扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:Robert Westervelt 来源:TechTarget 2007年9月12日
关键字: SQL Server 安全贴士
微软SQL Server安全方面的专家Greg Robidoux ,也是SQL Server数据库管理员特别兴趣小组(PASS DBA SIG)职业联盟的主席。
“通常,要使得应用程序开始运转是需要时间的,此时甚至都没有谈到安全的问题,”Robidoux 说。“数据库管理员尤其需要抓紧进行并且说,安全确实一项非常重要的问题。”
1、不要使用系统管理员账号
使用系统管理员账号会掩盖访问SQL Server的实际用户的身份,那么要追踪是谁做了改变或者是谁访问了服务器就更加困难。此外,如果使用的密码很脆弱,或者是根本就没有密码,那么当黑客想要访问服务器的时候,这里就是黑客关注的第一个地方。使用系统管理员的角色来承认对数据库的系统管理权限。创建一个强壮的系统管理员密码并且在紧急情况下把密码锁定。
2、只给用户在工作中必需的权限
当对问题进行研究的时间有限的时候,通常第一件要做的事情就是给予用户更多的访问权限。这通常可以解决问题,但是它也会打开安全漏洞。努力将用户定义的数据库角色标准化,并且给予那些角色足够的权限来代替允许他们直接登录。还有,永远不要味常规用户使用服务器角色。如果需要确认一个单独的额外的权限,那么确保理由充分记录并且包括了所作的一切(这样在一个给定的时间可以宣告访问无效),或者将这些改变都滚动到用户定义的数据库角色中。
3、删除BUILTINAdministrators 群
BUILTINAdministrators 给了所有人一个服务器上的本地的管理权限,可以完全控制数据库。这个账号应该从SQL Server中删除,以便于对谁访问了数据库进行更好的控制。味数据库管理员们创建一个新的域群,把数据库管理员添加到这个群里,并且将这个群添加到数据库。这个新的群可以具有访问系统管理员角色的全力,然后就应该删除BUILTINAdministrators 这个群。这样就可以通过在这个群里面添加或者删除人员来对于那些拥有数据库系统管理访问权限的人可以进行更好的控制。
4、删除GUEST账号
GUEST账号可为那些没有登录到数据库的人提供数据库用户的访问权限。一个没有自己的数据库权限的登录就会获得GUEST账户拥有的权限。将GUEST账户从你的所有的数据库中删除。惟一的里外就是Master 和 TempDB ,因为这两个数据库中的账号不能被删除。
5、关闭和禁用任何不需要的访问
与Windows和其他应用程序捆绑在一起的有许多服务。在数据库服务器上运行额外的不需要的服务会带来数据库中的额外的漏洞。服务器应该只用于SQL Server。这就可以只运行Windows需要的最少的服务,还有SQL Server需要的服务。当安全警告发布之后,可以读取的范围就应该被限制,所以你就不会感到被迫阅读所有的内容,或者,更糟糕的是,忽略所有内容。
6、避免动态SQL
从安全的角度来说,动态SQL 为SQL 注入提供了机会。SQL 注入可以让黑客在用户运行的语句中嵌入额外的SQL 语句。当代码动态编译的时候,无论是在应用程序中还是在存储过程中,嵌入的额外的语句都有可能会对系统造成破坏。预先定义将要在系统中运行的SQL 语句,而不是动态构建嵌入SQL 和存储过程中的语句。此外,在执行语句之前确保传递的数据是有效的。
7、删除不使用的XP
SQL Server 自身绑定了一些扩展存储过程用来访问SQL Server之外的信息。原因就是帮助SQL Server的管理,但是不幸的是,这些过程还会带来安全上的风险。回顾安装的XP,删除那些从来没有用过的XP 。
8、使用存储过程来操作数据
