MSSQL Server 2008的安全设置
服务器身份验证
MSSQL Server 2008的身份验证模式有两种:一种是Windows 身份验证模式, 另一种是SQL Server和Windows身份验证模式(即混合模式)。对大多数数据库服务器来说,有SQL Server身份验证就足够了,只可惜目前的服务器身份验证模式里没有这个选项,所以我们只能选择同时带有SQL Server和Windows身份验证的模式(混合模式)。但这样就带来了两个问题:
1、混合模式里包含了Windows身份验证这个我们所不需要的模式,即设置上的冗余性。程序的安全性是与冗余性成反比的。
2、所谓Windows身份验证,实际上就是通过当前Windows管理员帐户(通常为Administrator)的登录凭据来登录MSSQL Server。使用Windows身份验证,会增加Administrator密码被盗的风险。
为解决以上两个问题,我们需要限制混合模式里的Windows身份验证。方法如下:
打开Microsoft SQL Server Management Studio,点击安全性->登录名,将Administrator对应的登录名删除即可。
SQL Server服务的运行身份
默认情况下,SQL Server服务是以本地系统的身份运行的。也就是说,SQL Server服务进程对系统拥有一切操作的权限,这是很不安全的。因此,我们需要将SQL Server服务的运行身份修改为普通用户:
1、新建一个普通用户,如mssqluser,将此用户加入以下两组:
SQLServerMSSQLUser
SQLServerSQLAgentUser
2、授予C盘mssqluser用户的读取权限,D、E等其他分区mssqluser用户的修改权限,mssql安装目录(如D:\Program Files\Microsoft SQL Server),数据库文件存放目录(如D:\mssqldata)mssqluser用户的完全控制权限。
3、将SQL Full-text Filter Daemon Launcher (MSSQLSERVER) SQL Server (MSSQLSERVER)服务的登录修改为mssqluser用户,然后重启这两个服务。
sa密码的安全性
很多数据库服务器管理员都会发现,总有人会乐此不疲地去破解sa密码。因此,将sa密码BT化就变成不可或缺的一步设置。另外,我们可以将sa重命名为sa1,sa2,sa3...之类的用户,这样可以进一步提高sa密码的安全性。修改之后,不要忘了更新有使用sa密码的管理程序。
下一篇: LitePublisher(开源cms)