SQL Server數(shù)據(jù)庫(kù)在企業(yè)中的應(yīng)用越來(lái)越多，安全性顯得越來(lái)越突出。特別是最近一段時(shí)間以來(lái)，一種新的網(wǎng)絡(luò)攻擊技術(shù)開(kāi)始在Internet上快速流行，那就是“SQL Injection”，俗稱(chēng)“腳本注入式攻擊”，只要被不法分子盯上的系統(tǒng)，恰好您使用的數(shù)據(jù)庫(kù)是SQL Server 2000的話，那么被成功入侵的概率高達(dá)90%。
如何加強(qiáng)數(shù)據(jù)庫(kù)的安全呢？本文將向您全面介紹保護(hù)SQL Server 2000數(shù)據(jù)庫(kù)安全配置的十七招。

第一招 首先確認(rèn)是否已經(jīng)安裝了操作系統(tǒng)和SQL Server的最新安全補(bǔ)丁。很多黑客攻擊不是通過(guò)SQL Server本身的漏洞來(lái)完成資料竊取的，而是通過(guò)操作系統(tǒng)漏洞來(lái)完成，然后進(jìn)入到數(shù)據(jù)庫(kù)中。
第二招 根據(jù)業(yè)務(wù)系統(tǒng)需求，選擇一個(gè)考慮到最大安全性但是同時(shí)又不影響功能的網(wǎng)絡(luò)協(xié)議。如TCP/IP協(xié)議、命名管道等。
第三招 眾所周知，SQL Server的“SA”賬戶在默認(rèn)狀態(tài)下是空密碼的。給其設(shè)定一個(gè)足夠復(fù)雜并且足夠長(zhǎng)度密碼來(lái)加強(qiáng)其安全性，同時(shí)把該密碼保存在一個(gè)安全的地方。
配置方法：開(kāi)始→所有程序→Microsoft SQL Server→企業(yè)管理器，展開(kāi)控制臺(tái)根目錄，選擇“安全性”，展開(kāi)，點(diǎn)擊“登錄”，在右側(cè)的用戶列表中可以看到有SA這個(gè)用戶。雙擊打開(kāi)SA用戶，可以更改SA用戶的密碼。

第四招 建立一個(gè)低權(quán)限用戶做為SQL服務(wù)器服務(wù)的查詢(xún)操作專(zhuān)用賬戶，不要用LocalSystem或SA。 這個(gè)賬戶應(yīng)該有最小的權(quán)利，比如僅能執(zhí)行Select語(yǔ)句，對(duì)其他的DDL操縱語(yǔ)句都沒(méi)有權(quán)限。
配置方法：展開(kāi)控制臺(tái)根目錄，選擇“數(shù)據(jù)庫(kù)”，展開(kāi)，點(diǎn)擊“用戶”，在右側(cè)用戶列表中可以看到已經(jīng)授權(quán)的用戶，在默認(rèn)狀態(tài)下只有“SA”和“Guest”兩個(gè)用戶。雙擊打開(kāi)已經(jīng)建立的低權(quán)限賬戶，打開(kāi)數(shù)據(jù)庫(kù)用戶屬性。選擇數(shù)據(jù)庫(kù)腳色，盡可能低的權(quán)限。打開(kāi)“權(quán)限”按鈕，賦予用戶相應(yīng)的權(quán)限，最好全部是Select查詢(xún)權(quán)限。

第五招 確認(rèn)SQL服務(wù)器系統(tǒng)安裝在NTFS分區(qū)，且權(quán)限控制列表 被應(yīng)用。如果黑客得到對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的存取操作權(quán)限，該層權(quán)限可以阻止入侵者進(jìn)一步破壞數(shù)據(jù)。Windows 2000或者2003 Server都是需要安裝在NTFS分區(qū)。
配置方法：找到SQL Server安裝文件夾，默認(rèn)安裝在“X:Program FilesMicrosoft SQL Server”目錄下。鼠標(biāo)右鍵，選擇“屬性”。注意查看“共享”屬性選項(xiàng)卡，一定不要共享。點(diǎn)擊安全選項(xiàng)，只有許可的用戶才能訪問(wèn)這個(gè)文件夾。
第六招 嚴(yán)格禁止使用Xp_cmdshell命令。限制所有的賬戶擁有操作、使用XP_cmdshell的權(quán)限。如果黑客或者其他有惡意的人，擁有操作這個(gè)命令的權(quán)限，那它就可以輕松得到系統(tǒng)管理員的權(quán)限。

