sqlserver有哪些安全策略
Microsoft建立了一種既靈活又強大的安全管理機制��,它能夠?qū)τ脩粼L問SQL Server服務(wù)器系統(tǒng)和數(shù)據(jù)庫的安全進行全面地管理。按照本文介紹的步驟����,你可以為SQL Server 7.0(或2000)構(gòu)造出一個靈活的、可管理的安全策略��,而且它的安全性經(jīng)得起考驗���。
創(chuàng)新互聯(lián)是一家專注于成都網(wǎng)站設(shè)計�、成都網(wǎng)站制作與策劃設(shè)計,安丘網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)做網(wǎng)站,專注于網(wǎng)站建設(shè)10年,網(wǎng)設(shè)計領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:安丘等地區(qū)����。安丘做網(wǎng)站價格咨詢:18980820575
一、驗證方法選擇
本文對驗證(authentication)和授權(quán)(authorization)這兩個概念作不同的解釋�����。驗證是指檢驗用戶的身份標識;授權(quán)是指 允許用戶做些什么�。在本文的討論中,驗證過程在用戶登錄SQL Server的時候出現(xiàn)��,授權(quán)過程在用戶試圖訪問數(shù)據(jù)或執(zhí)行命令的時候出現(xiàn)�。
構(gòu)造安全策略的第一個步驟是確定SQL Server用哪種方式驗證用戶。SQL Server的驗證是把一組帳戶、密碼與Master數(shù)據(jù)庫Sysxlogins表中的一個清單進行匹配��。Windows NT/2000的驗證是請求域控制器檢查用戶身份的合法性�����。一般地��,如果服務(wù)器可以訪問域控制器�,我們應(yīng)該使用Windows NT/2000驗證。域控制器可以是Win2K服務(wù)器���,也可以是NT服務(wù)器��。無論在哪種情況下����,SQL Server都接收到一個訪問標記(Access Token)���。訪問標記是在驗證過程中構(gòu)造出來的一個特殊列表,其中包含了用戶的SID(安全標識號)以及一系列用戶所在組的SID��。正如本文后面所介紹 的�����,SQL Server以這些SID為基礎(chǔ)授予訪問權(quán)限。注意����,操作系統(tǒng)如何構(gòu)造訪問標記并不重要,SQL Server只使用訪問標記中的SID����。也就是說,不論你使用SQL Server 2000���、SQL Server 7.0��、Win2K還是NT進行驗證都無關(guān)緊要�,結(jié)果都一樣�����。
如果使用SQL Server驗證的登錄����,它最大的好處是很容易通過Enterprise Manager實現(xiàn),最大的缺點在于SQL Server驗證的登錄只對特定的服務(wù)器有效��,也就是說,在一個多服務(wù)器的環(huán)境中管理比較困難�。使用SQL Server進行驗證的第二個重要的缺點是,對于每一個數(shù)據(jù)庫����,我們必須分別地為它管理權(quán)限。如果某個用戶對兩個數(shù)據(jù)庫有相同的權(quán)限要求���,我們必須手工設(shè) 置兩個數(shù)據(jù)庫的權(quán)限��,或者編寫腳本設(shè)置權(quán)限���。如果用戶數(shù)量較少,比如25個以下�����,而且這些用戶的權(quán)限變化不是很頻繁��,SQL Server驗證的登錄或許適用����。但是�����,在幾乎所有的其他情況下(有一些例外情況,例如直接管理安全問題的應(yīng)用)�����,這種登錄方式的管理負擔(dān)將超過它的優(yōu) 點�����。
二�����、Web環(huán)境中的驗證
