保护的十个步骤

来源：互联网发布：黑马java就业班编辑：程序博客网时间：2024/05/01 16:39

这里介绍了为提高SQLServer安装的性，您可以实施的十件事情：

1.安装最新的服务包。

　　为了提高服务器安全性，最有效的一个方法就是升级到SQLServer2000ServicePack3a(SP3a)。

　　另外，您还应该安装所有已发布的安全更新。

2.使用Microsoft基线安全性分析器（MBSA）来评估服务器的安全性。

　　MBSA是一个扫描多种Microsoft产品的不安全配置的工具，包括SQLServer和MicrosoftSQLServer2000DesktopEngine(MSDE2000)。它可以在本地运行，也可以通过网络运行。该工具针对下面问题对SQLServer安装进行检测：

1)  过多的sysadmin固定服务器角色成员。
2)  授予sysadmin以外的其他角色创建CmdExec作业的权利。
3)  空的或简单的密码。
4)  脆弱的身份验证模式。
5)  授予管理员组过多的权利。
6)  SQLServer数据目录中不正确的访问控制表(ACL)。
7)  安装文件中使用纯文本的sa密码。
8)  授予guest帐户过多的权利。
9)  在同时是域控制器的系统中运行SQLServer。
10) 所有人（Everyone）组的不正确配置，提供对特定键的访问。
11) SQLServer服务帐户的不正确配置。
12) 没有安装必要的服务包和安全更新。

Microsoft提供MBSA的免费下载。

3.使用Windows身份验证模式。

　　在任何可能的时候，您都应该对指向SQLServer的连接要求Windows身份验证模式。它通过限制对MicrosoftWindows®用户和域用户帐户的连接，保护SQLServer免受大部分Internet的工具的侵害，而且，您的服务器也将从Windows安全增强机制中获益，例如更强的身份验证以及强制的密码复杂性和过期时间。另外，凭证委派（在多台服务器间桥接凭证的能力）也只能在Windows身份验证模式中使用。在客户端，Windows身份验证模式不再需要存储密码。存储密码是使用标准SQLServer登录的应用程序的主要漏洞之一。

要在SQLServer的EnterpriseManager安装Windows身份验证模式，请按下列步骤操作：

1)展开服务器组。
2)右键点击服务器，然后点击属性。
3)在安全性选项卡的身份验证中，点击仅限Windows。

4.隔离您的服务器，并定期备份。

　　物理和逻辑上的隔离组成了SQLServer安全性的基础。驻留的机器应该处于一个从物理形式上受到保护的地方，最好是一个上锁的机房，配备有洪水检测以及火灾检测/消防系统。数据库应该安装在企业内部网的安全区域中，不要直接连接到Internet。定期备份所有数据，并将副本保存在安全的站点外地点。

5.分配一个强健的sa密码。

　　sa帐户应该总拥有一个强健的密码，即使在配置为要求Windows身份验证的服务器上也该如此。这将保证在以后服务器被重新配置为混合模式身份验证时，不会出现空白或脆弱的sa。

要分配sa密码，请按下列步骤操作：

1)展开服务器组，然后展开服务器。
2)展开安全性，然后点击登录。
3)在细节窗格中，右键点击SA，然后点击属性。
4)在密码方框中，输入新的密码。

6.限制SQLServer服务的权限。

　　SQLServer2000和SQLServerAgent是作为Windows服务运行的。每个服务必须与一个Windows帐户相关联，并从这个帐户中衍生出安全性上下文。SQLServer允许sa登录的用户（有时也包括其他用户）来访问特性。这些操作系统调用是由拥有服务器进程的帐户的安全性上下文来创建的。如果服务器被攻破了，那么这些操作系统调用可能被利用来向其他资源进行攻击，只要所拥有的过程（SQLServer服务帐户）可以对其进行访问。因此，为SQLServer服务仅授予必要的权限是十分重要的。1