保护SQL Server 2000的十个步骤

这边引见了为普及 sql server 安置的安定性，您不妨实行的十件工作： 1.安置最新的效劳包 为了普及效劳器安定性，最灵验的一个本领即是晋级到 sql server 2000 service pack 3a (sp3a)。要载入 sp3a，请考察sql server 2000 sp3a 页面。 其余，您还该当安置一切已颁布的安定革新。要订阅新安定革新的报告，请考察产物安定报告页面。 2.运用 microsoft 基线安定性领会器（mbsa）来评价效劳器的安定性 mbsa 是一个扫描多种 microsoft 产物的不安定摆设的东西，囊括 sql server 和 microsoft sql server 2000 desktop engine (msde 2000)。它不妨在当地运转，也不妨经过搜集运转。该东西对准底下题目对 sql server 安置举行检验和测定： 过多的sysadmin恒定效劳器脚色分子。  赋予sysadmin除外的其余脚色创造 cmdexec 功课的权力。  空的或大略的暗号。  薄弱的身份考证形式。  赋予处置员组过多的权力。  sql server数据目次中不精确的考察遏制表(acl)。  安置文献中运用纯文本的sa暗号。  赋予guest帐户过多的权力。  在同声是域遏制器的体例中运转sql server。  一切人（everyone）组的不精确摆设，供给对一定备案表键的考察。  sql server 效劳帐户的不精确摆设。  没有安置需要的效劳包和安定革新。  3.运用 windows 身份考证形式 在任何大概的功夫，您都该当对指向 sql server 的贯穿诉求 windows 身份考证形式。它经过控制对microsoft windows®用户和域用户帐户的贯穿，养护 sql server 免受大局部 internet 的东西的侵吞，。并且，您的效劳器也将从 windows 安定巩固体制中获益，比方更强的身份考证和议以及强迫的暗号搀杂性和过时功夫。其余，凭据萎任（在多台效劳器间桥接凭据的本领）也只能在 windows 身份考证形式中运用。在存户端，windows 身份考证形式不复须要保存暗号。保存暗号是运用规范 sql server 登录的运用步调的重要缺点之一。 要在 sql server 的 enterprise manager 安置 windows 身份考证形式，请按下列办法操纵： 打开效劳器组。  右键点击效劳器，而后点击属性。  在安定性选项卡的身份考证中，点击仅限 windows。  4.分隔您的效劳器，并按期备份 物理和论理上的分隔构成 了sql server 安定性的普通。驻留数据库的呆板该当居于一个从物理情势上遭到养护的场合，最佳是一个上锁的机房，装备有洪流检验和测定以及火警检验和测定/消防体例。数据库该当安置在企业里面网的安定地区中，不要径直贯穿到 internet。按期备份一切数据，并将复本生存在安定的站点边疆点。相关备份进程和其余操纵性最好试验的指南，请参见sql server 2000操纵指南。 5.调配一个健康的sa暗号 sa帐户该当总具有一个健康的暗号，纵然在摆设为诉求 windows 身份考证的效劳器上也该如许。这将保护在此后效劳器被从新摆设为搀和形式身份考证时，不会展示空缺或薄弱的sa。 要调配sa暗号，请按下列办法操纵： 打开效劳器组，而后打开效劳器。  打开安定性，而后点击登录。  在详细窗格中，右键点击sa，而后点击属性。  在暗号方框中，输出新的暗号。 [page_break]6.控制 sql server效劳的权力 sql server 2000 和 sql server agent 是动作 windows 效劳运转的。每个服必须须与一个 windows 帐户关系联，并从这个帐户中派生出安定性左右文。sql server承诺sa 登录的用户（偶尔也囊括其余用户）来考察操纵体例个性。那些操纵体例挪用是由具有效劳器过程的帐户的安定性左右文来创造的。即使效劳器被攻破了，那么那些操纵体例挪用大概被运用来向其余资源举行报复，只有所具有的进程（sql server效劳帐户）不妨对其举行考察。所以，为 sql server 效劳仅赋予需要的权力是格外要害的。 