❶ 簡述sql Server 2000安全性管理機制
回答過一次類似的問題了,再貼給你吧
SQL Server的安全機制一般主要包括三個方面:
伺服器級別的安全機制:這個級別的安全性主要通過登錄帳戶進行控制,要想訪問一個資料庫伺服器,必須擁有一個登錄帳戶。登錄帳戶可以是Windows賬戶或組,也可以是SQL Server的登錄賬戶。登錄賬戶可以屬於相應的伺服器角色。至於角色,可以理解為許可權的組合。
資料庫級別的安全機制:這個級別的安全性主要通過用戶帳戶進行控制,要想訪問一個資料庫,必須擁有該資料庫的一個用戶賬戶身份。用戶賬戶是通過登錄賬戶進行映射的,可以屬於固定的資料庫角色或自定義資料庫角色。
數據對象級別的安全機制:這個級別的安全性通過設置數據對象的訪問許可權進行控制。如果是使用圖形界面管理工具,可以在表上點右鍵,選擇屬性|許可權,然後在相應的許可權項目上打勾就可以了。
如果是使用sql語句,可以如下:
grant select|insert|update|delete on tablename to username
deny select|insert|update|delete on tablename to username
revoke select|insert|update|delete on tablename from username
grant是賦予許可權,deny是拒絕許可權,revoke是撤消許可權,而select|insert|update|delete是可以設置的各個許可權項目。
其他方面的安全機制還包括應用程序的安全問題和網路傳輸的安全問題。
❷ SQL 2000的操作系統集成的安全性
Microsoft SQL Server 2000 Analysis Services為管理員和最終用戶都提供了強大的安全性。管理員的安全性可以通過使用 「OLAP管理器」的 Microsoft Windows NT4.0和 Windows 2000組來控制。最終用戶安全性指定了哪些最終用戶可以訪問數據,以及最終用戶可以執行的操作類型,其中包括用戶是否有讀取和讀/寫訪問權利。Microsoft SQL Server 2000 Analysis Service提供了豐富的安全性設置選項。管理員可以在不同的級別上定義最終用戶安全屬性,從而對安全管理進行進一步的加強。從高級到低級,這些級別包括:伺服器(Analysis伺服器)、資料庫、多維數據集/挖掘模型、維度成員以及單元。這些豐富的不同粒度級別的安全控制使得管理員能夠根據業務需求的靈活定義系統的安全性。
❸ 如何設置sql server2000帳號安全性
自己新建一個用戶,設置為對應資料庫的dbowner 密碼盡量復雜。
注意:web程序中存儲資料庫帳戶和密碼的那個文件安全性要設置好
❹ sql 2000安全性
公司用SQL 2000,是因為:第一,免費,第二,使用的人廣泛,不需要花費資本去培訓用戶
SQL 2000安全性並不低,假如你密碼設置到18-20位,光軟體本身並沒有什麼漏洞,但是對於操作系統和你的網路環境等其他方面是否安全還值得商榷
❺ sql要如何安全設置
sql的安全設置主要體現在用戶訪問上
首先,為每一個資料庫創建其訪問帳號
然後,為該帳號賦予相應的讀寫許可權
這樣可在一定程度上保證sql資料庫的安全。
其他詳細的方案情閱讀以下兩篇文章,希望對你有所幫助。
http://archerfoot.bokee.com/2971365.html
http://blog.csdn.net/qdzx2008/archive/2006/02/23/606933.aspx
❻ 如何提高SQL Server的安全性控制
