SQL Server 安全之——安装 SQL Server 的安全注意事项

最新推荐文章于 2024-05-15 10:49:16 发布
最新推荐文章于 2024-05-15 10:49:16 发布
阅读量697 收藏
点赞数
分类专栏: 数据库 文章标签: sql server microsoft 防火墙 服务器 windows 数据库

        安全很重要,这不只是对 Microsoft SQL Server 和 Microsoft 而言的,而是对每个产品和每家企业都很重要。遵循简单的最佳做法,大多数安全漏洞都可以避免。

安装 SQL Server 前的工作

若要使 SQL Server 安装尽可能安全,请在设置服务器环境时遵循以下最佳做法:

 

增强物理安全性

物理和逻辑隔离是构成 SQL Server 安全的基础。若要增强 SQL Server 安装的物理安全性,请执行以下任务:

  • 将服务器置于专门的房间,未经授权的人员不得入内。
  • 将数据库的宿主计算机置于受物理保护的场所,最好是上锁的机房,房中配备水灾检测和火灾检测监视系统或灭火系统。
  • 将数据库安装在公司 Intranet 的安全区域中,任何时候都不要直接连接到 Internet。
  • 定期备份所有数据,并将副本存储在远离工作现场的安全位置。

使用防火墙

防火墙是保护 SQL Server 安装所不可或缺的。若要使防火墙发挥最佳效用,请遵循以下指南:

  • 在服务器和 Internet 之间放置防火墙。
  • 将网络分成若干安全区域,区域之间用防火墙分隔。先阻塞所有通信流量,然后有选择地只接受所需的通信。
  • 在边界防火墙上,始终阻塞发往 TCP 端口 1433(由默认实例监视)的数据包和发往 UDP 端口 1434(由计算机上的实例之一监视)的数据包。如果命名实例正在侦听其他端口,则也阻塞那些端口。
  • 在多层环境中,使用多个防火墙创建屏蔽子网。
  • 如果在 Windows 域内部安装服务器,请将内部防火墙配置为允许 Windows 身份验证。
  • 打开 Kerberos 或 NTLM 身份验证所使用的端口。
  • 如果应用程序使用分布式事务处理,可能必须要将防火墙配置为允许 Microsoft 分布式事务处理协调器 (MS DTC) 在不同的 MS DTC 实例之间以及在 MS DTC 和资源管理器(如 SQL Server)之间进行通信。

隔离服务

隔离服务可以降低风险,防止已受到危害的服务被用于危及其他服务。若要隔离服务,请遵循以下指南:

  • 任何时候都不要在域控制器上安装 SQL Server。
  • 在不同的 Windows 帐户下运行各自的 SQL Server 服务。
  • 在多层环境中,在不同的计算机上运行 Web 逻辑和业务逻辑。

创建具有最低特权的服务帐户

SQL Server 安装程序自动向一个或多个服务帐户授予对与 SQL Server 相关的文件的完全控制权限,以及对本地管理员组的完全控制权限。

但是,通过创建具有运行 SQL Server 服务所需的最低特权的 Microsoft Windows 帐户,可以将未经授权的访问降至最低。

配置安全的文件系统

使用恰当的文件系统可以增加安全性。对于所安装的 SQL Server 软件,应执行以下任务:

  • 使用 NTFS 文件系统 (NTFS)。NTFS 是所安装 SQL Server 软件的首选文件系统,因为该系统比 FAT 文件系统更稳定,可恢复性更强,并可以启用安全选项(如文件和目录访问控制列表 (ACL) 和加密文件系统 (EFS) 文件加密)。有些 SQL Server Database Engine 功能依赖于 NTFS,其中包括数据库快照和联机 DBCC。请注意,基于 FAT 的系统有 4 GB 的文件大小限制。在安装过程中,如果 SQL Server 检测到 NTFS,则它将对注册表项和文件设置相应的 ACL。不应对这些权限进行任何更改。

    注意:
    如果使用 EFS,则数据库文件将以运行 SQL Server 的帐户的身份加密。只有此帐户才能解密这些文件。如果必须更改运行 SQL Server 的帐户,则应首先在旧帐户下解密这些文件,然后再在新帐户下重新加密这些文件。

  • 对关键的数据文件使用独立磁盘冗余阵列 (RAID)。

禁用 NetBIOS 和服务器消息块

边界网络中的服务器应禁用所有不必要的协议,包括 NetBIOS 和服务器消息块 (SMB)。

NetBIOS 使用以下端口:

