熱點推薦:
您现在的位置: 電腦知識網 >> 編程 >> SQL Server >> 正文

SQL Server安全貼士

2013-11-15 14:52:21  來源: SQL Server 

  微軟SQL Server安全方面的專家Greg Robidoux 也是SQL Server數據庫管理員特別興趣小組(PASS DBA SIG)職業聯盟的主席他還是SearchDatabasecom 的專家和Edgewood 解決方案的創始人位於美國新罕布什爾州梅裡馬克的專注於微軟的SQL Server方面的數據庫顧問

  Robidoux 說他會經常關注優先列表底部的安全熱點

  通常要使得應用程序開始運轉是需要時間的此時甚至都沒有談到安全的問題他說數據庫管理員尤其需要抓緊進行並且說安全確實一項非常重要的問題

  在SearchDatabasecom 的采訪中Robidoux 拿出了個技術類的貼士可以幫助所有的SQL Server管理員們避免安全漏洞

  不要使用系統管理員賬號

  使用系統管理員賬號會掩蓋訪問SQL Server的實際用戶的身份那麼要追蹤是誰做了改變或者是誰訪問了服務器就更加困難此外如果使用的密碼很脆弱或者是根本就沒有密碼那麼當黑客想要訪問服務器的時候這裡就是黑客關注的第一個地方使用系統管理員的角色來承認對數據庫的系統管理權限創建一個強壯的系統管理員密碼並且在緊急情況下把密碼鎖定

  只給用戶在工作中必需的權限

  當對問題進行研究的時間有限的時候通常第一件要做的事情就是給予用戶更多的訪問權限這通常可以解決問題但是它也會打開安全漏洞努力將用戶定義的數據庫角色標准化並且給予那些角色足夠的權限來代替允許他們直接登錄還有永遠不要味常規用戶使用服務器角色如果需要確認一個單獨的額外的權限那麼確保理由充分記錄並且包括了所作的一切(這樣在一個給定的時間可以宣告訪問無效)或者將這些改變都滾動到用戶定義的數據庫角色中

  刪除BUILTINAdministrators 群

  BUILTINAdministrators 給了所有人一個服務器上的本地的管理權限可以完全控制數據庫這個賬號應該從SQL Server中刪除以便於對誰訪問了數據庫進行更好的控制味數據庫管理員們創建一個新的域群把數據庫管理員添加到這個群裡並且將這個群添加到數據庫這個新的群可以具有訪問系統管理員角色的全力然後就應該刪除BUILTINAdministrators 這個群這樣就可以通過在這個群裡面添加或者刪除人員來對於那些擁有數據庫系統管理訪問權限的人可以進行更好的控制

  刪除GUEST賬號

  GUEST賬號可為那些沒有登錄到數據庫的人提供數據庫用戶的訪問權限一個沒有自己的數據庫權限的登錄就會獲得GUEST賬戶擁有的權限將GUEST賬戶從你的所有的數據庫中刪除惟一的裡外就是Master 和 TempDB 因為這兩個數據庫中的賬號不能被刪除

  關閉和禁用任何不需要的訪問

  與Windows和其他應用程序捆綁在一起的有許多服務在數據庫服務器上運行額外的不需要的服務會帶來數據庫中的額外的漏洞服務器應該只用於SQL Server這就可以只運行Windows需要的最少的服務還有SQL Server需要的服務當安全警告發布之後可以讀取的范圍就應該被限制所以你就不會感到被迫閱讀所有的內容或者更糟糕的是忽略所有內容

  避免動態SQL

  從安全的角度來說動態SQL 為SQL 注入提供了機會SQL 注入可以讓黑客在用戶運行的語句中嵌入額外的SQL 語句當代碼動態編譯的時候無論是在應用程序中還是在存儲過程中嵌入的額外的語句都有可能會對系統造成破壞預先定義將要在系統中運行的SQL 語句而不是動態構建嵌入SQL 和存儲過程中的語句此外在執行語句之前確保傳遞的數據是有效的

  刪除不使用的XP

  SQL Server 自身綁定了一些擴展存儲過程用來訪問SQL Server之外的信息原因就是幫助SQL Server的管理但是不幸的是這些過程還會帶來安全上的風險回顧安裝的XP刪除那些從來沒有用過的XP

  使用存儲過程來操作數據

  使用存儲過程來操作數據可以讓你控制數據被更新刪除和插入的方式若具有直接到表的權限你就放棄了對數據更改以及可能在大量更新和執行的情況下創建環境的權力為你的所有數據更新插入和刪除創建存儲過程吧如果存儲過程編寫良好的話在保衛你的數據安全之外它還對提高全局的系統性能有好處

  核查登錄

  你知道誰在訪問你的數據庫嗎或者更進一步的說誰在試圖訪問你的數據庫?對登錄進行審核是對的簡單的措施就可以讓你看看誰在試圖訪問你的數據庫服務器你應該對安全設置進行最小化的改變來為你所有的數據庫服務器捕捉失敗的登錄這可以通過服務器屬性窗口的安全頁上的企業管理器來輕松完成

  保護數據庫備份

  本地的備份文件是存儲在明文的文本中的那麼任何可以訪問你的一個備份文件的人都可以使用文本編輯器打開文件並閱讀數據內容數據並不是在所有情況下都那麼容易閱讀但是存儲過程仍然像白天一樣那麼一清二楚的即使是你使用密碼進行重新存儲文件仍然是可讀的它只是意味著你需要密碼來執行重新存儲確保寫入備份的磁盤不能被除了數據庫管理員和你的磁帶備份管理員之外的任何人獲得如果可能的話使用第三方工具來加密備份最後確保你在傳輸和保衛備份文件方面有好的實踐方案


From:http://tw.wingwit.com/Article/program/SQLServer/201311/22474.html
    推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.