SQLServer2000的安全配置在進行SQLServer2000資料庫的安全配置之前,首先你必須對操作系統進行安全配置,保證你的操作系統處於安全狀態。然後對你要使用的操作資料庫軟體(程序)進行必要的安全審核,比如對ASP、PHP等腳本,這是很多基於資料庫的WEB應用常出現的安全隱患,對於腳本主要是一個過濾問題,需要過濾一些類似,『;@/等字元,防止破壞者構造惡意的SQL語句。接著,安裝SQLServer2000後請打上補丁sp1,sp2以及最新的sp3,sp4。在做完上面三步基礎之後,我們再來討論SQLServer的安全配置。1、使用安全的密碼策略我們把密碼策略擺在所有安全配置的第一步,請注意,很多資料庫帳號的密碼過於簡單,這跟系統密碼過於簡單是一個道理。對於sa更應該注意,同時不要讓sa帳號的密碼寫於應用程序或者腳本中。健壯的密碼是安全的第一步!SQLServer2000安裝的時候,如果是使用混合模式,那麼就需要輸入sa的密碼,除非你確認必須使用空密碼。這比以前的版本有所改進。同時養成定期修改密碼的好習慣。資料庫管理員應該定期查看是否有不符合密碼要求的帳號。比如使用下面的SQL語句:UsemasterSelectname,、使用安全的帳號策略由於SQLServer不能更改sa用戶名稱,也不能刪除這個超級用戶,所以,我們必須對這個帳號進行最強的保護,當然,包括使用一個非常強壯的密碼,最好不要在資料庫應用中使用sa帳號,只有當沒有其它方法登錄到SQLServer實例(例如,當其它系統管理員不可用或忘記了密碼)時才使用sa。建議資料庫管理員新建立個擁有與sa一樣許可權的超級用戶來管理資料庫。安全的帳號策略還包括不要讓管理員許可權的帳號泛濫。SQLServer的認證模式有Windows身份認證和混合身份認證兩種。如果資料庫管理員不希望操作系統管理員來通過操作系統登陸來接觸資料庫的話,可以在帳號管理中把系統帳號「BUILTIN\Administrators」刪除。不過這樣做的結果是一旦sa帳號忘記密碼的話,就沒有法來恢復了。很多主機使用資料庫應用只是用來做查詢、修改等簡單功能的,請根據實際需要分配帳號,並賦予僅僅能夠滿足應用要求和需要的許可權。比如,只要查詢功能的,那麼就使用一個簡單的public帳號能夠select就可以了。3、加強資料庫日誌的記錄審核資料庫登錄事件的「失敗和成功」,在實例屬性中選擇「安全性」,將其中的審核級別選定為全部,這樣在資料庫系統和操作系統日誌裡面,就詳細記錄了所有帳號的登錄事件。請定期查看SQLServer日誌檢查是否有可疑的登錄事件發生,或者使用DOS命令。findstr/C:"登錄"d:\MicrosoftSQLServer\MSSQL\LOG\*.*4、管理擴展存儲過程對存儲過程進行大手術,並且對帳號調用擴展存儲過程的許可權要慎重。其實在多數應用中根本用不到多少系統的存儲過程,而SQLServer的這么多系統存儲過程只是用來適應廣大用戶需求的,所以請刪除不必要的存儲過程,因為有些系統的存儲過程能很容易地被人利用起來提升許可權或進行破壞。如果你不需要擴展存儲過程xp_cmdshell請把它去掉。使用這個SQL語句:usemastersp_dropextendedproc'xp_cmdshell'xp_cmdshell是進入操作系統的最佳捷徑,是資料庫留給操作系統的一個大後門。如果你需要這個存儲過程,請用這個語句也可以恢復過來。sp_addextendedproc'xp_cmdshell','xpsql70.dll'如果你不需要請丟棄OLE自動存儲過程(會造成管理器中的某些特徵不能使用),這些過程包括如下:Sp_OACreateSp_OADestroySp_OAGetErrorInfoSp_OAGetPropertySp_OAMethodSp_OASetPropertySp_OAStop去掉不需要的注冊表訪問的存儲過程,注冊表存儲過程甚至能夠讀出操作系統管理員的密碼來,如下:Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvaluesXp_regreadXp_regremovemultistringXp_regwrite還有一些其他的擴展存儲過程,你也最好檢查檢查。