十大绝招保护SQL Server数据库安全[MSSQL防范]

　　1. 安装最新的服务包

　　为了提高服务器安全性,最有效的一个办法就是进级到sql server 2000 Service Pack 3a (SP3a).别的,您还应当安装全部已公布的安全更新.

　　2. 利用Microsoft基线安全性解析器（MBSA）来评价服务器的安全性

　　MBSA 是一个扫描多种Microsoft产品的不安全配置的工具,包含SQL Server和Microsoft SQL Server 2000 Desktop Engine(MSDE 2000).它可以在本地运行,也可以通过网络运行.该工具针对下面问题对SQL Server安装举行检测:

　　1) 过量的sysadmin固定服务器角色成员.

　　2) 授与sysadmin以外的其他角色成立CmdExec功课的权利.

　　3) 空的或简单的密码.

　　4) 脆弱的身份考证情势.

　　5) 授与管理员组过量的权利.

　　6) SQL Server数据目录中不精确的拜候掌握表(ACL).

　　7) 安装文件中利用纯文本的sa密码.

　　8) 授与guest帐户过量的权利.

　　9) 在同时是域掌握器的系统中运行SQL Server.

　　10) 全部人（Everyone）组的不精确配置,供应对特定注册表键的拜候.

　　11) SQL Server 服务帐户的不精确配置.

　　12) 没有安装必要的服务包和安全更新.

　　Microsoft 供应 MBSA 的免费下载.

　　3. 利用Windows身份考证情势

　　在任何大概的时刻,您都应当对指向SQL Server的衔接要求Windows身份考证情势.它通过限制对Microsoft Windows用户和域用户帐户的衔接,保护SQL Server免受大部份Internet工具的侵害,并且,您的服务器也将从Windows安全加强机制中获益,比方更强的身份考证协议以及强迫的密码复杂性和过期时间.别的,凭证委派（在多台服务器间桥接凭证的本领）也只能在Windows身份考证情势中利用.在客户端,Windows身份考证情势不再需求存储密码.存储密码是利用尺度SQL Server登录的利用程序的主要漏洞之一.要在SQL Server的Enterprise Manager安装Windows身份考证情势,请按下列步骤操作:

　　1）展开服务器组.

　　2）右键点击服务器,然后点击属性.

　　3）在安全性选项卡的身份考证中,点击仅限Windows.

　　4. 断绝您的服务器,并按期备份

　　物理和逻辑上的断绝构成了SQL Server安全性的底子.驻留数据库的机械应当处于一个从物理情势上遭到保护的地方,最好是一个上锁的机房,装备有大水检测以及火灾检测及消防系统.数据库应当安装在企业内部网的安全区域中,不要直接衔接到Internet.按期备份全部数据,并将副本保存在安全的站点外地址.

　　5. 分配一个健旺的sa密码

　　sa帐户应当总拥有一个健旺的密码,即便在配置为要求 Windows 身份考证的服务器上也该如此.这将保证在今后服务器被重新配置为混合情势身份考证时,不会呈现空白或脆弱的sa.

　　要分配sa密码,请按下列步骤操作:

　　1) 展开服务器组,然后展开服务器.

　　2) 展开安全性,然后点击登录.

　　3) 在细节窗格中,右键点击SA,然后点击属性.

　　4) 在密码方框中,输入新的密码.

　　6. 限制 SQL Server服务的权限

　　SQL Server 2000和SQL Server Agent是作为Windows服务运行的.每个服务必须与一个Windows帐户相关联,并从这个帐户中衍生出安全性上下文.SQL Server答应sa登录的用户（有时也包含其他用户）来拜候操作系统特点.这些操作系统调用是由拥有服务器进程的帐户的安全性上下文来成立的.假如服务器被攻破了,那么这些操作系统调用大概被操纵来向其他资源举行攻击,只要所拥有的历程（SQL Server服务帐户）可以对其举行拜候.因此,为SQL Server服务仅授与必要的权限是非常重要的.

　　我们举荐您采取下列设置:

　　1) SQL Server Engine/MSSQLServer

　　假如拥有指定实例,那么它们应当被命名为MSSQL$InstanceName.作为具有普通用户权限的Windows域用户帐户运行.不要作为本地系统、本地管理员或域管理员帐户来运行.

　　2) SQL Server Agent Service/SQLServerAgent

　　假如您的环境中不需求,请禁用该服务;不然请作为具有普通用户权限的Windows域用户帐户运行.不要作为本地系统、本地管理员或域管理员帐户来运行.

　　重点: 假以下列条件之一成立,那么SQL Server Agent将需求本地Windows管理员权限:

SQL Server Agent利用尺度的SQL Server身份考证衔接到SQL Server（不举荐）;

SQL Server Agent利用多服务器管理主服务器（MSX）帐户,而该帐户利用尺度SQL Server身份考证举行衔接;

SQL Server Agent运行非sysadmin固定服务器角色成员所拥有的Microsoft ActiveX脚本或 CmdExec功课.

　　假如您需求更改与SQL Server服务相关联的帐户,请利用 SQL Server Enterprise Manager.Enterprise Manager将为SQL Server所利用的文件和注册表键设置符合的权限.不要利用Microsoft管理掌握台的"服务"（在掌握面板中）来更改这些帐户,因为这样需求手动地调制大量的注册表键和NTFS文件系统权限以及Micorsoft Windows用户权限.

　　帐户信息的更改将在下一次服务启动时见效.假如您需求更改与SQL Server以及SQL Server Agent相关联的帐户,那么您必须利用Enterprise Manager辨别对两个服务举行更改.