  • UDP/137(NetBIOS 名称服务)
  • UDP/138(NetBIOS 数据报服务)
  • TCP/139(NetBIOS 会话服务)

SMB 使用以下端口:

  • TCP/139
  • TCP/445

Web 服务器和域名系统 (DNS) 服务器不需要 NetBIOS 或 SMB。在这些服务器上,禁用这两个协议可以缓解用户枚举的威胁。

安装 SQL Server 后的工作

安装完成后,若要增强所安装的 SQL Server 软件的安全性,请遵循以下有关帐户和身份验证模式的最佳做法:

服务帐户

  • 以可能的最低特权运行 SQL Server 服务。
  • 将 SQL Server 服务与 Windows 帐户相关联。

身份验证模式

  • 连接 SQL Server 时要求 Windows 身份验证。

强密码

  • 始终为 sa 帐户指派强密码,即使使用了 Windows 身份验证。
  • 始终对所有 SQL Server 帐户使用强密码。
dave080
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL Server开发的二十一条军规
08-04 991
如果你正在负责一个基于SQL Server的项目,或者你刚刚接触SQL Server,你都有可能要面临一些数据库性能的问题,这篇文章会为你提供一些有用的指导(其中大多数也可以用于其它的DBMS)。    在这里,我不打算介绍使用SQL Server的窍门,也不能提供一个包治百病的方案,我所做的是总结一些经验----关于如何形成一个好的设计。这些经验来自我过去几年中经受的教训,一直来,我看到许多同样
SQL Server 2014 建议不要安装在域控上。
段传涛 的专栏
03-14 6114
SQL Server 2014 建议不要安装在域控上。 当为SharePoint 2016 安装SQL Server 2016 时,如果你安装域控服务器上,会出现如下提示; 这些不影响你的安装,但是会影响使用。 在域控上其实是可以安装sql server,但是某些原因在后期的管理上超级麻烦,得不偿失: (1)在域控制器上,无法在本地服务帐户或网络服务帐户下运行 
sqlserver账号没有“备份权限”,怎么将数据导出
最新发布
老薛的专栏
05-15 378
服务器操作就是可以在本地连接到远程服务器上的数据库,可以在对方的数据库上进行相关的数据库操作,比如增删改查。甚至可以在同一条sql语句同时对本地库和远程库进行操作,有了这么强大的功能,我实现将远程数据库备份到本地的目标就有了思路了。前几天在工作中遇到一个问题,客户的数据在远程服务器上,客户给我分配的账号没有导出权限,但我想将数据从远程服务器上导到我的本地电脑上做开发。通过这种方式,虽然能解决我的问题,但也有个小缺点,就是每张表都得手动写一行sql语句,如果哪位同学有更好的办法,不吝赐教。
Access Control List and Process(如何设置DACL)- -
guyun_shine的专栏
06-04 755
ACL即访问控制表,由一个ACL头和零到多个ACE(Access_control entry 访问控制实例)构成。ACL的应用平台是WindowsNT/2000/XP/2003,实际上WindowsNT3.1之后的使用NT内核的操作系统都支持这个结构。ACL标志了第三方对某一个对象的访问权限,这个对象可以是任何类的实例,当然也包括了进程(Process)对象。 1 概述每一个ACE
DACL, NULL or not NULL
Flier's Sky
08-22 3118
原文:http://www.blogcn.com/User8/flier_lu/index.html?id=3024613    上周 hBifTs 在折腾他的文件映射封装类的时候,碰到了不能在 ASP.NET 中直接打开由桌面程序创建的内核对象的问题。    内存映射文件与用户权限    他当时是的方法是修改 ASP.NET 配置文件,让 ASP.NET 扮演系统管理员帐号运行来
SQL Server 2012 安装与启动图文教程
09-09
2. **选择登录模式**:在连接服务器时,有两种主要的身份验证模式——Windows Authentication(Windows身份验证)和SQL Server Authentication(SQL Server身份验证)。Windows Authentication使用你的Windows账户...
sqlserver————oracle工具
02-18
在"sqlserver——oracle工具"的标题中,我们关注的是在SQL Server和Oracle之间进行数据迁移的工具。常见的数据迁移工具有: 1. Oracle SQL Developer Data Pump:Oracle官方提供的免费工具,可以方便地导入导出数据...
如何远程连接SQL Server数据库的图文教程
12-15
