Sql server 安全配置
数据库安全两层含义:
1. 系统运行安全,其通常受到的威胁例如有不法分子通过网络,局域网等途径入侵电脑使得系统无法正常启动或者是超负荷让系统无法运行,并关闭cpu风扇使得cpu过热从而烧坏等破坏性活动。
2. 系统信息安全,其通常受到的威胁例如有黑客入侵数据库盗取想要的资料,数据库的安全是针对于数据而言的,包括数据的独立性,数据安全性,数据完整性,并发控制,故障恢复等方面
目的:通过数据库的配置加强数据的安全从而更为有效的保护数据
环境:windows+sql server
操作步骤
1. 服务器身份验证
MSSQL Server 2008的身份验证模式有两种: 一种是Windows身份验证模式,另一种是SQL Server和Windows身份验证模式(即混合模式)。对大多数数据库服务器来说,有SQL Server身份验证就足够了,只可惜目前的服务器身份验证模式里没有这个选项,所以我们只能选择同时带有SQL Server和Windows身份验证的模式(混合模式)。但这样就带来了两个问题:
(1)混合模式里包含了Windows身份验证这个我们所不需要的模式,即设置上的冗余性。程序的安全性是与冗余性成反比的。
(2)所谓Windows身份验证,实际上就是通过当前Windows管理员账户(通常为Administrator)的登录凭据来登录MSSQL Server。使用Windovs身份验证,会增加Administrator密码被盗的风险。
为解决以上两个问题,需要限制混合模式里的Windows身份验证。方法如下:如图1所示
图一
点击安全性,登录名,将Administrator对应的登录名删除即可,如图2所示
图2
2. 修改数据库弱密码
众所周知,SQL Server的“SA”账户在默认状态下是空密码的。给其设定一个足够复杂并且足够长度密码来加强其安全性。
配置方法:开始所有程序 Microsoft SQL Server 企业管理器,展开控制台根目录,选择“安全性”,展开,点击“登录”,在右侧的用户列表中可以看到有SA这个用户。双击打开SA用户,可以更改SA用户的密码。如图3所示
图3
使用一下命令检测系统是否存在空密码账号
Usemaster
Select name, Password from sysl ogins where password is null
若存在的空密码的账号,请参考sa的办法修改。若是其他非空密码,但密码属于弱密码同样参考sa的办法进行修改。
3、修改默认的1433端口
默认情况下,SQL Server使用1433端口监听,修改1433端口有利于sql server的隐藏(该项修改需要重启数据库才能生效)。
配置办法:点击“开始->程序->Microsoft SQL Server- >服务器网络实用工具”->在“启用的协议”中选中“TCP/IP”" ->点击“属性”->输入新的默认端C号->点击“确定”->点击“确定”。如图4所示
图4
4、加强数据库日志的记录
在实例属性中选择“安全性”,将其中的审核级别选定为全部,这样在数据库系统和操作系统日志里面,就周详记录了所有账号的登录事件。然后定期查看SQL Server日志检查是否有可疑的登录事件发生,或使用DOS命令。如图5所示
配置审核级别为全部:
图5
查看数据库日志如图6所示
图6
5、数据库备份
sql sever中数据库的备份是一个很重要的环节,方便在不同的电脑进行数据共享,并且如果数据库损坏也方便做数据恢复。
6、对网络连接进行IP 限制
SQL Server 2000数据库系统本身没有提供网络连接的安全解决方法,不过windows系統的IPsec提供了这样的安全机制。使用操作系統自己的IPSec能够实现IP数据包的安全性。对IP连接进行限制,只确保安全的IP 能够访问,拒绝其他IP进行的端口连接,把来自网络上的安全威肋进行有效的控制。