第七招 在業(yè)務(wù)應(yīng)用系統(tǒng)中，如果不需要就停用對(duì)象連接與嵌入自動(dòng)化儲(chǔ)存程序。當(dāng)這些儲(chǔ)存程序被停用的時(shí)候，企業(yè)管理器部分功能可能丟失。比如：DTS數(shù)據(jù)導(dǎo)入導(dǎo)出。同時(shí)，禁用部分注冊(cè)表存取程序。
注意：Xp_regread和 xp_regwrite這兩個(gè)存儲(chǔ)過(guò)程如果刪除，會(huì)影響一些主要功能包括日志和SP的安裝。建議保留。

第八招 關(guān)閉遠(yuǎn)程服務(wù)器連接。如果允許使用遠(yuǎn)程服務(wù)器連接，入侵者在自己的機(jī)器上安裝SQL Server就可以使用數(shù)據(jù)庫(kù)服務(wù)器連接到你服務(wù)器的數(shù)據(jù)庫(kù)上，這是一個(gè)危險(xiǎn)級(jí)別很高的安全風(fēng)險(xiǎn)。
配置方法：展開(kāi)控制臺(tái)根目錄，選擇“（Local）Windows NT”，鼠標(biāo)右鍵，選擇“屬性”，在配置窗口中選擇“連接”選項(xiàng)卡，去掉“允許其他SQL Server使用RPC遠(yuǎn)程連接到本SQL Server”選項(xiàng)。這樣就可以防止他人使用數(shù)據(jù)庫(kù)的惡意連接。如圖1所示。

第九招 注意SQL服務(wù)器的物理安全。數(shù)據(jù)機(jī)房禁止不相關(guān)的人員進(jìn)入，把Server鎖在機(jī)柜里，并且注意鑰匙的安全，只要有機(jī)會(huì)到服務(wù)器面前，就會(huì)找到攻擊服務(wù)器的方法。

第十招 在系統(tǒng)中，有很多人沒(méi)有設(shè)置密碼的習(xí)慣。審計(jì)使用空密碼的用戶，強(qiáng)制使用安全密碼。
使用下列語(yǔ)句，可以得到現(xiàn)有用戶中沒(méi)有使用密碼的賬號(hào)：
Select name,Password from syslogins where password is null
執(zhí)行結(jié)果如圖2所示。可以看到目前在業(yè)務(wù)系統(tǒng)中有四個(gè)人的密碼是空，其中包括SA超級(jí)用戶的密碼。

第十一招 不允許使用者交互式登錄到SQL Server之上。這個(gè)規(guī)則適用任何服務(wù)器。一旦一個(gè)使用者能夠交互式進(jìn)入一個(gè)服務(wù)器之內(nèi)，就有可能利用管理員的存取特權(quán)得到管理員權(quán)限。
解決方法：關(guān)閉遠(yuǎn)程終端服務(wù)和Windows 2003的Web管理功能。
第十二招 啟用混合模式安全性認(rèn)證，在默認(rèn)狀態(tài)只是執(zhí)行失敗的審核，建議使用“SQL Server和Windows”身份驗(yàn)證，審核級(jí)別使用“全部”。“無(wú)”表示不執(zhí)行審核；“成功”表示只審核成功的登錄嘗試；“失敗”表示只審核失敗的登錄嘗試；“全部”表示審核成功的和失敗的登錄嘗試。
配置方法：展開(kāi)控制臺(tái)根目錄，選擇“（Local）Windows NT”，鼠標(biāo)右鍵，選擇“屬性”，在配置窗口中選擇“安全性”選項(xiàng)卡，審核級(jí)別選擇“全部”，記錄所有的身份驗(yàn)證狀況。
第十三招 定期檢測(cè)SQL日志文件，檢索其中成功登錄或者登錄失敗的信息，從而找到任何非法入侵者所作多次數(shù)據(jù)庫(kù)登錄嘗試。
配置方法：展開(kāi)控制臺(tái)根目錄，選擇“管理”，展開(kāi)，選擇“SQL Server日志”，在右側(cè)窗口列表中打開(kāi)您選擇的日志文件，上面有詳細(xì)的記錄狀況。如圖3所示。