在處理存儲過程的時候,請確認一下,避免造成對資料庫或應用程序的傷害。5、使用協議加密SQLServer2000使用的TabularDataStream協議來進行網路數據交換,如果不加密的話,所有的網路傳輸都是明文的,包括密碼、資料庫內容等等,這是一個很大的安全威脅。能被人在網路中截獲到他們需要的東西,包括資料庫帳號和密碼。所以,在條件容許情況下,最好使用SSL來加密協議,當然,你需要一個證書來支持。6、不要讓人隨便探測到你的TCP/IP埠默認情況下,SQLServer使用1433埠監聽,很多人都說SQLServer配置的時候要把這個埠改變,這樣別人就不能很容易地知道使用的什麼埠了。可惜,通過微軟未公開的1434埠的UDP探測可以很容易知道SQLServer使用的什麼TCP/IP埠了。不過微軟還是考慮到了這個問題,畢竟公開而且開放的埠會引起不必要的麻煩。在實例屬性中選擇TCP/IP協議的屬性。選擇隱藏SQLServer實例。如果隱藏了SQLServer實例,則將禁止對試圖枚舉網路上現有的SQLServer實例的客戶端所發出的廣播作出響應。這樣,別人就不能用1434來探測你的TCP/IP埠了(除非用PortScan)。7、修改TCP/IP使用的埠請在上一步配置的基礎上,更改原默認的1433埠。在實例屬性中選擇網路配置中的TCP/IP協議的屬性,將TCP/IP使用的默認埠變為其他埠.9、拒絕來自1434埠的探測由於1434埠探測沒有限制,能夠被別人探測到一些資料庫信息,而且還可能遭到DOS攻擊讓資料庫伺服器的CPU負荷增大,所以對Windows2000操作系統來說,在IPSec過濾拒絕掉1434埠的UDP通訊,可以盡可能地隱藏你的SQLServer。10、對網路連接進行IP限制SQLServer2000資料庫系統本身沒有提供網路連接的安全解決法,但是Windows2000提供了這樣的安全機制。使用操作系統自己的IPSec可以實現IP數據包的安全性。請對IP連接進行限制,只保證自己的IP能夠訪問,也拒絕其他IP進行的埠連接,把來自網路上的安全威脅進行有效的控制。
❼ SQL2000在windows2000系統伺服器中的安全措施
資料庫是電子商務、金融以及ERP系統的基礎,通常都保存著重要的商業夥伴和客戶信息。大多數企業、組織以及政府部門的電子數據都保存在各種資料庫中,他們用這些資料庫保存一些個人資料,比如員工薪水、個人資料等等。資料庫伺服器還掌握著敏感的金融數據。包括交易記錄、商業事務和帳號數據,戰略上的或者專業的信息,比如專利和工程數據,甚至市場計劃等等應該保護起來防止競爭者和其他非法者獲取的資料。數據完整性和合法存取會受到很多方面的安全威脅,包括密碼策略、系統後門、資料庫操作以及本身的安全方案。但是資料庫通常沒有象操作系統和網路這樣在安全性上受到重視。
微軟的SQL Server是一種廣泛使用的資料庫,很多電子商務網站、企業內部信息化平台等都是基於SQL Server上的,但是資料庫的安全性還沒有被人們更系統的安全性等同起來,多數管理員認為只要把網路和操作系統的安全搞好了,那麼所有的應用程序也就安全了。大多數系統管理員對資料庫不熟悉而資料庫管理員有對安全問題關心太少,而且一些安全公司也忽略資料庫安全,這就使資料庫的安全問題更加嚴峻了。資料庫系統中存在的安全漏洞和不當的配置通常會造成嚴重的後果,而且都難以發現。資料庫應用程序通常同操作系統的最高管理員密切相關。廣泛SQL Server資料庫又是屬於「埠」型的資料庫,這就表示任何人都能夠用分析工具試圖連接到資料庫上,從而繞過操作系統的安全機制,進而闖入系統、破壞和竊取數據資料,甚至破壞整個系統。
這里,我們主要談論有關SQL Server2000資料庫的安全配置以及一些相關的安全和使用上的問題。
在進行SQL Server 2000資料庫的安全配置之前,首先你必須對操作系統進行安全配置,保證你的操作系統處於安全狀態。然後對你要使用的操作資料庫軟體(程序)進行必要的安全審核,比如對ASP、PHP等腳本,這是很多基於資料庫的WEB應用常出現的安全隱患,對於腳本主要是一個過濾問題,需要過濾一些類似 , 『 ; @ / 等字元,防止破壞者構造惡意的SQL語句。接著,安裝SQL Server2000後請打上補丁sp3。 下載地址是:http://www.microsoft.com/sql/downloads/2000/sp3.asp
在做完上面三步基礎之後,我們再來討論SQL Server的安全配置。
1、使用安全的密碼策略
我們把密碼策略擺在所有安全配置的第一步,請注意,很多資料庫帳號的密碼過於簡單,這跟系統密碼過於簡單是一個道理。對於sa更應該注意,同時不要讓sa帳號的密碼寫於應用程序或者腳本中。健壯的密碼是安全的第一步!
SQL Server2000安裝的時候,如果是使用混合模式,那麼就需要輸入sa的密碼,除非你確認必須使用空密碼。這比以前的版本有所改進。 同時養成定期修改密碼的好習慣。資料庫管理員應該定期查看是否有不符合密碼要求的帳號。比如使用下面的SQL語句: Use master
Select name,Password from syslogins where password is null
2、使用安全的帳號策略
由於SQL Server不能更改sa用戶名稱,也不能刪除這個超級用戶,所以,我們必須對這個帳號進行最強的保護,當然,包括使用一個非常強壯的密碼,最好不要在資料庫應用中使用sa帳號,只有當沒有其它方法登錄到 SQL Server 實例(例如,當其它系統管理員不可用或忘記了密碼)時才使用 sa。建議資料庫管理員新建立一個擁有與sa一樣許可權的超級用戶來管理資料庫。安全的帳號策略還包括不要讓管理員許可權的帳號泛濫。 SQL Server的認證模式有Windows身份認證和混合身份認證兩種。如果資料庫管理員不希望操作系統管理員來通過操作系統登陸來接觸資料庫的話,可以在帳號管理中把系統帳號「BUILTIN\Administrators」刪除。不過這樣做的結果是一旦sa帳號忘記密碼的話,就沒有辦法來恢復了。 很多主機使用資料庫應用只是用來做查詢、修改等簡單功能的,請根據實際需要分配帳號,並賦予僅僅能夠滿足應用要求和需要的許可權。比如,只要查詢功能的,那麼就使用一個簡單的public帳號能夠select就可以了。
3、加強資料庫日誌的記錄
審核資料庫登錄事件的「失敗和成功」,在實例屬性中選擇「安全性」,將其中的審核級別選定為全部,這樣在資料庫系統和操作系統日誌裡面,就詳細記錄了所有帳號的登錄事件。
請定期查看SQL Server日誌檢查是否有可疑的登錄事件發生,或者使用DOS命令。
findstr /C:"登錄" d:\Microsoft SQL Server\MSSQL\LOG\*.*
4、管理擴展存儲過程
對存儲過程進行大手術,並且對帳號調用擴展存儲過程的許可權要慎重。其實在多數應用中根本用不到多少系統的存儲過程,而SQL Server的這么多系統存儲過程只是用來適應廣大用戶需求的,所以請刪除不必要的存儲過程,因為有些系統的存儲過程能很容易地被人利用起來提升許可權或進行破壞。 如果你不需要擴展存儲過程xp_cmdshell請把它去掉。使用這個SQL語句:
use master
sp_dropextendedproc 'xp_cmdshell'
