十大绝招保护SQL Server数据库安全

　2. 行使Microsoft基线安详性说明器（MBSA）来评估处事器的安详性
    MBSA 是一个扫描多种Microsoft产物的不安详设置的器材，包罗SQL Server和Microsoft SQL Server 2000 Desktop Engine(MSDE 2000)。它可以在当地运行，也可以通过收集运行。该器材针对下面题目对SQL Server安装举办检测：

　1) 过多的sysadmin牢靠处事器脚色成员。

　2) 授予sysadmin以外的其他脚色建设CmdExec功课的权力。

　3) 空的或简朴的暗码。

　4) 懦弱的身份验证模式。

　5) 授予打点员组过多的权力。

　6) SQL Server数据目次中不正确的会见节制表(ACL)。

　7) 安装文件中行使纯文本的sa暗码。

　8) 授予guest帐户过多的权力。

　9) 在同时是域节制器的体系中运行SQL Server。

　10) 全部人（Everyone）组的不正确设置，提供对特定注册表键的会见。

　11) SQL Server 处事帐户的不正确设置。

　12) 没有安装须要的处事包和安详更新。

　Microsoft 提供 MBSA 的免费下载。

　3. 行使Windows身份验证模式
    在任何也许的时辰，您都应该对指向SQL Server的毗连要求Windows身份验证模式。它通过限定对Microsoft Windows用户和域用户帐户的毗连，掩护SQL Server免受大部门Internet器材的侵吞，并且，您的处事器也将从Windows安详加强机制中获益，譬喻更强的身份验证协议以及逼迫的暗码伟大性和逾期时刻。其它，凭据委派（在多台处事器间桥接凭据的手段）也只能在Windows身份验证模式中行使。在客户端，Windows身份验证模式不再必要存储暗码。存储暗码是行使尺度SQL Server登录的应用措施的首要裂痕之一。要在SQL Server的Enterprise Manager安装Windows身份验证模式，请按下列步调操纵：

　1）睁开处事器组。

　2）右键点击处事器，然后点击属性。

　3）在安详性选项卡的身份验证中，点击仅限Windows。

　4. 断绝您的处事器，并按期备份
    物理和逻辑上的断绝构成了SQL Server安详性的基本。驻留数据库的呆板应该处于一个从物理情势上受到掩护的处所，最好是一个上锁的机房，配备有大水检测以及火警检测及消防体系。数据库应该安装在企业内部网的安详地区中，不要直接毗连到Internet。按期备份全部数据，并将副本生涯在安详的站点外所在。

　5. 分派一个矫健的sa暗码
    sa帐户应该总拥有一个矫健的暗码，纵然在设置为要求 Windows 身份验证的处事器上也该云云。这将担保在往后处事器被从头设置为殽杂模式身份验证时，不会呈现空缺或懦弱的sa。

　要分派sa暗码，请按下列步调操纵：

　1) 睁开处事器组，然后睁开处事器。

　2) 睁开安详性，然后点击登录。

　3) 在细节窗格中，右键点击SA，然后点击属性。

　4) 在暗码方框中，输入新的暗码。

　6. 限定 SQL Server处事的权限
    SQL Server 2000和SQL Server Agent是作为Windows处事运行的。每个处事必需与一个Windows帐户相干联，并从这个帐户中衍生出安详性上下文。SQL Server应承sa登录的用户（偶然也包罗其他用户）来会见操纵体系特征。这些操纵体系挪用是由拥有处事器历程的帐户的安详性上下文来建设的。假如处事器被攻破了，那么这些操纵体系挪用也许被操作来向其他资源举办进攻，只要所拥有的进程（SQL Server处事帐户）可以对其举办会见。因此，为SQL Server处事仅授予须要的权限黑白常重要的。