即使最好的安全策略也常常在一種情形前屈服��,這種情形就是在Web應(yīng)用中使用SQL Server的數(shù)據(jù)��。在這種情形下�,進行驗證的典型方法是把一組SQL Server登錄名稱和密碼嵌入到Web服務(wù)器上運行的程序,比如ASP頁面或者CGI腳本;然后��,由Web服務(wù)器負責(zé)驗證用戶����,應(yīng)用程序則使用它自己的 登錄帳戶(或者是系統(tǒng)管理員sa帳戶����,或者為了方便起見��,使用Sysadmin服務(wù)器角色中的登錄帳戶)為用戶訪問數(shù)據(jù)�����。
這種安排有幾個缺點��,其中最重要的包括:它不具備對用戶在服務(wù)器上的活動進行審核的能力�,完全依賴于Web應(yīng)用程序?qū)崿F(xiàn)用戶驗證,當(dāng)SQL Server需要限定用戶權(quán)限時不同的用戶之間不易區(qū)別����。如果你使用的是IIS 5.0或者IIS 4.0,你可以用四種方法驗證用戶�。第一種方法是為每一個網(wǎng)站和每一個虛擬目錄創(chuàng)建一個匿名用戶的NT帳戶。此后�����,所有應(yīng)用程序登錄SQL Server時都使用該安全環(huán)境�����。我們可以通過授予NT匿名帳戶合適的權(quán)限��,改進審核和驗證功能�。
第二種方法是讓所有網(wǎng)站使用Basic驗證。此時��,只有當(dāng)用戶在對話框中輸入了合法的帳戶和密碼���,IIS才會允許他們訪問頁面��。IIS依靠一個NT 安全數(shù)據(jù)庫實現(xiàn)登錄身份驗證���,NT安全數(shù)據(jù)庫既可以在本地服務(wù)器上,也可以在域控制器上���。當(dāng)用戶運行一個訪問SQL Server數(shù)據(jù)庫的程序或者腳本時�����,IIS把用戶為了瀏覽頁面而提供的身份信息發(fā)送給服務(wù)器��。如果你使用這種方法�����,應(yīng)該記?。涸谕ǔG闆r下,瀏覽器與服 務(wù)器之間的密碼傳送一般是不加密的�,對于那些使用Basic驗證而安全又很重要的網(wǎng)站,你必須實現(xiàn)SSL(Secure Sockets Layer����,安全套接字層)。
在客戶端只使用IE 5.0��、IE 4.0�、IE 3.0瀏覽器的情況下,你可以使用第三種驗證方法��。你可以在Web網(wǎng)站上和虛擬目錄上都啟用NT驗證�����。IE會把用戶登錄計算機的身份信息發(fā)送給IIS��,當(dāng) 該用戶試圖登錄SQL Server時IIS就使用這些登錄信息���。使用這種簡化的方法時����,我們可以在一個遠程網(wǎng)站的域上對用戶身份進行驗證(該遠程網(wǎng)站登錄到一個與運行著Web 服務(wù)器的域有著信任關(guān)系的域)。
最后���,如果用戶都有個人數(shù)字證書,你可以把那些證書映射到本地域的NT帳戶上�。個人數(shù)字證書與服務(wù)器數(shù)字證書以同樣的技術(shù)為基礎(chǔ),它證明用戶身份標 識的合法性�����,所以可以取代NT的Challenge/Response(質(zhì)詢/回應(yīng))驗證算法�����。Netscape和IE都自動在每一個頁面請求中把證書信 息發(fā)送給IIS��。IIS提供了一個讓管理員把證書映射到NT帳戶的工具��。因此����,我們可以用數(shù)字證書取代通常的提供帳戶名字和密碼的登錄過程。
由此可見����,通過NT帳戶驗證用戶時我們可以使用多種實現(xiàn)方法����。即使當(dāng)用戶通過IIS跨越Internet連接SQL Server時��,選擇仍舊存在�����。因此����,你應(yīng)該把NT驗證作為首選的用戶身份驗證辦法。
三��、設(shè)置全局組
構(gòu)造安全策略的下一個步驟是確定用戶應(yīng)該屬于什么組���。通常����,每一個組織或應(yīng)用程序的用戶都可以按照他們對數(shù)據(jù)的特定訪問要求分成許多類別�����。例如,會 計應(yīng)用軟件的用戶一般包括:數(shù)據(jù)輸入操作員��,數(shù)據(jù)輸入管理員�����,報表編寫員�����,會計師����,審計員�,財務(wù)經(jīng)理等。每一組用戶都有不同的數(shù)據(jù)庫訪問要求����。
