扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:Adam Machanic 来源:赛迪论坛 2007年9月17日
关键字: 安全 数据库 SQL Server 2005 SQL Server
表面区域配置工具(Surface Area Configuration tool)
SQL Server 2005是一个大的产品——大到可以包括了许多新的特性,因此潜在地,它也可以处于安全的目的用作向量。为了防止这类事件,要能够容易快捷地看到每个特性的状态——还有配置——是非常重要的。如果一个特性没有用于数据库支持的应用,为了防止滥用的可能性,就应该将其失效。
表面区域配置工具是SQL Server 2005提供的,允许数据库管理员从单个地点管理多个外部资源的工具。类似CLR集成,SQL 邮件和本地XML网络服务的特性都可以用这个工具进行配置。虽然每个特性都可以使用T-SQL 进行配置,但是表面区域配置工具提供了一种方便使用的图形化用户界面。
要了解有关这个工具的更多信息,请到Developer.com 上查看《管理SQL Server 2005的表面区域》这篇文章。
用户计划分离(User-schema separation)
在SQL Server 2005中,数据库中的对象没有必要再被一个用户拥有。相反,他们可以包含在一个计划中,一个可以被赋予权限的逻辑容器。这个分离的意思是当一个对象突然崩溃的时候可以给用户分配多个对象的权限,而不是像SQL Server以前的版本中,数据库管理员每次只能分配一个。此外,从数据库中删除用户也不再意味着他们拥有的对象必须被删除或者重新分配。
要了解更多有关计划的信息,查看我的tip《SQL Server 2005中的权限》。
粒度权限集合(Granular permission sets)
在SQL Server以前的版本中,假设需要访问服务器资源的时候,数据库管理员几乎没有选择。当把整个的权限配置归结为一个严格的“固定的服务器角色”集合的时候,看起来似乎就不能完美地适合任何一个环境了。例如,不可能给开发人员权限来运行Profiler 追踪的时候,不给同一个人访问服务器上所有其他资源的权力。
幸运的是,这些固定的角色在SQL Server 2005中不再必要了,感谢新的粒度权限集合特性。现在每次给一个人实际地分配访问每个服务器资源的权限成为可能。用户可以被赋予访问任何资源的权限组合——或者仅仅是某项资源。系统像数据库管理员期望的那样灵活。
要获得有关粒度权限的更多信息,也可以阅读我的tip《SQL Server 2005中的权限》。
密码策略(Password policies)
当安装在Windows Server 2003系统上的时候,SQL Server 2005可以采用操作系统的密码策略登录SQL Server。它转换为更加安全的密码,减少了发生在数据库服务器上的暴力攻击的机会。SQL Server 2005不但支持密码复杂度规则(确保最小长度,加强字母和数字字符的组合,等),还支持密码过期策略(确保古老的密码必须被修改)。
要使用这些特性,数据库管理员们可以使用ALTER LOGIN语句来设置CHECK_POLICY 和CHECK_EXPIRATION 选项。
濠电姷顣介埀顒€鍟块埀顒€缍婇幃妯诲緞閹邦剛鐣洪梺闈浥堥弲婊勬叏濠婂牊鍋ㄦい鏍ㄧ〒閹藉啴鏌熼悜鈺傛珚鐎规洘宀稿畷鍫曞煛閸屾粍娈搁梻浣筋嚃閸ㄤ即宕㈤弽顐ュС闁挎稑瀚崰鍡樸亜閵堝懎濮┑鈽嗗亝濠㈡ê螞濡ゅ懏鍋傛繛鍡樻尭鐎氬鏌嶈閸撶喎顕i渚婄矗濞撴埃鍋撻柣娑欐崌閺屾稑鈹戦崨顕呮▊缂備焦顨呴惌鍌炵嵁鎼淬劌鐒垫い鎺戝鐎氬銇勯弽銊ф噥缂佽妫濋弻鐔碱敇瑜嶉悘鑼磼鏉堛劎绠為柡灞芥喘閺佹劙宕熼鐘虫緰闂佽崵濮抽梽宥夊垂閽樺)锝夊礋椤栨稑娈滈梺纭呮硾椤洟鍩€椤掆偓閿曪妇妲愰弮鍫濈闁绘劕寮Δ鍛厸闁割偒鍋勯悘锕傛煕鐎n偆澧紒鍌涘笧閹瑰嫰鎼圭憴鍕靛晥闂備礁鎼€氱兘宕归柆宥呯;鐎广儱顦伴崕宥夋煕閺囥劌澧ù鐘趁湁闁挎繂妫楅埢鏇㈡煃瑜滈崜姘跺蓟閵娧勵偨闁绘劕顕埢鏇㈡倵閿濆倹娅囨い蹇涗憾閺屾洟宕遍鐔奉伓