SQL Server對(duì)于組織來說是個(gè)敏感信息庫，管理者需要確保只有授權(quán)用戶才能訪問到這部分敏感信息。然而，要讓SQL Server配置安全同時(shí)還不會(huì)產(chǎn)生錯(cuò)誤，這不是一件容易的事，作為DBA我們不得不執(zhí)行一系列額外步驟來強(qiáng)化我們的SQL Server部署安全配置。本文中列出了一份微軟SQL Server數(shù)據(jù)庫安全最佳實(shí)踐檢查表，能夠幫助DBA更好地保護(hù)數(shù)據(jù)庫，避免來自內(nèi)部和外部的攻擊。

認(rèn)證

SQL Server支持兩種模式的認(rèn)證：Windows認(rèn)證和混合模式認(rèn)證。根據(jù)SQL Server安全性最佳實(shí)踐，我們建議為您的SQL Server部署選擇Windows認(rèn)證，除非遺留應(yīng)用系統(tǒng)需要混合模式認(rèn)證向后兼容訪問。

Windows認(rèn)證比混合認(rèn)證模式更安全，啟用這種模式后，Windows認(rèn)證憑據(jù)(也就是Kerberos或者Windows NT LAN管理器【NTLM】認(rèn)證憑據(jù))是允許登錄到SQL Server的。Windows登錄使用許多加密信息認(rèn)證SQL Server，密碼不會(huì)在認(rèn)證期間跨網(wǎng)絡(luò)傳遞。此外，在Kerberos協(xié)議下活動(dòng)目錄還提供了額外的安全級(jí)別。因此，認(rèn)證就更加可靠，利用基于角色的活動(dòng)目錄組可以減少控制訪問的管理工作。相比于Windows認(rèn)證模式，混合模式認(rèn)證支持Windows賬號(hào)和SQL Server專用賬號(hào)登陸SQL Server。SQL登陸密碼通過網(wǎng)絡(luò)傳遞用于認(rèn)證，相比起來不如Windows登陸安全。

確保sySAdmin賬號(hào)安全

如果不修改就退出，“sySAdmin”(SA)賬號(hào)是很脆弱的。潛在的SQL Server攻擊者們都意識(shí)到了這一點(diǎn)，如果他們控制了這個(gè)強(qiáng)大的用戶，數(shù)據(jù)庫攻擊就更容易。為了防止使用“SA”賬號(hào)進(jìn)行攻擊，可以把“SA”賬號(hào)重命名為別的賬號(hào)名稱。我們可以按照以下操作實(shí)現(xiàn)這一點(diǎn)：在“對(duì)象資源管理器”中展開“登錄”，右鍵點(diǎn)擊“SA”賬號(hào)并在菜單中選擇“重命名”。或者我們也可以執(zhí)行以下T-SQL腳本重命名“SA”賬號(hào)：

USE [master] 
GO 
ALTER LOGIN SA WITH NAME = [] 
GO

此外，也可以禁用SQL Server實(shí)例的“SA”賬號(hào)。

為SA和SQL Server專用登錄賬號(hào)設(shè)置復(fù)雜密碼

在使用混合認(rèn)證模式時(shí)，要確保為“SA”賬號(hào)和其它SQL Server上使用的SQL Server專用登錄賬號(hào)設(shè)置復(fù)雜密碼。首先，為“SA”賬號(hào)和所有其它SQL登錄賬號(hào)選中“強(qiáng)制密碼過期”和“加強(qiáng)密碼策略”選項(xiàng)。這兩項(xiàng)可以保證所有其它SQL Server專用登錄賬號(hào)遵循底層操作系統(tǒng)的登錄策略。除此之外，對(duì)所有新設(shè)置的SQL登錄賬號(hào)啟用“MUST_CHANGE”選項(xiàng)。該選項(xiàng)確保登陸者必須在第一次登錄后修改密碼。

“sySAdmin”固定服務(wù)器角色和“CONTROL SERVER”權(quán)限資格

要謹(jǐn)慎選擇sySAdmin固定服務(wù)器角色的資格，因?yàn)樵摻巧梢栽赟QL Server上為所欲為。此外，不要明確授予“CONTROL SERVER”權(quán)限給Windows登錄、Windows組登錄和SQL Server登錄，因?yàn)檫@種權(quán)限的登錄獲得了對(duì)整個(gè)SQL Server部署的完全管理員權(quán)限。默認(rèn)情況下，sySAdmin固定服務(wù)器角色明確擁有這項(xiàng)權(quán)限。