xp_cmdshell是進入操作系統的最佳捷徑,是資料庫留給操作系統的一個大後門。如果你需要這個存儲過程,請用這個語句也可以恢復過來。
sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
如果你不需要請丟棄OLE自動存儲過程(會造成管理器中的某些特徵不能使用),這些過程包括如下:
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注冊表訪問的存儲過程,注冊表存儲過程甚至能夠讀出操作系統管理員的密碼來,如下:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regremovemultistring Xp_regwrite
還有一些其他的擴展存儲過程,你也最好檢查檢查。 在處理存儲過程的時候,請確認一下,避免造成對資料庫或應用程序的傷害。
5、使用協議加密
SQL Server 2000使用的Tabular Data Stream協議來進行網路數據交換,如果不加密的話,所有的網路傳輸都是明文的,包括密碼、資料庫內容等等,這是一個很大的安全威脅。能被人在網路中截獲到他們需要的東西,包括資料庫帳號和密碼。所以,在條件容許情況下,最好使用SSL來加密協議,當然,你需要一個證書來支持。
6、不要讓人隨便探測到你的TCP/IP埠
默認情況下,SQL Server使用1433埠監聽,很多人都說SQL Server配置的時候要把這個埠改變,這樣別人就不能很容易地知道使用的什麼埠了。可惜,通過微軟未公開的1434埠的UDP探測可以很容易知道SQL Server使用的什麼TCP/IP埠了。
不過微軟還是考慮到了這個問題,畢竟公開而且開放的埠會引起不必要的麻煩。在實例屬性中選擇TCP/IP協議的屬性。選擇隱藏 SQL Server 實例。如果隱藏了 SQL Server 實例,則將禁止對試圖枚舉網路上現有的 SQL Server 實例的客戶端所發出的廣播作出響應。這樣,別人就不能用1434來探測你的TCP/IP埠了(除非用Port Scan)。
7、修改TCP/IP使用的埠
請在上一步配置的基礎上,更改原默認的1433埠。在實例屬性中選擇網路配置中的TCP/IP協議的屬性,將TCP/IP使用的默認埠變為其他埠。
8、拒絕來自1434埠的探測
由於1434埠探測沒有限制,能夠被別人探測到一些資料庫信息,而且還可能遭到DOS攻擊讓資料庫伺服器的CPU負荷增大,所以對Windows 2000操作系統來說,在IPSec過濾拒絕掉1434埠的UDP通訊,可以盡可能地隱藏你的SQL Server。
9、對網路連接進行IP限制
SQL Server 2000資料庫系統本身沒有提供網路連接的安全解決辦法,但是Windows 2000提供了這樣的安全機制。使用操作系統自己的IPSec可以實現IP數據包的安全性。請對IP連接進行限制,只保證自己的IP能夠訪問,也拒絕其他IP進行的埠連接,把來自網路上的安全威脅進行有效的控制。 關於IPSec的使用請參看:http://www.microsoft.com/china/technet/security/ipsecloc.asp
上面主要介紹的一些SQL Server的安全配置,經過以上的配置,可以讓SQL Server本身具備足夠的安全防範能力。當然,更主要的還是要加強內部的安全控制和管理員的安全培訓,而且安全性問題是一個長期的解決過程,還需要以後進行更多的安全維護。
❽ Windows2000+sql2000,如何進行安全設置和用戶帳戶管理
用戶賬戶管理可以通過右擊「我的電腦」,選中管理,點擊「本地用戶和組」,進行統一、便捷的管理。
你說的安全設置是針對電腦本身還是數據的安全?
