行业动态

对SQLServer数据库降权操作，可以使即使在公网暴露、数据库口令被爆破/弱口令等情况下，攻击者依然不能远程下载勒索软件进行勒索、创建高权限用户等操作。为主机提供更强大的安全防御能力。

什么是数据库降权加固

默认情况下数据库的账号拥有过多的权限，是非常危险的。黑客可以通过窃取的数据库的用户名密码，对数据库进行任意的操作。数据库降权加固可以通过设置数据库的用户账号的权限策略，根据用户的业务需求，分配最小的权限，限制用户的访问范围和操作类型等，减少数据库的权限暴露，防止黑客的滥用攻击。

操作方法：

畅云管家操作

• 登录畅云管家后台(https://cjtmsp.com)，打开安全下的【管家自检】页面，点击查看详情

• 找到【SQLServer越权问题】，点击修复，修复完成后重启即可完成数据库安全加固操作

• 如未找到【SQLServer越权问题】说明服务器不存在该问题，可以忽略。

通用操作

• 微软官网下载 Process Explorer（https://download.sysinternals.com/files/ProcessExplorer.zip），查看SQLServer进程启动的默认权限。下载完后，放到任意路径下，例如放到桌面

• 以Windows Server 64位主机，点击procexp64进行运行。运行后找到sqlserver.exe的进程

• 

• 右键查看Properties属性。记录当前的权限属性。（需要记录下来，否则SQLServer数据库可能起不来）

这里可能有的权限保护一下几种，例如

• SeChangeNotifyPrivilege

• SeCreateGlobalPrivilege

• SeIncreaseQuotaPrivilege

• SeIncreaseWorkingSetPrivilege

• SeImpersonatePrivilege

根据当前的SQLServer权限记录下来，Default Enabled的值。

• 对数据库进行降权

以管理员身份打开注册表编辑器。可通过按下 Win + R 键，然后输入 "regedit" 并按 Enter 键来运行注册表编辑器。

导航至以下路径：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMSSQLSERVER

在右侧窗格中，找到名为 "Type" 的 REG_DWORD 值，并将其双击打开。确保该值的数据为 "0x10"，表示服务类型为 "KERNEL_DRIVER"。

创建一个名为 "RequiredPrivileges" 的新字符串值。

创建好之后，如下图

双击打开

根据第一章节，我们记录的Default Enabled的值填进去，如果存在"SeImpersonatePrivilege"和"SeAssignPrimaryTokenPrivilege"值，则删除。以本主机为例，删除后，填入结果如下

存在空格，报错，忽略点击确认。

• 修改完成后，需要关机重启，使注册表修改生效；完成数据库降权加固

• 用友软件技术支持：18110593406