程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 數據庫知識 >> SqlServer數據庫 >> 關於SqlServer >> 執行一個安全的SQL Server安裝

執行一個安全的SQL Server安裝

編輯:關於SqlServer

收集和分發數據是網絡管理的職責之一,而且必須確保這些數據的准確性和安全性。不管它們是什麼操作系統,數據庫服務器需要特殊的管理以保證操作上的安全性。


良好的安全性開始於安裝。現在讓我們看一看如何才能在開始的時候就獲得SQL Server的安全性。

安裝
在開始安裝之前,先定位到終端路由器或者防火牆,將UDP和TCP端口1433和1434指明為SQL Server的IP地址,這將有助於在安裝的時候防止SQL injection弱點。

請不要在一個域控制器(domain controller)上安裝SQL Server,一個程序的弱點可以導致危及整個域。在安裝程序的轉移數據之前,你最好在一個具有完全補丁修補之後的操作系統上安裝SQL Server。

SQL Server服務應該運行於獨立的當地帳號之下。這樣,即使如果有人破壞程序,其它的服務器也可以不受影響。

如果服務器想要為一個基於Windows的網絡服務,與服務器的所有連接都需要Windows認證。這將使得用戶不再有必要記住其它連接的密碼,從而減輕了用戶的負擔。

服務帳號
在通常情況下,服務帳號十分注意分配給它們的權限。SQL Server使用兩種帳號:SQL Server Engine和SQL Server Agent。這兩種帳號都作為一個具有常規帳號權限的域用戶而運行。

如果你使用SQL Server認證,而不是使用Windows認證,或者如果你的服務器運行的是ActiveX腳本或CmdExec作業(比如,操作系統命令或者.bat,.cmd,.com,或.exe的可執行程序),SQL Server Agent帳號將需要當地Windows管理員權限。

注意:如果你需要改變與SQL Server服務有關的帳號,可以使用SQL Server企業管理者(SQL Server Enterprise Manager)。企業管理者將對SQL Server使用的文件和注冊表鍵設置合適的權限。不要使用控制面板上MMC的Services applet來更改這些帳號。

安裝之後

通過運行微軟Killpwd.exe程序,可以清除在安裝過程中保存在不同安裝文件中的純文本sysadmin密碼。

當從新服務器中清除安裝文件之後,運行Microsoft Baseline Security Analyzer (MBSA)。這一工具能夠掃描和測試安裝中產生的問題,這些問題包括:

過多的sysadmin成員都想作為服務器角色。

分配建立CmdExec作業的權限。

空白的或者瑣屑的密碼。

脆弱的認證方式。

分配給管理者組的過多的權限。

運行於域控制器的系統的SQL Server。

每一組的不合適的配置。

SQL Server服務帳號的不合適的配置。

丟失的服務補丁和安全更新。

最後,請記住檢查失敗連接的原因。這是安裝中最容易忽略的選項。你可以通過SQL Server企業管理者來實現失敗連接的檢查。

請遵循以下的步驟:

1. 右擊服務器,選擇屬性(PropertIEs)。

2. 在安全(Security)標簽,在Audit Level之下選擇Failure。

3. 停止和重新啟動服務器,以獲得檢查的開始。

最後注意幾點
這也只是執行一個安全的SQL Server安裝的開始。如果你的服務器將從一個公共的Web服務器中集中數據,你應該對設置到Web服務器IP地址的SQL端口進行限制。這些都對數據庫服務器非常有好處,但它們都以一個安全的安裝為開始。

  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved