這裡介紹了為提高 SQL Server 安裝的安全性,您可以實施的十件事情:
1.安裝最新的服務包
為了提高服務器安全性,最有效的一個方法就是升級到 SQL Server 2000 Service Pack 3a (SP3a)。要下載 SP3a,請訪問SQL Server 2000 SP3a 頁面。
另外,您還應該安裝所有已發布的安全更新。要訂閱新安全更新的通知,請訪問產品安全通知頁面。
2.使用 Microsoft 基線安全性分析器(MBSA)來評估服務器的安全性
MBSA 是一個掃描多種 Microsoft 產品的不安全配置的工具,包括 SQL Server 和 Microsoft SQL Server 2000 Desktop Engine (MSDE 2000)。它可以在本地運行,也可以通過網絡運行。該工具針對下面問題對 SQL Server 安裝進行檢測:
過多的sysadmin固定服務器角色成員。
授予sysadmin以外的其他角色創建 CmdExec 作業的權利。
空的或簡單的密碼。
脆弱的身份驗證模式。
授予管理員組過多的權利。
SQL Server數據目錄中不正確的訪問控制表(ACL)。
安裝文件中使用純文本的sa密碼。
授予guest帳戶過多的權利。
在同時是域控制器的系統中運行SQL Server。
所有人(Everyone)組的不正確配置,提供對特定注冊表鍵的訪問。
SQL Server 服務帳戶的不正確配置。
沒有安裝必要的服務包和安全更新。
3.使用 Windows 身份驗證模式
在任何可能的時候,您都應該對指向 SQL Server 的連接要求 Windows 身份驗證模式。它通過限制對Microsoft Windows?用戶和域用戶帳戶的連接,保護 SQL Server 免受大部分 Internet 的工具的侵害,。而且,您的服務器也將從 Windows 安全增強機制中獲益,例如更強的身份驗證協議以及強制的密碼復雜性和過期時間。另外,憑證委派(在多台服務器間橋接憑證的能力)也只能在 Windows 身份驗證模式中使用。在客戶端,Windows 身份驗證模式不再需要存儲密碼。存儲密碼是使用標准 SQL Server 登錄的應用程序的主要漏洞之一。
要在 SQL Server 的 Enterprise Manager 安裝 Windows 身份驗證模式,請按下列步驟操作:
展開服務器組。
右鍵點擊服務器,然後點擊屬性。
在安全性選項卡的身份驗證中,點擊僅限 Windows。
4.隔離您的服務器,並定期備份
物理和邏輯上的隔離組成 了SQL Server 安全性的基礎。駐留數據庫的機器應該處於一個從物理形式上受到保護的地方,最好是一個上鎖的機房,配備有洪水檢測以及火災檢測/消防系統。數據庫應該安裝在企業內部網的安全區域中,不要直接連接到 Internet。定期備份所有數據,並將副本保存在安全的站點外地點。有關備份過程和其他操作性最佳實踐的指南,請參閱SQL Server 2000操作指南。
5.分配一個強健的sa密碼
sa帳戶應該總擁有一個強健的密碼,即使在配置為要求 Windows 身份驗證的服務器上也該如此。這將保證在以後服務器被重新配置為混合模式身份驗證時,不會出現空白或脆弱的sa。
要分配sa密碼,請按下列步驟操作:
展開服務器組,然後展開服務器。
展開安全性,然後點擊登錄。
在細節窗格中,右鍵點擊SA,然後點擊屬性。
在密碼方框中,輸入新的密碼。
6.限制 SQL Server服務的權限
SQL Server 2000 和 SQL Server Agent 是作為 Windows 服務運行的。
