网络安全课程设计

份认证两种。如果数据库管理员不希望操作系统管理员通过操作系统登陆来接触数据库的话，可以在账号管理中把系统账号“BUILTIN\\Administrators”删除（如下图）。不过这样做的结果是一旦 sa 账号忘记密码的话，就没有办法来恢复了。很多主机使用数据库应用只是用来做查询、修改等简单功能的，请根据实际需要分配账号，并赋予仅仅能够满足应用要求和需要的权限。比如，只要查询功能的，那么就使用一个简单的 public 账号能够 select 就可以了。

3．查看数据库日志

请定期查看 SQL Server 日志检查是否有可疑的登陆事件发生，如下图。

4．管理 SQL Server 内置存储过程 xp_cmdshell 控制系统

（ 1 ） 打 开 sql 查 询 分 析 器 ， 输 入 要 访 问 的 数 据 库 地 址 （ 如 ：192.168.JXZ.JXZx），然后点击确定。如下图：

利用 SA 弱口令登陆 SQL Server 服务。

（2）在新的窗口中输入：xp_cmdshell \；并按 F5 执行查询。如下图： （3）查看返回结果，如下图：

（4）试图建立新用户

输入：xp_cmdshell \后将添加一个 mytest用户，密码为 123456，类似效果如下图：

然后，可以输入：xp_cmdshell \查看用户列表，类似效果如下图：

（5）将新用户加入管理员组

输入:xp_cmdshell \，然后按 F5执行查询，类似效果如图：

然后输入：xp_cmdshell \，检查修改结果，如下图：

（6）删除 xp_cmdshell

数据库用户通过存储过程 xp_cmdshell，能够用到 windows 系统的内置命令，对系统安全

是极大的威胁。向数据库提交如下 sql 语句： Use master Go

Sp_dropextendedproc 'xp_cmdshell’

将 xp_cmdshell 存储过程从系统中删除。 如图：

验证是否删除成功，通过 xp_cmdshell 存储过程调用系统命令，看看是否删除成功。恢 复 删 除 操 作 exec sp_addextendedproc xp_cmdshell, @dllname= ’ xplog70.dll’.

3.3.3 SQL Server2000 数据库备份与恢复 1. SQL Server 2000 数据库备份

（1）单击“开始”|“程序”|“Microsoft SQL Server”|“企业管理器”开服务器组，然后展开服务器。如图：

（2）展开数据库，选中所要备份的数据库，单击鼠标右键，依次选择“所有任务”“备份数据库”，如图：