收集和分發(fā)數(shù)據(jù)是網(wǎng)絡(luò)管理的職責(zé)之一�����,而且必須確保這些數(shù)據(jù)的準(zhǔn)確性和安全性。不管它們是什么操作系統(tǒng),數(shù)據(jù)庫(kù)服務(wù)器需要特殊的管理以保證操作上的安全性。
良好的安全性開(kāi)始于安裝。現(xiàn)在讓我們看一看如何才能在開(kāi)始的時(shí)候就獲得SQL Server的安全性��。
安裝
在開(kāi)始安裝之前���,先定位到終端路由器或者防火墻����,將UDP和TCP端口1433和1434指明為SQL Server的ip地址,這將有助于在安裝的時(shí)候防止SQL injection弱點(diǎn)。
請(qǐng)不要在一個(gè)域控制器(domain controller)上安裝SQL Server�����,一個(gè)程序的弱點(diǎn)可以導(dǎo)致危及整個(gè)域���。在安裝程序的轉(zhuǎn)移數(shù)據(jù)之前����,你最好在一個(gè)具有完全補(bǔ)丁修補(bǔ)之后的操作系統(tǒng)上安裝SQL Server��。
SQL Server服務(wù)應(yīng)該運(yùn)行于獨(dú)立的當(dāng)?shù)貛ぬ?hào)之下����。這樣��,即使如果有人破壞程序��,其它的服務(wù)器也可以不受影響。
如果服務(wù)器想要為一個(gè)基于Windows的網(wǎng)絡(luò)服務(wù)�����,與服務(wù)器的所有連接都需要Windows認(rèn)證�。這將使得用戶不再有必要記住其它連接的密碼,從而減輕了用戶的負(fù)擔(dān)��。
服務(wù)帳號(hào)
在通常情況下����,服務(wù)帳號(hào)十分注意分配給它們的權(quán)限。SQL Server使用兩種帳號(hào):SQL Server Engine和SQL Server Agent�����。這兩種帳號(hào)都作為一個(gè)具有常規(guī)帳號(hào)權(quán)限的域用戶而運(yùn)行�。
如果你使用SQL Server認(rèn)證,而不是使用Windows認(rèn)證�����,或者如果你的服務(wù)器運(yùn)行的是ActiveX腳本或CmdExec作業(yè)(比如,操作系統(tǒng)命令或者.bat��,.cmd����,.com�����,或.exe的可執(zhí)行程序)�,SQL Server Agent帳號(hào)將需要當(dāng)?shù)豔indows管理員權(quán)限���。
注意:如果你需要改變與SQL Server服務(wù)有關(guān)的帳號(hào)�����,可以使用SQL Server企業(yè)管理者(SQL Server EnterPRise Manager)�。企業(yè)管理者將對(duì)SQL Server使用的文件和注冊(cè)表鍵設(shè)置合適的權(quán)限���。不要使用控制面板上MMC的Services applet來(lái)更改這些帳號(hào)����。
安裝之后
通過(guò)運(yùn)行微軟Killpwd.exe程序,可以清除在安裝過(guò)程中保存在不同安裝文件中的純文本sysadmin密碼�����。
當(dāng)從新服務(wù)器中清除安裝文件之后��,運(yùn)行Microsoft Baseline Security Analyzer (MBSA)���。這一工具能夠掃描和測(cè)試安裝中產(chǎn)生的問(wèn)題�,這些問(wèn)題包括:
過(guò)多的sysadmin成員都想作為服務(wù)器角色����。
分配建立CmdExec作業(yè)的權(quán)限�。
空白的或者瑣屑的密碼。
脆弱的認(rèn)證方式���。
分配給管理者組的過(guò)多的權(quán)限。
運(yùn)行于域控制器的系統(tǒng)的SQL Server����。
每一組的不合適的配置�。
SQL Server服務(wù)帳號(hào)的不合適的配置���。
丟失的服務(wù)補(bǔ)丁和安全更新��。
最后����,請(qǐng)記住檢查失敗連接的原因����。這是安裝中最容易忽略的選項(xiàng)。你可以通過(guò)SQL Server企業(yè)管理者來(lái)實(shí)現(xiàn)失敗連接的檢查。
請(qǐng)遵循以下的步驟:
1. 右擊服務(wù)器�����,選擇屬性(Properties)���。
2. 在安全(Security)標(biāo)簽���,在Audit Level之下選擇Failure��。
3. 停止和重新啟動(dòng)服務(wù)器���,以獲得檢查的開(kāi)始。
最后注意幾點(diǎn)
這也只是執(zhí)行一個(gè)安全的SQL Server安裝的開(kāi)始��。如果你的服務(wù)器將從一個(gè)公共的Web服務(wù)器中集中數(shù)據(jù),你應(yīng)該對(duì)設(shè)置到Web服務(wù)器IP地址的SQL端口進(jìn)行限制。這些都對(duì)數(shù)據(jù)庫(kù)服務(wù)器非常有好處�,但它們都以一個(gè)安全的安裝為開(kāi)始����。
--------------------------------------------------------------------------------
本文作者: Mike Mullins作為數(shù)據(jù)庫(kù)管理者和助理網(wǎng)絡(luò)管理者的身份參加了美國(guó)特勤局(Secret Service)����,他是一個(gè)美國(guó)國(guó)防部國(guó)防資訊系統(tǒng)局(Defense Information Systems Agency)的網(wǎng)絡(luò)安全管理者。
