⑴ sqlserver是不是有漏洞
SQLserver漏洞是有的,每个软件都不是完美的,都有一定的漏洞,WINDOWS系统也都很多漏洞吧,有漏洞是很正常的,但是漏洞是不会在后台给你下载木马的,这不是漏洞问题,
如果当你上网的时,真的是SQLserver给你下载木马,或者是该软件的上传者把该软件的一些程序,功能改了而导致的,或者辅带了些木马程序令你一上网就下载木马,如果是那样,建议你把该程序彻底删除,然后再去下载另外一个绿色的,无问题的吧
⑵ 怎样才能保护好 SQL Server 数据库
数据库的安全性一直是非常重要的,相信对大家会有帮助的。
1.
首先,你需要安装最新的服务包
为了提高服务器安全性,最有效的一个方法就是升级到SQL
Server
2000
Service
Pack
3a
(SP3a)。另外,您还应该安装所有已发布的安全更新。
2.
使用Microsoft基线安全性分析器(MBSA)来评估服务器的安全性
MBSA
是一个扫描多种Microsoft产品的不安全配置的工具,包括SQL
Server和Microsoft
SQL
Server
2000
Desktop
Engine(MSDE
2000)。它可以在本地运行,也可以通过网络运行。该工具针对下面问题对SQL
Server安装进行检测:
(1)
过多的sysadmin固定服务器角色成员。
(2)
授予sysadmin以外的其他角色创建CmdExec作业的权利。
(3)
空的或简单的密码。
(4)
脆弱的身份验证模式。
(5)
授予管理员组过多的权利。
(6)
SQL
Server数据目录中不正确的访问控制表(ACL)。
(7)
安装文件中使用纯文本的sa密码。
(8)
授予guest帐户过多的权利。
(9)
在同时是域控制器的系统中运行SQL
Server。
(10)
所有人(Everyone)组的不正确配置,提供对特定注册表键的访问。
(11)
SQL
Server
服务帐户的不正确配置。
(12)
没有安装必要的服务包和安全更新。
Microsoft
提供
MBSA
的免费下载。
3.
使用Windows身份验证模式
在任何可能的时候,您都应该对指向SQL
Server的连接要求Windows身份验证模式。它通过限制对Microsoft
Windows用户和域用户帐户的连接,保护SQL
Server免受大部分Internet工具的侵害,而且,您的服务器也将从Windows安全增强机制中获益,例如更强的身份验证协议以及强制的密码复杂性和过期时间。另外,凭证委派(在多台服务器间桥接凭证的能力)也只能在Windows身份验证模式中使用。在客户端,Windows身份验证模式不再需要存储密码。存储密码是使用标准SQL
Server登录的应用程序的主要漏洞之一。要在SQL
Server的Enterprise
Manager安装Windows身份验证模式,请按下列步骤操作:
(1)展开服务器组。
(2)右键点击服务器,然后点击属性。
(3)在安全性选项卡的身份验证中,点击仅限Windows。
4.
隔离您的服务器,并定期备份
物理和逻辑上的隔离组成了SQL
Server安全性的基础。驻留数据库的机器应该处于一个从物理形式上受到保护的地方,最好是一个上锁的机房,配备有洪水检测以及火灾检测及消防系统。数据库应该安装在企业内部网的安全区域中,不要直接连接到Internet。定期备份所有数据,并将副本保存在安全的站点外地点。
5.
分配一个强健的sa密码
sa帐户应该总拥有一个强健的密码,即使在配置为要求
Windows
身份验证的服务器上也该如此。这将保证在以后服务器被重新配置为混合模式身份验证时,不会出现空白或脆弱的sa。
要分配sa密码,请按下列步骤操作:
(1)
展开服务器组,然后展开服务器。
(2)
展开安全性,然后点击登录。
(3)
在细节窗格中,右键点击SA,然后点击属性。
(4)
在密码方框中,输入新的密码。
⑶ SQL Server2000服务自动停止怎么解决
有人说可以这样解决:
只要把系统日期朝前调整天把,然后重新启动电脑,再把系统日期恢复正常,SQL服务就能正常运行了,大概就是这样。
你试试吧
⑷ Microsoft SQL Server漏洞的问题
建议你最好还是把数据库的补丁装上。
第一呢,是安全,第二个也可能修复数据库的其他一些漏洞
若是数据库的补丁都公布出来了,最好还是安装,不然,你的服务器就是黑客攻击的目标
⑸ 如果SQL server 2000没打SP4补丁 会出现什么漏洞
1.如果在win2003上装sql2000,mssearch服务根本就找不到,无法建立全文索引
2.
