在數(shù)據(jù)和服務(wù)器都需要保護，而且不想承受如今互聯(lián)網(wǎng)上常見的無情攻擊之際，Microsoft 開發(fā)了 SQL Server 2000?；镜尿炞C問題依然存在：您是誰？您如何證明自己的身份？但是，SQL Server 2008 提供了更健壯的驗證特性，對服務(wù)器的安全便捷有著更好的支持，放行好人并阻止壞人。

SQL Server Authentication 利用包含用戶 id 和口令的簡單連接字符串，為基于非 Windows的客戶端或應(yīng)用程序提供了驗證機制。這種登錄易于使用，很受應(yīng)用程序開發(fā)人員的歡迎，它的安全性不如 Windows 驗證機制，因此在驗證機制中不推薦使用。

SQL Server 2008 改進了 SQL Server Authentication 選項。首先，默認(rèn)情形下它利用 SQL 生成的證書支持通道的加密。管理員不必獲取或安裝有效的 SLL 證書，以確保 SQL 憑證流經(jīng)的通道是安全的。由于 SQL Server 2008 自動生成這些證書，因此在傳送登錄數(shù)據(jù)包時，默認(rèn)情形下它將自動加密通道。如果客戶端使用 SQL Server 2005 或更新版本，即可使用該特性。

注意：SQL Server 生成的本地證書可保護被動的中間人攻擊，其中的攻擊者會嗅探網(wǎng)絡(luò)。要更有效地系統(tǒng)免受被動中間人攻擊，應(yīng)部署并使用客戶端也信任的證書。
SQL Server 2008 進一步增強了 SQL Server Authentication，因為在與 Windows 2003 服務(wù)器或更新版本一起使用時，默認(rèn)情形下數(shù)據(jù)庫引擎將利用Windows Group Policy 檢查 SQL 登錄的口令復(fù)雜度、口令過期日以及帳戶鎖定狀態(tài)。這表示可以對 SQL Server 帳戶強行應(yīng)用 Windows 口令策略。

口令策略強制

有了SQL Server 2008，口令策略強制特性被內(nèi)置到服務(wù)器中。作為 Windows Server 2003 NetAPI32庫的一部分，SQL Server 利用 NetValidatePasswordPolicy() API 根據(jù)Windows 的口令強度、過期日和帳戶鎖定狀態(tài)策略，在驗證以及口令設(shè)置、重置期間驗證口令的有效性。表3列出來構(gòu)成該策略的各種設(shè)置。

表3 Windows Server 2003 口令策略組件

如未運行 Windows Server 2003 或更新版本，SQL Server 仍利用簡單的檢查方法，強行應(yīng)用口令強度，以阻止以下口令：

◆Null 或空口令

◆與計算機或登錄名相同

◆Password、admin、administrator、sa、sysadmin 等口令

相同的復(fù)雜度標(biāo)準(zhǔn)被應(yīng)用給在 SQL Server 中創(chuàng)建及使用的所有口令，包括 sa 登錄的口令、應(yīng)用程序角色、用于加密的數(shù)據(jù)庫主密鑰以及對稱加密密鑰。

SQL Server 默認(rèn)情形下總會檢查口令策略，但利用 CREATE LOGIN 或 ALTER LOGIN 語句，可取消對個別登錄的強行應(yīng)用，代碼如下：

CREATE LOGIN bob WITH PASSWORD = 'S%V7Vlv3c9Es8',

  CHECK_EXPIRATION  = OFF, CHECK_POLICY = OFF

CHECK_EXPIRATION 使用 Windows Server 2003 策略的“口令最大和最小年齡”部分，而CHECK_POLICY 使用其他的策略設(shè)置。

管理設(shè)置還允許啟用或關(guān)閉口令策略檢查、啟用或關(guān)閉口令過期檢查，并在用戶第一次登錄時強行修改口令。CREATE LOGIN 中的 MUST_CHANGE 選項強行讓用戶修改下次登錄時的口令。在客戶端，它允許在登錄時修改口令。所有新型客戶端數(shù)據(jù)訪問技術(shù)都支持該特性，包括 OLE DB 和ADO.NET 以及客戶端工具，如 Management Studio。
如果用戶的不成功登錄次數(shù)過多，超出了口令策略允許的嘗試次數(shù)，SQL Server 將根據(jù) Windows 策略中的設(shè)置鎖定該帳戶。管理員可利用 ALTER LOGIN 語句取消鎖定該帳戶：

ALTER LOGIN alice WITH PASSWORD = '3x1Tq#PO^YIAz'  UNLOCK

#p#

端點驗證

SQL Server 2008 支持傳統(tǒng)的二進制 Tabular Data Stream（表格數(shù)據(jù)流），客戶端利用該數(shù)據(jù)流通過HTTP 訪問數(shù)據(jù)，也可通過 HTTP 訪問本地 XML Web 服務(wù)。允許通過 HTTP 進行訪問的主要好處就是，任何理解 Web 服務(wù)協(xié)議的客戶端軟件和開發(fā)工具都可訪問存儲在 SQL Server 中的數(shù)據(jù)。這表示 SQL Server 2008 可以提供獨立的 Web 服務(wù)方法，它也是Service Oriented Architecture（面向服務(wù)的體系結(jié)構(gòu)，SOA）中的一個完整端點。