咱们引荐您沿用下列树立： sql server engine/mssqlserver 即使具有指定范例，那么它们该当被定名为mssql$instancename。动作具备普遍用户权力的 windows 域用户帐户运转。不要动作当地体例、当地处置员或域处置员帐户来运转。  sql server agent service/sqlserveragent  即使您的情况中不须要，请禁止使用该效劳；要不请动作具备普遍用户权力的windows域用户帐户运转。不要动作当地体例、当地处置员或域处置员帐户来运转。  中心： 即使下列前提之一创造，那么 sql server agent 将须要当地 windows处置员权力：  sql server agent 运用规范的 sql server 身份考证贯穿到sql server（不引荐）。  sql server agent 运用多效劳器处置主效劳器（msx）帐户，而该帐户运用规范 sql server 身份考证举行贯穿。  sql server agent 运转非sysadmin恒定效劳器脚色分子所具有的 microsoft activex®剧本或 cmdexec 功课。  即使您须要变动与 sql serve r效劳关系联的帐户，请运用 sql server enterprise manager。enterprise manager 将为 sql server 所运用的文献和备案表键树立符合的权力。不要运用 microsoft 处置遏制台的"效劳"（在遏制面板中）来变动那些帐户，由于如许须要手动地调制洪量的备案表键和ntfs文献体例权力以及micorsoft windows用户权力。 帐户消息的变动将鄙人一次效劳启用时奏效。即使您须要变动与 sql server 以及 sql server agent 关系联的帐户，那么您必需运用 enterprise manager 辨别对两个效劳举行变动。 7.在风火墙上禁止使用 sql server 端口 sql server 的默许安置将监督 tcp 端口 1433 以及udp端口 1434。摆设您的风火墙来过滤掉达到那些端口的数据包。并且，还该当在风火墙上遏止与指定范例关系联的其余端口。 8.运用最安定的文献体例 ntfs 是最符合安置 sql server 的文献体例。它比 fat 文献体例更宁静且更简单回复。并且它还囊括少许安定选项，比方文献和目次 acl 以及文献加密（efs）。在安置进程中，即使侦测到 ntfs，sql server 将在备案表键和文献上树立符合的 acl。不该当去变动那些权力。  经过 efs，数据库文献将在运转 sql server 的帐户身份下举行加密。惟有这个帐户本领解密那些文献。即使您须要变动运转 sql server 的帐户，那么您必需开始在旧帐户下解密那些文献，而后在新帐户下从新举行加密。 9.简略或养护旧的安置文献 sql server 安置文献大概包括由纯文本或大略加密的凭据和其余在安置进程中记载的敏锐摆设消息。那些日记文献的生存场所在于于所安置的sql server本子。在 sql server 2000 中，下列文献大概遭到感化：默许安置时:\program files\microsoft sql server\mssql\install文献夹中，以及指定范例的:\program files\microsoft sql server\ mssql$\install文献夹中的sqlstp.log, sqlsp.log和setup.iss 即使暂时的体例是从 sql server 7.0 安置晋级而来的，那么还该当查看下列文献：%windir% 文献夹中的setup.iss以及windows temp文献夹中的sqlsp.log。 microsoft颁布了一个免费的适用东西 killpwd，它将从您的体例中找到并简略那些暗号。 10.考查指向 sql server 的贯穿 sql server 不妨记载事变消息，用来体例处置员的查看。起码您该当记载波折的 sql server 贯穿试验，并按期地察看这个日记。在大概的情景下，不要将那些日记和数据文献生存在同一个硬盘上。 要在 sql server 的 enterprise manager 中考查波折贯穿，请按下列办法操纵： 打开效劳器组。  右键点击效劳器，而后点击属性。  在安定性选项卡的考查等第中，点击波折。 要使这个树立奏效，您必需遏止并从新启用效劳器。