美國FBI網絡犯罪中心（IC3）日前指出，利用微軟SQL Server的漏洞，植入各種后門程序以取得有效使用者存取數據庫權限，是目前黑客最常使用的攻擊手法之一。對此，FBI IC3提出12種基本的預防之道。

首先，對于常見SQL Injection或微軟SQL Server漏洞，FBI IC3認為，數據庫管理人員應該關閉有傷害性的SQL Stored Procedure呼叫，例如最常見的xp_cmdshell可允許存取本地端的程序，就是一種安全性的隱憂。FBI IC3提醒，要關閉這類有害的Stored Procedure，除了關閉呼叫功能，更需移除相關dll檔。

其次，FBI IC3建議，網站服務器（例如微軟的IIS）應該過濾掉過長的網址。IT人員可以找出網絡服務所使用的最長網址長度，藉由限制過長網址可避免黑客在網址中隱含惡意網址或參數字符串。再者，對于目前許多動態網頁內容安全性的保護，FBI IC3認為網絡管理員應該要做到過濾字符串和只傳參數，把程序的控制指令替代成字符串，不會對SQL指令造成影響，但又能在瀏覽器正確顯示。

許多IT人員習慣以最高管理者權限執行安裝各種服務，這也意味著一旦這個最高管理者權限被竊，整個服務器和數據庫的安全性將岌岌可危。所以，FBI IC3建議不要使用最高權限安裝微軟的SQL Server和IIS網站服務器，只安裝所需的程序，例如AD服務器就不需要安裝Microsoft Office，對網絡和數據庫使用者，只提供最小權限。

提供密碼保護是保護管理者賬號的基本作為，但FBI IC3發現，有很多企業IT管理人員經常采用SQL Server預設SA管理者賬號和預設空白密碼，這些都是安全上的一大隱憂。此外，對于主機登入密碼多次輸入錯誤，應暫時封鎖并做檢查，FBI IC3認為這是對黑客入侵的初次檢驗。

FBI IC3認為，所有企業內的服務器都應該禁止直接連網，所有的連網都應該透過代理服務器（Proxy）對外聯機，才能夠檢查聯機內容和聯機埠。FBI IC3也提醒，對于一些會產生驗證密鑰（例如PIN碼）的HSM（硬件加密模塊），應該限制其它指令不可以產生這種加密的PIN碼，避免讓黑客可以取得足夠的樣本，藉此反推加密算法以保護加密算法。

FBI IC3建議，企業IT人員對于數據庫的管理往往較為松散，不論是存取數據庫的黑白名單，或制定更謹慎的信息安全管理規則，都是讓數據庫更安全的手法之一。最后，FBI IC3也提醒，企業內IT人員應該要在防火墻定期更新已知的惡意網址或IP地址，檢驗企業內是否有連結這些惡意網絡地址的記錄，實時掌握企業內資安動態。

美國FBI IC3的12條預防網絡攻擊的方法：

1. 關閉微軟SQL Server有害的StoredProcedure呼叫，并移除相關.dll文件。

2. 限制過長的網址，降低過長網址隱藏惡意網址或參數字符串。

3. 以過濾字符串和只傳參數方式，確保動態網頁內容的安全。

4. 不要用最高權限安裝微軟SQL Server和IIS網絡服務器。

5. 對所有SQL數據庫的訪問者，提供最小的訪問權限。

6. 避免使用SQL Server預設的SA管理員賬號和空白密碼，實施密碼管制。

7. 主機登入密碼多次輸入錯誤時，應該暫時封鎖該賬號并進行檢查。

8. 需要什么樣的服務，只要安裝服務所需要的程序即可。

9. 企業內的服務器都應該通過代理服務器與外界進行聯系。

10. 管理企業內部的數據庫訪問，設置相關的數據安全訪問策略。

11. 防火墻應該定期 各種已知惡意IP地址和。

12. 避免HSM等會生成驗證密鑰的設備。若能以其他程序輕易產生密鑰，就會讓黑客有機會回推演算方法。

 【編輯推薦】

1. 黑客攻破 SQL 服務器系統的十種方法
2. 黑客的選擇：六大數據庫攻擊手段
3. ARP病毒攻擊技術分析與防御