收集和分發(fā)數(shù)據(jù)是網(wǎng)絡(luò)管理的職責(zé)之一，而且必須確保這些數(shù)據(jù)的準(zhǔn)確性和安全性。不管它們是什么操作系統(tǒng)，數(shù)據(jù)庫服務(wù)器需要特殊的管理以保證操作上的安全性。

良好的安全性開始于安裝?，F(xiàn)在讓我們看一看如何才能在開始的時候就獲得SQL Server的安全性。

安裝在開始安裝之前，先定位到終端路由器或者防火墻，將UDP和TCP端口1433和1434指明為SQL Server的IP地址，這將有助于在安裝的時候防止SQL injection弱點。

請不要在一個域控制器(domain controller)上安裝SQL Server，一個程序的弱點可以導(dǎo)致危及整個域。在安裝程序的轉(zhuǎn)移數(shù)據(jù)之前，你最好在一個具有完全補丁修補之后的操作系統(tǒng)上安裝SQL Server。

SQL Server服務(wù)應(yīng)該運行于獨立的當(dāng)?shù)貛ぬ栔?。這樣，即使如果有人破壞程序，其它的服務(wù)器也可以不受影響。

如果服務(wù)器想要為一個基于Windows的網(wǎng)絡(luò)服務(wù)，與服務(wù)器的所有連接都需要Windows認(rèn)證。這將使得用戶不再有必要記住其它連接的密碼，從而減輕了用戶的負(fù)擔(dān)。

服務(wù)帳號在通常情況下，服務(wù)帳號十分注意分配給它們的權(quán)限。SQL Server使用兩種帳號：SQL Server Engine和SQL Server Agent。這兩種帳號都作為一個具有常規(guī)帳號權(quán)限的域用戶而運行。

如果你使用SQL Server認(rèn)證，而不是使用Windows認(rèn)證，或者如果你的服務(wù)器運行的是ActiveX腳本或CmdExec作業(yè)(比如，操作系統(tǒng)命令或者.bat，.cmd，.com，或.exe的可執(zhí)行程序)，SQL Server Agent帳號將需要當(dāng)?shù)豔indows管理員權(quán)限。

注意：如果你需要改變與SQL Server服務(wù)有關(guān)的帳號，可以使用SQL Server企業(yè)管理者(SQL Server Enterprise Manager)。企業(yè)管理者將對SQL Server使用的文件和注冊表鍵設(shè)置合適的權(quán)限。不要使用控制面板上MMC的Services applet來更改這些帳號。

安裝之后 通過運行微軟Killpwd.exe程序，可以清除在安裝過程中保存在不同安裝文件中的純文本sysadmin密碼。

當(dāng)從新服務(wù)器中清除安裝文件之后，運行Microsoft Baseline Security Analyzer (MBSA)。這一工具能夠掃描和測試安裝中產(chǎn)生的問題，這些問題包括：

過多的sysadmin成員都想作為服務(wù)器角色。

分配建立CmdExec作業(yè)的權(quán)限。

空白的或者瑣屑的密碼。

脆弱的認(rèn)證方式。

分配給管理者組的過多的權(quán)限。

運行于域控制器的系統(tǒng)的SQL Server。

每一組的不合適的配置。

SQL Server服務(wù)帳號的不合適的配置。

丟失的服務(wù)補丁和安全更新。

最后，請記住檢查失敗連接的原因。這是安裝中最容易忽略的選項。你可以通過SQL Server企業(yè)管理者來實現(xiàn)失敗連接的檢查。

請遵循以下的步驟：

1.;;;;右擊服務(wù)器，選擇屬性(Properties)。

2.;;;;在安全(Security)標(biāo)簽，在Audit Level之下選擇Failure。

3.;;;;停止和重新啟動服務(wù)器，以獲得檢查的開始。

最后注意幾點這也只是執(zhí)行一個安全的SQL Server安裝的開始。如果你的服務(wù)器將從一個公共的Web服務(wù)器中集中數(shù)據(jù)，你應(yīng)該對設(shè)置到Web服務(wù)器IP地址的SQL端口進(jìn)行限制。這些都對數(shù)據(jù)庫服務(wù)器非常有好處，但它們都以一個安全的安裝為開始。

--------------------------------------------------------------------------------本文作者: Mike Mullins作為數(shù)據(jù)庫管理者和助理網(wǎng)絡(luò)管理者的身份參加了美國特勤局(Secret Service)，他是一個美國國防部國防資訊系統(tǒng)局(Defense Information Systems Agency)的網(wǎng)絡(luò)安全管理者。