對(duì)SQLServer數(shù)據(jù)庫(kù)降權(quán)操作，可以使即使在公網(wǎng)暴露、數(shù)據(jù)庫(kù)口令被爆破/弱口令等情況下，攻擊者依然不能遠(yuǎn)程下載勒索軟件進(jìn)行勒索、創(chuàng)建高權(quán)限用戶等操作。為主機(jī)提供更強(qiáng)大的安全防御能力。

什么是數(shù)據(jù)庫(kù)降權(quán)加固

默認(rèn)情況下數(shù)據(jù)庫(kù)的賬號(hào)擁有過多的權(quán)限，是非常危險(xiǎn)的。黑客可以通過竊取的數(shù)據(jù)庫(kù)的用戶名密碼，對(duì)數(shù)據(jù)庫(kù)進(jìn)行任意的操作。數(shù)據(jù)庫(kù)降權(quán)加固可以通過設(shè)置數(shù)據(jù)庫(kù)的用戶賬號(hào)的權(quán)限策略，根據(jù)用戶的業(yè)務(wù)需求，分配最小的權(quán)限，限制用戶的訪問范圍和操作類型等，減少數(shù)據(jù)庫(kù)的權(quán)限暴露，防止黑客的濫用攻擊。

操作方法：

暢云管家操作

• 登錄暢云管家后臺(tái)(https://cjtmsp.com)，打開安全下的【管家自檢】頁(yè)面，點(diǎn)擊查看詳情

• 找到【SQLServer越權(quán)問題】，點(diǎn)擊修復(fù)，修復(fù)完成后重啟即可完成數(shù)據(jù)庫(kù)安全加固操作

• 如未找到【SQLServer越權(quán)問題】說明服務(wù)器不存在該問題，可以忽略。

通用操作

• 微軟官網(wǎng)下載 Process Explorer（https://download.sysinternals.com/files/ProcessExplorer.zip），查看SQLServer進(jìn)程啟動(dòng)的默認(rèn)權(quán)限。下載完后，放到任意路徑下，例如放到桌面

• 以Windows Server 64位主機(jī)，點(diǎn)擊procexp64進(jìn)行運(yùn)行。運(yùn)行后找到sqlserver.exe的進(jìn)程

• 

• 右鍵查看Properties屬性。記錄當(dāng)前的權(quán)限屬性。（需要記錄下來，否則SQLServer數(shù)據(jù)庫(kù)可能起不來）

這里可能有的權(quán)限保護(hù)一下幾種，例如

• SeChangeNotifyPrivilege

• SeCreateGlobalPrivilege

• SeIncreaseQuotaPrivilege

• SeIncreaseWorkingSetPrivilege

• SeImpersonatePrivilege

根據(jù)當(dāng)前的SQLServer權(quán)限記錄下來，Default Enabled的值。

• 對(duì)數(shù)據(jù)庫(kù)進(jìn)行降權(quán)

以管理員身份打開注冊(cè)表編輯器。可通過按下 Win + R 鍵，然后輸入 "regedit" 并按 Enter 鍵來運(yùn)行注冊(cè)表編輯器。

導(dǎo)航至以下路徑：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMSSQLSERVER

在右側(cè)窗格中，找到名為 "Type" 的 REG_DWORD 值，并將其雙擊打開。確保該值的數(shù)據(jù)為 "0x10"，表示服務(wù)類型為 "KERNEL_DRIVER"。

創(chuàng)建一個(gè)名為 "RequiredPrivileges" 的新字符串值。

創(chuàng)建好之后，如下圖

雙擊打開

根據(jù)第一章節(jié)，我們記錄的Default Enabled的值填進(jìn)去，如果存在"SeImpersonatePrivilege"和"SeAssignPrimaryTokenPrivilege"值，則刪除。以本主機(jī)為例，刪除后，填入結(jié)果如下

存在空格，報(bào)錯(cuò)，忽略點(diǎn)擊確認(rèn)。

• 修改完成后，需要關(guān)機(jī)重啟，使注冊(cè)表修改生效；完成數(shù)據(jù)庫(kù)降權(quán)加固

• 用友軟件技術(shù)支持：18110593406