注意事项: - 如果在尝试连接时遇到超时问题,可以通过企业管理器的“工具”菜单,选择“选项”,然后在“高级”选项卡中调整“登录超时”设置为0,这会设置连接无限制的超时时间,以便解决因网络延迟导致的连接...
sqlserver 触发器实例代码
12-15
6. 注意事项: - 虽然触发器功能强大,但过度使用或不恰当使用可能会导致性能下降,因为它们增加了数据库的处理负担。因此,应在必要时谨慎使用,并确保优化触发器的性能。 总的来说,SQL Server的触发器是数据库...
win7,64位安装SQL SERVER2000
01-07
Win7 64位操作系统安装SQL SERVER2000的详细步骤和注意事项,包括硬件配置、软件简介、安装准备工作、安装步骤、错误提示解决方案等。 硬件配置 * 计算机型号:T420 * CPU:双核 * 内存:4G * 硬盘:320G * 操作...
数据库安装SQL Server2008 R2时出现的错误
17的博客
03-28 3万+
       几经波折,我终于成功安装SQL Server 2008 R2。在安装SQL Server 2008 R2的过程中遇到了一些问题,通过上网查资料,在这里将一些问题的解决方案进行了汇总。1、在安装Sql Server2008 R2时,出现了“重新启动计算机”失败的问题。解决方法:(1)打开“开始”菜单,然后单击“运行”,在弹出的运行输入框中输入“regedit”;(2)在注册表窗口左边...
记录安装sqlserver时提示权限不足的解决办法
weixin_53999382的博客
08-15 2425
记录安装sqlserver时提示权限不足的解决办法==> 以管理员身份运行cmd,输入secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose 确保关闭防火墙后,重新安装即可。
SQL2008错误
生活在继续
07-18 669
1、SQLSERVER2008导出数据错误 无法在只读列中插入数据 原因及解决方法: 因为设置的标识列是自增列,是自动产生的,两个表不,点击后面的“编辑映射”按钮,然后勾选“启用标识列插入”再导入即可。 2、安装Microsoft SQL Server 2008 Management Studio Express 步骤 1:下载并安装 Microsoft .Net Fr
sql server安装-没有权限访问文件
lichunxia516的博客
08-13 5786
安装sql server时,出现没有足够权限访问文件的问题,导致我整整安装了2天,上网找了很多解决方法,并且尝试了20多种方法,发现大部分的解决方法都没用。 最后甚至还想尝试将电脑的win7系统升级到win10(因为要付费升级才作罢),最终我通过修改ProgramData的相关文件属性中的安全设置,成功安装Sql server 2014 express 。 想跟大家分享我的经验,避免像我一样,想学数据库结果在安装数据库软件出问题被劝退。 我的重点是想跟大家分享解决问题的思路,以便下次遇到同样的问题
Visual Studio 2010已安装sql server 2008 management studio安装教程
热门推荐
To be a Tough Man——liushuaikobe
03-13 6万+
(Mac和Linux用户请无视本文,本文是在Windows7旗舰版下测试通过) 最近学校学习.net,要用到sql server。一般来说,管理数据库一种是像mySQL一样,在命令行那个黑乎乎的窗口下敲命令管理(但是我没有找到如何在命令行下管理sql server),那会显的你很牛B;另一种就是安装一个像SQLyog这样的可视化数据库管理软件,sql server 2008 management
CREATE FILE encountered operating system error 5(Access is denied.)
weixin_34407348的博客
04-27 937
这篇博文主要演示”CREATE FILE encountered operating system error 5(Access is denied.)“错误如出现的原因(当然只是导致这个错误出现的一种场景而已)和如何解决这个问题以及一些不解的迷惑。 实验环境: 操作系统版本: Windows Server 2012 SP...
Windows7重装系统后文件夹权限的混乱
ytfy12的专栏
02-18 6987
Windows7重装系统后,文件夹权限混乱了,权限选项卡里面所有者成了S-1-xxxxxx的用户,重新授权很麻烦,经常提示无法继承或者拒绝访问。 管理员权限运行以下命令,重置当前目录文件夹权限: icacls *.* /T /Q /C /RESET 参考:http://www.jb51.net/os/windows/155450.html icacls命令简介 Icacls 是一种命
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值