導(dǎo)讀：對(duì)抗黑客侵襲的方法有很多，SQL Server 數(shù)據(jù)庫(kù)技術(shù)在發(fā)展，當(dāng)然黑客技術(shù)也在不斷更新，有一些步驟你可以用來(lái)使SQL Server 數(shù)據(jù)庫(kù)對(duì)篡改數(shù)據(jù)和黑客攻擊更有抵抗力。

下面的五個(gè)步驟將帶您開(kāi)始抵抗黑客保障數(shù)據(jù)庫(kù)安全性的工作。

1、查找最新的服務(wù)程序包

　　時(shí)刻確保你裝了最新的服務(wù)程序包。對(duì)于SQL Server 2000,這個(gè)補(bǔ)丁是SP3a 。記住，服務(wù)程序包是漸增的，所以如果你應(yīng)用了SP3a ，你就不需要再應(yīng)用其他任何在此之前的程序包，例如SP3, SP2 或 SP1。SP3a 是一個(gè)特殊的服務(wù)程序包，它是為那些沒(méi)有進(jìn)行過(guò)以前的任何更新而設(shè)計(jì)的安裝程序，而SP3 則是為那些已經(jīng)安裝了SP1 或SP2準(zhǔn)備的安裝程序。

2、使用安全警報(bào)

　　補(bǔ)丁能夠幫助你保護(hù)你的SQL Server 數(shù)據(jù)庫(kù)免受許多威脅，但是他們的發(fā)布速度總是跟不上那些移動(dòng)迅速的安全性問(wèn)題的處理，例如Spammer 蠕蟲(chóng)。所以你就會(huì)想要使用微軟公司的免費(fèi)的安全通知服務(wù)，一封電子郵件服務(wù)就可以使你了解關(guān)于破壞安全的問(wèn)題和怎樣處理它們。

3、運(yùn)行微軟的基線安全分析器(MBSA)

　　這個(gè)工具對(duì)于SQL Server 和MSDE 2000 Desktop Engine 都是可用的，并且它可以在本地運(yùn)行，也可以在網(wǎng)絡(luò)中運(yùn)行。它尋找密碼，訪問(wèn)權(quán)限，訪問(wèn)控制清單和注冊(cè)的問(wèn)題，并且檢查遺漏的安全程序包或服務(wù)程序包。你可以在TechNet上找到這個(gè)工具的相關(guān)信息。

4、刪除SA和舊密碼

　　人們犯的關(guān)于密碼的最大的安全性錯(cuò)誤就是對(duì)系統(tǒng)管理員(SA)密碼不做任何修改。你可能很輕易的忽略安裝文件中的剩余的配置信息，保護(hù)得很差的認(rèn)證信息和其他一些敏感的數(shù)據(jù)就會(huì)遭黑客破壞。你必須刪除在這個(gè)路經(jīng)下的舊的安裝文件：Program Files\Microsoft SQL Server\MSSQL\Install或Program Files\Microsoft SQL Server\MSSQL$\Install folders。還有，可以使用KILLPWD應(yīng)用程序來(lái)找舊的密碼并且刪除它們。Knowledge Base文章263968對(duì)這個(gè)問(wèn)題做了詳細(xì)的說(shuō)明。

5、監(jiān)控連接

　　連接可以告訴你誰(shuí)試圖訪問(wèn)SQL Server，所以監(jiān)視和控制連接是保護(hù)數(shù)據(jù)庫(kù)安全的一個(gè)非常好的方法。對(duì)于一個(gè)大型的活動(dòng)的SQL Server 數(shù)據(jù)庫(kù)，可能會(huì)有太多的數(shù)據(jù)連接需要監(jiān)控，但是監(jiān)控失敗的連接是非常有價(jià)值的，因?yàn)樗鼈兛赡鼙憩F(xiàn)出使用的企圖。你可以在企業(yè)管理器中在服務(wù)組上右擊，然后選擇Properties，記錄下失敗連接的日志。然后點(diǎn)擊Security選項(xiàng)卡，在Audit Level下點(diǎn)擊Failure來(lái)停止并重新啟動(dòng)服務(wù)器。

SQL Server系統(tǒng)身份驗(yàn)證方式

　　1. 用戶標(biāo)識(shí)與驗(yàn)證

　　用戶標(biāo)示和驗(yàn)證是系統(tǒng)提供的最外層安全保護(hù)措施。其方法是由系統(tǒng)提供一定的方式讓用戶標(biāo)示自己的名字或身份。每次用戶要求進(jìn)入系統(tǒng)時(shí)，由系統(tǒng)進(jìn)行核對(duì)，通過(guò)鑒定后才提供機(jī)器使用權(quán)。

