04/13/2023

資料庫安全防護的規劃案例集英信誠 資料庫執行顧問鍾凱心

T-SQL Enhancements in SQL Server 2012

情況描述

發現 OO 伺服器遭駭客入侵，經追蹤後得知為 XX系統的資料叢集伺服器，於 SQL Server.exe 目錄植入異常程式

查到曾有資料透過 80 埠丟到韓國 IP 位置，爾後駭客曾經刻意造成網路癱瘓，目前還無法得知攻擊目的。現已透過防火牆與網路設備鎖定 IP 與伺服器的 MAC Address ，並將部分伺服器的 80 port 關閉，以防止進一步的攻擊事件

因伺服器受駭故無法信任伺服器之安全，故希望檢測了解目前資料庫，確保內部資料是否安全無疑

04/13/2023 |

2 |

T-SQL Enhancements in SQL Server 2012

SQL Injection

以 T-SQL 語法檢視 User DB 中是否有字元字串型欄位被竄改內容

靜態程式碼分析與 Code review 弱點偵測

04/13/2023 |

3 |

全資料庫搜尋特定值

T-SQL Enhancements in SQL Server 2012

是否有異物

SQL Server Agent Job 排程 登入、使用者、角色

角色內成員 master 、 msdb 等系統資料庫是否有新增異

常物件 是否有在 SQL Server 啟動時，自動執行的預存

程序 駭客可能以通用有意義的物件命名。 DBA 要

有個伺服器與 DB 內物件的資料字典04/13/2023 |

4 |

T-SQL Enhancements in SQL Server 2012

最小防護面

介面組態設定 常遇到的： xp_cmdshell AcHocRemoteQueries

僅給予 Service Account 所需的權限 停用不必要的服務，刪掉不必要的物件

04/13/2023 |

5 |

T-SQL Enhancements in SQL Server 2012

認證與授權

帳戶申請與最小權限 高權限語法需特定帳號、特定設備、 IP 與時

段執行、全程錄影 不可否認、抵賴其所作行為

04/13/2023 |

6 |

T-SQL Enhancements in SQL Server 2012

稽核與監控

SQL Server ：啟用 SQL Server 安全性稽核 監控近期是否有嘗試登入 SQL Server 但失敗的

情況 進行高權限的命令執行動作，例如在 Server 或 DB

上進行 CREATE 、 ALTER 或 DROP 物件，及GRANT 、 REVOKE 或 DENY 登入者權限等

檢查 SQL Server Log 、 Windows Event Log 是否有異常

購置第三方工具

04/13/2023 |

7 |