資源描述:
《sql server安全貼士--》由會員上傳分享����,免費在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫�。
1、SQLServer安全貼士>> 微軟SQLServer安全方面的專家GregRobidoux���,也是SQLServer數(shù)據(jù)庫管理員特別興趣小組(PASSDBASIG)職業(yè)聯(lián)盟的主席�。 通常�,要使得應(yīng)用程序開始運轉(zhuǎn)是需要時間的���,此時甚至都沒有談到安全的問題�,Robidoux說�。數(shù)據(jù)庫管理員尤其需要抓緊進(jìn)行并且說,安全確實一項非常重要的問題��?! ?、不要使用系統(tǒng)管理員賬號 使用系統(tǒng)管理員賬號會掩蓋訪問SQLServer的實際用戶的身份���,那么要追蹤是誰做了改變或者是誰訪問了服務(wù)器就更加困難����。此外�,如果使用的密碼很脆弱,或者是根本就沒有密碼����,那么當(dāng)黑客想要訪問服務(wù)器
2、的時候,這里就是黑客關(guān)注的第一個地方��。使用系統(tǒng)管理員的角色來承認(rèn)對數(shù)據(jù)庫的系統(tǒng)管理權(quán)限����。創(chuàng)建一個強壯的系統(tǒng)管理員密碼并且在緊急情況下把密碼鎖定?! ?、只給用戶在工作中必需的權(quán)限 當(dāng)對問題進(jìn)行研究的時間有限的時候���,通常第一件要做的事情就是給予用戶更多的訪問權(quán)限�����。這通?���?梢越鉀Q問題���,但是它也會打開安全漏洞�����。努力將用戶定義的數(shù)據(jù)庫角色標(biāo)準(zhǔn)化�����,并且給予那些角色足夠的權(quán)限來代替允許他們直接登錄�。還有,永遠(yuǎn)不要味常規(guī)用戶使用服務(wù)器角色�����。如果需要確認(rèn)一個單獨的額外的權(quán)限����,那么確保理由充分記錄并且包括了所作的一切(這樣在一個給定的時間可以宣告訪問無效)�,或者將這些改變都滾動
3、到用戶定義的數(shù)據(jù)庫角色中����。 3���、刪除BUILTINAdministrators群 BUILTINAdministrators給了所有人一個服務(wù)器上的本地的管理權(quán)限����,可以完全控制數(shù)據(jù)庫����。這個賬號應(yīng)該從SQLServer中刪除��,以便于對誰訪問了數(shù)據(jù)庫進(jìn)行更好的控制�。味數(shù)據(jù)庫管理員們創(chuàng)建一個新的域群���,把數(shù)據(jù)庫管理員添加到這個群里����,并且將這個群添加到數(shù)據(jù)庫�。這個新的群可以具有訪問系統(tǒng)管理員角色的全力,然后就應(yīng)該刪除BUILTINAdministrators這個群����。這樣就可以通過在這個群里面添加或者刪除人員來對于那些擁有數(shù)據(jù)庫系統(tǒng)管理訪問權(quán)限的人可以進(jìn)行更好的控制?��!?/p>
4�、 4����、刪除GUEST賬號 GUEST賬號可為那些沒有登錄到數(shù)據(jù)庫的人提供數(shù)據(jù)庫用戶的訪問權(quán)限。一個沒有自己的數(shù)據(jù)庫權(quán)限的登錄就會獲得GUEST賬戶擁有的權(quán)限���。將GUEST賬戶從你的所有的數(shù)據(jù)庫中刪除���。惟一的里外就是Master和TempDB�,因為這兩個數(shù)據(jù)庫中的賬號不能被刪除����。 5���、關(guān)閉和禁用任何不需要的訪問 與Windows和其他應(yīng)用程序捆綁在一起的有許多服務(wù)。在數(shù)據(jù)庫服務(wù)器上運行額外的不需要的服務(wù)會帶來數(shù)據(jù)庫中的額外的漏洞�����。服務(wù)器應(yīng)該只用于SQLServer�。這就可以只運行Windows需要的最少的服務(wù),還有SQLServer需要的服務(wù)�����。當(dāng)安全警告發(fā)布
5����、之后�����,可以讀取的范圍就應(yīng)該被限制��,所以你就不會感到被迫閱讀所有的內(nèi)容�����,或者����,更糟糕的是�����,忽略所有內(nèi)容�。 6��、避免動態(tài)SQL 從安全的角度來說����,動態(tài)SQL為SQL注入提供了機會。SQL注入可以讓黑客在用戶運行的語句中嵌入額外的SQL語句���。當(dāng)代碼動態(tài)編譯的時候�,無論是在應(yīng)用程序中還是在存儲過程中,嵌入的額外的語句都有可能會對系統(tǒng)造成破壞���。預(yù)先定義將要在系統(tǒng)中運行的SQL語句���,而不是動態(tài)構(gòu)建嵌入SQL和存儲過程中的語句。此外���,在執(zhí)行語句之前確保傳遞的數(shù)據(jù)是有效的��?���! ?�����、刪除不使用的XP SQLServer自身綁定了一些擴展存儲過程用來訪問SQLServer之外
6�、的信息���。原因就是幫助SQLServer的管理�����,但是不幸的是���,這些過程還會帶來安全上的風(fēng)險���。回顧安裝的XP���,刪除那些從來沒有用過的XP���。 8����、使用存儲過程來操作數(shù)據(jù) 使用存儲過程來操作數(shù)據(jù)可以讓你控制數(shù)據(jù)被更新、刪除和插入的方式����。若具有直接到表的權(quán)限,你就放棄了對數(shù)據(jù)更改�����,以及可能在大量更新和執(zhí)行的情況下創(chuàng)建環(huán)境的權(quán)力。為你的所有數(shù)據(jù)更新�、插入和刪除創(chuàng)建存儲過程吧。如果存儲過程編寫良好的話��,在保衛(wèi)你的數(shù)據(jù)安全之外�����,它還對提高全局的系統(tǒng)性能有好處����。 9�����、核查登錄 你知道誰在訪問你的數(shù)據(jù)庫嗎��,或者更進(jìn)一步的說��,誰在試圖訪問你的數(shù)據(jù)庫���?對登錄進(jìn)行審核是對的,簡單
7���、的措施就可以讓你看看誰在試圖訪問你的數(shù)據(jù)庫服務(wù)器���。你應(yīng)該對安全設(shè)置進(jìn)行最小化的改變�����,來為你所有的數(shù)據(jù)庫服務(wù)器捕捉失敗的登錄����。這可以通過服務(wù)器屬性窗口的安全頁上的企業(yè)管理器來輕松完成�����?����! ?0����、保護數(shù)據(jù)庫備份 本地的備份文件是存儲在明文的文本中的,那么任何可以訪問你的一個備份文件的人都可以使用文本編輯器打開文件并閱讀數(shù)據(jù)內(nèi)容�。數(shù)據(jù)并不是在所有情況下都那么容易閱讀��,但是存儲過程仍然像白天一樣那么一清二楚的。即使是你使用密碼進(jìn)行重新存儲��,文件仍然是可讀的����。它只是意味著你需要密碼來執(zhí)行重新存儲�。確保寫入備份的磁盤不能被除了數(shù)據(jù)庫管理員和你的磁帶備份管理員之外的任何人獲
8、得���。如果可能的話��,使用第
