熱點推薦:
您现在的位置: 電腦知識網 >> 編程 >> SQL Server >> 正文

保護SQL服務器的安全-安全安裝

2013-11-15 14:40:44  來源: SQL Server 

  由於很多原因需要作出安全決定的人常常沒有明白數據的真正價值所以經常無法對數據進行足夠的保護讓需要你數據的人能夠在需要的時候訪問到它並確保其有效性可能是數據庫管理員最重要的職責但是保持數據能夠被訪問並不意味著要讓它對所有的人都開放因此你需要仔細保護數據的安全然後只對需要它的人開放
  
  安全措施
  普通的維護和數據庫的更改應該讓位於安全措施這一過程包括如下步驟
  
  ● 為缺省的系統管理員(SA)帳號分配一個復雜的密碼然後創建你唯一命名的帳號來處理管理工作並給該帳號分配sysadmin角色要確保新的帳號也具有復雜的密碼然後你就可以從sysadmin角色裡把SA帳號刪掉
  ● 為每個用戶設置單獨的密碼但是更好的方法是使用Windows集成的安全(機制)並讓Windows來強制執行嚴格的密碼規則
  ● 要確定哪些用戶需要查看什麼數據然後分配適當的許可不要僅僅為圖省事而給予用戶過多的權限例如你的數據輸入操作員就的確不需要查看其他人的工資
  ● 確定哪些用戶需要更改什麼數據然後再分配適當的許可帳號管理人員應該可以看到所有的客戶信息但是你可能希望限制誰才有權更改這些信息具體的說掌握特定帳號的帳號管理人員可能是唯一一個被賦予權限更改客戶數據的人
  
  通過本系列的文章你會了解到更多關於這些措施的內容但是你應該從一開始就考慮安全的問題否則你數據庫的任何用戶都可能竊取或者刪除你最敏感的數據
  
  可能是什麼出錯?
  眾所周知SQL服務器在剛安裝好的的時候並不安全你必須花一些心思和精力來充分和成功地保證你服務器的安全甚至在開始安裝服務器之前你就需要考慮兩個非常重要的問題
  
  ● 保護管理員帳號和密碼的安全
  ● 保護你的系統不受Slammer蠕蟲病毒的侵害
  ● 保護剛剛安裝好的服務器
  
  利用SA帳號SQL服務器的確具有缺省的安全(措施)在安裝過程中SQL服務器會自動地創建一個管理員用戶並為其指定SA這個用戶名和一個空白的密碼有些管理員會把這個SA的密碼留成空白或者設置為大家都知道的一個常見密碼這就使得其整個系統能夠被輕易攻破如果你犯了這個錯誤那麼任何人都可以登錄進你的數據庫並做他們想做的事情具有管理員許可的任何人都可以做他們想做的任何事——不僅僅是數據庫還有整台計算機這肯定不是一件好事你希望限制每個用戶只讓他們訪問他們需要的東西——不多也不少
  
  在日常的管理工作中不要使用SA帳號用一個真正安全的密碼來收藏好這個帳號然後為管理工作專門創建另外一個帳號(具體是SQL服務器帳號還是Windows帳號這要根據你的驗證模式)你需要避免很容易就會被猜出來的帳號名或者控制整台服務器的帳號的密碼因為如果有人使用這個帳號成功地登錄進來那麼游戲就此結束
  
  一次令人警醒的事件——Slammer蠕蟲
   一個感染性極強的惡意代碼Slammer蠕蟲將攻擊目標瞄准了SQL服務器的安裝過程通過利用SQL服務器代碼裡的漏洞它能夠在安裝SQL服務器的時候綁架計算機並將自己的多個副本安插進其他被攻破的計算機裡利用某些帳號這個蠕蟲在被釋放出來的分鐘之內就滲透進了Internet微軟花了大量的精力來發布補丁但是Slammer的影響現在還時有發生有些媒體甚至還宣稱它破壞了SQL服務器工作組的工作結果導致SQL服務器下一版本的beta版發布被推遲
  