打開用友軟件提示 SQL Server口令怎么辦
右擊“我的電腦”-“管理”-“服務(wù)和應(yīng)用程序”-“服務(wù)”-查看右邊的服務(wù)列表中是否有 MSSQLSERVER 服務(wù)(注意:如果安裝的是MSSQL2005的情況下服務(wù)名為:SQL?SERVER(MSSQLSERVER))。
查看到對應(yīng)的數(shù)據(jù)庫服務(wù)后��,注意查看一下數(shù)據(jù)庫服務(wù)是否啟動(右擊“MSSQLSERVER”���,選擇“屬性”����,點擊“啟動”,啟動數(shù)據(jù)庫服務(wù))
如果數(shù)據(jù)庫服務(wù)正常啟動����,登錄軟件仍然提示SQL?Server口令?����,那么可能是安裝數(shù)據(jù)庫時未選擇混合模式。(那么將數(shù)據(jù)庫身份驗證模式修改為混合模式)
如果是安裝的MSSQLSERVER2005的數(shù)據(jù)庫����,數(shù)據(jù)庫服務(wù)能夠正常啟用,而且使用的是混合模式����,但登錄軟件仍然提示SQL?Server口令?可能是安裝MSSQLSERVER2005數(shù)據(jù)庫時沒有選擇默認實例�����,需要卸載干凈數(shù)據(jù)庫后重新安裝MSSQLSERVER2005數(shù)據(jù)庫���。
特別注意:如果你的服務(wù)名為:SQL?SERVER(SQLEXPRESS)的話那么你安裝的MSSQL2005安裝方式錯誤��,沒有選擇默認實例和混合模式
SQLServer2000弱口令的利用問題
在WINDOWS上可以建立比administrator高的權(quán)限,SQLServer2000沒聽過哈,不過幫你頂吧,期待高手出現(xiàn)~~.百度或GOOGLE搜搜看吧...碰碰運氣..
如何保證SQLServer數(shù)據(jù)庫安全
目前��,針對SQL Server數(shù)據(jù)庫的應(yīng)用級入侵已經(jīng)變得越來越肆無忌憚�,像SQL注入、跨站點腳本攻擊和未經(jīng)授權(quán)的用戶訪問等�����。所有這些入侵都有可能繞過前臺安全系統(tǒng)并對數(shù)據(jù)庫系統(tǒng)攻擊�����。對于數(shù)據(jù)庫管理來說�,保護數(shù)據(jù)不受內(nèi)部和外部侵害是一項重要的工作���。SQL Server 正日益廣泛的使用于各部門內(nèi)外����,作為數(shù)據(jù)庫系統(tǒng)管理員���,需要深入的理解SQL Server的安全性控制策略�,以實現(xiàn)管理安全性的目標�����。那么,如何確保SQL Server數(shù)據(jù)庫的安全性呢�,我們可以從以下兩方面考慮。it培訓(xùn)機構(gòu)
首先����、采取業(yè)界已存在的且比較成熟的數(shù)據(jù)庫審計解決方案來實現(xiàn)
實時記錄用戶對數(shù)據(jù)庫系統(tǒng)的所有操作(如:插入、刪除��、更新�����、用戶自定義操作等)�����,并還原SQL操作命令包括源IP地址����、目的IP地址、訪問時間����、用戶名�、數(shù)據(jù)庫操作類型���、數(shù)據(jù)庫表名��、字段名等�,如此�,可實現(xiàn)對數(shù)據(jù)庫安全事件準確全程跟蹤定位。
實時檢查數(shù)據(jù)庫不安全配置���、數(shù)據(jù)庫潛在弱點�����、數(shù)據(jù)庫用戶弱口令�、數(shù)據(jù)庫軟件補丁層次��、數(shù)據(jù)庫潛藏木馬等����。
進行全方位的多層(應(yīng)用層���、中間層����、數(shù)據(jù)庫層)的訪問審計,通過多層業(yè)務(wù)審計��,實現(xiàn)數(shù)據(jù)操作原始訪問者的精確定位�。