SQL Server管理

要避免使用“SA”，或者任何其它已授予“CONTROL SERVER”權(quán)限的SQL登錄賬號(hào)，或者sySAdmin固定服務(wù)器角色下轄成員管理SQL Server實(shí)例。相反，要為DBA們設(shè)置專門的Windows登錄賬號(hào)，給這些賬號(hào)分配“sySAdmin”權(quán)限作為管理用途。要給用戶分配權(quán)限，可以使用內(nèi)建的固定服務(wù)器角色或者數(shù)據(jù)庫角色，也可以創(chuàng)建你自己定制的服務(wù)器角色和數(shù)據(jù)庫角色滿足你更精細(xì)化的權(quán)限控制。

禁用guest用戶訪問

默認(rèn)情況下，guest用戶存在于每個(gè)用戶和系統(tǒng)數(shù)據(jù)庫下，它是安全封閉環(huán)境下的潛在安全風(fēng)險(xiǎn)，因?yàn)樗试S與數(shù)據(jù)庫無關(guān)的用戶登錄訪問數(shù)據(jù)庫。由于這一潛在風(fēng)險(xiǎn)，我們需要在所有用戶和系統(tǒng)數(shù)據(jù)庫(除了msdb)中禁用guest用戶。這樣才能保證公共服務(wù)器角色成員不能訪問SQL Server實(shí)例上的用戶數(shù)據(jù)庫，除非用戶被明確授權(quán)訪問這些數(shù)據(jù)庫。

限制對(duì)公共角色授權(quán)

由于潛在的安全風(fēng)險(xiǎn)， 我們可以使用下面的擴(kuò)展存儲(chǔ)過程取消公共角色的訪問權(quán)限。

此外，不要明確分配權(quán)限給用戶公共角色和對(duì)系統(tǒng)存儲(chǔ)過程的訪問。要列出公共角色可用的存儲(chǔ)過程，可以執(zhí)行如下查詢：

SELECT o.[name] AS [SPName] 
,u.[name] AS [Role] 
FROM [master]..[sysobjects] o 
INNER JOIN [master]..[sysprotects] p 
ON o.[id] = p.[id] 
INNER JOIN [master]..[sysusers] u 
ON P.Uid = U.UID 
AND p.[uid] = 0 
AND o.[xtype] IN ('X','P')

減少SQL Server Surface Area

配置SQL Server時(shí)應(yīng)該僅安裝必要的功能特性，安裝后使用SQL Server系統(tǒng)的外圍界面禁用不需要的功能。你還可以使用基于策略的管理功能創(chuàng)建系統(tǒng)策略為一個(gè)或多個(gè)SQL Server系統(tǒng)實(shí)施精細(xì)配置設(shè)置。

強(qiáng)化SQL Server端口

另一項(xiàng)SQL Server安全性最佳實(shí)踐是使用SQL Server配置管理器修改SQL Server安裝時(shí)的默認(rèn)端口。而且，要使用專門TCP端口替代動(dòng)態(tài)端口。此外，要確保避開常見的TCP端口(比如1433和1434)，不要用這些端口做客戶端請求和交互，因?yàn)檫@些端口過于為人熟知，容易成為攻擊目標(biāo)。

禁用SQL Server瀏覽器服務(wù)

要確保SQL Server瀏覽器服務(wù)只運(yùn)行在多個(gè)SQL Server實(shí)例運(yùn)行其上的單個(gè)SQL Server上。SQL Server瀏覽器服務(wù)顯示了網(wǎng)絡(luò)環(huán)境中的SQL Server信息，這在安全封閉的環(huán)境中可能成為潛在安全威脅。

SQL Server服務(wù)賬號(hào)

我們應(yīng)該創(chuàng)建專用低權(quán)限域賬戶來運(yùn)行SQL Server服務(wù)。此外，要定期檢查SQL Server服務(wù)賬號(hào)成員，確保它們不是任何域用戶組或本地用戶組的成員，因?yàn)槟菢訒?huì)使這些用戶具備不必要的權(quán)限。

確保SQL Server錯(cuò)誤日志和注冊鍵的安全

使用NTFS權(quán)限確保SQL Server錯(cuò)誤日志和注冊鍵安全，因?yàn)樗鼈兛梢哉宫F(xiàn)關(guān)于SQL Server實(shí)例和安裝的大量信息。