信息安全加固手册-SQL-Server

合集下载

SQL Server 2008 安全性与合规性指南说明书

Certifications, Compliance, and VulnerabilitiesSQL Server 2008 introduced additional enterprise-class security features and made considerable investments in capabilities that help provide a high level of security and compliance for organizations—built directly into the product. These investments contribute to Microsoft’s Trustworthy Computing initiative that defines the steps necessary to help support secure computing and helps you deploy and maintain a secure environment. Microsoft continuously works to ensure security vulnerabilities are minimal and pursues certifications and tools for SQL Server to help organizations meet security-related policies and regulations.Common Criteria CertifiedCommon Criteria certifications are officially recognized by an international agreement (the CCRA) by 25 countries that signed the agreement, including the United States and Japan. This certification is a third party verification of the extensive security of SQL Serv er 2008 and demonstrates Microsoft’s continued commitment to our customers’ security needs. For more on Common Criteria: /∙SQL Server 2008 Enterprise edition: EAL1+ for 32 and 64bitSQL Server 2008 completed an IT security evaluation at the Basic Assurance Level (EAL1+). This certification isparticularly significant in Japan where it makes SQL Server 2008 eligible for procurement tax discounts as a CCcertified DBMS.∙SQL Server 2008 Enterprise edition: EAL4+ (in progress)SQL Server 2008 is currently in process to complete the EAL4+ security evaluation. The certification officiallystarted in January 2009 and typically takes 18-24 months to complete. The US government requires databasesoftware purchases be CC certified at EAL4+ and recognizes the certification once the process begins.∙Previous certificationsSQL Server 2005 SP1 at EAL1 (32 bit Enterprise Edition)SQL Server 2005 SP2 at EAL4+ and compliant w/NSA DBMS Protection Profile V1.1 (32 bit Enterprise Edition)FIPS 140-2 CompliantFederal Information Processing Standards (FIPS) are recommended or mandated in federal government-operated IT systems in either the United States or Canada. SQL Server 2008 can be configured to run as a FIPS-compliant application when running on an operating system that uses a FIPS-140-2-validated Cryptographic Service Provider or other module that has been validated.Read more on FIPS-140-2: /kb/955720Evaluated for Payment Card Industry (PCI) Data Security Standard (DSS) ComplianceCertified audit firm, Parente Randolph, evaluated SQL Server 2008 for PCI compliance and provides guidance to customers on passing PCI audits. The key to complying with the standards is to ensure that Information Technology professionals maintain a suitable database platform to allow requirements to be met.Read the evaluation: Deploy SQL Server 2008 Based on PCI DSS Standards/lib/pdf/Deploying_SQL_Server_2008_Based_on_PCI_DSS.pdfEvaluated for HIPAA ComplianceHealth Information Portability and Accountability Act (HIPAA) governs health information privacy, security, organizational identifiers, and overall administrative practices. Organizations faced with HIPAA regulations can take advantage of SQL Server 2008 capabilities to help meet database-related compliance requirements.Read the evaluation: Supporting HIPAA Compliance with Microsoft SQL Server 2008/mssql2008hipaaFor more information:SQL Server Compliance Guide: /downloads/details.aspx?FamilyId=6E1021DD-65B9-41C2-8385-438028F5ACC2&displaylang=enSQL Server 2008 Key Security Features1.Transparent Data Encryption (TDE)Implementing encryption in a database traditionally involves complicated applicationchanges such as modifying table schemas, removing functionality, and significant performance degradations. TDE solves these problems by simply encrypting everything without requiring changes to the application.2.All Actions AuditedWith SQL Server 2008 you can create audits that will allow you to analyze the data usage patterns for the data in your database. With SQL Server 2008 you can audit not only changes to data but also which users are reading data. From a security standpoint this will allow you to see when a user who would normally have access to a certain set of data is accessing more