如何提高SQLServer的安全性(上)

字號(hào):

這里介紹了為提高 sql server 安裝的安全性,您可以實(shí)施的十件事情:
    1.安裝最新的服務(wù)包
    為了提高服務(wù)器安全性,的一個(gè)方法就是升級(jí)到 sql server 2000 service pack 3a (sp3a)。要下載 sp3a,請(qǐng)?jiān)L問sql server 2000 sp3a 頁(yè)面。
    另外,您還應(yīng)該安裝所有已發(fā)布的安全更新。要訂閱新安全更新的通知,請(qǐng)?jiān)L問產(chǎn)品安全通知頁(yè)面。
    2.使用 microsoft 基線安全性分析器(mbsa)來(lái)評(píng)估服務(wù)器的安全性
    mbsa 是一個(gè)掃描多種 microsoft 產(chǎn)品的不安全配置的工具,包括 sql server 和 microsoft sql server 2000 desktop engine (msde 2000)。它可以在本地運(yùn)行,也可以通過網(wǎng)絡(luò)運(yùn)行。該工具針對(duì)下面問題對(duì) sql server 安裝進(jìn)行檢測(cè):
    * 過多的sysadmin固定服務(wù)器角色成員。
    * 授予sysadmin以外的其他角色創(chuàng)建 cmdexec 作業(yè)的權(quán)利。
    * 空的或簡(jiǎn)單的密碼。
    * 脆弱的身份驗(yàn)證模式。
    * 授予管理員組過多的權(quán)利。
    * sql server數(shù)據(jù)目錄中不正確的訪問控制表(acl)。
    * 安裝文件中使用純文本的sa密碼。
    * 授予guest帳戶過多的權(quán)利。
    * 在同時(shí)是域控制器的系統(tǒng)中運(yùn)行sql server。
    * 所有人(everyone)組的不正確配置,提供對(duì)特定注冊(cè)表鍵的訪問。
    * sql server 服務(wù)帳戶的不正確配置。
    * 沒有安裝必要的服務(wù)包和安全更新。
    3.使用 windows 身份驗(yàn)證模式
    在任何可能的時(shí)候,您都應(yīng)該對(duì)指向 sql server 的連接要求 windows 身份驗(yàn)證模式。它通過限制對(duì)microsoft windows®用戶和域用戶帳戶的連接,保護(hù) sql server 免受大部分 internet 的工具的侵害,。而且,您的服務(wù)器也將從 windows 安全增強(qiáng)機(jī)制中獲益,例如更強(qiáng)的身份驗(yàn)證協(xié)議以及強(qiáng)制的密碼復(fù)雜性和過期時(shí)間。另外,憑證委派(在多臺(tái)服務(wù)器間橋接憑證的能力)也只能在 windows 身份驗(yàn)證模式中使用。在客戶端,windows 身份驗(yàn)證模式不再需要存儲(chǔ)密碼。存儲(chǔ)密碼是使用標(biāo)準(zhǔn) sql server 登錄的應(yīng)用程序的主要漏洞之一。
    要在 sql server 的 enterprise manager 安裝 windows 身份驗(yàn)證模式,請(qǐng)按下列步驟操作:
    (1)展開服務(wù)器組。
    (2)右鍵點(diǎn)擊服務(wù)器,然后點(diǎn)擊屬性。
    (3)在安全性選項(xiàng)卡的身份驗(yàn)證中,點(diǎn)擊僅限 windows。
    4.隔離您的服務(wù)器,并定期備份
    物理和邏輯上的隔離組成 了sql server 安全性的基礎(chǔ)。駐留數(shù)據(jù)庫(kù)的機(jī)器應(yīng)該處于一個(gè)從物理形式上受到保護(hù)的地方,是一個(gè)上鎖的機(jī)房,配備有洪水檢測(cè)以及火災(zāi)檢測(cè)/消防系統(tǒng)。數(shù)據(jù)庫(kù)應(yīng)該安裝在企業(yè)內(nèi)部網(wǎng)的安全區(qū)域中,不要直接連接到 internet。定期備份所有數(shù)據(jù),并將副本保存在安全的站點(diǎn)外地點(diǎn)。有關(guān)備份過程和其他操作性實(shí)踐的指南,請(qǐng)參閱sql server 2000操作指南。
    5.分配一個(gè)強(qiáng)健的sa密碼
    sa帳戶應(yīng)該總擁有一個(gè)強(qiáng)健的密碼,即使在配置為要求 windows 身份驗(yàn)證的服務(wù)器上也該如此。這將保證在以后服務(wù)器被重新配置為混合模式身份驗(yàn)證時(shí),不會(huì)出現(xiàn)空白或脆弱的sa。
    要分配sa密碼,請(qǐng)按下列步驟操作:
    (1)展開服務(wù)器組,然后展開服務(wù)器。
    (2)展開安全性,然后點(diǎn)擊登錄。
    (3)在細(xì)節(jié)窗格中,右鍵點(diǎn)擊sa,然后點(diǎn)擊屬性。
    (4)在密碼方框中,輸入新的密碼。