[转载]微软对MS SQL sa空密码的安全建议
信息来源:[url]http://sinbad.dhs.org[/url]今年8月份Bugtraq上曾经贴过一段程序linsql.c,可以远程连接空密码sa账号的MS S
QL Server,通过
调用'xp_cmdshell'存储过程执行系统命令。微软就此给出了三条安全建议:
1)使用NT账号认证,而不用混合模式认证。判断你的SQL Server采用哪种认证方式的
步骤为:启动
SQL Enterprise Manager,右击服务器选择“属性”,在标签“security”的就可以
看到详细信息。
2)如果你必须以混合模式运行SQL Server,必须为sa账号设定一个强壮的密码。可以
在SQL query窗
口中为sa设定一个密码:
exec sp_password null, 'complexpwd', sa
记得2911.net刚开放个人主页服务的时候,存放用户信息的SQL Server的sa密码就是
为空。
3)在你的路由器/防火墙上限制外来SQL端口(1443)的连接。TCP 1443是SQL远程通
信的默认端口,
管理员可以修改这个端口数值。如果不能过滤1443端口,建议使用IPSec(Win2K)或
Advanced IP
Security filters(NT4)来限制连接。
注:
1。SQL Server 2000默认使用NT账号认证,如果要使用混合模式认证,安装程序将要
求用户为sa账号
设定一个不为空的密码。
2。关于安全配置SQL Server7.0的更多信息,请参考以下文档:
[url]http://www.microsoft.com/technet/SQL/Technote/secure.asp[/url]
页:
[1]