Web环境中的SQL Server考证[MSSQL防范]

下文对Web环境中的SQL Server考证相关的问题举行了阐明,供您参考.SQL Server的安全管理战略一向是我们最关心的话题,但愿下文能给您有所启迪.

即便最好的安全战略也常常在一种情形前屈从,这种情形就是在Web利用中利用SQL Server的数据.在这种情形下,举行SQL Server考证的典型办法是把一组SQL Server登录名称和密码嵌入到Web服务器上运行的程序,比方ASP页面大概CGI脚本;然后,由Web服务器负责考证用户,利用程序则利用它自己的登录帐户（大概是系统管理员sa帐户,大概为了便利起见,利用Sysadmin服务器角色中的登录帐户）为用户拜候数据.

这种安置有几个缺陷,此中最重要的包含:它不具有对用户在服务器上的活动举行考核的本领,完好依靠于Web利用程序实现用户考证,当SQL Server需求限定用户权限时差别的用户之间不易辨别.假如你利用的是IIS 5.0大概IIS 4.0,你可以用四种办法考证用户.第一种办法是为每一个网站和每一个虚拟目录成立一个匿名用户的NT帐户.此后,全部利用程序登录SQL Server时都利用该安全环境.我们可以通过授与NT匿名帐户符合的权限,改良考核和考证功效.

第二种办法是让全部网站利用Basic考证.此时,只有当用户在对话框中输入了合理的帐户和密码,IIS才会答应他们拜候页面.IIS依靠一个NT安全数据库实现登录身份考证,NT安全数据库既可以在本地服务器上,也可以在域掌握器上.当用户运行一个拜候SQL Server数据库的程序大概脚本时,IIS把用户为了浏览页面而供应的身份信息发送给服务器.假如你利用这种办法,应当记着:在普通情形下,浏览器与服务器之间的密码传送普通是不加密的,关于那些利用Basic考证而安全又很重要的网站,你必须实现SSL（Secure Sockets Layer,安全套接字层）.

在客户端只利用IE 5.0、IE 4.0、IE 3.0浏览器的情形下,你可以利用第三种SQL Server考证办法.你可以在Web网站上和虚拟目录上都启用NT考证.IE会把用户登录计算机的身份信息发送给IIS,当该用户试图登录SQL Server时IIS就利用这些登录信息.利用这种简化的办法时,我们可以在一个远程网站的域上对用户身份举行考证（该远程网站登录到一个与运行着Web服务器的域有着信任关系的域）.

最后,假如用户都有个人数字证书,你可以把那些证书映射到本地域的NT帐户上.个人数字证书与服务器数字证书以一样的技术为底子,它证明用户身份标识的合理性,所以可以代替NT的Challenge/Response（质询/回应）考证算法.Netscape和IE都自动在每一个页面恳求中把证书信息发送给IIS.IIS供应了一个让管理员把证书映射到NT帐户的工具.因此,我们可以用数字证书代替普通的供应帐户名字和密码的登录历程.

由此可见,通过NT帐户考证用户时我们可以利用多种实现办法.即便当用户通过IIS超越Internet衔接SQL Server时,挑选仍旧存在.因此,你应当把NT考证作为首选的用户身份考证办法.