SQL Server安全贴士 (2)

4、删除GUEST账号

GUEST账号可为那些没有登录到数据库的人提供数据库用户的访问权限。一个没有自己的数据库权限的登录就会获得GUEST账户拥有的权限。将GUEST账户从你的所有的数据库中删除。惟一的里外就是Master 和 TempDB ，因为这两个数据库中的账号不能被删除。

5、关闭和禁用任何不需要的访问

与Windows和其他应用程序捆绑在一起的有许多服务。在数据库服务器上运行额外的不需要的服务会带来数据库中的额外的漏洞。服务器应该只用于SQL Server。这就可以只运行Windows需要的最少的服务，还有SQL Server需要的服务。当安全警告发布之后，可以读取的范围就应该被限制，所以你就不会感到被迫阅读所有的内容，或者，更糟糕的是，忽略所有内容。

6、避免动态SQL

从安全的角度来说，动态SQL 为SQL 注入提供了机会。SQL 注入可以让黑客在用户运行的语句中嵌入额外的SQL 语句。当代码动态编译的时候，无论是在应用程序中还是在存储过程中，嵌入的额外的语句都有可能会对系统造成破坏。预先定义将要在系统中运行的SQL 语句，而不是动态构建嵌入SQL 和存储过程中的语句。此外，在执行语句之前确保传递的数据是有效的。

7、删除不使用的XP

SQL Server 自身绑定了一些扩展存储过程用来访问SQL Server之外的信息。原因就是帮助SQL Server的管理，但是不幸的是，这些过程还会带来安全上的风险。回顾安装的XP，删除那些从来没有用过的XP 。

8、使用存储过程来操作数据

使用存储过程来操作数据可以让你控制数据被更新、删除和插入的方式。若具有直接到表的权限，你就放弃了对数据更改，以及可能在大量更新和执行的情况下创建环境的权力。为你的所有数据更新、插入和删除创建存储过程吧。如果存储过程编写良好的话，在保卫你的数据安全之外，它还对提高全局的系统性能有好处。

9、核查登录

你知道谁在访问你的数据库吗，或者更进一步的说，谁在试图访问你的数据库？对登录进行审核是对的，简单的措施就可以让你看看谁在试图访问你的数据库服务器。你应该对安全设置进行最小化的改变，来为你所有的数据库服务器捕捉失败的登录。这可以通过服务器属性窗口的安全页上的企业管理器来轻松完成。

10、保护数据库备份

本地的备份文件是存储在明文的文本中的，那么任何可以访问你的一个备份文件的人都可以使用文本编辑器打开文件并阅读数据内容。数据并不是在所有情况下都那么容易阅读，但是存储过程仍然像白天一样那么一清二楚的。即使是你使用密码进行重新存储，文件仍然是可读的。它只是意味着你需要密码来执行重新存储。确保写入备份的磁盘不能被除了数据库管理员和你的磁带备份管理员之外的任何人获得。如果可能的话，使用第三方工具来加密备份。最后，确保你在传输和保卫备份文件方面有好的实践方案。