DBA SQL Server Security Microsoft SQL Server Technical

DBA를 위한 SQL Server Security Microsoft SQL Server Technical Workshop 하성희

NT/2000 v 다음의 서버들에는 SQL Server를 설치하지 말 것: n 도메인 컨트롤러 n Exchange Server n Web server n File/print server

NT/2000 v v 사용하지 않는 서비스는 비활성화할 것 비활성화: n WWW Publishing Service n FTP Publishing Service n SMTP n NNTP

NT/2000 v Everyone 그룹을 제거하고 Administrators 로 컬 그룹과 SQL Server 서비스 계정에 대하여 full access를 할당할 것 n n HKEY_LOCAL_MACHINESOFTWAREMICROSOF TMSSQLSERVER HKEY_LOCAL_MACHINESOFTWAREMICROSOF TMICROSOFT SQL SERVERINSTANCENAME

SQL Server v Trojan 저장 프로시저 n 어떤 프로시저들이 자동으로 수행되는지 확인 n sp_helpstartup (7. 0) n sp_procoption (2000) n 공격에 사용할 가능성 있는 프로시저들 n sp_password n sp_help procedures n sp_MSRepl_startup

SQL Server와 Mail n 만약 메일 기능을 전혀 사용하지 않는 경우라 면, 다음 저장 프로시저들을 모두 삭제할 것 n xp_startmail xp_stopmail n xp_readmail n xp_sendmail n xp_findnextmsg xp_deletemail

권한 관리 v v v GRANT REVOKE DENY - 권한 부여 - GRANT 또는 DENY 취소 - 권한 부여 금지 GRANT - REVOKE [DENY] REVOKE DENY GRANT DENY +

Role (역할) v v v Fixed Server Role Fixed Database Role Application Role 사용자 정의 Role Public Role

Fixed Server Role v v v v Sysadmin Serveradmin Setupadmin Securityadmin Dbcreator Processadmin Diskadmin Bulkadmin

Fixed Database Role v v v v v db_owner db_accessadmin db_securityadmin db_ddladmin db_backupoperator db_datareader db_datawriter db_denydatareader db_denydatawriter

Application Role v v Login이 아닌 Application을 기준으로 액세스 레벨 설정 Sp_setapprole

BUILTINAdministrators 제 거 v 작업 순서를 다르게 하면 sysadmin 로그인으로 SQL Server에 로그인할 수 없는 상황이 발생할 수 있음 (Lock out) n 해결 방법 : 레지스트리에서 Login. Mode 값 변경 (HKEY_LOCAL_MACHINESOFTWAREMi crosoftMicrosoft. SQLServer<instance_na me>MSSQLServerLogin. Mode) n Sa로 로그인해서 재작업 *** Administrators 로컬 그룹의 모든 구성원이 sysadmin 권한을 가지지 않도록 할 것 ***

보안 관련 사이트 v 일반적인 보안 관련 사이트 n www. cert. org n www. microsoft. com/security n www. securityfocus. com

보안 관련 사이트 v SQL Server 관련 사이트 n www. microsoft. com/sql/techinfo/administr ation/2000/security. WP. asp n 많은 주제들에 대하여 다룬 좋은 내용의 whitepaper들이 있음 n www. SQLSecurity. com n Chip Andrews의 사이트 – 보안 점검 목록 과 freeware 툴들을 포함하여 좋은 정보들 이 있음 n www. ngssoftware. com n David Litchfield의 사이트 – 좋은 내용의 whitepaper들이 있음

툴 v Microsoft Security Baseline Analyzer n (http: //download. microsoft. com/download/ win 2000 platform/Install/1. 0/NT 5 XP/ENUS/mbsasetup. msi) n 취약 사항 점검에 좋은 기본적인 툴 n http: //www. microsoft. com/korea/technet /security/tools/mbsaqa. asp

툴 www. appsinc. com v www. sqllitespeed. com v www. ngssoftware. com v www. netiq. com v www. ca. com v www. symantec. com v