第十四招 制定嚴(yán)格的數(shù)據(jù)庫(kù)備份策略，在數(shù)據(jù)庫(kù)管理中，這是最重要的工作。同時(shí)在允許的條件下模擬可能出現(xiàn)的災(zāi)難情況，模擬出測(cè)試環(huán)境，進(jìn)行數(shù)據(jù)保護(hù)有效性防范，減少故障發(fā)生的機(jī)率，系統(tǒng)災(zāi)難恢復(fù)時(shí)間最小化。
第十五招 如果條件許可，數(shù)據(jù)庫(kù)文件和日志文件分開(kāi)存儲(chǔ)，分別放在不同的物理存儲(chǔ)設(shè)備上。一旦發(fā)生災(zāi)難性故障，如硬件損壞，數(shù)據(jù)文件和日志存放在一起，沒(méi)有任何手段可以恢復(fù)數(shù)據(jù)。如果做了數(shù)據(jù)備份，同時(shí)日志文件保存在其它位置，并且日志文件沒(méi)有損壞的情況下，就有可能恢復(fù)數(shù)據(jù)。數(shù)據(jù)安全級(jí)別定義：高。
配置方法：雙擊數(shù)據(jù)庫(kù)文件名，打開(kāi)數(shù)據(jù)庫(kù)屬性，點(diǎn)擊“數(shù)據(jù)文件”選項(xiàng)卡，設(shè)置數(shù)據(jù)文件存放的位置。如圖4所示。點(diǎn)擊“事務(wù)日志”選項(xiàng)卡，設(shè)置日至文件存放的位置。

第十六招 選擇數(shù)據(jù)庫(kù)故障還原模型，建議選擇“完全”方式。
SQL Server2000支持3種方式的數(shù)據(jù)庫(kù)故障還原模型：簡(jiǎn)單、完全、大容量日志記錄。其優(yōu)缺點(diǎn)如表1所示。
配置方法：選中數(shù)據(jù)庫(kù)名稱(chēng)，鼠標(biāo)右鍵選擇屬性，點(diǎn)擊“選項(xiàng)”選項(xiàng)卡，在故障還原子段下有一個(gè)‘模型’欄目，選擇需要設(shè)置的模型方式即可。如圖5所示。

第十七招 關(guān)閉服務(wù)器行為下的允許對(duì)“系統(tǒng)目錄直接進(jìn)行修改”功能。如果開(kāi)啟此功能，則在數(shù)據(jù)庫(kù)架構(gòu)內(nèi)可以使用擴(kuò)展存儲(chǔ)過(guò)程對(duì)系統(tǒng)目錄下的文件或者其他信息進(jìn)行修改，或者在數(shù)據(jù)庫(kù)架構(gòu)內(nèi)上傳具有惡意功能的代碼。這是大家都不愿意看到的。安全風(fēng)險(xiǎn)級(jí)別：高。
配置方法：鼠標(biāo)右鍵數(shù)據(jù)庫(kù)服務(wù)器，選擇“服務(wù)器設(shè)置”，在“服務(wù)器行為”字段下，關(guān)閉“系統(tǒng)目錄直接進(jìn)行修改”。如圖6所示。

以上為您介紹了SQL Server 2000數(shù)據(jù)庫(kù)安全配置的十七種方法，這些方法只要使用得當(dāng)，做好安全管理工作就不是一個(gè)難題。
表1 三種還原模型對(duì)比表
簡(jiǎn)單方式還原模型 產(chǎn)生日志文件的容量小，方便檢索。 如果一旦發(fā)生數(shù)據(jù)損壞的情況， 常常不能恢復(fù)數(shù)據(jù)。

大容量日志記錄故障還原模型 所有的對(duì)數(shù)據(jù)庫(kù)的操作將全部保留，會(huì)日志文件太大。產(chǎn)生一個(gè)巨大的日志文件。如果數(shù)據(jù)文 件發(fā)生損壞，可以完全恢復(fù)數(shù)據(jù)庫(kù)的數(shù)據(jù)。

完全方式的還原模型對(duì)數(shù)據(jù)庫(kù)的數(shù)據(jù)操作將全部保留，會(huì)產(chǎn)對(duì)數(shù)據(jù)庫(kù)的一些操作記錄的不 生一個(gè)適中的日志文件，也可以恢復(fù)數(shù)據(jù)庫(kù)數(shù)據(jù)夠詳細(xì)。