6.1 服务器安全性

6.1　服务器安全性

6.1.1　设置身份验证模式

　　在安装 SQL Server 数据库引擎时，在安装向导中可以选择身份验证模式。

　　Windows 身份验证是默认身份验证模式。安装完成之后，可以通过 SSMS 修改服务器的身份验证模式。

　　服务器身份验证模式保存在注册表中，实际上 SSMS 也是通过修改注册表的方法进行调整。注册表项位于：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\<实例ID>\MSSQLServer。其中LoginMode为1表示使用集成身份验证，2表示使用混合身份验证。

　　“实例ID”的命名格式默认为“MSSQL<版本号>.<实例名称>”，例如 “MSSQL12.MSSQLSERVER”。这个设置是在安装 SQL Server 数据库引擎时指定的，安装向导将使用这个“实例ID”创建对应的文件夹。

　　T-SQL 语句示例如下：

USE [master] GO EXEC xp_instance_regwrite N'HKEY_LOCAL_MACHINE', N'Software\Microsoft\MSSQLServer\MSSQLServer', N'LoginMode', REG_DWORD, 1 GO

6.1.2　网络安全

　　在客户端与 SQL Server 通信过程中，需要使用多方面的技术手段保证网络通讯的安全性。以下是常用的一些技术。

（1）使用防火墙阻止非法的连接。

（2）注意端口的安全。默认的 SQL Server 数据库引擎使用 TCP 1433 端口，因此成为非法入侵的“重灾区”。可以考虑将默认端口修改为不常见的端口号。

（3）加密网络通讯。但是加密会影响到性能，因此需要综合考虑。

6.1.3　操作系统的安全性

　　由于 SQL Server 是安装在 Windows 操作系统中，因此操作系统自身的安全性是安全体系结构中重要的一个环节。以下列举了常见的一些安全策略。

（1）使用最低权限的帐户启动服务（包括 SQL Server 的运行帐户），或者使用托管服务帐户。

（2）停用未使用的服务。

（3）使用密码策略。

（4）提高身份验证的强度，强制要求 Kerberos 身份验证。

本文出自 “SQLServer2014丛书” 博客，谢绝转载！