64位加强。64位的硬件正在慢慢的变得普通,不在是个特殊情况了。因此,SP4在WOW子系统中新添加了对AMD公司的AMD64的平台支持和Intel公司的扩展平台,同时也对64位的SQL Server进行了较大的改动。现在,它允许人们运行32位的SQL Server,并且在需要的时候,可以让它们无缝传输到64位的版本上。(这也是第一次为64位的SQL Server版本发布SQL Server服务包的补丁。)
包括了MSXML 3.0SP6。SQL Server对XML支持正在变得越来越重要,并且应用也越来越广泛,所以现在将其加入到服务包中是具有实际意义的。SQL Server2000的SP3(以及3a)都没有包括MSXML ,你必须单独安装它。SP4在默认情况下包括了MSXML ,并且包括了3.0版本,相对以前的2.6版本有一些性能加强。然而,SQLXML 3.0 SP3仍然没有包括在SP4中;你需要单独的下载并安装它(在添加了SP4之后)来确保你能够使用到它。
Bug的修复。有超过230个bug需要修复或者处理,而在SP3中才80个。一些修复的bug解决了不兼容问题或者SP3中出现的功能上的问题。例如:
――SQL Server2000 SP3中合并复制不能同步的问题。这个错误报告为“权限错误”,但是实际上是因为数据库中用二进制整理合并复制时出现的问题。
――数据传输服务设计器可能在你安装了SQL Server 2000 SP3之后还能违反规定的访问。依赖数据传输服务来进行常见的块拷贝操作的管理员们会很高兴的看到这个问题得到了修正。
- ――当你启动SQL Server的时候出现的“性能监视器共享内存建立失败:-1”错误信息。一个常见的有关SP3的抱怨就是当SQL Server停止并重新启动之后,对于一些保持运行状态的程序(例如性能监视器),就无法再收集到任何的监控数据。
――对JDBC客户端应用SQL Server 2000协议加密。过去,Windows中的Java数据库连接都不允许加密,因为JDBC不能调用正确的API。SP4解决了这个问题。
――“当更频繁的使用tempdb的时候,出现的并发问题会减少。”当在同一时间里生成了较多的临时表的时候会影响到数据库。
在微软的知识库中可以获得修正bug的完整列表。
请记住,如果你正在计划要对SQL Server 2000进行一次彻底的部署,那么有可能在SQL Server2000中提前获得SP4,从选择、合作伙伴,以及MSDN资源中。微软还计划允许用户通过安装媒介来手工部署SQL Server 2005以及更高的版本。
还要注意:如果你正在使用SQL Server2000分析服务,那么对这个产品有一个独立的服务包。不是每个人都在SQLServer中使用分析服务,所以将其作为独立的服务包来部署更有意义。
⑹ sql server有哪些 sql注入漏洞
SQL注入,这个很早的事情了,流行于ASP时代,主要是由于前台验证不够,后台又没有过滤不安全字符。
简单的例子:
分别由NameTxt,PwdTxt接受页面输入用户名和密码,然后构造如下sql语句:
select * from [User] where userName = '" + NameTxt + "’and userPassword = '" + PwdTxt + "'";
比如你的用户名为your,我不知道密码,但是我在"用户名"处输入 your '--"
select * from [User] where userName='your '-- 'and userPassword =....
注意"--",会把后边的sql作为注释,这就是sql注入。
03-05年比较流行sql注入,也可通过地址注入(使用QueryString传参数),如果权限足够,何以执行update/delete语句。
⑺ Microsoft SQL Server 2000 Service Pack 4这个漏洞怎么修
你的系统里装过sql server吗,如果装过
到微软网站下载一个sql server 2000的sp4补丁,单独安装
⑻ ms_sql sever_2k_sp4补丁怎么装上之后再次扫描系统还是有漏洞
要分三步走啊
第一个是安装sql server,第二个是打补丁,然后是有三个jar文件需要下载了以后,添加进环境变量classpath啊
在本地计算机上,包含从 SQL2000-KB884525-SP4-x86-LLL.exe 解压缩的 Service Pack 文件的文件夹,运行 Setup.bat 脚本.