將 SQL Server 2008 用作 Web 服務(wù)主機需要兩步通用操作，每一步都有很多變化：定義存儲過程和用戶定義的函數(shù)，以提供 Web 服務(wù)方法；定義 HTTP 端點，以通過 HTTP 接收方法調(diào)用，并將其轉(zhuǎn)給適當(dāng)?shù)倪^程。本文主要介紹其中涉及到安全問題。有關(guān)配置及使用 HTTP 端點的詳情，請參閱 SQL Server Books Online 中的 CREATE ENDPOINT（Transact-SQL）部分。

由于默認(rèn)情形下 SQL Server 中的 XML Web 服務(wù)使用 HTTP 和80端口，因此大多數(shù)防火墻都允許流量通過。但是，不受保護的端點其實是潛在的攻擊載體，必須對其施加保護，因此 SQL Server 提供了強大的驗證和授權(quán)機制。默認(rèn)情形下，SQL Server 沒有任何端點，用戶必須擁有高級權(quán)限，以創(chuàng)建、更改及啟用 HTTP 端點。

SQL Server 2008 提供了五種不同的驗證類型，與 IIS 用于網(wǎng)站驗證的方法類似。

Basic 驗證

基本驗證是 HTTP 1.1 協(xié)議的一部分，它以base-64編碼的明文傳送登錄憑證。憑證必須映射到 Windows 登錄，然后 SQL Server 利用該憑證授權(quán)給對數(shù)據(jù)庫資源的訪問。如果使用 Basic 驗證，就無法將 PORTS 自變量設(shè)為 CLEAR，反之必須將其設(shè)為 SSL，并通過 SSL 利用數(shù)字證書加密與客戶端軟件的通信。

Digest 驗證

Digest 驗證也是 HTTP 1.1 的一部分。在將憑證發(fā)送給服務(wù)器之前，它利用 MD5 對憑證進行雜散化，這樣就無法通過電線發(fā)送它們，即使采用加密形式也是如此。憑證必須映射到有效的 Windows 域帳戶，且不能使用本地的用戶帳戶。

NTLM 驗證

NTLM 使用的是挑戰(zhàn)響應(yīng)協(xié)議，該協(xié)議最初是在Microsoft Windows NT® 中最先得到應(yīng)用的，自此之后得到了 Windows 所有版本客戶端和服務(wù)器的支持。當(dāng)客戶端和服務(wù)器都使用 Windows 系統(tǒng)時，它提供了安全驗證機制，而且需要有效的域帳戶。

Kerberos 驗證

Kerberos 驗證是 Windows 2000 及更新版本才有的特性，它以許多操作系統(tǒng)中都有的行業(yè)標(biāo)準(zhǔn)協(xié)議為基礎(chǔ)。它允許執(zhí)行相互驗證，其中客戶端和服務(wù)器都有理由相信對方的身份，并提供高級別的驗證形式。為利用 Windows Server 2003 中的 Kerberos 特性，必須通過 HTTP.sys 以及作為 Windows Support Toos 一部分的 SetSPN.exe 實用工具，注冊 Kerberos Service Principal Name（Kerberos 服務(wù)主體名，SPN）。

Integrated 驗證

Integrated 驗證提供了最好的 NTLM 和 Kerberos 驗證。服務(wù)器將使用其中的一種驗證類型并輸入客戶端請求，允許執(zhí)行客戶端支持的最安全驗證，同時使舊版 Windows 也能使用該服務(wù)?？稍?Windows 2003 中配置 Http.sys，使之與客戶端協(xié)商要采用的協(xié)議。

用于端點的驗證方法是通過 CREATE 或 ALTER ENDPOINT 語句的 AUTHENTICATION 屬性設(shè)置的。例如，下列代碼將創(chuàng)建利用 Kerberos 執(zhí)行驗證的端點：

CREATE ENDPOINT myEndpoint

  STATE=STARTED

  AS HTTP (PATH = '/MyHttpEndpoint',

  AUTHENTICATION =  (KERBEROS),

  PORTS = (CLEAR),

  SITE = 'MySqlServer')

  FOR SOAP (WSDL = DEFAULT,

  DATABASE = 'myDB',

  NAMESPACE =  'http://example.com/MySqlServer/myDB/WebService')

SQL Server 2008 支持偵聽 HTTP 和用戶定義的 TCP 端口的端點。也可對請求進行各種格式化：SOAP、Transact-SQL、Service Broker 專用格式以及數(shù)據(jù)庫鏡像專用格式。使用 SOA 時，可利用 WS-Security 標(biāo)題驗證 SQL Server 登錄。

Microsoft 已實現(xiàn)了 Web Service 端點驗證，以支持各種協(xié)議和規(guī)范，本文只介紹其中幾種。需要顯式地啟用驗證選項，并確?？蛻舳四軌蛱峁┍匾膽{證類型。

【編輯推薦】

1. SQL Server 2008數(shù)據(jù)集成服務(wù)簡介
2. 在SQL Server 2008中管理報表服務(wù)
3. 利用SQL Server 2008進行自動化管理