① 怎样在sql server2000中让数据加密
SQL Server 2000的安全配置在进行SQL Server 2000数据库的安全配置之前,首先你必须对操作系统进行安全配置,保证你的操作系统处于安全状态。然后对你要使用的操作数据库软件(程序)进行必要的安全审核,比如对ASP、PHP等脚本,这是很多基于数据库的WEB应用常出现的安全隐患,对于脚本主要是一个过滤问题,需要过滤一些类似 , ‘ ; @ / 等字符,防止破坏者构造恶意的SQL语句。接着,安装SQL Server2000后请打上补丁sp1,sp2以及最新的sp3,sp4。
在做完上面三步基础之后,我们再来讨论SQL Server的安全配置。
1、使用安全的密码策略
我们把密码策略摆在所有安全配置的第一步,请注意,很多数据库帐号的密码过于简单,这跟系统密码过于简单是一个道理。对于sa更应该注意,同时不要让sa帐号的密码写于应用程序或者脚本中。健壮的密码是安全的第一步!SQL Server2000安装的时候,如果是使用混合模式,那么就需要输入sa的密码,除非你确认必须使用空密码。这比以前的版本有所改进。同时养成定期修改密码的好习惯。数据库管理员应该定期查看是否有不符合密码要求的帐号。
比如使用下面的SQL语句:
Use master
Select name,Password from syslogins where password is null
2、使用安全的帐号策略
由于SQL Server不能更改sa用户名称,也不能删除这个超级用户,所以,我们必须对这个帐号进行最强的保护,当然,包括使用一个非常强壮的密码,最好不要在数据库应用中使用sa帐号,只有当没有其它方法登录到 SQL Server 实例(例如,当其它系统管理员不可用或忘记了密码)时才使用 sa。建议数据库管理员新建立个拥有与sa一样权限的超级用户来管理数据库。安全的帐号策略还包括不要让管理员权限的帐号泛滥。
SQL Server的认证模式有Windows身份认证和混合身份认证两种。如果数据库管理员不希望操作系统管理员来通过操作系统登陆来接触数据库的话,可以在帐号管理中把系统帐号“BUILTIN\Administrators”删除。不过这样做的结果是一旦sa帐号忘记密码的话,就没有办法来恢复了。很多主机使用数据库应用只是用来做查询、修改等简单功能的,请根据实际需要分配帐号,并赋予仅仅能够满足应用要求和需要的权限。比如,只要查询功能的,那么就使用一个简单的public帐号能够select就可以了。
3、加强数据库日志的记录
审核数据库登录事件的“失败和成功”,在实例属性中选择“安全性”,将其中的审核级别选定为全部,这样在数据库系统和操作系统日志里面,就详细记录了所有帐号的登录事件。请定期查看SQL Server日志检查是否有可疑的登录事件发生,或者使用DOS命令。findstr /C:"登录" d:\Microsoft SQL Server\MSSQL\LOG\*.*
4、管理扩展存储过程
对存储过程进行大手术,并且对帐号调用扩展存储过程的权限要慎重。其实在多数应用中根本用不到多少系统的存储过程,而SQL Server的这么多系统存储过程只是用来适应广大用户需求的,所以请删除不必要的存储过程,因为有些系统的存储过程能很容易地被人利用起来提升权限或进行破坏。如果你不需要扩展存储过程xp_cmdshell请把它去掉。使用这个SQL语句:
use master
sp_dropextendedproc 'xp_cmdshell'
xp_cmdshell是进入操作系统的最佳捷径,是数据库留给操作系统的一个大后门。如果你需要这个存储过程,请用这个语句也可以恢复过来。
sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
如果你不需要请丢弃OLE自动存储过程(会造成管理器中的某些特征不能使用),
这些过程包括如下:
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注册表访问的存储过程,注册表存储过程甚至能够读出操作系统管理员的密码来,如下:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue
Xp_regenumvalues Xp_regread Xp_regremovemultistring
Xp_regwrite
还有一些其他的扩展存储过程,你也最好检查检查。在处理存储过程的时候,请确认一下,避免造成对数据库或应用程序的伤害。
5、使用协议加密
SQL Server 2000使用的Tabular Data Stream协议来进行网络数据交换,如果不加密的话,所有的网络传输都是明文的,包括密码、数据库内容等等,这是一个很大的安全威胁。能被人在网络中截获到他们需要的东西,包括数据库帐号和密码。所以,在条件容许情况下,最好使用SSL来加密协议,当然,你需要一个证书来支持。
6、不要让人随便探测到你的TCP/IP端口
默认情况下,SQL Server使用1433端口监听,很多人都说SQL Server配置的时候要把这个端口改变,这样别人就不能很容易地知道使用的什么端口了。可惜,通过微软未公开的1434端口的UDP探测可以很容易知道SQL Server使用的什么TCP/IP端口了。不过微软还是考虑到了这个问题,毕竟公开而且开放的端口会引起不必要的麻烦。在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例。如果隐藏了 SQL Server 实例,则将禁止对试图枚举网络上现有的 SQL Server 实例的客户端所发出的广播作出响应。这样,别人就不能用1434来探测你的TCP/IP端口了(除非用Port Scan)。
7、修改TCP/IP使用的端口
请在上一步配置的基础上,更改原默认的1433端口。在实例属性中选择网络配置中的TCP/IP协议的属性,将TCP/IP使用的默认端口变为其他端口.
9、拒绝来自1434端口的探测
由于1434端口探测没有限制,能够被别人探测到一些数据库信息,而且还可能遭到DOS攻击让数据库服务器的CPU负荷增大,所以对Windows 2000操作系统来说,在IPSec过滤拒绝掉1434端口的UDP通讯,可以尽可能地隐藏你的SQL Server。
10、对网络连接进行IP限制
SQL Server 2000数据库系统本身没有提供网络连接的安全解决办法,但是Windows 2000提供了这样的安全机制。使用操作系统自己的IPSec可以实现IP数据包的安全性。请对IP连接进行限制,只保证自己的IP能够访问,也拒绝其他IP进行的端口连接,把来自网络上的安全威胁进行有效的控制。
② 请问SQL怎么对数据进行加密
--以下代码包括创建密钥,加密,解密和删除密钥
/*
1.利用对称密钥
搭配EncryptByKey进行数据加密
使用DecryptByKey函数进行解密
这种方式比较适合大数据量
*/
='XIAOMA'
='ZXCCERTIFICATE',EXPIRY_DATE='2015/01/01'
CREATESYMMETRICKEYSYM_TOMWITHALGORITHM=
OPENSYMMETRICKEYSYM_
SELECTCONVERT(NVARCHAR(10),Decryptbykey((Encryptbykey(Key_guid('SYM_TOM'),N'TOM3'))))
CLOSESYMMETRICKEYSYM_TOM
DROPSYMMETRICKEYSYM_TOM
DROPCERTIFICATETOMCERT;
DROPMASTERKEY;
--或--
=AES_256ENCRYPTIONBYPASSWORD='ZXC123456'
='ZXC123456'
SELECTCONVERT(VARCHAR(10),Decryptbykey(Encryptbykey(Key_guid('ZXC'),'YHDH_C')))
CLOSESYMMETRICKEYZXC;
DROPSYMMETRICKEYZXC;
/*
2.利用非对称密钥
搭配EncryptByAsymKey进行数据加密
使用DecryptByAsymKey函数进行解密
用于更高安全级别的加解密数据
*/
='XIAOMA'
=RSA_2048ENCRYPTIONBYPASSWORD='ZXC123456'
(DECRYPTIONBYPASSWORD='ZXC123456')
SELECTCONVERT(VARCHAR(100),Decryptbyasymkey(Asymkey_id('ABC'),Encryptbyasymkey(Asymkey_id('ABC'),'ZXC123456')))
DROPASYMMETRICKEYABC;
DROPMASTERKEY
/*
3.利用凭证的方式
搭配EncryptByCert进行加密
DecryptByCert函数进行解密
比较类似非对称密钥
*/
='XIAOMA'
='ZXCCERTIFICATE',EXPIRY_DATE='2015/01/01'
SELECTCONVERT(VARCHAR(20),Decryptbycert(Cert_id('ZXC'),Encryptbycert(Cert_id('ZXC'),'123456')))
DROPCERTIFICATEZXC;
DROPMASTERKEY
--或--
='Mary5',
SECRET='123456';
ALTERLOGINUser1
ADDCREDENTIALAlterEgo
DropCREDENTIALAlterEgo
DROPCREDENTIALAlterEgo
/*
4.利用密码短语方式
搭配EncryptBypassPhrase进行加密
使用DecryptByPassPhrase函数来解密
比较适合一般的数据加解密
*/
SELECTCONVERT(VARCHAR(100),Decryptbypassphrase('xiaoma',Encryptbypassphrase('xiaoma','123456')))
③ sql server中怎么给数据库表中的用户密码加密
1、首先我们电脑上要安装有SQL Server,然后要准备一个MDF数据库文件。打开SQL Server。
④ sql数据库怎么加密
SQL Server中的加密简介
在SQL Server2000和以前的版本,是不支持加密的。所有的加密操作都需要在程序中完成。这导致一个问题,数据库中加密的数据仅仅是对某一特定程序有意义,而另外的程序如果没有对应的解密算法,则数据变得毫无意义。
到了SQL Server2005,引入了列级加密。使得加密可以对特定列执行,这个过程涉及4对加密和解密的内置函数
SQL Server 2008时代,则引入的了透明数据加密(TDE),所谓的透明数据加密,就是加密在数据库中进行,但从程序的角度来看就好像没有加密一样,和列级加密不同的是,TDE加密的级别是整个数据库。使用TDE加密的数据库文件或备份在另一个没有证书的实例上是不能附加或恢复的。
⑤ 教你如何在SQL Server数据库中加密数据
为了防止某些别有用心的人从外部访问数据库 盗取数据库中的用户姓名 密码 信用卡号等其他重要信息 在我们创建数据库驱动的解决方案时 我们首先需要考虑的的第一条设计决策就是如何加密存储数据 以此来保证它的安全 免受被他人窥测
SQL Server中有哪一种支持可以用于加密对象和数据?从一开始就讨论一下SQL Server欠缺什么是明智的 或者是对于SQL Server中的加密部分你不应该做什么
首先 SQL Server有两个内置的密码函数——即 pwdencrypt() 和 pwdpare() 同时 还有两个SQL Server用来管理密码哈希的没有正式记录的函数:pwdencrypt() 将密码哈希过后进行存储; pwdpare()将提供的字符串与哈希后的字符串进行比较 不幸的是 这个哈希函数不是非常安全 它可以通过字典攻击算法被破解(类似命令行应用程序!)
这些函数随着SQL Server的版本发展而不断进行修改 这也是另一个没有使用它们的原因 早期版本的SQL Server对密码进行的哈希 在后来的版本中无法解密 所以如果你依赖一个版本中的函数 那么当升级的时候 所有你的加密数据就都没有用了 除非你可以首先对其解密——这也就违背了敏液加密的最初的目的
第二 你可能会尝试去创建一个针对你的数据库的自制的加密解决方案 但是有以下三个理由说明你不要这样做:
除非你是加密专家 否则胡乱编写的加密系统只会提供非常低级的价值不高的保护 新鲜的是 单向密码哈希或者 ROTx 形式的加密几乎不需要费事就可以被轻松打败
如果由于你自己的能力的缺乏而导致加密被破解 那么你的数据就完蛋了 你需要将所有的东西进行没有加密的备份 是吗?(即使你加密了 那里有没有安全漏洞?)
当市面上提供有专业级别的 具有工业强度的加密解决方案的时候 你就不值得花费时间去自己做 把你的时间用于构建一个好的 坚固的数据库 而不是再重新发明一次车轮
那么 什么才是好的加密数据的方式呢?
对于新手 微软提供了一个自己生成的加密解败伏决方案 CryptoAPI 对于轻量级的加密 军用级别的安全就不在考虑范围之内 它具有相对容易实现的优势:管理员可以安装一个名为CAPI 的ActiveX 控制 它可以在T SQL存储过程中提供CryptoAPI 功能 CAPI 支持察拿携各种类型的双向加密和单向哈希算法 所以管理员可以挑选最适合应用程序的问题的部分
如果你对使用微软的解决方案不感兴趣 还有一些很好的第三方的方案可以使用 一家名为ActiveCrypt 的软件有限责任公司制造了XP_CRYPT 它是SQL Server的插件 可以在视图 程序和触发器中通过扩展存储过程和用户自定义函数(在SQL Server 中)来完成加密 你可以下载一个支持无线的MD DES 以及SHA 哈希的免费版本的应用程序; 其他的加密模型就是在比特深度上进行的 (完全版本是无限的 )在你自己的代码中 你可以使用XP_CRYPT 与ActiveX 控制一样(在受限的免费版本中) 对于ASP程序员来说 一个名为AspEncrypt 的组件提供了一种将高级加密整合到你的代码中的简单方式
lishixin/Article/program/SQLServer/201311/22397
⑥ SQL数据文件怎么加密
首先要说明不能限制 “谁”,只能限制部分人
其次是加密数据肯定要降低效率
一般情况你数据表中数据不用全部加密,某些关键字段加密就行了
但是你这个只能用可逆转加密,而且加密后 查询检索会麻烦些
不能直接复制,使用 Blob 字段就类型就行了
要加密简单点用 Base64编码好了,也不能直接复制,肉眼看不出来,拿走也不能直接用
其它的加密方式 效果好些,但效率就低了。
⑦ MsSQLServer是如何加密口令的
SQL SERVER的口令到数据库存储的加密方法,也是让人怪异的。其过程如下:
在获得网络解密密码的口令以后在
005F9D5A处call SQLSORT_14,实现一个转换为大写口令缓冲进行保存。
然后在004def6d处调用一个函数取出数据库中的加密的PASSWORD,其形式如下:
2个字节的头0x0100(固定)
4个字节的HASH加秘KEY
20个字节的HASH1
20个字节的HASH2
如我取出的一个例子:
fx:0x0100 1751857F
固定 补充KEY HASH1 HASH2
口令是:123456
SQL首先用4个字节的HASH加秘KEY补上其两处口令的缓冲,一个为大写,一个为小写。然后其加密过程如下C函数
CryptAcquireContextW(&hProv,NULL,L("Microsoft Base Cryptographic Provider v1.0"),1,0xf0000000);
CryptCreateHash(hProv,0x8004,NULL,NULL,&hhash);
CryptCreateHash(hProv,0x8004,NULL,NULL,&hHash);
005F9DFE:
CryptHashData(hhash,passwdbuf,0x12,NULL);passwdbuf是小写的passwd缓冲区,然后附加一个KEY,如上例子就是对
{'1','2''3''4''5''6',0x17,0x51,0x85,0x7F}这样的一个字串进行HASH加密
CryptHashData(hHash,PASSWDBUF,0x12,NULL);PASSWDBUF是大写的passwd缓冲区,然后附加一个KEY
005F9E3E:
CryptGetHashParam(hhash,2,&passwdout,&outlen,0);取出passwdbuf是小写的passwd的加密值
CryptGetHashParam(hHash,2,&PASSWDOUT,&OUTLEN,0);取出passwdbuf是大写的passwd的加密值
这两个相加就是真正的数据库中的PASSWORD加密字段
为什么说以上方法是脆弱的呢?其实其真正的加密长度生成只有20个字节。
小写口令的HASH1+大写口令的HASH1拼接的40位HASH值的安全度还不如一个直接20位的HASH值来得安全。因为大家都知道这两个值的因果关系,
提供给了解密者更多的信息。
如因为其算法一样,如果HASH1=HASH2,就可以判断口令肯定是未使用字母,只使用了数字和符号的口令,如上取出的123456口令的HASH,两个HASH完全相等。
就是使用了字母,其知道补充的KEY,算法,两个加密字串的关系,其解应该也是大大的简化了。
当然我没研究过加密算法,只是感觉上这种加密方式真是不安全,呵呵,希望解密算法的高手指点。
⑧ 如何在SQL Server数据库中加密数据
热心网友
在SQl2005下自带的函数hashbytes()
,此函数是微软在SQL
SERVER
2005中提供的,可以用来计算一个字符串的
MD5
和
SHA1
值,使用方法如下:
--获取123456的MD5加密串
select
hashbytes('MD5',
'123456')
;
--获取123456的SHA1加密串
select
hashbytes('SHA1',
'123456')
;有了这个函数可以在sqlserver中为字符串进行加密,但是hashbytes()
函数的返回结果是
varbinary类型,(以
0x
开头
16
进制形式的二进制数据)通常情况下,我们需要的都是字符串型的数据,很多人首先想到的可能就是用
CAST
或
Convert
函数将varbinary
转换为
varchar,但这样转换后的结果会是乱码,正确转换
varbinary
可变长度二进制型数据到
16
进制字符串应该使用系统内置函数
sys.fn_varbintohexstr()(只在sqlserver2005下有),如下所示:select
sys.fn_varbintohexstr(hashbytes('MD5',
'123456'))
然后就可以截取需要的部分select
lower(right(sys.fn_varbintohexstr(hashbytes('MD5','123456')),32))为md5加密串。
⑨ sql 数据库与客户端的数据传输怎么加密
1、需要看的那种加密会需要在客户端独立设置解密才行,这样加大了编程工作量,数据在传输过程中。
2、高级版本的sqlserver已经加密,特别是帐号密码不是明文传输。
3、加解密过程首先是CPU高开销操作,过度频繁一定会带来性能问题
4、SQL Server 支持安全套接字层 (SSL),并且与 Internet 协议安全 (IPSec) 兼容。所以,sql server是支持在传输数据时进行加密的。