[Sql server]走进2005版十大安全举措(一)(2)

表面区域配置工具(Surface Area Configuration tool)

　　SQL Server 2005是一个大的产品——大到可以包括了许多新的特性，因此潜在地，它也可以处于安全的目的用作向量。为了防止这类事件，要能够容易快捷地看到每个特性的状态——还有配置——是非常重要的。如果一个特性没有用于数据库支持的应用，为了防止滥用的可能性，就应该将其失效。

　　表面区域配置工具是SQL Server 2005提供的，允许数据库管理员从单个地点管理多个外部资源的工具。类似CLR集成，SQL 邮件和本地XML网络服务的特性都可以用这个工具进行配置。虽然每个特性都可以使用T-SQL 进行配置，但是表面区域配置工具提供了一种方便使用的图形化用户界面。

　　要了解有关这个工具的更多信息，请到Developer.com 上查看《管理SQL Server 2005的表面区域》这篇文章。

　　用户计划分离(User-schema separation)

　　在SQL Server 2005中，数据库中的对象没有必要再被一个用户拥有。相反，他们可以包含在一个计划中，一个可以被赋予权限的逻辑容器。这个分离的意思是当一个对象突然崩溃的时候可以给用户分配多个对象的权限，而不是像SQL Server以前的版本中，数据库管理员每次只能分配一个。此外，从数据库中删除用户也不再意味着他们拥有的对象必须被删除或者重新分配。

　　要了解更多有关计划的信息，查看我的tip《SQL Server 2005中的权限》。

　　粒度权限集合(Granular permission sets)

　　在SQL Server以前的版本中，假设需要访问服务器资源的时候，数据库管理员几乎没有选择。当把整个的权限配置归结为一个严格的“固定的服务器角色”集合的时候，看起来似乎就不能完美地适合任何一个环境了。例如，不可能给开发人员权限来运行Profiler 追踪的时候，不给同一个人访问服务器上所有其他资源的权力。

　　幸运的是，这些固定的角色在SQL Server 2005中不再必要了，感谢新的粒度权限集合特性。现在每次给一个人实际地分配访问每个服务器资源的权限成为可能。用户可以被赋予访问任何资源的权限组合——或者仅仅是某项资源。系统像数据库管理员期望的那样灵活。

　　要获得有关粒度权限的更多信息，也可以阅读我的tip《SQL Server 2005中的权限》。

　　密码策略(Password policies)

　　当安装在Windows Server 2003系统上的时候，SQL Server 2005可以采用操作系统的密码策略登录SQL Server。它转换为更加安全的密码，减少了发生在数据库服务器上的暴力攻击的机会。SQL Server 2005不但支持密码复杂度规则(确保最小长度，加强字母和数字字符的组合，等)，还支持密码过期策略(确保古老的密码必须被修改)。

　　要使用这些特性，数据库管理员们可以使用ALTER LOGIN语句来设置CHECK_POLICY 和CHECK_EXPIRATION 选项。