20. 設定非法訪問和登陸失敗日志警報。到 企業管理器中的"Manager SQL Server Messages "搜尋任何有關無權訪問的消息 ( 從查找"login failed"和"denIEd"開始). 確定你所有感興趣的信息被記錄到事件日志。然後在這些信息上設定警報 , 發送一個電子郵件或信息到一個能夠對問題及時響應的操作員。
21. 確定在服務器和數據庫層次上的角色都只被授給了需要的用戶。 當 SQL Server 安全模型 7 有許多增強的時候, 它也增加額外的許可層,我們必須監控該層,確定沒有人被授予了超過必需的權限。
22. 經常檢查組或角色全體會員並且確定用組分配權限,這樣你的審計工作能夠簡化。 確定當你在的時候 , 公眾的組不能從系統表執行選擇操作。
23. 花些時間審計用空密碼登陸的請求。 使用下面的代碼進行空密碼檢查:
使用主體
選擇名字,
passWord
from syslogins
where passWord is null
order by name
24. 如果可能,在你的組織中利用整合的安全策略。 通過使用整合的安全策略,你能夠依賴系統的安全,最大簡化管理工作從維護二個分開的安全模型中分離開來。這也不讓密碼接近連接字串。
25. 檢查所有非sa用戶的存取進程和擴充存儲進程的權限。 使用下面的查詢定期的查詢哪一個進程有公眾存儲權限。(在SQL Server中 使用 "type" 而不是 "xtype"):
Use master
select sysobjects.name
from sysobjects,sysprotects
where sysprotects.uid=0
AND xtype 在 ('X','P')
AND sysobjects.id=sysprotects.id
Order by name
26. 當時用企業管理器的時候,使用整合的安全策略。 過去,企業管理器被發現在標准的安全模態中儲存 "sa" 密碼在注冊表的 plaintext 中。 注意: 即使你改變模態,密碼也會留在注冊表中。 使用 regedit 而且檢查鍵:
HKEY_CURRENT_USERSOFTWAREMicrosoft
MSSQLServerSQLEW Regedi
SQL 6.5
現在數據被隱藏在
HKEY_USERS\softwareMicrosoftMicrosoft SQL servertoolSQLEWregistered server XSQL Server group
("SQL Server組" 是默認值但是你可能已建立用戶組因此相應地改變其位置)
27. 發展一個審核計劃而且訂定每月的安全報告,對IT主管可用的報表包括任何的新exploit,成功的攻擊 , 備份保護 , 和對象存取失敗統計。
28. 不要允許使用者交互式登陸到 SQL Server之上。這個規則適用任何的服務器。一旦一個使用者能夠交互式進入一個服務器之內,就有能用來獲得管理員的存取特權得到管理員權限。
30. 盡力限制對SQL Server的查詢與存取操作。用戶可以用最小權限查詢SQL Server中的很多東西。若非必須不要給他們機會。