如果是數據的安全設置,可以通過更改文件格式,將其升級為NTFS,可以對不同用戶設置不同的許可權。
如果是電腦本身的安全可以安裝殺毒軟體。
❾ SQL Server 2000 安全問題
用adminstrators組的用戶或SA進入SQL,在SQL中設置以SQL用戶登錄SQL,這樣windows用戶就不能以windows用戶名和密碼登錄SQL 然後再進入SQL 企業管理器,有個用戶和組,在裡面可以對sql用戶設置密碼。
❿ 如何加強 SQL Server 2000 本地資料庫的網路連接安全性
每一個
SQL
Server
2000
實例或
MSDE
2000
實例都可以配置為偵聽一組特定的網路協議和地址。如果某一實例不需要網路連接,則關閉不用的網路支持可減少該實例的安全依賴性。您可以通過將該實例配置為不偵聽任何網路協議來做到這一點。一般來說,您只應對作為本地數據存儲運行的
SQL
Server
2000
版本進行這樣的配置:
SQL
Server
2000
Personal
Edition
-
或
-
SQL
Server
2000
Desktop
Engine
(MSDE
2000)
將一個
SQL
Server
實例配置為不偵聽網路協議後,同一計算機上的所有應用程序都將使用共享的內存網路庫與之進行通信。
關閉網路協議支持並不意味著網路協議具有固有的不安全性。任何時候某一程序訪問一項外部資源時,該程序都要獲取有關此外部資源安全性的依賴項,即使此外部資源非常安全也是如此。通過關閉不使用的資源,該程序就可以減少其安全依賴項。
注意:對該實例的所有管理都必須在它所運行的計算機上完成。
當
SQL
Server
2000
SP3a
或
MSDE
2000
SP3a
的實例被配置為不偵聽任何網路協議時,它們將停止在
UDP
埠
1434
上的偵聽。SQL
Server
2000
或
MSDE
2000
的早期版本不管配置如何,總是要偵聽
UDP
1434。有關更多信息,請參見
SP3a
的
Readme.htm
文件,在下面的
Microsoft
網站上可看到此文件:
SQL
Server
version
2000
Service
Pack
3a
Readme.htm
如果該實例在「Windows
身份驗證」模式下運行,則此計算機上的
Windows
帳戶之一必須是
SQL
Server
sysadmin
固定伺服器角色的一個成員。如果該實例以混合模式運行,管理員可以使用
sa
帳戶或
SQL
Server
sysadmin
固定伺服器角色中的一個
Windows
帳戶進行登錄。
要使用「SQL
Server
2000
伺服器網路」實用工具將一個現有的
SQL
Server
2000
或
MSDE
2000
實例配置為不偵聽網路連接,請按照下列步驟操作:
如果在計算機上安裝了
SQL
Server
客戶端工具,請打開
Microsoft
SQL
Server
程序組,然後啟動「伺服器網路」實用工具。如果未安裝
SQL
Server
客戶端實用工具,請運行
SQL
Server
Tools\Binn
文件夾中的
Svrnetcn.exe
文件。通常情況下,不在計算機上安裝
SQL
Server
客戶端實用工具的原因是:該計算機只運行
MSDE
2000
實例,而這些實例不向用戶提供使用
SQL
Server
客戶端實用工具的許可。
有關
SQL
Server
2000
文件的文件夾結構方面的更多信息,請訪問下面的
Microsoft
網站:
File
Locations
for
Multiple
Instances
of
SQL
Server
在「常規」選項卡上,選擇「此計算機上的實例」列表框中的
SQL
Server
實例的名稱。單擊默認實例的「伺服器名」以將其選中,或為任何指定的實例選擇「伺服器名/實例名」。
要將
SQL
Server
的實例限制為只允許本地連接,請單擊「禁用」,直到「啟用的協議」列表中不再列出任何協議。如果您需要在以後更改此設置以允許遠程連接,請逆向執行此過程並啟用一個或多個協議。
單擊「確定」。
重新啟動
SQL
Server
實例,以使所做更改生效。
對於一個當前配置為不支持網路連接的
SQL
Server
2000
實例,您可以使用「SQL
Server
2000
伺服器網路」實用工具來啟用到它的網路連接。