建立安全的MSSQL SERVER启动账号
作者 佚名技术
来源 数据库编程
浏览
发布时间 2012-03-20
| bsp;SQL Server\MSSQL读写权限赋予sqlserver用户。 4. 分配sqlserver用户启动本地服务的权限; 这个比较复杂,我只举例作为成员服务器的情况。 l 启动“Local Security Setting” MMC 管理单元。 l 展开Local Policy,然后单击User Rights Assignment。 l 在右侧窗格中,右键单击Log on as Service,将用户添加到该策略,然后单击OK。 l 在右侧窗格中,右键单击Log on as a batch job,将用户添加到该策略,然后单击OK l 在右侧窗格中,右键单击Locks pages in memory,将用户添加到该策略,然后单击OK l 在右侧窗格中,右键单击Act as part of the operating systme,将用户添加到该策略,然后单击OK l 在右侧窗格中,右键单击Bypass traverse checking,将用户添加到该策略,然后单击OK l 在右侧窗格中,右键单击Replace a process level token,将用户添加到该策略,然后单击OK l 关闭“Local Security Setting” MMC 管理单元。 如图: 5. 重新启动系统,用sqlserver用户登陆系统; 6. 再重新启动系统,已administrator用户登陆,打开SERVICES管理工具,配置用该用户启动MSSQLSERVER服务; 这样我们就可以通过限制SQLSERVER用户的权限来控制SQLSERVER扩展存储过程的权限。现在sqlserver用户只对D:\PROGRMAM FILE\Microsoft SQL Server\MSSQL目录有写的权限,这样就降低了通过xp_cmdshell来删除系统文件的风险。 通过收购来配置是比较繁琐的,幸运的是MS SQLSERVER已经提供了这样的工具来配置启动启动账号,你可以通过SQLSERVER的企业管理器配置,入下图: 这样SQL SERVER企业管理器会自动帮你配置好所有的必要条件。包括目录的访问权限,启动服务的权限,访问注册表的权限等等。所以我们正确的配置顺序是: 1. 建立用户; 2. 在SQL SERVER企业管理器中配置该用户启动; 3. 在分配其它相应的权限(如果需要复制操作); 备注: 通过SQL Server企业管理器增加的服务启动账号,会在registry中增加很多信息,即使你更换用户也不会删除,所以在改变服务启动账号不要频繁更换,这样会增大registry的容量。同时要注意,只有属于sysadmin角色的用户才可以配置SQL Server服务的启动账号。 总结: 构建一个安全高效的SQLSERVER是多方面的,深入了解SQLSERVER的运行机制是基础。我们不但要考虑数据库用户的安全,也要考虑SQLSERVER服务的安全性。 关注此文的读者还看过:
|
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
你可能对下面的文章感兴趣
关于建立安全的MSSQL SERVER启动账号的所有评论