針對于數(shù)據(jù)庫的操作行為進行實時檢測,并預(yù)設(shè)置風(fēng)險控制策略���,結(jié)合對數(shù)據(jù)庫活動的實時監(jiān)控信息����,進行特征檢測���,任何嘗試性的攻擊操作都將被檢測到并進行阻斷或告警;并支持通過郵件����、短信�����、SYSLOG��、SNMP��、屏幕等方式告警。
其次�、制定相關(guān)的數(shù)據(jù)庫管理流程
不同的人員對數(shù)據(jù)庫的操作職責(zé)不一樣,所有人員對數(shù)據(jù)庫的操作均需要事前審批���,對一些非常重要的操作需要二級以上審批��。申請操作時�,需明確在什么人�����,什么時間��,因為何事��,對哪個數(shù)據(jù)庫(或表)�����,進行什么樣的操作���,可能有什么樣的風(fēng)險及采取的補救措施等。
數(shù)據(jù)庫數(shù)據(jù)的丟失以及數(shù)據(jù)庫被非法用戶的侵入使得數(shù)據(jù)庫管理員身心疲憊不堪�����,數(shù)據(jù)庫安全性問題對于數(shù)據(jù)庫管理員來說簡直就是噩夢。對于數(shù)據(jù)庫數(shù)據(jù)的安全問題��。本文對圍繞數(shù)據(jù)庫的安全性問題提出了一些安全性策略���,希望對數(shù)據(jù)庫管理員有所幫助���。
你好,想問下sql server口令怎么處理不好�?謝謝!
解決SA口令問題各種情況有:
情況1:數(shù)據(jù)庫安裝或由于某些原因SQL的身份驗證模式為windows身份驗證模式����,而用友通系統(tǒng)必須要求是混合模式,若SQLServer用戶解決方法見[安裝數(shù)據(jù)庫]頁�����,但MSDE用戶因沒有企業(yè)管理器等工具�,可通過修改注冊表鍵值方式解決,步驟如下:
1. 先停止 MSSQLSERVER 以及其他相關(guān)服務(wù)(如 SQLSERVERAgent)�����。
2. 打開注冊表編輯器,開始à運行à輸入cmd點確定
3. 找到以下兩個子項之一(取決于 MSDE 是作為默認 MSDE 實例安裝的還是作為命名實例安裝的):
HKEY_LOCAL_MACHINE\Software\Microsoft\MSSqlserver\MSSqlServer
1. 或者 -
HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\MSSQLServer\\
1. 在右窗格中��,雙擊 LoginMode 子項��。
2. 在 DWORD 編輯器對話框中����,將此子項的值設(shè)置為 2,選擇了 十六進制(Hex) 選項(默認情況下����,Windows LoginMode 注冊表子項的值設(shè)置為 1。如果啟用SQL的身份驗證模式���,則此值為 2����。)
3. 一定要重新啟動 MSSQLSERVER 和 SQLSERVERAgent 服務(wù)以使更改生效
情況2:在安裝數(shù)據(jù)庫或配置系統(tǒng)管理時設(shè)置過SA口令���,由于第一次登錄系統(tǒng)管理或重新安裝用友通等原因�,修改或清空SQL Server的SA口令方法
安裝SQLServer用戶
以winodws身份登錄操作系統(tǒng)����,在企業(yè)管理員中修改SA口令
操作步驟:企業(yè)管理器----控制臺根目錄---Microsoft SQL Servers---SQL Server組---服務(wù)器名稱(默認名稱為機器名或local)---安全性---登錄---雙擊SA(右邊界面)---密碼重置
怎樣修改SQL弱口令
在"SQL
SERVER企業(yè)管理器"下的"安全性"中"登陸",
可以添加用戶,刪除用戶���,修改密碼���。
例如把sa的密碼改為123456:
雙擊sa用戶--》輸入123456--》點擊確認--》系統(tǒng)彈出確認密碼--》輸入123456,點擊確認���,新密碼就設(shè)置成功
網(wǎng)頁名稱:sqlserver口令弱,數(shù)據(jù)庫弱口令攻擊怎么避免
網(wǎng)站地址:
http://weahome.cn/article/hdjjds.html
重慶分公司
重慶分公司