在安装 Database Engine SP4 之前,应停止所有应用程序和服务,包括“控制面板”、“添加和删除程序”、“SQL Server 2000 Reporting Services”、“SQL Server 2000 Notification Services”以及所有连接到所升级的数据库引擎实例的应用程序。
补充:
你可以参照下面看看你的补丁打上没有
SQL Server 2000 版本和级别 @@VERSION 产品级别
SQL Server 2000 原始版本 8.00.194 RTM
Database Components SP1 8.00.384 SP1
Database Components SP2 8.00.534 SP2
Database Components SP3、SP3a 或 MSDE 2000 Release A 8.00.760 SP3
Database Components SP4 8.00.2039 SP4
我也遇到过这样的问题,我最后是把sql server卸了,重新按了后,接着按补丁,就按上了。不过提醒你,sql server卸了重装可能会遇到很多问题,所以一定要慎重,在卸载之前去网上查找怎样完全卸载,保证万无一失
⑼ 怎样设置sql server 2000更安全,怎样屏蔽其漏洞
关键看你编写的代码是否存在注入bug和读取数据的方式上面,这两点不安全的话,你sql打再多的补丁也没用。
⑽ Microsoft SQL Server 2000的保护SQL Server的十个措施
为提高 SQL Server安装的安全性,可以实施一下十个措施
1.安装最新的服务包。
为了提高服务器安全性,最有效的一个方法就是升级到 SQL Server 2000 Service Pack 3a (SP3a)。另外,您还应该安装所有已发布的安全更新。
2.使用 Microsoft 基线安全性分析器(MBSA)来评估服务器的安全性。
MBSA 是一个扫描多种 Microsoft 产品的不安全配置的工具,包括 SQL Server 和 Microsoft SQL Server 2000 Desktop Engine (MSDE 2000)。它可以在本地运行,也可以通过网络运行。该工具针对下面问题对 SQL Server 安装进行检测:
1)过多的sysadmin固定服务器角色成员。
2)授予sysadmin以外的其他角色创建 CmdExec 作业的权利。
3)空的或简单的密码。
4)脆弱的身份验证模式。
5)授予管理员组过多的权利。
6)SQL Server数据目录中不正确的访问控制表(ACL)。
7)安装文件中使用纯文本的sa密码。
8)授予guest帐户过多的权利。
9)在同时是域控制器的系统中运行SQL Server。
10)所有人(Everyone)组的不正确配置,提供对特定注册表键的访问。
11)SQL Server 服务帐户的不正确配置。
12)没有安装必要的服务包和安全更新。
3.使用 Windows 身份验证模式。
在任何可能的时候,都应该对指向 SQL Server 的连接要求 Windows 身份验证模式。它通过限制对Microsoft Windows®用户和域用户帐户的连接,保护 SQL Server 免受大部分 Internet 的工具的侵害,而且,服务器也将从 Windows 安全增强机制中获益,例如更强的身份验证协议以及强制的密码复杂性和过期时间。另外,凭证委派(在多台服务器间桥接凭证的能力)也只能在 Windows 身份验证模式中使用。在客户端,Windows 身份验证模式不再需要存储密码。存储密码是使用标准 SQL Server 登录的应用程序的主要漏洞之一。要在 SQL Server 的 Enterprise Manager 安装 Windows 身份验证模式,请按下列步骤操作:
1) 展开服务器组。
2) 右键点击服务器,然后点击属性。
3) 在安全性选项卡的身份验证中,点击仅限 Windows。
4.隔离您的服务器,并定期备份。
物理和逻辑上的隔离组成 了SQL Server 安全性的基础。驻留数据库的机器应该处于一个从物理形式上受到保护的地方,最好是一个上锁的机房,配备有洪水检测以及火灾检测/消防系统。数据库应该安装在企业内部网的安全区域中,不要直接连接到 Internet。定期备份所有数据,并将副本保存在安全的站点外地点。
5.分配一个强健的sa密码。
sa帐户应该总拥有一个强健的密码,即使在配置为要求 Windows 身份验证的服务器上也该如此。这将保证在以后服务器被重新配置为混合模式身份验证时,不会出现空白或脆弱的sa。要分配sa密码,请按下列步骤操作:
1) 展开服务器组,然后展开服务器。
2) 展开安全性,然后点击登录。
3) 在细节窗格中,右键点击SA,然后点击属性。
4) 在密码方框中,输入新的密码。
6.限制 SQL Server服务的权限。
