MS SQL Server 2022 Express 설치

중소사업장에 공급되는 프로그램, 솔루션의 주 데이터베이스 엔진으로 Express 에디션이 많이 사용된다.

요새 취약점들이 알려진 낮은 버전의 MS SQL Server는 랜섬웨어 공격에 잘 당하고 있다.

SA계정과 1433포트가 하여간에 문제다.

이를 뚫는 도구로 Trojan이 이용된다.

이내 MSSQLSERVER 서비스를 중지시키고 MDF 파일을 암호화해 버린다.

MS SQL Server는 기본이 0.48BTC이다.

Server 버전도 마찬가지이다.

몇가지 대비가 필요하다.

그리고 가급적 가장 최신 버전을 사용한다.

【설치 프로그램 다운로드】

1. 다운로드 툴 구하기

https://www.microsoft.com/ko-kr/sql-server/sql-server-downloads 에서 Express를 다운로드한다.

 

2. SQL2022-SSEI-Expr.exe를 실행하여 미디어 다운로드를 선택한다.

 

3. 기본으로 선택된 Express Core 엔진만 있어도 된다.

 

4. 다운로드가 되면 폴더를 연다.

 

5. SQLEXPR_x64_KR.exe를 실행한다.

 

6. 압축이 다운로드 폴더에서 풀리면서 자동으로 설치센터 화면이 띄여진다.

 

【설치하기】

1. 새 SQL Server 독립 실행형 설치 또는 기존 설치에 기능 추가를 클릭한다.

 

2. 사용 조건에 동의한다.

 

3. 업데이트를 윈도우와 연동하기 위해서 선택을 한다.

 

4. Windows 방화벽 경고는 무시한다.

 

5. Azure 확장 기능이 뭔지 잘 모르니 체크를 지운다.

 

6. 기본적으로 선택된 옵션으로 진행한다.

 

7. 기본으로 나오는 인스턴스 이름과 ID를 그냥 사용한다.

 

8. 계정은 SYSTEM이 낫기는 하나 그냥 기본으로 선택된 것으로 한다.

 

9. 혼합 모드를 선택하고 SA계정의 암호를 설정한다.

 

***암호는 아래의 복잡성을 따른다.

로그인 사용자를 생성할 때도 마찬가지이다.

 

10. 설치 완료를 확인하고 관련해서 열린 창들을 닫거나 종료한다.

 

【SSMS(SQL Server Management Studio) 설치】

1. 설치 프로그램 다운로드

https://learn.microsoft.com/ko-kr/sql/ssms/download-sql-server-management-studio-ssms

한국어 또는 영어를 선택한다.

 

2. SSMS-Setup-KOR.exe를 실행한다.

 

3. 기본으로 선택된 폴더로 한다.

 

4. 설치 완료를 확인하고 마친다.

 

【SQL Server 기본 설정】

1. SQL Server 2022 구성 관리자를 열어서 TCP/IP를 사용한다.

 

2. 메시지 내용을 확인한다.

 

3. TCP/IP 속성을 연다.

 

4. IP 주소 탭을 클릭한다.

 

5. TCP 동적포트 값인 0은 지운다.

 

6. TCP 포트를 설정한다.

 

좋은 예 : 43719, 27539, 38715 등 직관적이지 않은 숫자

***나쁜 예 : 11433, 21433, 14330, 14333, 31433

 

7. 경고 메시지를 확인한다.

 

8. SQL Server를 다시 시작한다.

 

9. 윈도우 방화벽을 열어서 인바운드 규칙의 새 규칙을 클릭한다.

 

10. 기본으로 선택된 프로그램 규칙으로 한다.

 

11. 찾아보기를 클릭하여 MS SQL Server가 설치된 폴더에서 sqlserver.exe를 찾아내어 선택한다.

 

12. 경로와 파일이 맞는지 한 번 확인한다.

 

13. 기본으로 선택된 게 연결 허용이다.

 

14. 모든 프로필이 기본으로 선택돼 있으니 그대로 한다.

 

15. 룰 이름을 적당히 짓고 설명도 짧게 넣는다.

 

【데이터베이스 엔진 관리】

1. SSMS를 실행하여 Windows 인증으로 로그인 한다.

 

2. SA계정의 속성을 연다.

 

3. 데이터베이스 엔진 연결 권한을 거부로 변경한다.

로그인도 사용 안 함으로 바꾼다.

 

4. 필요한 데이터베이스를 생성한다.

 

5. 데이터베이스의 이름을 짓고 나머지 설정들은 기본 상태로 그냥 둔다.

 

6. 신규 데이터베이스를 이용할 사용자를 만든다.

 

7. 이름을 짓는다.

SQL Server 인증이다.

암호 만료 강제 적용(X)에 체크는 지운다.

 

8. 사용자 매핑에서 해당 데이터베이스를 선택하고 db_owner 자격을 부여한다.

 

9. SSMS에서 새 사용자로 로그인되는지 확인한다.

SQL Server 인증이다.

 

【데이터베이스 원본파일 보호】

MDF 파일이 들어있는 DATA 폴더를 랜섬웨어가 액세스하지 못하도록 한다.

***예 : (C:\Program Files\Microsoft SQL Server\MSSQL16.SQLEXPRESS\MSSQL\DATA)

 

1. 설정 > 업데이트 및 보안 > Windows 보안 > 바이러스 및 위협 방지 > 랜섬웨어 방지 관리 > 제어된 폴더 액세스

켬으로 변경하고 보호된 폴더를 클릭한다.

 

2. MDF 파일이 존재하는 폴더를 추가한다.

 

3. 제어된 폴더 액세스를 통해 앱 허용을 클릭한다.

 

4. C:\Program Files\Microsoft SQL Server\MSSQL16.SQLEXPRESS\MSSQL\Binn에 들어 있은 sqlserver.exe 파일을 허용된 앱에 추가한다.

 

【정리】

SA 계정 비활성

일반 계정으로 데이터베이스를 이용

1433 포트 퇴출

DATA폴더 내에서 알려지지 않은 프로세스 실행 방지