使用存储过程来操作数据可以让你控制数据被更新、删除和插入的方式。若具有直接到表的权限,你就放弃了对数据更改,以及可能在大量更新和执行的情况下创建环境的权力。为你的所有数据更新、插入和删除创建存储过程吧。如果存储过程编写良好的话,在保卫你的数据安全之外,它还对提高全局的系统性能有好处。
9、核查登录
你知道谁在访问你的数据库吗,或者更进一步的说,谁在试图访问你的数据库?对登录进行审核是对的,简单的措施就可以让你看看谁在试图访问你的数据库服务器。你应该对安全设置进行最小化的改变,来为你所有的数据库服务器捕捉失败的登录。这可以通过服务器属性窗口的安全页上的企业管理器来轻松完成。
10、保护数据库备份
本地的备份文件是存储在明文的文本中的,那么任何可以访问你的一个备份文件的人都可以使用文本编辑器打开文件并阅读数据内容。数据并不是在所有情况下都那么容易阅读,但是存储过程仍然像白天一样那么一清二楚的。即使是你使用密码进行重新存储,文件仍然是可读的。它只是意味着你需要密码来执行重新存储。确保写入备份的磁盘不能被除了数据库管理员和你的磁带备份管理员之外的任何人获得。如果可能的话,使用第三方工具来加密备份。最后,确保你在传输和保卫备份文件方面有好的实践方案。
婵犵數濮烽弫鍛婃叏閻戝鈧倹绂掔€n亞鍔﹀銈嗗坊閸嬫捇鏌涢悢閿嬪仴闁糕斁鍋撳銈嗗坊閸嬫挾绱撳鍜冭含妤犵偛鍟灒閻犲洩灏欑粣鐐烘⒑瑜版帒浜伴柛鎾寸洴閹儳煤椤忓應鎷洪梻鍌氱墛閸楁洟宕奸妷銉ф煣濠电姴锕ょ€氼參宕h箛鏃傜瘈濠电姴鍊绘晶娑㈡煕鐎c劌濡介柕鍥у瀵粙濡歌閳ь剚甯¢弻鐔兼寠婢跺﹥娈婚梺鍝勭灱閸犳牠骞冨⿰鍫濈厸闁稿本绋撹ぐ瀣煟鎼淬値娼愭繛鍙壝悾婵堢矙鐠恒劍娈鹃梺鍓插亝濞叉牠鎮″☉銏$厱閻忕偛澧介惌瀣箾閸喐鍊愭慨濠勭帛閹峰懐绮电€n亝鐣伴梻浣规偠閸斿宕¢崘鑼殾闁靛繈鍊曢崘鈧銈嗗姂閸庡崬鐨梻鍌欑劍鐎笛呯矙閹寸姭鍋撳鐓庡籍鐎规洑鍗冲畷鍗炍熼梹鎰泿闂備線娼ч悧鍡涘箠鎼淬垺鍙忔い鎺嗗亾闁宠鍨块崺銉╁幢濡炲墽鍑规繝鐢靛О閸ㄦ椽鏁嬮柧鑽ゅ仦娣囧﹪濡堕崨顔兼闂佺ǹ顑呴崐鍦崲濞戙垹骞㈡俊顖濐嚙绾板秹鏌f惔銏e妞わ妇鏁诲璇差吋閸偅顎囬梻浣告啞閹搁箖宕版惔顭戞晪闁挎繂顦介弫鍡椼€掑顒婂姛闁活厽顨嗙换娑㈠箻閺夋垹鍔伴梺绋款儐閹瑰洭寮婚敐鍛婵炲棙鍔曠壕鎶芥⒑閸濆嫭婀扮紒瀣灴閸╃偤骞嬮敃鈧婵囥亜閺囩偞鍣洪柍璇诧功缁辨捇宕掑▎鎴濆濡炪們鍔岄幊姗€骞嗗畝鍕<闁绘劙娼х粊锕傛煙閸忚偐鏆橀柛鏂跨焸閹偤宕归鐘辩盎闂佸湱鍎ら崹鐢割敂閳哄懏鍊垫慨姗嗗墻濡插綊鏌曢崶褍顏€殿喕绮欐俊姝岊槼闁革絻鍎崇槐鎾存媴缁涘娈┑鈽嗗亝缁诲牆顕f繝姘亜缁炬媽椴搁弲锝夋偡濠婂啰效闁诡喗锕㈤幊鐘活敆閸屾粣绱查梺鍝勵槸閻楀嫰宕濇惔锝囦笉闁绘劗鍎ら悡娑㈡倶閻愯泛袚闁哥姵锕㈤弻鈩冩媴閻熸澘顫掗悗瑙勬礈閸犳牠銆佸鈧幃鈺呮惞椤愩倝鎷婚梻鍌氬€峰ù鍥х暦閸偅鍙忛柟鎯板Г閳锋梻鈧箍鍎遍ˇ顖炲垂閸岀偞鐓㈡俊顖滃皑缁辨岸鏌ㄥ┑鍡╂Ц缂佲偓鐎n偁浜滈柡宥冨妿閳藉绻涢崼鐔虹煉婵﹨娅e☉鐢稿川椤斾勘鈧劕顪冮妶搴′簼婵炶尙鍠栧畷娲焵椤掍降浜滈柟鍝勬娴滈箖姊洪幐搴㈢┛濠碘€虫搐鍗遍柟鐗堟緲缁秹鏌涢锝囩畼妞ゆ挻妞藉铏圭磼濡搫顫岄悗娈垮櫘閸撴瑨鐏冮梺鍛婁緱閸犳岸宕㈤幖浣光拺闁告挻褰冩禍浠嬫煕鐎n亜顏柟顔斤耿閺佸啴宕掑☉姘箞闂佽鍑界紞鍡涘磻閸℃ɑ娅犳い鎺戝€荤壕濂告煕鐏炲墽鈽夌紒妞﹀洦鐓欓柣鐔告緲椤忣參鏌熼悡搴㈣础闁瑰弶鎸冲畷鐔兼濞戞瑦鐝¢梻鍌氬€搁崐椋庣矆娓氣偓楠炴牠顢曢妶鍌氫壕婵ê宕崢瀵糕偓瑙勬礀缂嶅﹪寮婚崱妤婂悑闁告侗鍨界槐閬嶆煟鎼达紕鐣柛搴ㄤ憾钘濆ù鍏兼綑绾捐法鈧箍鍎遍ˇ浼存偂閺囥垺鐓涢柛銉e劚婵$厧顭胯閸ㄤ即婀侀梺缁樓圭粔顕€顢旈崼鐔虹暢闂傚倷鐒︾€笛呮崲閸屾娑樜旈崨顓犲幒闂佸搫娲㈤崹娲偂閸愵亝鍠愭繝濠傜墕缁€鍫熸叏濡寧纭鹃柦鍐枛閺屾洘绻涜鐎氱兘宕戦妸鈺傗拺缂備焦锚婵洦銇勯弴銊ュ籍闁糕斂鍨藉鎾閳ユ枼鍋撻悽鍛婄叆婵犻潧妫楅埀顒傛嚀閳诲秹宕堕妸锝勭盎闂婎偄娲︾粙鎰板箟妤e啯鐓涢悘鐐靛亾缁€瀣偓瑙勬礋娴滃爼銆佸鈧幃銏$附婢跺澶�
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者