這裡介紹了為提高 SQL Server 安裝的安全性您可以實施的十件事情
安裝最新的服務包
為了提高服務器安全性最有效的一個方法就是升級到 SQL Server Service Pack a (SPa)要下載 SPa請訪問SQL Server SPa 頁面
另外您還應該安裝所有已發布的安全更新要訂閱新安全更新的通知請訪問產品安全通知頁面
使用 Microsoft 基線安全性分析器(MBSA)來評估服務器的安全性
MBSA 是一個掃描多種 Microsoft 產品的不安全配置的工具包括 SQL Server 和 Microsoft SQL Server Desktop Engine (MSDE )它可以在本地運行也可以通過網絡運行該工具針對下面問題對 SQL Server 安裝進行檢測
* 過多的sysadmin固定服務器角色成員
* 授予sysadmin以外的其他角色創建 CmdExec 作業的權利
* 空的或簡單的密碼
* 脆弱的身份驗證模式
* 授予管理員組過多的權利
* SQL Server數據目錄中不正確的訪問控制表(ACL)
* 安裝文件中使用純文本的sa密碼
* 授予guest帳戶過多的權利
* 在同時是域控制器的系統中運行SQL Server
* 所有人(Everyone)組的不正確配置提供對特定注冊表鍵的訪問
* SQL Server 服務帳戶的不正確配置
* 沒有安裝必要的服務包和安全更新
使用 Windows 身份驗證模式
在任何可能的時候您都應該對指向 SQL Server 的連接要求 Windows 身份驗證模式它通過限制對Microsoft Windows®用戶和域用戶帳戶的連接保護 SQL Server 免受大部分 Internet 的工具的侵害而且您的服務器也將從 Windows 安全增強機制中獲益例如更強的身份驗證協議以及強制的密碼復雜性和過期時間另外憑證委派(在多台服務器間橋接憑證的能力)也只能在 Windows 身份驗證模式中使用在客戶端Windows 身份驗證模式不再需要存儲密碼存儲密碼是使用標准 SQL Server 登錄的應用程序的主要漏洞之一
要在 SQL Server 的 Enterprise Manager 安裝 Windows 身份驗證模式請按下列步驟操作
()展開服務器組
()右鍵點擊服務器然後點擊屬性
()在安全性選項卡的身份驗證中點擊僅限 Windows
隔離您的服務器並定期備份
物理和邏輯上的隔離組成 了SQL Server 安全性的基礎駐留數據庫的機器應該處於一個從物理形式上受到保護的地方最好是一個上鎖的機房配備有洪水檢測以及火災檢測/消防系統數據庫應該安裝在企業內部網的安全區域中不要直接連接到 Internet定期備份所有數據並將副本保存在安全的站點外地點有關備份過程和其他操作性最佳實踐的指南請參閱SQL Server 操作指南
分配一個強健的sa密碼
sa帳戶應該總擁有一個強健的密碼即使在配置為要求 Windows 身份驗證的服務器上也該如此這將保證在以後服務器被重新配置為混合模式身份驗證時不會出現空白或脆弱的sa
要分配sa密碼請按下列步驟操作
()展開服務器組然後展開服務器
()展開安全性然後點擊登錄
()在細節窗格中右鍵點擊SA然後點擊屬性
()在密碼方框中輸入新的密碼
From:http://tw.wingwit.com/Article/program/SQLServer/201311/22470.html