　我们保举您回收下列配置：

　1) SQL Server Engine/MSSQLServer

　假如拥有指定实例，那么它们应该被定名为MSSQL$InstanceName。作为具有一样平常用户权限的Windows域用户帐户运行。不要作为当地体系、当地打点员或域打点员帐户来运行。

　2) SQL Server Agent Service/SQLServerAgent

　假如您的情形中不必要，请禁用该处事；不然请作为具有一样平常用户权限的Windows域用户帐户运行。不要作为当地体系、当地打点员或域打点员帐户来运行。

　重点： 假如下列前提之一创立，那么SQL Server Agent将必要当地Windows打点员权限：

    SQL Server Agent行使尺度的SQL Server身份验证毗连到SQL Server（不保举）；

    SQL Server Agent行使多处事器打点主处事器（MSX）帐户，而该帐户行使尺度SQL Server身份验证举办毗连；

    SQL Server Agent运行非sysadmin牢靠处事器脚色成员所拥有的Microsoft ActiveX剧本或 CmdExec功课。

　假如您必要变动与SQL Server处事相干联的帐户，请行使 SQL Server Enterprise Manager。Enterprise Manager将为SQL Server所行使的文件和注册表键配置吻合的权限。不要行使Microsoft打点节制台的“处事”（在节制面板中）来变动这些帐户，由于这样必要手动地调制大量的注册表键和NTFS文件体系权限以及Micorsoft Windows用户权限。

　帐户信息的变动将在下一次处事启动时见效。假如您必要变动与SQL Server以及SQL Server Agent相干联的帐户，那么您必需行使Enterprise Manager别离对两个处事举办变动。

    7. 在防火墙上禁用SQL Server端口

　SQL Server的默认安装将监督TCP端口1433以及UDP端口1434。设置您的防火墙来过滤掉达到这些端口的数据包。并且，还应该在防火墙上阻止与指定实例相干联的其他端口。

　8. 行使最安详的文件体系

　NTFS是最得当安装SQL Server的文件体系。它比FAT文件体系更不变且更轻易规复。并且它还包罗一些安详选项，譬喻文件和目次ACL以及文件加密（EFS）。在安装进程中，假如侦测到 NTFS，SQL Server将在注册表键和文件上配置吻合的ACL。不该该去变动这些权限。

　通过EFS，数据库文件将在运行SQL Server的帐户身份下举办加密。只有这个帐户才气解密这些文件。假如您必要变动运行SQL Server的帐户，那么您必需起首在宿帐户下解密这些文件，然后在新帐户下从头举办加密。

　9. 删除或掩护旧的安装文件

　SQL Server安装文件也许包括由纯文本或简朴加密的凭据和其他在安装进程中记录的敏感设置信息。这些日记文件的生涯位置取决于所安装的SQL Server版本。在SQL Server 2000中，下列文件也许受到影响：默认安装时:Program FilesMicrosoft SQL ServerMSSQLInstall文件夹中，以及指定实例的:Program FilesMicrosoft SQL Server MSSQL$Install文件夹中的sqlstp.log, sqlsp.log和setup.iss。

　假如当前的体系是从SQL Server 7.0安装进级而来的，那么还应该搜查下列文件：%Windir% 文件夹中的setup.iss以及Windows Temp文件夹中的sqlsp.log。

　Microsoft宣布了一个免费的适用器材Killpwd，它将从您的体系中找到并删除这些暗码。

　10. 考核指向SQL Server的毗连

　SQL Server可以记录变乱信息，用于体系打点员的检察。至少您应该记录失败的SQL Server毗连实行，并按期地查察这个日记。在也许的环境下，不要将这些日记和数据文件生涯在统一个硬盘上。

　要在SQL Server的Enterprise Manager中考核失败毗连，请按下列步调操纵：

　1) 睁开处事器组。

　2) 右键点击处事器，然后点击属性。

　3) 在安详性选项卡的考核品级中，点击失败。

　4) 要使这个配置见效，您必需遏制并从头启动处事器。

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!