SQLServer2000安全工具指南

1、SQL Server 2000 安全工具指南Microsoft 现提供 SQL 关键更新工具包，其中包含扫描 Microsoft SQL Server 2000 和 Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) 实例的安全工具。使用这些工具，可以及时发现易受 SQL Slammer 蠕虫程序攻击的缺陷。也可以使用该工具包中提供的其它工具更新所发现的任何易受攻击的实例。如果 SQL Server 2000 和 MSDE 2000 实例未安装 SQL 2000 SP3 或 SP2 及下列某个安全程序包，这些实例将很容易受到攻击： MS02

2、-039 MS02-043 MS02-056 MS02-061。请参阅 说明 安全程序包是渐增的，因此，MS02-061 包含所有以前的安全程序包。在确定了易受攻击的 SQL Server 2000 或 MSDE 2000 实例之后，应采取下列措施：生产环境 确保安装了 Microsoft SQL Server 2000 Service Pack 2，然后使用 SQL 关键更新工具包查找并更新所有易受攻击的 SQL Server 2000 和 MSDE 2000 实例。这是建议的生产环境操作过程。在非生产环境设置中完全测试 Service Pack 3 之前，请不要安装 Service Pac

3、k 3。SQL 关键更新工具包是一个自解压形式的可执行文件，可以在以下位置下载该文件： update.bat 文件。Update.bat 将有效地同时运行 SQL 检查程序和 SQL 关键更新程序。 如果已找到了易受攻击的 SQL Server 2000 或 MSDE 2000 实例，请在本地计算机上针对所有实例运行 SQL 关键更新程序。仍然建议运行 update.bat，该程序将查找并修复易受攻击的实例。 如果您拥有 Systems Management Server (SMS) 托管网络，建议您使用 SMS 部署工具，此工具提供了一个 SQLFIX.SMS 文件，使用此文件，您可以在 S

4、MS 中创建一个用于部署 SQL Server 关键更新程序的程序包。测试环境 建议您安装 Microsoft SQL Server 2000 Service Pack 3 (SP3)。这是针对测试环境的建议解决方案，因为 SP3 提供了更好的性能、服务性和安全性。SP3 可以在以下位置下载： SP3 自述文件中的说明安装并测试 SP3。 如果无法安装 SP3，请按前面“生产环境”中的步骤进行操作。本文档解释了如何查找和保护 SQL Server 2000 及 MSDE 2000 实例的技术细节，同时，还描述了此工具包所提供的工具以及如何使用这些工具。最后，本文档解释了如何确定 SQL 关键更

5、新程序是否成功更新了一个 SQL Server 2000 或 MSDE 实例。确定是否需要安装该工具包SQL 关键更新工具包被设计为与所有版本的 SQL Server 2000 以及 MSDE 2000 协同工作。有关易受 Slammer 蠕虫程序攻击的 Microsoft SQL Server 2000 版本的列表，请参阅 要确定您的计算机上安装了哪个版本的 SQL Server 2000 或 MSDE 2000，请参阅 下载并解压缩 SQL 关键更新工具包SQL 关键更新工具包以特定于语言的、自解压的文件形式提供。该工具包文件的名称是 SQLCritUpdPkg_XXX.exe，其中 XX

6、X 表示特定于语言的 SQL 关键更新工具包版本。例如，SQLCritUpdPkgESN.exe 是针对西班牙语本地化版本 SQL Server 的 SQL 关键更新工具包版本。对于需要修复的本地化版本的 SQL Server，您需要该文件的语言特定版本。 该工具提供下列语言版本：关键字语言语言代码标识符 (LCID)CHS简体中文2052CHT繁体中文1028ENU英语1033ESN西班牙语3082 或 1034FRN法语1036GER德语1031ITA意大利语1040JPN日语1041KOR朝鲜语1042BRZ葡萄牙语（巴西）1046DUT荷兰语（荷兰）1043SVE瑞典语1053要下载

7、SQL 关键更新工具包，请执行下列步骤： 1. 转至 2. 从下拉列表中选择要下载的语言特定版本，并单击“转到”。这时，将显示SQL 关键更新工具包的语言特定下载网页。3. 在语言特定下载网页上，单击 SQLCritUpdPkg_XXX.exe 链接开始下载。4. 下载开始时，您可以选择是从服务器远程运行 SQLCritUpdPkg_XXX.exe 文件，还是将该文件保存到本地计算机上。SQLCritUpdPkg_XXX.exe 自解压文件将远程运行，并将所需文件解压缩到本地计算机上。但是，如果要在其他计算机上运行 SQL 关键更新工具包，您应该下载该自解压文件并将其保存至本地计算机上。说明

