的弱点,将缓冲区溢出,等等。
无论你使用什么样的工具、技术或者检测列表来保护你的系统,遇到严重的攻击的可能性还是存在的。微软的基线安全分析器(MBSA)工具现在还不会删除它,因为它现在还不支持SQL Server 2005,或者是在未来,因为它不是一个鲁棒的安全测试工具。要获得从外部察看可能存在的安全漏洞的靠得住的方式,就是使用安全测试工具,例如Qualys的 QualysGuard 和 Application Security的AppDetective,以及/或者类似的商业产品。
作者简介:Kevin Beaver是一位独立信息安全顾问,作家和位于亚特兰大的Principle Logic公司的发言人。他有超过18年的IT工作经验,以及在执行信息安全评估方面的特殊经验。Beaver已经编写了5本书,其中包括《Hacking For Dummies》(Wiley出版社),《Hacking Wireless Networks For Dummies》,以及《The Practical Guide to HIPAA Privacy and Security Compliance》(Auerbach出版社)。你可以通过kbeaver@principlelogic.com联系他。
本文国际来源:http://searchsqlserver.techtarget.com/tip/1,289483,sid87_gci1179692,00.html
