DBA如何提高SQLServer安全性
软件世界
随着数据库技术和网络的普及,数据库本身的安全也越来越受到使用单位的重视,除了在应用程序的级别上对数据和权限加强控制之外,另一个简单而行之有效的方法莫过于通过一系列对数据库系统本身的管理来提高系统安全性。下面就从数据库管理员(DBA, 即Database Administrator)的角度出发对提高数据库安全性给出一些建议。
1.安装最新的SP补丁
及时安装最新版本的补丁无疑是加强系统安全最有效的办法之一,目前SQL Server 2000最新版本的补丁是SP3a。该版本可以到微软网站上免费下载,其下载地址为:http://www.microsoft.com/sql/downloads/2000/SP3.asp。
2.使用Windows身份验证模式登录
当进行SQL Server连接时,应该尽可能要求使用Windows身份验证。Windows验证模式可以通过限制访问SQL Server的用户和域用户账户而最大限度地保护你的SQL Server不受来自Internet的攻击。
设置Windows身份验证模式的方法是:
(1)在企业管理器中展开SQL Server组,选择一个SQL Server,单击右键选择属性。
(2)在安全性标签页上选择身份验证,选择“仅Windows”选项(如图1所示)。
3.设置对登录尝试的审核
设置对失败的登录尝试审核有助于确定是否有未经授权的用户试图访问系统。如果有,应将这些日志保存到和数据文件不同的磁盘中去。打开对失败的登录尝试审核的方法如下:
(1)在企业管理器中展开SQL Server组,选择一个SQL Server,单击右键选择属性。
(2)在安全性标签页上选择审核级别,选择“失败”选项(如图1所示)。
该选项设置之后必须重新启动SQL Server才会使修改生效。
4.指派更安全的系统管理员(sa)密码
无论何时都应该为系统管理员指派具有更高安全性的密码,尤其是在安装SQL Server时选择了混合模式身份验证(将同时启用 Windows 身份验证和 SQL Server 身份验证)的情况下。设置密码最好遵循:
(1)至少有七个字符长。
(2)包含字母、数字和符号,不能是词典单词、命令名称、人名或系统用户名。
为sa重新指派密码的方法是:
(1)在企业管理器中展开SQL Server组,选择一个SQL Server,展开“安全性”,选择“登录”。
(2)在右侧的列表框中选择sa,或者双击sa。
(3)在“密码”框中输入新指派的密码即可(如图2所示)。
5.在防火墙中关闭SQL Server端口
在安装SQL Server时,其缺省的监听TCP端口为1433,UDP端口为1434。配置防火墙使之过滤掉对该端口的访问,这样做可以阻止 Internet 应用程序访问本地网络中的 SQL Server 实例。
6.删除安装日志文件
SQL Server的安装日志文件通常是一个无格式的文本文件或者是一个弱加密文件。在安装过程中一些敏感的配置信息通常会被记录下来。这些日志文件根据安装版本的不同会有一些差异。当安装SQL Server 2000时可能会产生一些日志文件sqlstp.log、sqlsp.log和setup.iss,找到并删除它们以确保系统更加安全。