Windows2003服务器安装及设置教程之十六MSSQL安全篇.doc

在Windows 2003服务器环境中，MSSQL Server的安全性是至关重要的，因为它承载着大量的数据和服务。这篇教程详细介绍了如何确保SQL Server的安全，主要分为两个部分：将MSSQL Server运行在普通用户下以及删除危险的存储过程。 为何要让MSSQL Server运行在普通用户权限下？这是因为，如果SQL Server使用了"超级管理员"或"本地系统用户"身份运行，那么一旦被黑客攻击，他们就可能利用这些高权限账户对服务器造成严重破坏。因此，降低SQL Server的服务运行权限到普通用户级别是必要的安全措施，可以限制潜在的攻击范围。 实施步骤如下： 1. 创建一个新的普通用户，例如名为“mssqlrun”。 2. 通过“计算机管理”->“本地用户和组”创建这个用户，并设置强密码。 3. 修改SQL Server安装目录的安全属性，添加新创建的用户“mssqlrun”，并给予适当的权限，通常是“读取”和“列出文件夹目录”。 4. 删除系统用户的权限，如“SYSTEM”，并赋予“mssqlrun”完全控制权。 5. 在SQL Server服务配置中，更改服务运行账户为“mssqlrun”，并输入相应密码。 6. 重启SQL Server服务，确保新的用户设置生效。 接下来，教程提到的第二个安全措施是删除危险的存储过程。这些存储过程提供了与操作系统交互的能力，可能会被恶意用户滥用。例如，`xp_cmdshell`允许执行操作系统命令，如果不必要，应禁用或删除。以下是删除这些存储过程的示例代码： ```sql -- 注意：将全角'd'替换为半角'd'后执行 DROP PROCEDURE sp_makewebtask EXEC master..sp_dropextendedproc 'xp_cmdshell' EXEC master..sp_dropextendedproc 'xp_dirtree' EXEC master..sp_dropextendedproc 'xp_fileexist' -- ...其他类似操作... ``` 这些存储过程包括但不限于`xp_cmdshell`、`xp_dirtree`等，它们提供了执行操作系统命令、读写注册表、检查文件存在等能力。在大多数情况下，除非有特定需求，否则这些扩展存储过程应当谨慎使用或禁用。 本教程强调了在Windows 2003服务器上部署MSSQL Server时，确保数据库服务运行在低权限账户下和移除不必要的危险存储过程的重要性，以增强系统的安全性。通过遵循这些步骤，可以显著降低服务器遭受攻击的风险。