SQL Server安全貼士

領測軟件測試網 微軟SQL Server安全方面的專家Greg Robidoux ，也是SQL Server數據庫管理員特別興趣小組（PASS DBA SIG）職業聯盟的主席。他還是SearchDatabase.com 的專家和Edgewood 解決方案的創始人，位于美國新罕布什爾州梅里馬克的專注于微軟的SQL Server方面的數據庫顧問。

　　Robidoux 說他會經常關注優先列表底部的安全熱點。

　　“通常，要使得應用程序開始運轉是需要時間的，此時甚至都沒有談到安全的問題，”他說�！皵祿�庫管理員尤其需要抓緊進行并且說，安全確實一項非常重要的問題�！�

　　在SearchDatabase.com 的采訪中，Robidoux 拿出了10個技術類的貼士，可以幫助所有的SQL Server管理員們避免安全漏洞。

　　1、不要使用系統管理員賬號

　　使用系統管理員賬號會掩蓋訪問SQL Server的實際用戶的身份，那么要追蹤是誰做了改變或者是誰訪問了服務器就更加困難。此外，如果使用的密碼很脆弱，或者是根本就沒有密碼，那么當黑客想要訪問服務器的時候，這里就是黑客關注的第一個地方。使用系統管理員的角色來承認對數據庫的系統管理權限。創建一個強壯的系統管理員密碼并且在緊急情況下把密碼鎖定。

　　2、只給用戶在工作中必需的權限

　　當對問題進行研究的時間有限的時候，通常第一件要做的事情就是給予用戶更多的訪問權限。這通�？梢越鉀Q問題，但是它也會打開安全漏洞。努力將用戶定義的數據庫角色標準化，并且給予那些角色足夠的權限來代替允許他們直接登錄。還有，永遠不要味常規用戶使用服務器角色。如果需要確認一個單獨的額外的權限，那么確保理由充分記錄并且包括了所作的一切（這樣在一個給定的時間可以宣告訪問無效），或者將這些改變都滾動到用戶定義的數據庫角色中。

　　3、刪除BUILTINAdministrators 群

　　BUILTINAdministrators 給了所有人一個服務器上的本地的管理權限，可以完全控制數據庫。這個賬號應該從SQL Server中刪除，以便于對誰訪問了數據庫進行更好的控制。味數據庫管理員們創建一個新的域群，把數據庫管理員添加到這個群里，并且將這個群添加到數據庫。這個新的群可以具有訪問系統管理員角色的全力，然后就應該刪除BUILTINAdministrators 這個群。這樣就可以通過在這個群里面添加或者刪除人員來對于那些擁有數據庫系統管理訪問權限的人可以進行更好的控制。

　　4、刪除GUEST賬號

　　GUEST賬號可為那些沒有登錄到數據庫的人提供數據庫用戶的訪問權限。一個沒有自己的數據庫權限的登錄就會獲得GUEST賬戶擁有的權限。將GUEST賬戶從你的所有的數據庫中刪除。惟一的里外就是Master 和 TempDB ，因為這兩個數據庫中的賬號不能被刪除。

　　5、關閉和禁用任何不需要的訪問

　　與Windows和其他應用程序捆綁在一起的有許多服務。在數據庫服務器上運行額外的不需要的服務會帶來數據庫中的額外的漏洞。服務器應該只用于SQL Server。這就可以只運行Windows需要的最少的服務，還有SQL Server需要的服務。當安全警告發布之后，可以讀取的范圍就應該被限制，所以你就不會感到被迫閱讀所有的內容，或者，更糟糕的是，忽略所有內容。

　　6、避免動態SQL

　　從安全的角度來說，動態SQL 為SQL 注入提供了機會。SQL 注入可以讓黑客在用戶運行的語句中嵌入額外的SQL 語句。當代碼動態編譯的時候，無論是在應用程序中還是在存儲過程中，嵌入的額外的語句都有可能會對系統造成破壞。預先定義將要在系統中運行的SQL 語句，而不是動態構建嵌入SQL 和存儲過程中的語句。此外，在執行語句之前確保傳遞的數據是有效的。

　　7、刪除不使用的XP

　　SQL Server 自身綁定了一些擴展存儲過程用來訪問SQL Server之外的信息。原因就是幫助SQL Server的管理，但是不幸的是，這些過程還會帶來安全上的風險�；仡櫚惭b的XP，刪除那些從來沒有用過的XP 。

　　8、使用存儲過程來操作數據

　　使用存儲過程來操作數據可以讓你控制數據被更新、刪除和插入的方式。若具有直接到表的權限，你就放棄了對數據更改，以及可能在大量更新和執行的情況下創建環境的權力。為你的所有數據更新、插入和刪除創建存儲過程吧。如果存儲過程編寫良好的話，在保衛你的數據安全之外，它還對提高全局的系統性能有好處。

　　9、核查登錄

　　你知道誰在訪問你的數據庫嗎，或者更進一步的說，誰在試圖訪問你的數據庫？對登錄進行審核是對的，簡單的措施就可以讓你看看誰在試圖訪問你的數據庫服務器。你應該對安全設置進行最小化的改變，來為你所有的數據庫服務器捕捉失敗的登錄。這可以通過服務器屬性窗口的安全頁上的企業管理器來輕松完成。

　　10、保護數據庫備份

　　本地的備份文件是存儲在明文的文本中的，那么任何可以訪問你的一個備份文件的人都可以使用文本編輯器打開文件并閱讀數據內容。數據并不是在所有情況下都那么容易閱讀，但是存儲過程仍然像白天一樣那么一清二楚的。即使是你使用密碼進行重新存儲，文件仍然是可讀的。它只是意味著你需要密碼來執行重新存儲。確保寫入備份的磁盤不能被除了數據庫管理員和你的磁帶備份管理員之外的任何人獲得。如果可能的話，使用第三方工具來加密備份。最后，確保你在傳輸和保衛備份文件方面有好的實踐方案。

文章來源于領測軟件測試網 http://www.kjueaiud.com/

TAG: sql SQL