　　對(duì)于獲得上機(jī)權(quán)的用戶若要使用數(shù)據(jù)庫(kù)時(shí)數(shù)據(jù)庫(kù)管理系統(tǒng)還要進(jìn)行用戶標(biāo)識(shí)和鑒定。

　　用戶標(biāo)識(shí)和鑒定的方法有很多種，而且在一個(gè)系統(tǒng)中往往是多種方法并舉，以獲得更強(qiáng)的安全性。常用的方法有：

　　用一個(gè)用戶名或者用戶標(biāo)識(shí)號(hào)來(lái)標(biāo)明用戶身份。系統(tǒng)內(nèi)部紀(jì)錄著所有合法用戶的標(biāo)識(shí)，系統(tǒng)驗(yàn)證此戶是否合法用戶，若是，則可以進(jìn)入下一步的核實(shí);若不是，則不能使用系統(tǒng)。

　　為了進(jìn)一步核實(shí)用戶，系統(tǒng)常常要求用戶輸入口令(Password)。為保密起見(jiàn)，用戶在終端上輸入的口令不顯示在屏幕上。系統(tǒng)核對(duì)口令以驗(yàn)證用戶身份。

　　用戶標(biāo)識(shí)與驗(yàn)證在SQL Server中對(duì)應(yīng)的是Windows NT/2000登錄賬號(hào)和口令以及SQL Server用戶登錄賬號(hào)和口令。

　　2. SQL Server身份驗(yàn)證方式

　　用戶必須使用一個(gè)登錄賬號(hào)，才能連接到SQL Server中。SQL Server可以識(shí)別兩類的身份驗(yàn)證方式，即：SQL Server身份驗(yàn)證(SQL Server Authentication)方式和Windows身份驗(yàn)證(Windows Authentication)方式。這兩種方式的結(jié)構(gòu)如圖2所示。這兩種方式都有自己的登錄賬號(hào)類型。

　　注意的是，如果在Microsoft Windows95/98/ME上使用SQL Server的Personal版，作為SQL Server宿主的Microsoft Windows95/98/ME系統(tǒng)只能使用SQL Server登錄。因此，Windows NT/2000身份驗(yàn)證、域用戶的賬號(hào)和域組賬號(hào)都是不可用的。

　　當(dāng)使用SQL Server身份驗(yàn)證方式時(shí)， 由SQL Server系統(tǒng)管理員定義SQL Server賬號(hào)和口令。當(dāng)用戶連接SQL Serve時(shí)，必須提供登錄賬號(hào)和口令。當(dāng)使用Windows身份驗(yàn)證方式時(shí)，由Windows NT/2000賬號(hào)或者組控制用戶對(duì)SQL Server系統(tǒng)的訪問(wèn)。這時(shí)，用戶不必提供SQL Server的Login賬號(hào)和口令就能連接到系統(tǒng)上。但是，在該用戶連接之前，SQL Serve系統(tǒng)管理員必須將Windows NT/2000賬號(hào)或者Windows NT/2000組定義為SQL Server的有效登錄賬號(hào)。

　　3. 身份驗(yàn)證模式

　　當(dāng)SQL Serve在Windows NT/2000上運(yùn)行時(shí)，系統(tǒng)管理員必須指定系統(tǒng)的身份驗(yàn)證模式類型。SQL Server的身份驗(yàn)證模式有兩種：Windows 身份驗(yàn)證(Windows Authentication)模式和混合模式(Mixed Mode)。身份驗(yàn)證模式和身份驗(yàn)證方式的關(guān)系是：

　　Windows身份驗(yàn)證模式 (Windows身份驗(yàn)證方式)

　　混合模式 (Windows 身份驗(yàn)證方式 和 SQL Server 身份驗(yàn)證方式)

　　Windows 身份驗(yàn)證模式只允許使用Windows 身份驗(yàn)證方式，這時(shí)用戶無(wú)法以SQL Server的登錄賬號(hào)登錄服務(wù)器。它要求用戶登錄到Windows NT/2000，當(dāng)用戶訪問(wèn)SQL Server時(shí)，不用再次登錄。雖然用戶仍會(huì)被提示登錄，但SQL Server的用戶名會(huì)自動(dòng)從用戶網(wǎng)絡(luò)登錄ID中提取。而混合身份驗(yàn)證模式即允許使用Windows NT/2000身份驗(yàn)證方式，又允許使用SQL Server身份驗(yàn)證方式。它使用戶既可以登錄SQL Server，也可用Windows NT/2000的集成登錄。

