SQL Server 2005安全性

數據安全是企業級應用極為重要的保證，伴隨著微軟“可信賴計算”計劃的實施，SQL Server 2005 中加入了非常豐富的安全特性，我們將提供極為嚴密的全新安全性設計為您的數據應用更好保駕護航。

2002年1月，微軟公司提出了“可信賴計算”計劃，旨在提高安全性、私密性、可靠性和業務完整性。作為這個計劃的一部分，微軟隨後引入了新的開發流程，使得開發的產品可以實現安全設計、安全默認設置以及安全部署。SQL Server開發團隊已經將這一全新的流程帶入到SQL Server下一代版本——SQL Server 2005的開發過程中。

可信賴計算與SQL Server 2005

“可信賴計算”詳細描述了支持安全計算的必要步驟和部署及維護一個安全環境的有益措施的框架。這些步驟可以在軟件生命周期的每一階段——從設計、發布到維護，保護您的系統和數據的機密性、完整性和可用性。以下是“可信賴計算”的具體目標：

• 在產品的設計與測試階段減少潛在的安全問題。
• 關閉不必要的功能，以減少遭受攻擊的“表面積”。保證在產品安裝時每個選項的配置都是恰當的，使得在默認情況下，系統在開始工作時即處於安全狀態。
• 提供工具和指導手冊，幫助用戶對正在使用的系統進行保護、漏洞檢測、攻擊防御、系統恢復和維護。
• 通過文檔和定期交流將最新的安全信息告知客戶，幫助他們維護SQL Server的安全性和完整性。

有關“可信賴計算”更多信息，請參見微軟可信賴計算站點的 http://www.microsoft.com/security/twc/vision_frame.mspx

為了遵循“可信賴計算”的四個原則，微軟公司和SQL Server團隊采取了如下措施：

• 設計安全。SQL Server開發團隊進行了多次安全審計，花了超過兩個月的時間徹底研究了SQL Server各個組件以及它們之間的關聯性。對每一個潛在的安全威脅，開發人員都會做一個威脅模型分析進行評估，再針對它做相應的設計和測試工作以完全消除隱患。正是由於這樣的工作，SQL Server 2005將會包括許多新的安全特性。
• 默認安全。在安裝SQL Server 2005時，安裝程序將會為每個安裝選項選擇恰當的配置，使得一個新的系統安裝結束時，默認處於一個安全的狀態。
• 部署安全。微軟將提供相應的技術資源來指導用戶在部署SQL Server時使用正確的安全憑證，幫助用戶充分理解必需的步驟和權限。對於如何理解在安裝過程中所需要做出的決策，SQL Server部署工具將提供必要的信息。另外，安全更新功能將會自動安裝，如果您選擇了相應的選項。如果您不得不面對跨機構的分布式環境，也有相應的工具能幫助您評估和管理這其中的安全風險。
• 溝通。為了支持現有SQL Server系統的部署，微軟提供了關於安全問題的交流平台。在安全資源頁面中，您可以找到所有關於SQL Server的安全信息，這其中包括現存的安全威脅以及針對它們的補丁和工具。

SQL Server 2005中將會引入一些安全改進和新的安全特性，以適應“可信賴計算”。大體上，這些新特性和改進可分為以下幾個范圍：

• 控制用戶對服務器的訪問。SQL Server 2005將提供對用戶訪問SQL Server更強大的控制能力，可以通過策略來限定用戶的訪問。
• 禁用服務和限制服務配置。管理員能夠把對SQL Server的訪問限定在管理員所指定的某個范圍內和某個粒度等級上，這樣，管理員就能輕松地管理著一個不違反權限最低原則的系統。由於在安裝時默認將禁用某些不是必需的服務，那麼，管理員將更多考慮的是決定哪個服務根據需求被啟用，而不是去找有哪些不必要的服務需要關閉。
• 減少新特性遭受攻擊的“表面積”。從安裝的那一刻開始，SQL Server 2005遭受攻擊的“表面積”就將被最小化，因為在SQL Server 2005的整個開發過程中，新特性的安全性已被反復地檢查和測試。
  
  

