若何提高SQL Server 的安全性?[MSSQL防范]
本文“若何提高SQL Server 的安全性?[MSSQL防范]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
有一些步骤你可以用来使sql server 数据库对篡改数据和黑客攻击更有抵挡力.
请示专家:在网上看到SQL Server的安全性令人耽忧,我想知道若何才能使我的SQL Server数据库尽大概的安全?
有一些步骤你可以用来使SQL Server 数据库对篡改数据和黑客攻击更有抵挡力.此中一些是好的服务器管理中的简单的部份,比方使SQL Server保持最新的补钉,而另一些则触及了一些用户在利用中的监控.下面的这五个步骤将带你开始这项工作.
查找最新的服务程序包
时刻确保你装了最新的服务程序包.关于SQL Server 2000,这个补钉是SP3a .记着,服务程序包是渐增的,所以假如你利用了SP3a ,你就不需求再利用其他任安在此之前的程序包,比方SP3, SP2 或 SP1.SP3a 是一个特别的服务程序包,它是为那些没有举行过从前的任何更新而计划的安装程序,而SP3 则是为那些已经安装了SP1 或SP2预备的安装程序.
利用安全警报
补钉可以帮忙你保护你的SQL Server 数据库免受很多威胁,但是他们的公布速度老是跟不上那些移动疾速的安全性问题的处理,比方Spammer 蠕虫.所以你就会想要利用微软公司的免费的安全告诉服务,一封电子邮件服务便可以使你理解关于破坏安全的问题和怎样处理它们.
运行微软的基线安全解析器(MBSA)
这个工具关于SQL Server 和MSDE 2000 Desktop Engine 都是可用的,并且它可以在本地运行,也可以在网络中运行.它探求密码,拜候权限,拜候掌握清单和注册的问题,并且查抄遗漏的安全程序包或服务程序包.你可以在TechNet上找到这个工具的相关信息.
删除SA和旧密码
人们犯的关于密码的最大的安全性错误就是对系统管理员(SA)密码不做任何改正.你大概很简单的忽视安装文件中的剩余的配置信息,保护得很差的认证信息和其他一些敏感的数据就会遭黑客破坏.你必须删除在这个路经下的旧的安装文件:Program Files\Microsoft SQL Server\MSSQL\Install或Program Files\Microsoft SQL Server\MSSQL$\Install folders.还有,可以利用KILLPWD利用程序来找旧的密码并且删除它们.Knowledge Base文章263968对这个问题做了具体的阐明.
监控衔接
衔接可以奉告你谁试图拜候SQL Server,所以监督和掌握衔接是保护数据库安全的一个非常好的办法.关于一个大型的活动的SQL Server 数据库,大概会有太多的数据衔接需求监控,但是监控失利的衔接是非常有代价的,因为它们大概表现出利用的计划.你可以在企业管理器中在服务组上右击,然后挑选Properties,记录下失利衔接的日记.然后点击Security选项卡,在Audit Level下点击Failure来终止并重新启动服务器.
——————————————————————————————
后台文章:
Microsoft SQL Server的安全性掌握战略
引言
数据库的安全性是指保护数据库以避免不合理的利用所造成的数据泄露、更改或破坏.系统安全保护办法能否有效是数据库系统的主要指标之一.数据库的安全性和计算机系统的安全性,包含操作系统、网络系统的安全性是精密接洽、彼此支持的.
关于数据库管理来说,保护数据不受内部和外部侵害是一项重要的工作.Microsoft SQL Server 正日益遍及的利用于各部门内外,作为SQL Server(SQL Server是指Microsoft SQL Server,下文同)的数据库系统管理员,需求深化的理解SQL Server的安全性掌握战略,以实现管理安全性的目标.
图1给出了SQL Server安全掌握战略表示图.由图可见,SQL Server的安全掌握战略是一个层次构造系统的调集.只有满意上一层系统的安全性要求之后,才可以进入下一层.
各层SQL Server安全掌握战略是通过各层安全掌握系统的身份考证实现的.身份考证是指当用户拜候系统时,系统对该用户的账号和口令的确认历程.身份考证的内容包含确认用户的账号能否有效、可否拜候系统、能拜候系统的哪些数据等.
身份考证方法是指系统确认用户的方法.SQL Server系统是基于Windows NT/2000操作系统的,目前的SQL Server系统可以安装在Windows 95(需求安装Winsock进级软件)、Windows 98和Windows ME之上(此时,将没有第一层和第二层的安全性掌握),但旧的SQL Servers系统只能运行在Windows NT/2000操作系统上.Windows NT/2000对用户有自己的身份考证方法,用户必须供应自己的用户名和呼应的口令才能拜候Windows NT/2000系统.
这样SQL Server的安全系统可在任何服务器上通过两种方法实现:SQL Server和Windows结合利用(SQL Server and Windows)以及只利用Windows(Windows Only).拜候Windows NT/2000系统用户可否拜候SQL Server系统就取决于SQL Server系统身份考证方法的设置.
1. 用户标识与考证
用户标示和考证是系统供应的最外层安全保护办法.其办法是由系统供应一定的方法让用户标示自己的名字或身份.每次用户要求进入系统时,由系统举行查对,通过断定后才供应机械利用权.
关于得到上机权的用户若要利用数据库时数据库管理系统还要举行用户标识和断定.
用户标识和断定的办法有很多种,并且在一个系统中常常是多种办法并举,以得到更强的安全性.常用的办法有:
用一个用户名大概用户标识号来标明用户身份.系统内部记录着全部合理用户的标识,系统考证此户能否合理用户,若是,则可以进入下一步的核实;若不是,则不能利用系统.
为了进一步核实用户,系统常常要求用户输进口令(Password).为保密起见,用户在终端上输入的口令不显示在屏幕上.系统查对口令以考证用户身份.
用户标识与考证在SQL Server中对应的是Windows NT/2000登录账号和口令以及SQL Server用户登录账号和口令.
2. SQL Server身份考证方法
用户必须利用一个登录账号,才能衔接到SQL Server中.SQL Server可以辨认两类的身份考证方法,即:SQL Server身份考证(SQL Server Authentication)方法和Windows身份考证(Windows Authentication)方法.这两种方法的构造如图2所示.这两种方法都有自己的登录账号范例.
注意的是,假如在Microsoft Windows95/98/ME上利用SQL Server的Personal版,作为SQL Server宿主的Microsoft Windows95/98/ME系统只能利用SQL Server登录.因此,Windows NT/2000身份考证、域用户的账号和域组账号都是不可用的.
当利用SQL Server身份考证方法时, 由SQL Server系统管理员定义SQL Server账号和口令.当用户衔接SQL Serve时,必须供应登录账号和口令.当利用Windows身份考证方法时,由Windows NT/2000账号大概组掌握用户对SQL Server系统的拜候.这时,用户没必要供应SQL Server的Login账号和口令就可以衔接到系统上.但是,在该用户衔接之前,SQL Serve系统管理员必须将Windows NT/2000账号大概Windows NT/2000组定义为SQL Server的有效登录账号.
3. 身份考证情势
当SQL Serve在Windows NT/2000上运行时,系统管理员必须指定系统的身份考证情势范例.SQL Server的身份考证情势有两种:Windows 身份考证(Windows Authentication)情势和混合情势(Mixed Mode).身份考证情势和身份考证方法的关系是:
混合情势 (Windows 身份考证方法 和 SQL Server 身份考证方法)
Windows 身份考证情势只答应利用Windows 身份考证方法,这时用户无法以SQL Server的登录账号登录服务器.它要求用户登录到Windows NT/2000,当用户拜候SQL Server时,不用再次登录.固然用户仍会被提醒登录,但SQL Server的用户名会自动从用户网络登录ID中提取.而混称身份考证情势即答应利用Windows NT/2000身份考证方法,又答应利用SQL Server身份考证方法.它利用户既可以登录SQL Server,也可用Windows NT/2000的集成登录.
集成登录只能在用命名管道衔接客户机服务器时利用.当利用混合情势时,无论是利用Windows NT/2000身份考证方法的用户,还是利用SQL Server身份考证方法的用户,都可以衔接到SQL Server系统上.也就是说:身份考证情势是对服务器来说的,而身份考证方法是对客户端来说的.
4. Windows身份考证情势
Windows 身份考证情势最实用于只在部门拜候数据库的情形.与SQL Server身份考证方法相比,Windows身份考证方法具有下列长处:供应了更多的功效,比方安全确认和口令加密、考核、口令失效、最小口令长度和账号锁定;通过增添单个登录账号,答应在SQL Server系统中增添用户组;答应用户疾速拜候SQL Server系统,而没必要利用另一个登录账号和口令.
SQL Server系统按照下列步骤处理Windows 身份考证方法中的登录账号:
1)当用户衔接到Windows NT/2000系统上时,客户机翻开一个到SQL Server系统的拜托衔接.该拜托衔接将Windows NT/2000的组和用户账号传送到SQL Server系统中.因为客户机翻开了一个拜托衔接,所以SQL Server系统知道Windows NT/2000已经确认该用户有效.
2)假如SQL Server系统在系统表syslogins的SQL Server用户清单中找到该用户的Windows NT/2000用户账号大概组账号,就承受这次身份考证衔接.这时,SQL Server系统不需求重新考证口令能否有效,因为Windows NT/2000已经考证用户的口令是有效的.
3)在这种情形下,该用户的SQL Server系统登录账号便可以是Windows NT/2000的用户账号,也可以是Windows NT/2000组账号.当然,这些用户账号大概组账号都已定义为SQL Server系统登录账号.
4)假如多个SQL Server机械在一个域大概在一组信任域中,那么登录到单个网络域上,便可以拜候全部的SQL Server机械.
5. 混合情势
混合情势最适实用于外界用户拜候数据库或不能登录到Windows域时.
混合方法的SQL Server身份考证方法有下列长处:混合方法答应非Windows NT/2000客户、Internet客户和混合的客户组衔接到SQL Server中;SQL Server身份考证方法又增添了一层基于Windows 的安全保护.SQL Server按照下列步骤处理自己的登录账号:
1.当一个利用SQL Server账号和口令的用户衔接SQL Server时,SQL Server考证该用户能否在系统表syslogins中且其口令能否与从前记录的口令匹配.
2.假如在系统表syslogins中没有该用户账号,那么这次身份考证失利,系统回绝该用户的衔接.
完毕语
SQL Server供应多层安全.在最外层,SQL Server的登录安全性直接集成到Widows NT/2000的安全上,它答应Windows NT服务器考证用户.利用这种"Windows 考证"SQL Server便可以操纵Windows NT/2000的安全特点,比方安全考证和密码加密、考核、密码过期、最短密码长度,以及在多次登录恳求无效后锁定帐号.
以上是“若何提高SQL Server 的安全性?[MSSQL防范]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
本文地址: | 与您的QQ/BBS好友分享! |