　　集成登錄只能在用命名管道連接客戶機(jī)服務(wù)器時(shí)使用。當(dāng)使用混合模式時(shí)，無(wú)論是使用Windows NT/2000身份驗(yàn)證方式的用戶，還是使用SQL Server身份驗(yàn)證方式的用戶，都可以連接到SQL Server系統(tǒng)上。也就是說(shuō)：身份驗(yàn)證模式是對(duì)服務(wù)器來(lái)說(shuō)的，而身份驗(yàn)證方式是對(duì)客戶端來(lái)說(shuō)的。

　　4. Windows身份驗(yàn)證模式

　　Windows 身份驗(yàn)證模式最適用于只在部門訪問(wèn)數(shù)據(jù)庫(kù)的情況。與SQL Server身份驗(yàn)證方式相比，Windows身份驗(yàn)證方式具有下列優(yōu)點(diǎn)：提供了更多的功能，例如安全確認(rèn)和口令加密、審核、口令失效、最小口令長(zhǎng)度和賬號(hào)鎖定;通過(guò)增加單個(gè)登錄賬號(hào)，允許在SQL Server系統(tǒng)中增加用戶組;允許用戶迅速訪問(wèn)SQL Server系統(tǒng)，而不必使用另一個(gè)登錄賬號(hào)和口令。

　　SQL Server系統(tǒng)按照下列步驟處理Windows 身份驗(yàn)證方式中的登錄賬號(hào)：

　　1)當(dāng)用戶連接到Windows NT/2000系統(tǒng)上時(shí)，客戶機(jī)打開(kāi)一個(gè)到SQL Server系統(tǒng)的委托連接。該委托連接將Windows NT/2000的組和用戶賬號(hào)傳送到SQL Server系統(tǒng)中。因?yàn)榭蛻魴C(jī)打開(kāi)了一個(gè)委托連接，所以SQL Server系統(tǒng)知道Windows NT/2000已經(jīng)確認(rèn)該用戶有效。

　　2)如果SQL Server系統(tǒng)在系統(tǒng)表syslogins的SQL Server用戶清單中找到該用戶的Windows NT/2000用戶賬號(hào)或者組賬號(hào)，就接受這次身份驗(yàn)證連接。這時(shí)，SQL Server系統(tǒng)不需要重新驗(yàn)證口令是否有效，因?yàn)閃indows NT/2000已經(jīng)驗(yàn)證用戶的口令是有效的。

　　3)在這種情況下，該用戶的SQL Server系統(tǒng)登錄賬號(hào)即可以是Windows NT/2000的用戶賬號(hào)，也可以是Windows NT/2000組賬號(hào)。當(dāng)然，這些用戶賬號(hào)或者組賬號(hào)都已定義為SQL Server系統(tǒng)登錄賬號(hào)。

　　4)如果多個(gè)SQL Server機(jī)器在一個(gè)域或者在一組信任域中，那么登錄到單個(gè)網(wǎng)絡(luò)域上，就可以訪問(wèn)全部的SQL Server機(jī)器。

　　5. 混合模式

　　混合模式最適合用于外界用戶訪問(wèn)數(shù)據(jù)庫(kù)或不能登錄到Windows域時(shí)。

　　混合方式的SQL Server身份驗(yàn)證方式有下列優(yōu)點(diǎn)：混合方式允許非Windows NT/2000客戶、Internet客戶和混合的客戶組連接到SQL Server中;SQL Server身份驗(yàn)證方式又增加了一層基于Windows 的安全保護(hù)。SQL Server按照下列步驟處理自己的登錄賬號(hào)：

　　1.當(dāng)一個(gè)使用SQL Server賬號(hào)和口令的用戶連接SQL Server時(shí)，SQL Server驗(yàn)證該用戶是否在系統(tǒng)表syslogins中且其口令是否與以前紀(jì)錄的口令匹配。

　　2.如果在系統(tǒng)表syslogins中沒(méi)有該用戶賬號(hào)，那么這次身份驗(yàn)證失敗，系統(tǒng)拒絕該用戶的連接。

結(jié)束語(yǔ)

　　SQL Server提供多層安全。在最外層，SQL Server的登錄安全性直接集成到Widows NT/2000的安全上，它允許Windows NT服務(wù)器驗(yàn)證用戶。使用這種"Windows 驗(yàn)證"SQL Server就可以利用Windows NT/2000的安全特性，例如安全驗(yàn)證和密碼加密、審核、密碼過(guò)期、最短密碼長(zhǎng)度，以及在多次登錄請(qǐng)求無(wú)效后鎖定帳號(hào)。

【編輯推薦】

1. 構(gòu)造SQL Server的安全門
2. 配置SQL Server 2000九大措施安全
3. 保護(hù)SQL Server數(shù)據(jù)庫(kù)的十大絕招