在保密你的服務(wù)器和數(shù)據(jù)�,防備當(dāng)前復(fù)雜的攻擊,SQL Server有你需要的一切���。但在你能有效使用這些安全功能前��,你需要理解你面對的威脅和一些基本的安全概念����。這篇文章提供了基礎(chǔ)�����,因此你可以對SQL Server里的安全功能充分利用���,不用在面對特定威脅,不能保護你數(shù)據(jù)的功能上浪費時間�。
身份驗證是驗證主體(需要訪問SQL Server數(shù)據(jù)庫的用戶或進程,是聲稱是的人或物)的過程��。主體需要唯一的身份,這樣的話SQL Server可以決定主體有哪個許可��。在提供安全訪問數(shù)據(jù)庫對象中����,正確的身份驗證是必須的第一步。
SQL Server支持身份驗證的兩個途徑:Windows集成身份驗證和SQL Server身份驗證���。你使用的途徑取決于網(wǎng)絡(luò)環(huán)境���,應(yīng)用程序訪問數(shù)據(jù)庫的類型和這些應(yīng)用程序的用戶類型。
- Windows身份驗證:這個身份驗證方式依賴于Windows來擔(dān)當(dāng)重任——當(dāng)用戶登錄到Windows是驗證身份���。訪問SQL Server對象的許可然后會分配給Windows登錄��。只有當(dāng)SQL Server運行在支持Windows NT或Kerberos身份驗證的Windows版本上才可以使用��,這個自Windows 2000起已經(jīng)幾乎是標(biāo)準(zhǔn)����。
- SQL Server身份驗證:SQL Server可以完全自主完成身份驗證�����。在這個情況下,你可以創(chuàng)建唯一的用戶名——在SQL Server調(diào)用登錄——和密碼�。連接到SQL Server的用戶或應(yīng)用程序提供這些憑證來訪問。許可然后直接分配到那個登錄或通過角色里的資格�。
在SQL Server里在這2個類型之間配置身份驗證不是一個非此即彼的選擇(可以混合使用)。你可以在任何兩個方式里配置身份驗證:
- 混合身份驗證模式:服務(wù)器同時支持SQL Server和Windows身份驗證�����。
- Windows身份驗證模式:服務(wù)器只支持Windows身份驗證���。
只要可能的話���,微軟強烈推薦使用Windows身份驗證。Windows擁有可靠的驗證選項�,包括密碼策略,但正真正的應(yīng)用程序里��,Windows身份驗證并不總是可行的�。SQL Server身份驗證可以嵌入Windows驗證的一些功能,但它不太安全�����。
Windows身份驗證
如果你配置你的SQL Server在Windows身份驗證里操作���,SQL Server認為與Windows服務(wù)器有信任關(guān)系����。當(dāng)它們登錄到Windows里時�����,SQL Server認為Windows已經(jīng)驗證用戶��。然后SQL Server檢查用戶賬號��,任何Windows組和任何SQL Server角色���,看用戶是否是其成員之一來決定用戶是否允許與各個SQL Server對象打交道�。
與SQL Server身份驗證比����,Windows身份驗證有很多優(yōu)勢,包括:
用戶一次登錄即可���,因此她不需要單獨登錄到SQL Server審計功能簡單化登錄管理密碼策略(在Windows Server 2003及后續(xù)版本)
Winows身份驗證的另一個大優(yōu)勢是你對Windows用戶和組的任何修改會自動在SQL Server里生效����,因此你不需要單獨管理它們。然后�����,如果你對Windows用戶做出的修改����,它們此時剛好連接到SQL Server,這些修改不會生效�����,直到下次用戶連接到SQL Server才會生效�。
配置SQL Server安全設(shè)置
當(dāng)你安裝SQL Server時,你可以選擇SQL實例允許的驗證模式�����。安裝完成后你可以在SSMS里的服務(wù)器屬性對話框里修改這個設(shè)置����。這些設(shè)置適用于SQL Server實例里的所有數(shù)據(jù)庫和其它對象。因此如果你需要為任何數(shù)據(jù)庫使用SQL Server身份驗證�,你需要為服務(wù)器設(shè)置為混合模式。
插圖2.1顯示了在SSMS里選擇了【安全性】頁的【服務(wù)器屬性】對話框。為了打開這個對話框�����,在對象瀏覽器里右擊服務(wù)器實例名����,從彈出的菜單里選擇【屬性】���,然后點擊【安全性】頁���。通過點擊對應(yīng)的單選框和點擊【確定】提交修改,就可以修改驗證模式�。
插圖2.1:為SQL Server實例配置驗證模式
添加一個Windows登錄
使用Windows身份驗證,你的用戶在能訪問SQL Server前需要驗證Windows登錄賬號�。然后你可以授予一個Windows組連接到SQL Server,或者你可以授予許可給單獨的Windows用戶�,如果你不想授予集體許可。
使用SSMS管理安全的一個好處是你可以同時配置登錄和數(shù)據(jù)庫訪問���。啟用Windows登錄到訪問SQL Server和AdventureWorks2012數(shù)據(jù)庫����。使用下列步驟,并假定本地機器已經(jīng)定義了woodytu用戶�。
1.打開SSMS,確保對象瀏覽器窗體可見����,并且你已經(jīng)連接到SQL Server實例
2.展開服務(wù)器對象的樹狀視圖,然后展開【安全性】節(jié)點�。你會看到如插圖2.2所示的多個子節(jié)點。
插圖2.2:服務(wù)器對象瀏覽器的安全性部分�����,你定義的登錄的地方
3.右擊【登錄名】節(jié)點���,從彈出的菜單里選擇【新建登錄名】來打開【登錄名】——新的對話框
4.確?����!網(wǎng)indows身份驗證】單選框已經(jīng)選擇
5.你可以用任何2種方式選擇Windows登錄���。第一種方式是直接輸入域名或機器名,然后一個\和所使用的Windows登錄名�����。第二個方式,通常更簡單的方式點擊【搜索】按鈕來打開【選擇用戶或組】對話框�。輸入用戶名,點擊【檢查名稱】來查找具體的名稱�。如果找到用戶,完整的名字在對話框里出現(xiàn)�,如插圖2.3里所示。點擊【確定】選擇那個用戶���。
插圖2.3:找到一個Window登錄來添加到SQL Server
6.回到【登錄名-新建】對話框,設(shè)置AdventureWorks2012數(shù)據(jù)庫作為登錄的默認數(shù)據(jù)庫����。當(dāng)用戶連接到服務(wù)器且不指定數(shù)據(jù)庫時,這是用戶使用的數(shù)據(jù)庫����。這不限制用戶只訪問那個數(shù)據(jù)庫。插圖2.4展示對于在WIN10的機器上Windows的登錄用戶woodytu�����,設(shè)置默認數(shù)據(jù)庫為示例數(shù)據(jù)庫AdventureWorks2012的登錄配置��。
插圖2.4:【登錄名—新建】對話框啟用Windows登錄到訪問SQL Server實例��。
提示:
絕不保持默認數(shù)據(jù)庫為master數(shù)據(jù)庫。這個是慘痛的教訓(xùn):連接到服務(wù)器�����,太容易忘記修改數(shù)據(jù)庫了�。到時候如果你運行腳本在master數(shù)據(jù)庫上創(chuàng)建上百個數(shù)據(jù)庫對象,你會花大量的精力來人為刪除這些對象����,清理master數(shù)據(jù)庫。
7.接下來�,給用戶訪問一個數(shù)據(jù)庫。從對話框的左邊清單里選擇【用戶映射】頁����。通過選擇數(shù)據(jù)庫名旁的選擇框授予用戶訪問AdventureWorks2012數(shù)據(jù)庫。SQL Server自動映射用戶用同樣的用戶名到數(shù)據(jù)庫里的用戶���,如你在表里的第3列所見��,如果你想要的話�,可以修改用戶名�����。分配Sales作為用戶在數(shù)據(jù)庫里默認的架構(gòu),可以在【默認架構(gòu)】列里輸入�����,或者點擊【...】按鈕從列表里選擇����。對話框應(yīng)該如插圖2.5所示。
插圖2.5:授予Windows登錄訪問AdventureWorks2012數(shù)據(jù)庫
提示:
為登錄設(shè)置默認數(shù)據(jù)庫和授予訪問到數(shù)據(jù)庫之間是有區(qū)別的�����。當(dāng)用戶登錄沒有指定數(shù)據(jù)庫時��,默認數(shù)據(jù)庫指的是SQL Server嘗試修改上下文到那個數(shù)據(jù)庫����。但這不授予在數(shù)據(jù)庫里做任何事的任何許可���,或者甚至允許訪問到數(shù)據(jù)庫�。這就是說分配用戶完全不能訪問的數(shù)據(jù)庫是可能的�。一旦數(shù)據(jù)庫被訪問了,為了讓用戶可以進行一些操作���,你需要授權(quán)用戶許可�����。
8.默認情況下�,新的Windows登錄可以訪問到服務(wù)器。但是如果你想禁止登錄訪問服務(wù)器�����,從【登錄名—新建】的左邊列表選擇【狀態(tài)】���,勾選【拒絕】單選框�����。你也可以通過選擇【禁止】按鈕臨時禁用登錄�����。插圖2.6顯示了這些選項�����。
插圖2.6:授予和拒絕連接到數(shù)據(jù)庫和臨時禁用登錄賬號選項點擊【確定】創(chuàng)建用戶�����。
你也可以在同樣的方式里添加Windows組到SQL Server�����,組的任何成員也可以訪問數(shù)據(jù)庫服務(wù)器�,包括你給組的數(shù)據(jù)庫里的任何對象 。
SQL Server身份驗證
當(dāng)你使用SQL Server登錄作為驗證時�����,客戶端應(yīng)用程序需要提供有效的用戶名和密碼來連接到數(shù)據(jù)庫�����。這些SQL Server登錄在SQL Server里保存����,與Windows無關(guān)�����。當(dāng)在登錄時���,如果沒有匹配的用戶名和密碼�,SQL Server拋出錯誤,用戶不能訪問數(shù)據(jù)庫���。
盡管Windows身份驗證更加安全����,在一些情況或許你只能選擇SQL Server登錄來代替����。對于簡單沒有廣泛安全需求的應(yīng)用程序,SQL Server身份驗證更容易管理�,它允許你避免Windows安全的復(fù)雜。而且如果客戶端運行在更老版本的Windows(比Windows 2000還老)或非Windows的操作系統(tǒng)����,你必須使用SQL Server登錄。
創(chuàng)建SQL Server登錄����,使用和Windows登錄同樣的【登錄名-新建】對話框。但不是選擇Windows登錄���,輸入沒有域名或機器名的用戶名���,并提供密碼�����。例如����,插圖2.7顯示了如何創(chuàng)建一個新的SQL Server登錄user����,把AdventureWorks2012作為他的默認數(shù)據(jù)庫。
插圖2.7:創(chuàng)建SQL Server登錄
對于用戶映射和狀態(tài)的所有其它選項的SQL Server登錄和Windows登錄是一樣的�。
通過T-SQL的SQL Server登錄
你也可以用T-SQL代碼來進行同樣的操作。在代碼2.1里的Create Login代碼創(chuàng)建一個有強勁密碼的SQL Server登錄Tudou�����。
CREATE LOGIN Tudou WITH PASSWORD = 'yBqyZIPT8}b]b[{5al0v';
GO
代碼2.1:使用T-SQL創(chuàng)建新的SQL Server登錄的代碼
然后����,授予Tudou訪問AdventureWorks2012數(shù)據(jù)庫��,使用CREATE USER語句并分配默認的架構(gòu)�,如代碼2.2所示���。
USE AdventureWorks2012;
GO
CREATE USER Tudou FOR LOGIN Tudou
WITH DEFAULT_SCHEMA = HumanResources;
GO
代碼2.2:用SQL Server登錄關(guān)聯(lián)創(chuàng)建數(shù)據(jù)庫用戶的代碼
提示:
如第一篇,如果你想在本地SQL Server實例運行它們的話��,很可能你需要對代碼做些改動�����。在代碼2.2里假定你已經(jīng)安裝了AdventureWorks2012數(shù)據(jù)庫��。
像Windows登錄��,你可以映射服務(wù)器登錄Tudou到數(shù)據(jù)庫里其它一些名稱��。代碼2.3里在AdventureWorks2012數(shù)據(jù)庫里映射TudouZ到Tudou用戶��。
DROP USER Tudou;
GO
CREATE USER TudouZ FOR LOGIN Tudou WITH DEFAULT_SCHEMA = HumanResources;
GO
代碼2.3:刪除現(xiàn)存用戶增加用不同登錄名的數(shù)據(jù)庫用戶名的代碼
謹防sa登錄
如果你配置你的SQL Server支持SQL Server登錄���,有一個SQL Server內(nèi)建的SQL Server登錄需要留意——sa登錄——在對象瀏覽器里的【安全性】節(jié)點�����,【登錄名】里可以看到��。sa或系統(tǒng)管理員�����,登錄是為了SQL Server的早期版本的向后兼容性���。sa登錄映射到sysadmin服務(wù)器角色�����,任何以sa登錄到SQL Server的任何人有完全的系統(tǒng)管理員權(quán)限����,在整個SQL Server實例和所有里面的數(shù)據(jù)庫都有不可撤銷的權(quán)利����。這的確是個強大的登錄。
你不能修改或刪除sa登錄����。當(dāng)你安裝SQL Server的時候,如果你選擇了混合驗證模式���,你會提示為sa用戶輸入密碼�。沒有密碼的話�,任何人可以不輸密碼直接以sa登錄,玩弄起“我來管理服務(wù)器”����。不用說,這是你讓你的用戶最后做的事����。如果沒有其他系統(tǒng)管理員或忘記了它們的Windows密碼,使用sa登錄只是個后門����。如果那個發(fā)生的話,你需要新的管理員�����!
絕不要在應(yīng)用程序里使用sa登錄來訪問數(shù)據(jù)庫����。如果黑客拿到應(yīng)用程序的控制權(quán),這樣做的話會給黑客真?zhèn)€數(shù)據(jù)庫服務(wù)器的管理權(quán)限�。在早期,這是黑入服務(wù)器的最簡單方法���,是個可怕的實例�。相反,為應(yīng)用程序設(shè)置一個自定義的Windows或SQL Server登錄來使用����,給這個登錄來運行程序的絕對最小的必須許可(實現(xiàn)最小權(quán)限原則)。
提示:
事實上��,你應(yīng)該考慮使用剛才看到的登錄屬性對話框的【狀態(tài)】頁完全禁用sa登錄����。那樣的話攻擊者不能使用這個全能登錄來控制你的服務(wù)器實例,不管你是否設(shè)置了強悍的sa密碼�����。
密碼策略與執(zhí)行
在SQL Server 2005之前的版本�����,對于可以讓系統(tǒng)更安全���,對系統(tǒng)管理員的強制密碼策略��,沒有一個簡單的方法����。例如,SQL Server米有辦法強制用戶創(chuàng)建最短長度����、數(shù)字和其它字符混合的強壯密碼���。如果有人要用一個字母創(chuàng)建登錄的密碼��,你不能配置SQL Server來阻止它�����。同樣����,密碼也沒方法設(shè)置它定期過期���,例如每三個月���。一些人剛好看到了這個主要原因,不使用SQL Server登錄���。
SQL Server的最近版本可以嵌入Windows Server 2003及后續(xù)版本的密碼策略�����。密碼還是保存在SQL Server里���,但SQL Server調(diào)用了NetValidatePasswordPolicy() Windows API方法���,這個是在Windows Server 2003首次引入的。這個API函數(shù)應(yīng)用Windows密碼策略到Server登錄��,返回一個值表示密碼是否有效�。當(dāng)用戶創(chuàng)建,設(shè)置或重置密碼時�����,SQL Server調(diào)用這個函數(shù)�����。
你可以通過Windows控制面板管理工具里的本地密碼策略來定義Windows密碼策略����。默認密碼策略部分如插圖2.8所示����。這個小程序有獨立的賬號鎖定策略�����,如插圖2.9所示���,當(dāng)用戶嘗試太多的失敗登錄時生效。默認情況下�,新安裝的Windows鎖定策略是禁用的。
插圖2.8:Windows本地安全策略小程序����,顯示默認的密碼策略。
插圖2.9:Windows本地安全策略小程序����,顯示默認的賬號鎖定策略。
下表列出默認值的密碼策略和它們?nèi)绾芜\作的說明�����。
類別 策略名 默認值 說明
密碼策略 強制密碼歷史 0個記住的密碼 阻止用處重用舊密碼�����,例如在2個密碼之間修改
密碼長度最小值 0個字符 使用這個要求密碼長度,讓它們很難破解
密碼必須符合復(fù)雜性要求 已禁用 至少6個字母或數(shù)字和其它字符��,不包含用戶名
密碼過期 密碼最長使用期限 42天 在用戶修改密碼前的天數(shù)
密碼最短使用期限 0天 在允許用戶可以修改密碼前的天數(shù)
賬戶鎖定策略 賬戶鎖定時間 不適用 如果鎖定閾值啟用的話則鎖定
賬戶鎖定閾值 0次無效登錄 賬戶鎖定前失敗登錄次數(shù)
重置賬戶鎖定計數(shù)器 不適用 重置失敗登錄次數(shù)�;
當(dāng)鎖定閾值啟用的時候啟用
表2.1:Windows密碼策略設(shè)置
當(dāng)你創(chuàng)建登錄的時候,你可以啟用或禁用執(zhí)行密碼策略���?����!镜卿浢?新建】對話框在登錄名下����,在你創(chuàng)建SQL Server登錄的時候�,有個啟用部分,如插圖2.10所示�。
插圖2.10:對于新的登錄執(zhí)行密碼策略
當(dāng)你使用T-SQL創(chuàng)建登錄的時候,也可以應(yīng)用密碼策略�����。例如,如果你在Windows 2003 Server后后續(xù)版本上運行SQL Server并啟用了密碼策略�,代碼2.4會運行失敗。
USE master;
GO
CREATE LOGIN SIMPLEPWD WITH PASSWORD = 'SIMPLEPWD';
GO
代碼2.4:嘗試創(chuàng)建違反密碼策略的登錄
這個代碼運行失敗的原因是密碼不能和用戶名一樣�。
當(dāng)你創(chuàng)建或修改登錄時,你可以控制策略�����。代碼2.5關(guān)閉了過期檢查和策略����。
ALTER LOGIN Tudou WITH PASSWORD = 'yBqyZIPT8}b]b[{5al0v',
CHECK_EXPIRATION = OFF, CHECK_POLICY = OFF;
代碼2.5:只對修改登錄來禁止密碼策略的代碼(只對這次登錄)
CHECK_EXPIRATION選項控制SQL Server檢查密碼的策略里年齡,CHECK_POLICY應(yīng)用到其他策略�。MUST_CHANGE選項執(zhí)行用戶下次登錄必須修改密碼��。
如果用戶有太多次數(shù)的失敗登錄����,超過了賬號鎖定策略的設(shè)置數(shù),管理員可以使用UNLOCK來重置��,如代碼2.6所示���。
復(fù)制代碼 代碼如下:
ALTER LOGIN Tudou WITH PASSWORD = 'yBqyZIPT8}b]b[{5al0v' UNLOCK
代碼2.6:由于太多失敗登錄而鎖定登錄�����,解鎖的代碼��。
當(dāng)你在Windows Server 2003之前的版本上運行SQL Server�,你可以啟用強制密碼策略。但SQL Server默認使用至少6個字符的密碼���,密碼里不能包含你的用戶名�,而且是大小寫字母��,數(shù)字和其他字符的混合體���。你不能修改這些默認設(shè)置��。但希望你不要這么老的版本上運行SQL Server����,因為自那以后有了大的安全改進���。
小結(jié)
在這篇SQL Server安全文章里�����,你學(xué)習(xí)了SQL Server里的多個驗證選項����。Windows集成身份驗證是最安全的,但并不是都是可行的���,微軟多年來已經(jīng)讓SQL Server驗證更加安全����。但是如果你使用混合驗證模式����,不要忘記給sa足夠強悍的密碼,甚至停用它�。同樣大多數(shù)對象,你都可以使用SSMS里的圖形界面或T-SQL來創(chuàng)建或修改它們����。如果你在當(dāng)下的Windows版本上運行SQL Server���,你可以將本地安全策略嵌入密碼策略�����。
感謝關(guān)注���!
原文鏈接:
http://www.sqlservercentral.com/articles/Stairway+Series/109975/
您可能感興趣的文章:- sqlserver 無法驗證產(chǎn)品密匙的完美解決方案[測試通過]
- win2003安裝sqlserver 2000提示無法驗證產(chǎn)品密鑰的解決方法
- SQL Server 2012 安裝圖解教程(附sql2012下載地址)
- Microsoft SQL Server 2012 數(shù)據(jù)庫安裝圖解教程
- sqlserver服務(wù)器驗證改為混合驗證模式步驟
- sql server2012附加數(shù)據(jù)庫問題解決方法
- php使用sql server驗證連接數(shù)據(jù)庫的方法
- 圖文詳解Windows Server2012 R2中安裝SQL Server2008