than they should and take corrective action if necessary.3.Extensible Key ManagementExtensible key management works with transparent data encryption to separate the encryption key from thedatabase. With the growing demand for regulatory compliance and concern for data privacy, organizations can take advantage of 3rd party Hardware Security Modules (HSM) which store encryption keys on hardware or software modules away from the data for added security.4.Policy-Based ManagementPolicy-Based Management allows DBAs to define a set of policies that can control many different aspects of SQL Server. Policies can be applied to a single server or to groups of servers. Use Policy-Based Management to help manage and detect non-compliance with security polices for data across the enterprise.5.Clustering AuthenticationSQL Server 2008 clustering supports Kerberos authentication on a virtual server. Administrators are able to specify Microsoft Windows–style policies on standard logins so that a consistent policy is applied across all accounts in the domain.6.Surface Area ConfigurationSQL Server 2008 includes the SQL Server Surface Area Configuration Tool, which provides an intuitive graphical user interface (GUI) for configuring the server. Running this tool should be your first task after installing SQL Server. The tool opens with a brief explanation of its purpose, and a link to documentation. It includes a link to configure services and protocols and another to configure other features.7.Off By DefaultTo reduce the SQL Server 2008 surface area to unauthorized access after initial installation, a number of services have been turned off or set for manual start-up so no inadvertent access is granted. Services that are off by default include the Microsoft .NET Framework, Service Broker network connectivity, and HTTP connectivity for Analysis Services.Services that require manual intervention to start include SQL Server Agent, Full Text Search, and IntegrationServices, which can all be reset for automatic start-up.8.Surface Area Reduction and Advanced SecuritySQL Server 2008 provides rich security features to protect data and network resources. It is much easier to achieve a secure installation of the software, because all but the most essential features are either not installed by default or disabled if they are installed. SQL Server provides plenty of tools to configure the server. Its authentication features make it harder to get access to a server running SQL Server by integrating more closely with Windows authentication and protecting against weak or old passwords. Granting and controlling what a user can do when authenticated is far more flexible with granular permissions.SQL Server Vulnerabilities ComparisonMicrosoft, IBM, MySQL, and Oracle regularly report security vulnerabilities (or CVEs) to NIST National Vulnerability Database (/view/vuln/search ). Based on this reported information, the following is a historical representation of database security vulnerabilities reported by Microsoft, IBM, MySQL, and Oracle over the past 8 years.Database features alone should not be assessed to determine “security.” Organizations need to understand howvulnerable their database solution is from attacks —and not just external attacks, according to Forrester (March 2009), 70% of threats come from inside the enterprise. This means it’s no longer safe to assume that a database behind a firewall is protected and vulnerabilities or patching are not of concern.Notes : Update as of 4/20/2010. Vulnerabilities are included for SQL Server 2000 , SQL Server 2005 , SQL Server 2008. Oracle (8i, 9i, 9iR2, 10g,10gR2,11g), IBM DB2 (8.0, 8.1, 8.2, 9.0, 9.5), Query for Oracle was run with vendor name: ‘Oracle’ , and product name: ‘any’ (all database product name variations were queried) . Query for IBM DB2 was run with vendor name: ‘IBM’ , and product name: ‘db2.’ Query for MySQL was run with vendor name: ‘MySQL’, and product name: ‘Any.’ Query for Microsoft was run with vendor name: ‘Microsoft ‘ ; product name: ‘Microsoft SQL Server’; version name: ’Any’This chart counts NIST CVE – Software Flaws (Each CVE might include more than one Oracle vulnerabilities)20406080100120140160200220032004200520062007200820092010SQL Server Oracle DB2MySQL。

MicrosoftSQLServer数据库系统配置安全基线标准与操作指引-网络

Microsoft SQL Server数据库系统配置安全基线标准与操作指南南京农业大学图书与信息中心2018年6月目录第1章概述 (1)1.1 安全基线概念 (1)1.2 文档编制目的 (1)1.3 文档适用范围 (1)1.4 文档修订 (1)第2章帐号与口令 (1)2.1 口令安全 (1)2.1.1 删除不必要的帐号 (1)2.1.2 用户口令安全 (1)2.1.3 帐号分配管理 (2)2.1.4 分配数据库用户所需的最小权限 (2)2.1.5 网络访问限制 (2)第3章日志 (3)3.1 日志审计 (3)3.1.1 登录审计 (3)3.1.2 安全事件审计 (3)第4章其他安全配置 (4)4.1 安全策略 (4)4.1.1 通讯协议安全策略 (4)4.2 更新补丁 (4)4.2.1 补丁要求 (4)4.3 存储保护 (5)4.3.1 停用不必要存储过程 (5)第1章概述1.1 安全基线概念安全基线是指满足最小安全保证的基本要求。

1.2 文档编制目的本文档针对安装运行Microsoft SQL Server数据库系统的服务器主机所应当遵循的基本安全设置要求提供了参考建议，供校园网用户在安装使用Microsoft SQL Server数据库系统提供数据存储服务过程中进行安全合规性自查、检查、加固提供标准依据与操作指导。

1.3 文档适用范围本文档适用于Microsoft SQL Server数据库系统的各类版本。

1.4 文档修订本文档的解释权和修改权属于南京农业大学图书与信息中心，欢迎校园网用户提供意见或建议，请发送至security@。

第2章帐号与口令2.1 口令安全2.1.1 删除不必要的帐号2.1.2 用户口令安全查看password 字段应不为null2.1.3 帐号分配管理2.1.4 分配数据库用户所需的最小权限2.1.5 网络访问限制在防火墙中做限制，只允许与指定的IP 地址建立1433 的通第3章日志3.1 日志审计3.1.1 登录审计3.1.2 安全事件审计打开企业管理器，查看数据库“管理”中的“ SQL Server第4章其他安全配置4.1 安全策略4.1.1 通讯协议安全策略4.2 更新补丁4.2.1 补丁要求级效果，再在实际运行环境更新数据库。

Microsoft SQL Server安全配置基线

Microsoft SQL Server数据库系统安全配置基线中国移动通信公司管理信息系统部2012年 4月版本版本控制信息更新日期更新人审批人V1.0 创建2009年1月V2.0 更新2012年4月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (4)1.1适用范围 (4)1.2适用版本 (4)1.3实施 (4)1.4例外条款 (4)第2章帐号与口令 (5)2.1口令安全 (5)2.1.1删除不必要的帐号* (5)2.1.2SQLServer用户口令安全 (5)2.1.3根据用户分配帐号避免帐号共享* (6)2.1.4分配数据库用户所需的最小权限* (6)2.1.5网络访问限制* (7)第3章日志 (8)3.1日志审计 (8)3.1.1SQLServer登录审计* (8)3.1.2SQLServer安全事件审计* (8)第4章其他 (10)4.1安全策略 (10)4.1.1通讯协议安全策略* (10)4.2更新补丁 (10)4.2.1补丁要求* (10)4.3存储保护 (11)4.3.1停用不必要存储过程* (11)第5章评审与修订 (13)第1章概述本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的SQL Server 数据库应当遵循的数据库安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行SQL Server 数据库的安全合规性检查和配置。

1.1 适用范围本配置标准的使用者包括：数据库管理员、应用管理员、网络安全管理员。

本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的SQL Server数据库系统。

1.2 适用版本SQL Server系列数据库。

1.3 实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.4 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

SQL_Server_2000系统维护手册

SQL Server 2000系统维护手册SQL Server 2000是微软公司的数据库产品，可以运新在Windows系列的操作系统上；是当前应用最广泛的数据库管理系统之一。

我公司开发的C/S结构的软件产品均以SQL Server 2000做数据库后台。

SQL Server 2000安装 (1)1.安装环境 (1)2.个人版安装 (2)二．系统调试 (9)1. "SQL Server 不存在或访问被拒绝" (9)2. 由于登录失败而无法启动服务 (10)3. 由于登录失败而无法启动服务 (10)4. 未与信任SQL Server连接相关联 (10)5. 安装的时候提示挂起 (12)三．常用操作 (13)数据备份 (13)数据还原 (15)数据库分离 (17)数据库附加 (18)收缩数据库 (19)四．数据库的转移、重装 (20)SQL Server 2000安装1.安装环境Sql Server 2000有很多版本，其中个人版本可以安装在主流的Windows操作系统中，包括：Windows 98，Windows Me，Windows 2000，Windows XP，Windows 2003等。

而企业版本只能安装在服务器版本的Windows环境下，比如：Windows NT、Windows 2000 server、Windows 2003等。

因此我们建议一般的应用，采用Sql server 2000个人版本即可。

Sql server 2000安装对硬件没有特别要求，但需要满足：处理器：Pentium 166 MHz 或更高。

内存 (RAM)：至少 64 MB，建议 128 MB 或更多。

硬盘空间：需要约500MB的程序空间，以及预留500M的数据空间。

2.个人版安装（一）运行personal目录下的“安装文件.BAT”文件或其它可执行文件，调出安装程序后，出现图一所示界面。

直接点击“下一步”。

浅谈SQL Server数据库的安全问题.doc

浅谈SQL Server数据库的安全问题作者：王有伟来源：《信息安全与技术》2012年第03期【摘要】目前随着互联网的逐步发展，很多信息都是在互联网上进行交互，包括非常重要的信息。

如何保护互联网中数据库的安全，越来越成为人们关注的话题。

本文对数据库的安全机制进行了研究，重点分析目前流行的SQL Server数据库的安全机制，安全隐患，及其使用其数据库时候如何进行必要的安全保护。

【关键词】 SQL Server；数据库；安全Discussion Security Issues on SQL Server DatabaseWang You-wei(Rural Credit Cooperative of Shandong Jinan ShandongJinan 250001)【 Abstract 】 At present, with the gradual development of the Internet, lots of information is on the Internet interaction, including the very important information. Protecting the Internet database security becomes an important topic. This paper studies the database security mechanism, focus on the analysis of the popular SQL Server database's security mechanism, security, and when using the database how to perform the necessary safety protection.【 Keywords 】 SQL Server; database; security1 引言目前各种数据库的出现可谓层出不穷，而SQL Server数据库由于其优点众多，让其在数据库领域独占鳌头，成为最受用户欢迎的数据库系统。

sqlserver cve-2004-2761

SQL Server是微软公司的一款关系数据库管理系统，广泛用于企业级应用程序和全球信息站开发中。

2004年，SQL Server出现了一个安全漏洞，CVE编号为CVE-2004-2761。

该漏洞允许攻击者通过精心构造的SQL查询来执行未经授权的数据库操作，可能导致数据泄露、数据库瘫痪，甚至服务器被入侵。

以下是对该漏洞的详细解读：一、漏洞描述CVE-2004-2761是SQL Server的一个认证绕过漏洞。

在受影响的SQL Server版本中，当用户尝试使用FTP或HTTP上传文件时，攻击者可以通过夹带特定的SQL查询，绕过认证机制实现未经授权的数据库操作。

这种漏洞的存在可能会严重影响服务器的安全性和稳定性。

二、受影响的版本CVE-2004-2761影响的SQL Server版本包括但不限于：- Microsoft SQL Server 7.0- Microsoft SQL Server 2000- Microsoft SQL Server 2005- Microsoft SQL Server 2008三、攻击方式攻击者可以利用CVE-2004-2761漏洞，构造恶意的SQL查询，并将其夹带在FTP或HTTP上传的文件中。

当服务器接收到这些文件并解析时，恶意的SQL查询将被执行，从而导致数据库操作的未经授权执行。

四、潜在威胁CVE-2004-2761漏洞的潜在威胁包括但不限于：- 数据泄露：攻击者可以利用漏洞来获取数据库中的敏感信息，如用户账户、密码等。

- 数据库瘫痪：攻击者可能执行恶意操作导致数据库瘫痪，影响正常的业务操作。

- 服务器入侵：利用漏洞进行未经授权的数据库操作，最终可能导致服务器被入侵控制。

五、解决方案针对CVE-2004-2761漏洞，建议采取以下解决方案：1. 及时安装补丁：微软公司已发布针对该漏洞的安全补丁，建议及时对受影响的SQL Server版本进行升级和更新补丁。

2. 进行安全配置：对SQL Server进行安全配置，限制用户权限，避免恶意SQL查询的执行。

sql server 数据库的正确加密方法

sql server 数据库的正确加密方法Encrypting data in a SQL Server database is a crucial step to ensure the security and confidentiality of sensitive information. Proper encryption methods can help prevent unauthorized access and protect the data from being compromised. There are various encryption techniques and algorithms that can be utilized to achieve a high level of protection for the data stored in a SQL Server database.在SQL Server数据库中加密数据是确保敏感信息安全和保密的重要步骤。

适当的加密方法可以帮助防止未经授权的访问，并保护数据免受损害。

有各种加密技术和算法可以用来实现对存储在SQL Server数据库中的数据的高级别保护。

One of the commonly used encryption methods in SQL Server is Transparent Data Encryption (TDE). TDE encrypts the data at rest, which means the data files and backups are encrypted, providing an additional layer of security. This method helps to protect the data from unauthorized access, in case the physical storage media (such as hard drives) are stolen or compromised.SQL Server中常用的加密方法之一是透明数据加密（TDE）。

(完整版)SQL-Server-2008的安全设置技巧方法详解(转)

Sqlserver 2008数据库安全设置方法目录一、服务器身份验证 (1)1.验证登录模式 (1)二、SQL Server服务的运行身份 (1)1.用户身份验 (1)三、sa密码的安全性 (1)1.修改sa的用户名 (1)四、端口相关问题 (2)1.修改端口号 (2)2. 卸载SQL的不安全组件 (2)3. 权限设置 (2)五、数据库安全策略 (3)1．使用安全的密码策略 (3)2．使用安全的帐号策略 (3)3．加强数据库日志的记录 (3)4．管理扩展存储过程……………………………………………………5．使用协议加密 (4)6．不要让人随便探测到你的TCP/IP端口 (4)7．修改TCP/IP使用的端口 (5)8．拒绝来自1434端口的探测 (5)9．对网络连接进行IP限制 (5)数据库安全设置方法一、服务器身份验证MSSQL Server 2008的身份验证模式有两种：一种是Windows 身份验证模式, 另一种是SQL Server和Windows身份验证模式(即混合模式)。

对大多数数据库服务器来说，有SQL Server 身份验证就足够了，只可惜目前的服务器身份验证模式里没有这个选项，所以我们只能选择同时带有SQL Server和Windows身份验证的模式(混合模式)。

但这样就带来了两个问题：1、混合模式里包含了Windows身份验证这个我们所不需要的模式，即设置上的冗余性。

程序的安全性是与冗余性成反比的。

2、所谓Windows身份验证，实际上就是通过当前Windows管理员帐户（通常为Administrator）的登录凭据来登录MSSQL Server。

使用Windows身份验证，会增加Administrator密码被盗的风险。

为解决以上两个问题，我们需要限制混合模式里的Windows身份验证。

方法如下：打开Microsoft SQL Server Management Studio，点击安全性->登录名，将Administrator对应的登录名删除即可。

SQL-Server-2008基础教程-

第31页
在sysadmin角色中增加成员
2022/3/23
密码的复杂性是指通过增加更多可能的密码数量来阻止黑客的攻击。
密码过期策略是指如何管理密码的使用期限。在创建SQL Server登录名时，如果使用密码过期策略，那么系统将提醒用户及时更改旧密码和登录名，并且禁止使用过期的密码。
2022/3/23
第18页
关键字
在使用CREATE LOGIN语句创建SQL Server登录名时，为了实施上述的密码策略，可以指定HASHED、 MUST_CHANGE、CHECK_EXPIRATION、 CHECK_PLICY等关键字。
2022/3/23
第22页
维护登录名
登录名创建之后，可以根据需要修改登录名的名称、密码、密码策略、默认的数据库等信息，可以禁用或启用该登录名，甚至可以删除不需要的登录名。
2022/3/23
第23页
使用ALTER LOGIN修改登录名
2022/3/23
第24页
修改Rudolf登录名的密码
SQL Server 级 SQ L Server 登录名固定服务器角色
数据库级数据库用户固定数据库角色应用程序角色
安全对象
服务器安全对象范围端点 SQ L Server 登录名数据库
请求数据库安全对象范围数据库用户 /应用程序角色 /角色 /程序集 /消息类型 /路由 /服务 /远程服务绑定 /全文目录 /证书 /非对称密钥 /对称密钥 /约定 /架构架构安全对象范围类型 /X M L 架构集合 /聚合 /约束 /函数 /过程 /队列 /统计信息 /同义词 /表 /视图

sqlserver数据库备份作业步骤

在SQL Server 中设置数据库备份作业通常使用SQL Server 代理（SQL Server Agent）。

下面是在SQL Server 中创建数据库备份作业的一般步骤：1. 启用SQL Server 代理：-在SQL Server Management Studio (SSMS) 中，连接到SQL Server 数据库引擎。

-在"对象资源管理器" 中，展开"SQL Server 代理" 节点，右键单击"SQL Server 代理"，选择"启动"。

2. 创建备份作业：-在"SQL Server 代理" 下，右键单击"作业"，选择"新建作业"。

3. 配置基本信息：-在"常规" 选项卡上，输入作业的名称和描述。

-选择"启用" 以激活作业。

4. 配置步骤（作业步骤）：-在"步骤" 选项卡上，点击"新建"。

-输入步骤的名称。

-在"类型" 下拉菜单中选择"Transact-SQL 脚本(T-SQL)"。

-在"数据库" 下拉菜单中选择要备份的数据库。

5. 输入备份脚本：-在"命令" 文本框中输入备份数据库的T-SQL 脚本6. 配置调度（可选）：-在"调度" 选项卡上，配置作业的调度计划。

你可以选择一次性运行或按照特定的调度计划定期运行作业。

7. 配置通知（可选）：-在"通知" 选项卡上，可以配置在作业完成时是否发送通知。

8. 保存并运行作业：-点击"确定" 保存作业设置。

-如果需要立即执行作业，可以右键单击作业，选择"运行"。

7SQLServer2022年测评指导书三级S3A3G3

序号类别测评项测评实施1〕开放效劳器组，编辑SQL Server 注册属性，查看身份认证方式；预期结果说明1）选中“使用SQL Server身份认证”，a)应对登录操作系统和数据库系统的用户进展身份标识和鉴别；或者2）直接登录SQL Server 企业治理器，试图连接数据库，查看系统是否消灭用户和密码的输入框。

1〕询问是否在安装时马上修改sa 口令，用该用户和常见密码试图登录数据库系统，查看是否成功。

并且选中“总是提示输入用户名和密应避开操作系统治理员对数码”。

据库系统进展直接治理。

2）提示用户输入密码。

b)操作系统和数据库系统管身理用户身份标识应具有不易1鉴被冒用的特点，口令应有复别杂度要求并定期更换；2）在SQL 查询分析器中执行命令：use masterselect * from syslogins where password isnull查看是否有空口令用户。

3）询问口令的治理要求，如口令的长度、口令简单性和口令更周期等方面的治理要求。

1）sa 用户的口令不是常见口令。

2）无空口令用户。

3）口令治理制度规定口令设置的复杂度要求，至少包括：字符数字混合、长度不低于8 位。

SQL Server2022 未供给技术手段来强制要求口令的简单性，因此，只能通过治理手段来进展强化用户口令的简单性。

c)应启用登录失败处理功能，可实行完毕会话、限制非法1〕访谈系统治理员，了解是否实行第三登录次数和自动退出等措方工具实现该功能。

施；1）〕假设没有承受第三方工具或对SQL Server2022 安全功能进展增加，则该项要求为不符合。

SQL Server2022 默认没有供给登录失败处理功能。

份第页共8 页第页共 8 页问序号类别测评项测评实施预期结果说明d)当对效劳器进展远程治理时，应实行必要措施，防止鉴别信息在网络传输过程中被窃听；1）询问是否能对数据库进展远程治理；假设能够对数据库进展远程治理，则 2）在效劳器网络有用工具中查看是否启应选中“强制协议加密(C)”，并对其用“强制协议加密(C)”。

