收集和分發數據是網絡管理的職責之一,而且必須確保這些數據的準確性和安全性��。不管它們是什么操作系統,數據庫服務器需要特殊的管理以保證操作上的安全性����。
良好的安全性開始于安裝?,F在讓我們看一看如何才能在開始的時候就獲得sql server的安全性。
安裝
在開始安裝之前���,先定位到終端路由器或者防火墻,將udp和tcp端口1433和1434指明為sql server的ip地址�����,這將有助于在安裝的時候防止sql injection弱點���。
請不要在一個域控制器(domain controller)上安裝sql server���,一個程序的弱點可以導致危及整個域����。在安裝程序的轉移數據之前,你最好在一個具有完全補丁修補之后的操作系統上安裝sql server����。
sql server服務應該運行于獨立的當地帳號之下����。這樣��,即使如果有人破壞程序��,其它的服務器也可以不受影響��。
如果服務器想要為一個基于windows的網絡服務���,與服務器的所有連接都需要windows認證�。這將使得用戶不再有必要記住其它連接的密碼����,從而減輕了用戶的負擔。
服務帳號
在通常情況下���,服務帳號十分注意分配給它們的權限。sql server使用兩種帳號:sql server engine和sql server agent�。這兩種帳號都作為一個具有常規帳號權限的域用戶而運行�����。
如果你使用sql server認證����,而不是使用windows認證����,或者如果你的服務器運行的是activex腳本或cmdexec作業(比如,操作系統命令或者.bat��,.cmd���,.com��,或.exe的可執行程序)���,sql server agent帳號將需要當地windows管理員權限�����。
注意:如果你需要改變與sql server服務有關的帳號�����,可以使用sql server企業管理者(sql server enterprise manager)��。企業管理者將對sql server使用的文件和注冊表鍵設置合適的權限。不要使用控制面板上mmc的services applet來更改這些帳號。
安裝之后
通過運行微軟killpwd.exe程序��,可以清除在安裝過程中保存在不同安裝文件中的純文本sysadmin密碼�����。
當從新服務器中清除安裝文件之后���,運行microsoft baseline security analyzer (mbsa)����。這一工具能夠掃描和測試安裝中產生的問題�����,這些問題包括:
過多的sysadmin成員都想作為服務器角色��。
分配建立cmdexec作業的權限。
空白的或者瑣屑的密碼。
脆弱的認證方式����。
分配給管理者組的過多的權限��。
運行于域控制器的系統的sql server。
每一組的不合適的配置。
sql server服務帳號的不合適的配置��。
丟失的服務補丁和安全更新�����。
最后,請記住檢查失敗連接的原因��。這是安裝中最容易忽略的選項����。你可以通過sql server企業管理者來實現失敗連接的檢查。
請遵循以下的步驟:
1. 右擊服務器�����,選擇屬性(properties)���。
2. 在安全(security)標簽����,在audit level之下選擇failure。
3. 停止和重新啟動服務器��,以獲得檢查的開始�����。
最后注意幾點
這也只是執行一個安全的sql server安裝的開始�����。如果你的服務器將從一個公共的web服務器中集中數據����,你應該對設置到web服務器ip地址的sql端口進行限制��。這些都對數據庫服務器非常有好處,但它們都以一個安全的安裝為開始�����。
--------------------------------------------------------------------------------
本文作者: mike mullins作為數據庫管理者和助理網絡管理者的身份參加了美國特勤局(secret service)�,他是一個美國國防部國防資訊系統局(defense information systems agency)的網絡安全管理者。