  為什麼在這一事件爆發數月之後你還需要關注這個問題?因為現在在網上每天還有受到感染的機器在向外發送Slammer的副本如果把沒有打補丁的SQL服務器連接到Internet上你就可能成為下一個受害者這次事件告訴我們在插上連接到Internet的電纜之前你需要保護好自己服務器的安全並安裝最新的服務包和補丁
  
  服務包的重要性
  服務包可以免費下載所以你不會因為買不起而不去安裝Slammer蠕蟲不會破壞數據但是它會導致你服務的嚴重崩潰其後果和數據被破壞一樣嚴重保護措施非常簡單下載服務包或者服務包a
  
  這個蠕蟲如何工作的技術細節在這裡並不重要重要的是Slammer蠕蟲所攻擊的漏洞已經在個月之前由微軟發布補丁進行了修補但是還造成這麼大的損失受到這個蠕蟲攻擊的商業機構兩次受害一次是由沒有保護好系統的管理員造成的另一次是由蠕蟲造成的
  
  你也應該要記住沒有什麼能夠保證SQL服務器服務包能夠修補所有的漏洞你應該定期訪問微軟的安全公告牌頁面以確保你能夠得知未來服務包和補丁的發布
  
  選擇驗證模式
  在安裝SQL服務器過程中你要首先作出的一個決定是選擇使用哪種安全模式安全模式有兩種
  
  ● Windows驗證模式(也叫做集成模式)
  ● 混合模式
  
  在Windows驗證模式下用戶通過已有的Windows用戶帳號連接到SQL服務器上當用戶使用合法的用戶名和密碼連接到服務器的時候SQL服務器會驗證用戶的Windows登錄信息這樣用戶只需要一次就能夠同時登錄進Windows和SQL服務器帳號信息由Windows嚴格保存
  
  混合模式是Windows驗證和SQL服務器驗證的結合在混合驗證模式下有的用戶可以只需要一次注冊就可以繼續使用Windows的帳號來訪問SQL服務器而其他的人可以使用SQL服務器的用戶帳號這一帳號是同Windows帳號完全分離的每個SQL服務器的帳號都會保存自己的用戶名和密碼即使這兩個登錄的值完全相同用戶也必須登錄兩次——一次用於進入Windows另一次用於進入SQL服務器
  
  Windows驗證模式要優於混合模式其原因如下
  
  ● 它提供了比SQL服務器驗證更多的特性
  ● 大多數管理員都認為Windows驗證是兩種模式中更容易實現和使用的
  ● 在Windows驗證模式下沒有必要在連接字符串裡保存密碼——又少了一樣要保護的東西
  ● Windows驗證意味著你只需要在一個地方管理密碼而不是兩個地方
  
  不幸的是不是所有的人都可以使用Windows驗證SQL服務器(或者更早的版本)要求使用混合模式Windows驗證只能在SQL服務器上使用在某些情況下(例如當你正在使用域以外的Web服務器從域以內的SQL服務器上獲取數據的時候)Windows驗證無法工作因為信任書無法通過域的邊界在這些情況下你必須使用混合模式和SQL服務器登錄
  
  其他關於安裝的提示
  在安裝SQL服務器的時候有一些東西需要你考慮
  
  ● 要將TCP/IP用作SQL服務器的網絡庫這是微軟所推薦的庫所順理成章地成為經過測試的最佳庫如果服務器會被放在公眾的Internet上那麼就要使用一個非標准的端口這就可以讓壞小子們更難找到它
  ● 要使用一個低權限的帳號來運行SQL服務器而不是用管理員帳號這會在安全系統被攻破的時候限制其造成的損失
  ● 不要允許未受安全保護的來賓帳號訪問任何包含有保護數據的數據庫
  ● 將服務器從物理上鎖在服務器房間或者櫃子裡以保證其安全要記住大多數入侵都來自內部
  
  結論
  讓安全從一開始就成為你工作重點的頭一個無論是保護你的數據不因為能力不足而遭受損失還是要防止有意破壞而受到的損失你都要花時間學習安全模式然後小心地應用它只需要一次安全惡夢你就會成為安全的相信者所以正視安全睡個好覺
From:http://tw.wingwit.com/Article/program/SQLServer/201311/22162.html
    推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.