相关的TELNET服务用户设置复杂的口令。
2、设置安全策略,定期强制用户更改自己的口令。
事件6、Microsoft SQL 客户端SA用户默认空口令连接
Microsoft SQL数据库默认安装时存在sa用户密码为空的问题,远程攻击者可能利用这个漏洞登录到数据库服务器对数据库进行任意操作。更危险的是由大多数MS-SQL的安装采用集成Windows系统认证的方式,远程攻击者利用空口令登录到SQL服务器后,可以利用MS-SQL的某些转储过程如xp_cmdshell等以LocalSystem的权限在主机上执行任意命令,从而取得主机的完全控制。
[对策]
1、系统的安全模式尽量使用“Windows NT only”模式,这样只有信任的计算机才能连上数据库。
2、为sa账号设置一个强壮的密码;
3、不使用TCP/IP网络协议,改用其他网络协议。
页码:[1] [2] [3] [4] [5] [6] 第4页、共6页 |