安全特性一瞥

SQL Server 2005中將會出現的安全特性如下：

特性 描述 默認關閉

SQL Server 2005默認將只會啟用少數核心功能和服務，這樣，就限制了暴露的“表面積”，並且，管理員只會啟用那些他們環境所必需的服務和功能。

在SQL Server 2005中默認被禁用的服務和組件包括：.Net框架、Service Broker網絡連接組件、分析服務的HTTP連接組件。

其他一些服務，例如SQL Server代理、全文檢索、新的數據轉換（DTS）服務，被設置為手動啟動。

粒度化的權限控制 SQL Server 2005中新的安全模型允許管理員在某個粒度等級上和某個指定范圍內管理權限，這樣，管理權限更加容易，並且權限最低原則得到遵循。 用戶和架構分離 SQL Server 2005切斷了用戶和他所擁有的數據庫對象之間的隱式關聯，簡化了安全管理操作。例如，在SQL Server以前的版本中，如果您想移除一個用戶，您不得不首先移除這位用戶所擁有的數據庫對象或重新指派其所有權，這顯而易見地會使整個過程變得復雜，並有可能影響到很多應用程序的使用。而在SQL Server 2005新的安全模型中，移除用戶不會要求更改任何一個應用程序。 強制密碼策略 管理員能夠對標准登錄帳號指定和Windows Server中密碼策略風格一樣的策略，這樣，同一個策略就能應用到域中所有的帳號上。 執行上下文 SQL Server 2005允許為一個模塊中語句的執行指定上下文。這個功能同時也在粒度化權限管理時起了很重要的作用。 DDL觸發器 在SQL Server 2005中，能為DDL操作指定觸發器，提供了審核DDL操作的另一個選擇。 數據加密 SQL Server 2005本身就具有加密功能，完全集成了一個密鑰管理架構。 集群身份驗證 SQL Server 2005集群支持針對虛擬服務器的Kerberos身份驗證。 多代理帳號 SQL Server 2005代理服務支持多個代理帳號，一個作業一個。 不再依賴LSA數據庫 SQL Server代理使用代理帳號時不再需要訪問LSA。因此，代理服務不再需要以本地管理員身份啟用了。 SQL事件探查器不再需要系統管理員權限 SQL Server 2005提供了一個新的權限，允許沒有系統管理員權限的用戶運行事件探查器。 分析服務器的通訊需與服務器端定義的策略一致 默認情況下，客戶端/服務器之間的通訊是被加密的。為了保證安全，服務器端策略可定義為拒絕不加密的通訊。 分析服務器中細化的管理角色 SQL Server 2005中將會有更多的權限可供選擇。除了OLAP管理員之外，數據庫管理員能夠在一個單獨數據庫的上下文中支配管理權限。新的對象權限能允許用戶只看到對象的定義（而不能訪問對象）和只能處理對象。 SQL Server代理作業的角色 改進了的SQL Server代理支持以更細化的方式針對作業指派權限。 新的工具和幫助文件 一組新的部署工具和文檔將會幫助您確保SQL Server 2005被安全地安裝或是部署到一個現存的SQL Server拓撲中。這些工具通過匯報詳細信息、分析現存拓撲、檢查必要條件、建議配置和每步驗證等方式給予您指導。 改進針對分析服務的審核功能 SQL Server 2005分析服務將包含與SQL事件探查器集成的新審核功能。 安全公告 微軟將發布關於SQL Server 2005的安全公告和補丁。這些公告將幫助您獲知和評估針對您現有環境的潛在威脅，並助您消除這些隱患。 IIS鎖定向導

如果您是在Windows 2000 Server平台上部署SQL Server 2005，IIS鎖定向導是一個保護您web服務器環境的強大工具。IIS鎖定向導將關閉那些在您的環境中不需要的功能，從而減少潛在的遭受攻擊的“表面積”。為了提供防范攻擊的多層保護，IIS鎖定向導中集成了一個叫做URLScan的工具。

如果您是在Windows Server 2003平台上部署SQL Server 2

您正在看的SQLserver教程是:SQL Server 2005安全性。005，IIS鎖定向導已經被集成進了IIS6.0。