8、如果计划在整个企业内部署 SQL 关键更新工具包，您应该下载该自解压文件，并将其保存在某个公共共享位置，以便可以在整个组织内很简便地运行该文件。5. 如果您决定从服务器运行该自解压文件，请跳至步骤 6。如果您是将该文件保存至本地计算机，请浏览至用于保存该文件的目录，并且运行该文件以解压缩文件。6. 自解压文件在运行时将要求您接受最终用户许可协议，然后要求您选择用于保存解压缩文件的目标位置。默认位置是 C:SQLCritUpdPkg，但允许您指定自己的位置（只要该位置位于本地计算机上）。不支持将该文件远程解压缩至 UNC 共享目录。此时，您便已经做好使用 SQL 关键更新工具包的准备。SQL 关

9、键更新工具包工具SQL 关键更新工具包由下列工具组成： SQL 关键更新程序 - 安装消除 Slammer 蠕虫程序攻击缺陷的热修复程序。 SQL 检查程序 查找并禁用易受攻击的 SQL Server 实例。 SQL 扫描程序 - 查找本地网络中易受攻击的实例。 SMS 部署程序 - 允许使用 System Management Server (SMS) 在 SMS 托管系统内部署更新程序。 ServPriv -修补正在运行 SQL Server 2000 SP 2 或更高版本的 SQL Server 2000 和 MSDE 2000 的实例。 说明 虽然大多数管理员都对自己企业内部署的 SQ

10、L Server 2000 实例了如指掌，但他们并不很了解企业内部署的MSDE 2000 实例，因为 MSDE 2000 可以随 Microsoft 产品一起安装，也可以随第三方开发人员提供的产品一起安装。这些工具旨在查找并更新所有 SQL Server 2000 和 MSDE 2000 实例，以确保整个企业的安全性。SQL 关键更新程序SQL 关键更新程序是一种命令行实用程序，用来扫描 SQL Server 2000 或 MSDE 2000 的本地实例，然后自动更新所发现的任何易受攻击的实例。 SQL 关键更新程序只能修复语言与您要运行的 SQL 关键更新程序相同的 MSDE。例如，如果您运

11、行的是英文版 SQL 关键更新程序，则无法修复非英文版的 MSDE。SQL 关键更新程序执行下列任务： 对计算机上的每个 SQL Server 2000 和 MSDE 实例的潜在易受攻击缺陷进行评估。 创建将被替换的任何易受攻击文件的备份副本。备份副本被保存在一个名为 Backup 的子文件夹中。 使用不包含缺陷的更新副本替换任何包含缺陷的文件。 将所有操作写入一个日志文件。 说明 仅当所修复的每个 SQL Server 实例都具有 ssnetlib.dll 文件时，SQL 关键更新程序才能起作用。如果该文件已被删除或重命名，请与您的技术客户经理或应用程序开发顾问联系，或者执行下列操作：1.

12、将热修复程序复制到需要更新程序的本地计算机上。2. 将该计算机从网络中删除。3. 重命名 ssnetlib.dll 文件。4. 安装热修复程序。5. 重新将该计算机加入网络中。说明 SQL 关键更新程序不会安装 SP3。它只更新易受攻击的文件。对于 SQL Server 2000 和 SQL Server 2000 SP1，VERSION 所报告的版本号不会更改。对于 SQL Server 2000 SP2，版本号将递增。对于这些版本，SELECT VERSION 的结果如下所示： SQL Server 2000：8.00.194 SQL Server 2000 SP1：8.00.384 不包

13、含 SQL 关键更新程序的 SQL Server 2000 SP2：8.00.534 包含 SQL 关键更新程序的 SQL Server 2000 SP2：8.00.679权限运行 SQL 关键更新程序的用户必须拥有替换 Program Files 目录中 SQL Server 文件的权限。如果用户没有这些权限，SQL 关键更新程序将失败，且不会创建日志文件。 系统要求： 配置 Intel 或兼容的 Pentium 166 MHz 或更高速度处理器的个人计算机 最少 64 MB RAM（建议使用 128 MB 或更多 RAM） Microsoft Internet Explorer 5.0 或

14、更高版本 VGA 或分辨率更高的监视器 Microsoft 鼠标或兼容的指针设备支持以下操作系统： Microsoft Windows 98 Microsoft Windows ME 安装有 Service Pack 5 或更高版本的 Microsoft Windows NT Workstation 4.0 安装有 Service Pack 5 或更高版本的 Microsoft NT Server 4.0 安装有 Service Pack 5 或更高版本的 Windows NT Server 4.0 企业版 Windows 2000 Professional Windows 2000 Serv

15、er Windows 2000 Advanced Server Windows 2000 Datacenter Server Windows XP Professional限制SQL 关键更新程序必须运行在本地计算机上。SQL 关键更新程序将禁用并修复所有找到的缺陷；但不能使用该程序简单地禁用 SQL Server 实例。有关 SQL 关键更新程序的详细信息，请参阅 SqlCritUpd 目录中的 readme_SQLHotfix.txt 文件。说明 运行 SQLCritUpdPkg_XXX.exe 文件时，其中包含的所有自述文件将被解压缩出来。SQL 检查程序SQL 检查程序 (Sschec

16、k.exe) 查找并禁用易受 Slammer 蠕虫程序攻击的 SQL Server 2000 和 MSDE 2000 实例。SQL 检查程序可以识别和报告 Windows 98、Windows ME、Windows NT 4.0、Windows 2000 或 Windows XP 上的任何 SQL Server 或 MSDE 2000 实例的易受攻击缺陷。SQL 检查程序只能禁用 Windows NT 4.0、Windows 2000 或 Windows XP 上的 SQL Server 和 MSDE 2000 实例。SQL 检查程序也可以识别易受攻击的 SQL Server 2000 群集，

17、但不能禁用这些群集。 如果 MSDE 产品代码和 MSDE 程序包代码适用于正在进行评估的实例，SQL 检查程序将尝试识别这些代码。在以下位置可以找到可识别的 MSDE 产品代码的列表：说明 尽管 SQL 检查程序和 SQL 关键更新程序都可以单独运行，但仍然建议您通过从命令行运行Update.bat 文件一起使用这些工具。有关 SQL 检查程序的详细信息，请参阅 SQLCheck 目录中的 readme_sscheck.txt 文件。SQL 扫描程序SQL 扫描程序 (Sqlscan.exe) 可以定位 Windows NT 4.0、Windows 2000、Windows XP (Prof

18、essional) 或更高版本上的 Microsoft SQL Server 2000 和 MSDE 2000 实例。SQL 扫描程序可以扫描独立的计算机、Windows 域或特定范围的 IP 地址。另外，SQL 扫描程序还可以标识出易受 Slammer 蠕虫程序攻击的 SQL Server 和 MSDE 2000 实例，并尝试关闭这些实例。 说明 可能无法成功关闭已受感染的 SQL Server 实例，这取决于操作系统的具体版本。您可能需要使用系统管理工具来终止该进程。SQL 扫描程序可以识别出群集计算机上的易受攻击的 SQL Server 实例，但是不会禁用这些实例。在这些计算机上，必须手

19、动管理 SQL 实例的禁用和关闭。如果 MSDE 产品代码和 MSDE 程序包代码适用于正在进行评估的实例，SQL 扫描程序将尝试识别这些代码。在以下位置可以找到可识别的 MSDE 产品代码的列表：系统要求要启动 SQL 扫描程序，最低系统要求是使用 Windows 2000。权限使用 SQL 扫描程序处理远程计算机时，用户必须是域管理员。其他情况下，您必须是本地计算机的管理员。限制SQL 扫描程序要求输入下列项目之一： 域 IP 地址范围 单独的计算机名SQL 扫描程序无法定位运行在 Windows 98、Windows ME 或 Windows XP (Home) 上的 SQL Serve

20、r 实例。另外，SQL 扫描程序也不会检测从命令行启动的 SQL Server 实例。 如果 ssnetlib.dll 或 sqlserver.exe 文件被重命名，SQL 扫描程序将不返回最终结果。您必须在运行此工具前将这些文件命名回其原始名称。有关 SQL 扫描程序的详细信息，请参阅 SQLScan 目录中的 readme_sqlscan.txt 文件。SMS 部署程序SMS 部署程序提供了一个 SQLFIX.SMS 文件，使用此文件，您可以在 Systems Management Server (SMS) 中创建一个用于部署 SQL Server 关键更新程序的程序包。 有关 SQL 部署程序的详细信息，请参阅 SMSDeploy 目录中的 readme_SMSDeploy.txt 文件。ServprivServpriv (Servpriv.exe) 只能修补易受攻击的 SQL Server 2000 SP2 或更高版本的实例。如果尚未安装 SQL Server 2000 SP2 或更高版本，请在使用 ServPriv.exe