十大绝招保护SQL Server数据库安全
1. 安装最新的处事包 为了进步处事器安详性,最有用的一个要领就是进级到SQL Server 2000 Service Pack 3a (SP3a)。其它,您还应该安装全部已宣布的安详更新。 2. 行使Microsoft基线安详性说明器(MBSA)来评估处事器的安详性 1) 过多的sysadmin牢靠处事器脚色成员。 2) 授予sysadmin以外的其他脚色建设CmdExec功课的权力。 3) 空的或简朴的暗码。 4) 懦弱的身份验证模式。 5) 授予打点员组过多的权力。 6) SQL Server数据目次中不正确的会见节制表(ACL)。 7) 安装文件中行使纯文本的sa暗码。 8) 授予guest帐户过多的权力。 9) 在同时是域节制器的体系中运行SQL Server。 10) 全部人(Everyone)组的不正确设置,提供对特定注册表键的会见。 11) SQL Server 处事帐户的不正确设置。 12) 没有安装须要的处事包和安详更新。 Microsoft 提供 MBSA 的免费下载。 3. 行使Windows身份验证模式 1)睁开处事器组。 2)右键点击处事器,然后点击属性。 3)在安详性选项卡的身份验证中,点击仅限Windows。 4. 断绝您的处事器,并按期备份 5. 分派一个矫健的sa暗码 要分派sa暗码,请按下列步调操纵: 1) 睁开处事器组,然后睁开处事器。 2) 睁开安详性,然后点击登录。 3) 在细节窗格中,右键点击SA,然后点击属性。 4) 在暗码方框中,输入新的暗码。 6. 限定 SQL Server处事的权限 我们保举您回收下列配置: 1) SQL Server Engine/MSSQLServer 假如拥有指定实例,那么它们应该被定名为MSSQL$InstanceName。作为具有一样平常用户权限的Windows域用户帐户运行。不要作为当地体系、当地打点员或域打点员帐户来运行。 2) SQL Server Agent Service/SQLServerAgent 假如您的情形中不必要,请禁用该处事;不然请作为具有一样平常用户权限的Windows域用户帐户运行。不要作为当地体系、当地打点员或域打点员帐户来运行。 重点: 假如下列前提之一创立,那么SQL Server Agent将必要当地Windows打点员权限: SQL Server Agent行使尺度的SQL Server身份验证毗连到SQL Server(不保举); SQL Server Agent行使多处事器打点主处事器(MSX)帐户,而该帐户行使尺度SQL Server身份验证举办毗连; SQL Server Agent运行非sysadmin牢靠处事器脚色成员所拥有的Microsoft ActiveX剧本或 CmdExec功课。 假如您必要变动与SQL Server处事相干联的帐户,请行使 SQL Server Enterprise Manager。Enterprise Manager将为SQL Server所行使的文件和注册表键配置吻合的权限。不要行使Microsoft打点节制台的“处事”(在节制面板中)来变动这些帐户,由于这样必要手动地调制大量的注册表键和NTFS文件体系权限以及Micorsoft Windows用户权限。 帐户信息的变动将在下一次处事启动时见效。假如您必要变动与SQL Server以及SQL Server Agent相干联的帐户,那么您必需行使Enterprise Manager别离对两个处事举办变动。 7. 在防火墙上禁用SQL Server端口 SQL Server的默认安装将监督TCP端口1433以及UDP端口1434。设置您的防火墙来过滤掉达到这些端口的数据包。并且,还应该在防火墙上阻止与指定实例相干联的其他端口。 8. 行使最安详的文件体系 NTFS是最得当安装SQL Server的文件体系。它比FAT文件体系更不变且更轻易规复。并且它还包罗一些安详选项,譬喻文件和目次ACL以及文件加密(EFS)。在安装进程中,假如侦测到 NTFS,SQL Server将在注册表键和文件上配置吻合的ACL。不该该去变动这些权限。 通过EFS,数据库文件将在运行SQL Server的帐户身份下举办加密。只有这个帐户才气解密这些文件。假如您必要变动运行SQL Server的帐户,那么您必需起首在宿帐户下解密这些文件,然后在新帐户下从头举办加密。 9. 删除或掩护旧的安装文件 SQL Server安装文件也许包括由纯文本或简朴加密的凭据和其他在安装进程中记录的敏感设置信息。这些日记文件的生涯位置取决于所安装的SQL Server版本。在SQL Server 2000中,下列文件也许受到影响:默认安装时:Program FilesMicrosoft SQL ServerMSSQLInstall文件夹中,以及指定实例的:Program FilesMicrosoft SQL Server MSSQL$Install文件夹中的sqlstp.log, sqlsp.log和setup.iss。 假如当前的体系是从SQL Server 7.0安装进级而来的,那么还应该搜查下列文件:%Windir% 文件夹中的setup.iss以及Windows Temp文件夹中的sqlsp.log。 Microsoft宣布了一个免费的适用器材Killpwd,它将从您的体系中找到并删除这些暗码。 10. 考核指向SQL Server的毗连 SQL Server可以记录变乱信息,用于体系打点员的检察。至少您应该记录失败的SQL Server毗连实行,并按期地查察这个日记。在也许的环境下,不要将这些日记和数据文件生涯在统一个硬盘上。 要在SQL Server的Enterprise Manager中考核失败毗连,请按下列步调操纵: 1) 睁开处事器组。 2) 右键点击处事器,然后点击属性。 3) 在安详性选项卡的考核品级中,点击失败。 4) 要使这个配置见效,您必需遏制并从头启动处事器。 (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |