Sqlserver2008数据库安全设置方法目录一、服务器身份验证⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯11.验证登录模式⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯1二、SQLServer服务的运行身份⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯11.用户身份验⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯1三、sa密码的安全性⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯11.修改sa的用户名⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯1四、端口相关问题⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯21.修改端口号⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯22.卸载SQL的不安全组件⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯23.权限设置⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯2五、数据库安全策略⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯31.使用安全的密码策略⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯32.使用安全的帐号策略⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯33.加强数据库日志的记录⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯34.管理扩展存储过程⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯5.使用协议加密⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯46.不要让人随便探测到你的TCP/IP端口⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯47.修改TCP/IP使用的端口⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯58.拒绝来自1434端口的探测⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯59.对网络连接进行IP限制⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯5数据库安全设置方法一、服务器身份验证MSSQLServer2008的身份验证模式有两种:一种是Windows身份验证模式,另一种是SQLServer和Windows身份验证模式(即混合模式)。对大多数数据库服务器来说,有SQLServer身份验证就足够了,只可惜目前的服务器身份验证模式里没有这个选项,所以我们只能选择同时带有SQLServer和Windows身份验证的模式(混合模式)。但这样就带来了两个问题:1、混合模式里包含了Windows身份验证这个我们所不需要的模式,即设置上的冗余性。程序的安全性是与冗余性成反比的。2、所谓Windows身份验证,实际上就是通过当前Windows管理员帐户(通常为Administrator)的登录凭据来登录MSSQLServer。使用Windows身份验证,会增加Administrator密码被盗的风险。为解决以上两个问题,我们需要限制混合模式里的Windows身份验证。方法如下:打开MicrosoftSQLServerManagementStudio,点击安全性->登录名,将Administrator对应的登录名删除即可。二、SQLServer服务的运行身份默认情况下,SQLServer服务是以本地系统的身份运行的。也就是说,SQLServer服务进程对系统拥有一切操作的权限,这是很不安全的。因此,我们需要将SQLServer服务的运行身份修改为普通用户:1、新建一个普通用户,如mssqluser,将此用户加入以下两组:SQLServerMSSQLUserSQLServerSQLAgentUser2、授予C盘mssqluser用户的读取权限,D、E等其他分区mssqluser用户的修改权限,mssql安装目录(如D:/ProgramFiles/MicrosoftSQLServer),数据库文件存放目录(如D:/mssqldata)mssqluser用户的完全控制权限。3、将SQLFull-textFilterDaemonLauncher(MSSQLSERVER)SQLServer(MSSQLSERVER)服务的登录修改为mssqluser用户,然后重启这两个服务。三、sa密码的安全性很多数据库服务器管理员都会发现,总有人会乐此不疲地去破解sa密码。因此,将sa密码BT化就变成不可或缺的一步设置。另外,我们可以将sa重命名为sa1,sa2,sa3...之类的用户,这样可以进一步提高sa密码的安全性。修改之后,不要忘了更新有使用sa密码的管理程序sqlserver安装性无疑是最重要的,不仅导致网站上SQL注入很严重,而且还可能危及服务器控制权下面为各位自己安装了sql软件的朋友介绍常见的安全设置修改SA用户名:1:打开查询分析器,登陆进去(呵呵,随便你用什么帐号进去,不过可一定要在master数据库中有db_owner的权限)输入代码如下复制代码sp_configure'allowupdates',1goRECONFIGUREWITHOVERRIDEgo然后再运行以下代码updatesysxloginssetname='你要改成的名字'wheresid=0x01updatesysxloginssetsid=0xE765555BD44F054F89CD0076A06EA823wherename='...
