谈谈有关SQL Server 2005的安全性(2)

安全特性一瞥

SQL Server 2005中将会出现的安全特性如下：

特性 描述

默认关闭 SQL Server 2005默认将只会启用少数核心功能和服务，这样，就限制了暴露的“表面积”，并且，管理员只会启用那些他们环境所必需的服务和功能。

在SQL Server 2005中默认被禁用的服务和组件包括：.NET框架、Service Broker网络连接组件、分析服务的HTTP连接组件。其他一些服务，例如SQL Server代理、全文检索、新的数据转换（DTS）服务，被设置为手动启动。

粒度化的权限控制 SQL Server 2005中新的安全模型允许管理员在某个粒度等级上和某个指定范围内管理权限，这样，管理权限更加容易，并且权限最低原则得到遵循。

用户和架构分离 SQL Server 2005切断了用户和他所拥有的数据库对象之间的隐式关联，简化了安全管理操作。例如，在SQL Server以前的版本中，如果您想移除一个用户，您不得不首先移除这位用户所拥有的数据库对象或重新指派其所有权，这显而易见地会使整个过程变得复杂，并有可能影响到很多应用程序的使用。而在SQL Server 2005新的安全模型中，移除用户不会要求更改任何一个应用程序。

强制密码策略 管理员能够对标准登录帐号指定和Windows Server中密码策略风格一样的策略，这样，同一个策略就能应用到域中所有的帐号上。

执行上下文 SQL Server 2005允许为一个模块中语句的执行指定上下文。这个功能同时也在粒度化权限管理时起了很重要的作用。

DDL触发器 在SQL Server 2005中，能为DDL操作指定触发器，提供了审核DDL操作的另一个选择。

数据加密 SQL Server 2005本身就具有加密功能，完全集成了一个密钥管理架构。

集群身份验证 SQL Server 2005集群支持针对虚拟服务器的Kerberos身份验证。

多代理帐号 SQL Server 2005代理服务支持多个代理帐号，一个作业一个。

不再依赖LSA数据库 SQL Server代理使用代理帐号时不再需要访问LSA。因此，代理服务不再需要以本地管理员身份启用了。

SQL事件探查器不再需要系统管理员权限 SQL Server 2005提供了一个新的权限，允许没有系统管理员权限的用户运行事件探查器。

分析服务器的通讯需与服务器端定义的策略一致 默认情况下，客户端/服务器之间的通讯是被加密的。为了保证安全，服务器端策略可定义为拒绝不加密的通讯。

分析服务器中细化的管理角色 SQL Server 2005中将会有更多的权限可供选择。除了OLAP管理员之外，数据库管理员能够在一个单独数据库的上下文中支配管理权限。新的对象权限能允许用户只看到对象的定义（而不能访问对象）和只能处理对象。

SQL Server代理作业的角色 改进了的SQL Server代理支持以更细化的方式针对作业指派权限。

新的工具和帮助文件 一组新的部署工具和文档将会帮助您确保SQL Server 2005被安全地安装或是部署到一个现存的SQL Server拓扑中。这些工具通过汇报详细信息、分析现存拓扑、检查必要条件、建议配置和每步验证等方式给予您指导。

改进针对分析服务的审核功能 SQL Server 2005分析服务将包含与SQL事件探查器集成的新审核功能。

安全公告 微软将发布关于SQL Server 2005的安全公告和补丁。这些公告将帮助您获知和评估针对您现有环境的潜在威胁，并助您消除这些隐患。

IIS锁定向导 如果您是在Windows 2000 Server平台上部署SQL Server 2005，IIS锁定向导是一个保护您web服务器环境的强大工具。IIS锁定向导将关闭那些在您的环境中不需要的功能，从而减少潜在的遭受攻击的“表面积”。为了提供防范攻击的多层保护，IIS锁定向导中集成了一个叫做URLScan的工具。

如果您是在Windows Server 2003平台上部署SQL Server 2005，IIS锁定向导已经被集成进了IIS6.0。