1. 研究背景
Microsoft SQL Server(MSSQL)是目前应用广泛的关系型数据库管理系统,其系统默认账号密码管理一直备受关注。MSSQL 默认账号为SA,如果有人知道SA账号的密码,就可以无限制访问数据库,危害非常大。因此,对MSSQL默认账号密码安全性进行研究,是保证数据库安全性的一个重要方面。
2. MSSQL默认账号密码的安全性问题
2.1 MSSQL默认账号密码的泄漏
很多MS SQL Server管理员在安装完成后使用默认的SA账号密码,因此这个默认的SA账号密码很容易被黑客破解。在互联网上,黑客们可以通过一些简单的技术手段,比如扫描端口、针对弱口令进行爆破攻击等,从而获得SA账号的默认密码。如果管理员没有及时更改SA账号密码,黑客可以利用该账号绕过安全防线,访问数据库,窃取重要数据。
SELECT name FROM sys.syslogins WHERE password IS NULL and name='sa'
上述代码可以查询出MSSQL中默认密码的SA账号。
2.2 MSSQL默认账号密码的猜解
另外一种情况是,攻击者猜测管理员使用默认的SA账号密码,一般来说,管理员在轻松实用的情况下,会使用非常简单的密码,比如“123456”、“admin”等容易被猜解的密码,这为攻击者提供了可乘之机。攻击者可以使用字典中的单词进行暴力猜解,假设管理员的密码只有六位,那么字典中的单词就可以用十分之一的代价爆破出来。
3. 提高MSSQL默认账号密码的安全性方法
3.1 改变默认的SA账号名称
为了避免黑客攻击,我们可以改变数据库默认的SA账号名称,并设置困难密码。如果你能确保SA账号名称不会被泄露,你可以将SA账号的账户名更改为一个无意义的名称,这样攻击者很难获得SA账号名称,即使黑客知道了“sa”的密码,也访问不了数据库。SA账户的名称可以使用“EXEC sp_rename 'old_login_name', 'new_login_name'”命令进行更改。
EXEC sp_rename 'sa', 'mysa' ;
上述代码将默认的SA账号名称更改为"mysa"。
3.2 更改默认SA账号密码
为了避免攻击者通过猜测或者暴力爆破的方式突破默认的SA密码,我们需要及时修改SA密码,并设置一个足够复杂的新密码。复杂的密码包含数字、字母、符号组合更难被暴力破解,保证密码长度在8位以上。修改SA密码可以用“ALTER LOGIN login_name WITH PASSWORD='new_password'”命令。
ALTER LOGIN sa WITH PASSWORD = 'new_password';
上述代码将SA账号的密码改为"new_password"。
3.3 限制SA账号登录
如果数据库不需要使用SA账号登录或访问数据库,我们可以禁止SA账户进行访问数据库,从而降低数据库被攻击的风险。我们可以将服务器认证模式更改为Windows认证,或者使用MSSQL创建新的管理员账户。如果需要使用SA账号登录,我们也可以限制SA账号的远程访问权限,那么只有局域网内部的人可以访问数据库。
EXEC sp_configure 'remote access', 0;
RECONFIGURE;
GO
上述代码限制了来自远程的访问权限,从而保证了数据库的安全性。
4. 总结
MSSQL默认账号密码的安全问题一直是数据库管理员需要面对的问题,为了保证数据库的安全性,我们需要及时修改SA账目,将SA账号名称更改,限制SA账号的访问等等。希望本文中提供的安全措施能够对大家学习数据库的安全知识,提供一些帮助。