SQL Server 2000 和 SQL Server Agent 是作为 Windows 服务运行的。每个服务必须与一个 Windows 帐户相关联,并从这个帐户中衍生出安全性上下文。SQL Server允许sa 登录的用户(有时也包括其他用户)来访问操作系统特性。这些操作系统调用是由拥有服务器进程的帐户的安全性上下文来创建的。如果服务器被攻破了,那么这些操作系统调用可能被利用来向其他资源进行攻击,只要所拥有的过程(SQL Server服务帐户)可以对其进行访问。因此,为 SQL Server 服务仅授予必要的权限是十分重要的。 推荐采用下列设置:
1) SQL Server Engine/MSSQLServer
如果拥有指定实例,那么它们应该被命名为MSSQL$InstanceName。作为具有一般用户权限的Windows 域用户帐户运行。不要作为本地系统、本地管理员或域管理员帐户来运行。
2) SQL Server Agent Service/SQLServerAgent
如果您的环境中不需要,请禁用该服务;否则请作为具有一般用户权限的Windows域用户帐户运行。不要作为本地系统、本地管理员或域管理员帐户来运行。
重点: 如果下列条件之一成立,那么 SQL Server Agent 将需要本地 Windows管理员权限:
SQL Server Agent 使用标准的 SQL Server 身份验证连接到SQL Server(不推荐)。
SQL Server Agent 使用多服务器管理主服务器(MSX)帐户,而该帐户使用标准 SQL Server 身份验证进行连接。
SQL Server Agent 运行非sysadmin固定服务器角色成员所拥有的 Microsoft ActiveX®脚本或 CmdExec 作业。
如果您需要更改与 SQL Serve r服务相关联的帐户,请使用 SQL Server Enterprise Manager。Enterprise Manager 将为 SQL Server 所使用的文件和注册表键设置合适的权限。不要使用 Microsoft 管理控制台的服务(在控制面板中)来更改这些帐户,因为这样需要手动地调制大量的注册表键和NTFS文件系统权限以及Micorsoft Windows用户权限。
帐户信息的更改将在下一次服务启动时生效。如果您需要更改与 SQL Server 以及 SQL Server Agent 相关联的帐户,那么您必须使用 Enterprise Manager 分别对两个服务进行更改。
7.在防火墙上禁用 SQL Server 端口。
SQL Server 的默认安装将监视 TCP 端口 1433 以及UDP端口 1434。配置您的防火墙来过滤掉到达这些端口的数据包。而且,还应该在防火墙上阻止与指定实例相关联的其他端口。
8.使用最安全的文件系统。
NTFS 是最适合安装 SQL Server 的文件系统。它比 FAT 文件系统更稳定且更容易恢复。而且它还包括一些安全选项,例如文件和目录 ACL 以及文件加密(EFS)。在安装过程中,如果侦测到 NTFS,SQL Server 将在注册表键和文件上设置合适的 ACL。不应该去更改这些权限。
通过 EFS,数据库文件将在运行 SQL Server 的帐户身份下进行加密。只有这个帐户才能解密这些文件。如果您需要更改运行 SQL Server 的帐户,那么您必须首先在旧帐户下解密这些文件,然后在新帐户下重新进行加密。
9.删除或保护旧的安装文件。
SQL Server 安装文件可能包含由纯文本或简单加密的凭证和其他在安装过程中记录的敏感配置信息。这些日志文件的保存位置取决于所安装的SQL Server版本。在 SQL Server 2000 中,下列文件可能受到影响:默认安装时<systemdrive>:Program FilesMicrosoft SQL ServerMSSQLInstall文件夹中,以及指定实例的<systemdrive>:Program FilesMicrosoft SQL Server MSSQL$<Instance Name>Install文件夹中的sqlstp.log, sqlsp.log和setup.iss
如果当前的系统是从 SQL Server 7.0 安装升级而来的,那么还应该检查下列文件:%Windir% 文件夹中的setup.iss以及Windows Temp文件夹中的sqlsp.log。
Microsoft发布了一个免费的实用工具 Killpwd,它将从您的系统中找到并删除这些密码。
10.审核指向 SQL Server 的连接。
SQL Server 可以记录事件信息,用于系统管理员的审查。至少您应该记录失败的 SQL Server 连接尝试,并定期地查看这个日志。在可能的情况下,不要将这些日志和数据文件保存在同一个硬盘上。要在 SQL Server 的 Enterprise Manager 中审核失败连接,请按下列步骤操作:
1) 展开服务器组。
2) 右键点击服务器,然后点击属性。
3) 在安全性选项卡的审核等级中,点击失败。
4) 要使这个设置生效,您必须停止并重新启动服务器。
