SQL SERVER的安全问题一直是困扰DBA的一个难题,作为开发者和用户希望自己的权限越大越好,最好是sa,而作为DBA希望所有的用户权限越小越好,这总是一对矛盾。一般来说,我们会考虑采用WINDOWS验证模式,建立安全的用户权限,改变SQL SERVER TCP/IP的默认端口...等安全措施,但很多DBA还是忽略了SQL SERVER服务的启动账号,这也是一个非常值得重点关注的问题。特别是SQL SERVER提供了许多操作系统和注册表扩展存储过程,比如:xp_cmdshell, xp_regdeletekey, xp_regdeletevalue 等等。
我们先来回顾一下SQL SERVER执行这些扩展存储过程的步骤。SQL SERVER提供的扩展存储过程使你可以向T-SQL一样调用一些动态链接库的内部函数逻辑,而且这些扩展存储过程可以包括WIN32和COM的大多数功能。
当关系数据库引擎确定 Transact-SQL语句引用扩展存储过程时:
关系数据库引擎将扩展存储过程请求传递到开放式数据服务层 。
然后开放式数据服务将包含扩展存储过程函数的 DLL 装载到 SQL Server 2000 地址空间(如果还没有装载)。
开放式数据服务将请求传递到扩展存储过程。
开放式数据服务将操作结果传递到数据库引擎。
从上图中我们可以清楚的看到SQL Server 2000 的数据库引擎通过扩展存储过程和 Windows Resources 进行交互。而扩展存储过程可以完成处理操作系统任务的关键是要有一个自己的身份 SID ,这个 SID 就来自 SQL SERVER 服务启动账号。所以如果这个 SQL SERVER 服务启动账号是 administrators 组的用户,我们就可以通过这些扩展存储过程做任意想做的事情:删除系统信息,破坏注册表等等。如果我们限制 SQL SERVER 服务启动账号的权限,这样即使“黑客”或怀有恶意的开发人员获得数据库的管理员权限,也不会对操作系统造成很大的影响。只要有数据库的备份我们可以非常方便的恢复数据库,而不要重新安装系统。所以为了更安全的保护我们的系统,我们希望 SQL SERVER 服务启动账号的权限越低越好。
作为系统的一个服务,启动 SQL SERVER 2000 服务的用户账号也需要一些必要的权限,下面我们就通过一个具体的实例来解释这些权限 ( 本实例只针对 成员服务器 ,如果是 ** DC ** 和启动了活动目录 Active Directory 还需要其它的配置 ) :
1. 通过本地用户管理,建立一个本地用户 sqlserver ,密码: 123456 ;
2. 如果现在就我们打开 ** SERVICES ** 配置通过该用户启动,系统会报错误:
Source:Service Control Manager
Event ID:7000
Description:
The %service% service failed to start due to the following error:
The service did not start due to a logon failure.
No Data will be available.
这是因为作为一个普通用户是无法启动服务的,我们需要给 sqlserver 用户分配必要的权限。
SQL Server 服务启动账号必须有 3 个基本权限:
l 数据库本地目录的读写权限;
l 启动本地服务的权限;
l 读取注册表的权限;
3. 赋予 sqlserver 用户 SQL 目录的读写权限;
因为我的 SQL SERVER 是安装在 D 盘,所以我在权限管理中,将 D:\PROGRMAM FILE\Microsoft SQL Server\MSSQL 读写权限赋予 sqlserver 用户。 
4. 分配 sqlserver 用户启动本地服务的权限;
这个比较复杂,我只举例作为 ** 成员服务器 ** 的情况 。
l 启动 “ Local Security Setting ” MMC 管理单元。
l 展开 ** Local Policy ** ,然后单击 ** User Rights Assignment ** 。
l 在右侧窗格中,右键单击 ** Log on as Service ** ,将用户添加到该策略,然后单击 ** OK ** 。
l 在右侧窗格中,右键单击 ** Log on as a batch job ** ,将用户添加到该策略,然后单击 ** OK **
l 在右侧窗格中,右键单击 ** Locks pages in memory ** ,将用户添加到该策略,然后单击 ** OK **
l 在右侧窗格中,右键单击 ** Act as part of the operating systme ** ,将用户添加到该策略,然后单击 ** OK **
l 在右侧窗格中,右键单击 ** Bypass traverse checking ** ,将用户添加到该策略,然后单击 ** OK **
l 在右侧窗格中,右键单击 ** Replace a process level token ** ,将用户添加到该策略,然后单击 ** OK **
l 关闭 “ Local Security Setting ” MMC 管理单元。
如图:
5. 重新启动系统,用 sqlserver 用户登陆系统;
6. 再重新启动系统,已 administrator 用户登陆,打开 ** SERVICES ** 管理工具,配置用该用户启动 SQL Server 服务;
这样我们就可以通过限制 SQL SERVER 用户的权限来控制 SQL SERVER 扩展存储过程的权限。现在 sqlserver 用户只对 D:\PROGRMAM FILE\Microsoft SQL Server\MSSQL 目录有写的权限,这样就降低了通过 xp_cmdshell 来删除系统文件的风险。
通过收购来配置是比较繁琐的,幸运的是 SQL SERVER 已经提供了这样的工具来配置启动启动账号,你可以通过 SQL SERVER 的企业管理器配置,入下图:
这样 SQL SERVER 企业管理器会自动帮你配置好所有的必要条件。包括目录的访问权限,启动服务的权限,访问注册表的权限等等。所以我们正确的配置顺序是:
1. 建立用户;
2. 在 SQL SERVER 企业管理器中配置该用户启动;
3. 在分配其它相应的权限(如果需要复制操作);
** 备注: ** **
**
通过 SQL Server 企业管理器增加的服务启动账号,会在 registry 中增加很多信息,即使你更换用户也不会删除,所以在改变服务启动账号不要频繁更换,这样会增大 registry 的容量。同时要注意,只有属于 sysadmin 角色的用户才可以配置 SQL Server 服务的启动账号。
** 总结: ** **
**
构建一个安全高效的 SQL SERVER 是多方面的,深入了解 SQL Server的运行机制是基础。我们不但要考虑数据库用户的安全,也要考虑 SQL SERVER 服务的安全性。