实验七 SQL Server安全管理

【实验步骤】实验步骤】
1.为登录帐号WinUser创建访问MXM实 1.为登录帐号WinUser创建访问MXM实为登录帐号WinUser创建访问MXM 例中数据库Teach 例中数据库Teach 的用户帐号
创建数据库用户
实验七
2.创建数据库用户 2.创建数据库用户
2．为登录帐号SQLUser创建访问默认实例中所有数据库的用户帐号为登录帐号SQLUser创建访问默认实例中所有数据库的用户帐号 SQLUser
【实验步骤】实验步骤】
1.创建使用SQL Server身份验证的登录帐号WinUser 1.创建使用SQL Server身份验证的登录帐号WinUser 创建使用身份验证的登录帐号
实验七
1.创建登录帐号 1.创建登录帐号
实例MXM当前所有的登录帐号实例MXM当前所有的登录帐号 MXM
实验七
创建SQL Server验证帐号创建验证帐号
访问数据库设置
实验七
1.创建登录帐号 1.创建登录帐号
MXM实例当前已有的登录帐号 MXM实例当前已有的登录帐号
用SQLUser连接查询分析器 SQLUser连接查询分析器
实验七
【实验目的】实验目的】
法。
2.创建数据库用户 2.创建数据库用户
学习和掌握创建数据库用户的方
数据库用户属性窗口
打开数据库用户属性窗口操作
实验七
4.对象级许可权限管理 4.对象级许可权限管理
列属性窗口
授予列权限
实验七
【实验题】实验题】 •实验内容与要求实验内容与要求
习题(上交练习) 习题(上交练习)
1.创建一个认证的登录帐号newuser newuser， 1.创建一个SQL Server认证的登录帐号newuser，只允许该用户对数据库 Teach查询查询。 Teach查询。 2.创建一个认证的登录帐号Student Student， 2.创建一个SQL Server认证的登录帐号Student，并将其设置为系统管理员帐号。帐号。 3.创建一个SQL Server认证的登录帐号SQLTeacher，并将其设置允许使用 3.创建一个SQL Server认证的登录帐号SQLTeacher，创建一个认证的登录帐号SQLTeacher 数据库Teach进行查询，对表SC中的列Score进行插入、修改、删除操作。 Teach进行查询 SC中的列Score进行插入数据库Teach进行查询，对表SC中的列Score进行插入、修改、删除操作。 4.创建一个创建一个SQL Server认证的登录帐号SQLAdmin，认证的登录帐号SQLAdmin 4.创建一个SQL Server认证的登录帐号SQLAdmin，并将其设置允许使用数据库Teach进行查询，对表S Teach进行查询 TC、SC表中的非Score列进行插入表中的非Score列进行插入、据库Teach进行查询，对表S、T、C、TC、SC表中的非Score列进行插入、修改、删除操作。修改、删除操作。 5.创建一个角色Newstudent，使其具有对数据库Teach 创建一个角色Newstudent Teach进行任何操作的权 5.创建一个角色Newstudent，使其具有对数据库Teach进行任何操作的权并将上面创建的用户：newuser、SQLAdmin、SQLTeacher添加到此角限。并将上面创建的用户：newuser、SQLAdmin、SQLTeacher添加到此角色中。色中。

sql server操作手册

SQL Server操作手册一、简介SQL Server是由微软公司开发的关系数据库管理系统，广泛应用于企业级数据管理和处理。

本手册旨在为用户提供SQL Server的操作指南，帮助用户熟练掌握SQL Server的基本操作和高级功能。

二、安装和配置1. 下载SQL Server安装包用户可以从微软冠方全球信息站下载SQL Server的安装程序，选择适用于自己系统的版本进行下载。

2. 安装SQL Server双击安装程序，按照指引进行安装。

在安装过程中，用户需要选择安装的组件、配置数据库实例、设置管理员账号等信息。

3. 配置SQL Server安装完成后，用户需要进行SQL Server的配置工作，包括设置数据库连接、调整性能参数、配置备份策略等。

三、基本操作1. 连接数据库用户可以使用SQL Server Management Studio（SSMS）等工具连接到数据库实例，输入正确的服务器名、用户名和密码进行连接。

2. 创建数据库通过SSMS或者T-SQL语句，用户可以创建新的数据库，指定数据库的名称、文件路径、文件大小等参数。

3. 创建表在数据库中创建表格，定义表格的字段、数据类型、约束等信息，为数据存储做准备。

4. 插入数据使用INSERT语句向数据库表格中插入数据，确保数据的完整性和正确性。

5. 查询数据使用SELECT语句查询数据库表格中的数据，根据条件筛选出符合要求的数据。

6. 更新和删除数据使用UPDATE和DELETE语句更新和删除数据库表格中的数据，确保数据的实时性和准确性。

四、高级功能1. 存储过程用户可以使用T-SQL语句创建存储过程，实现对数据库的一系列操作逻辑的封装和复用。

2. 触发器使用触发器可以在数据库表格发生特定事件时自动执行特定的操作，实现数据的自动化处理和监控。

3. 索引优化通过合理地创建各种类型的数据库索引，可以提高数据库的查询性能和数据检索速度。

4. 备份恢复制定定期备份数据库的策略，并了解如何灵活、高效地进行数据库的恢复操作。

于跃-企业局域网的安全与运维Ⅱ-2-SQL Server 2005数据库介绍

如何选择版本

按需购买；
功能和组件上不一样，支持的CPU和内存大小不同。
SQL Server 2005 的版本和组件

2. SQL Server 2005 的组件 (1) 服务器组件服务器组件如表1所示。 (2) 客户端组件客户端组件如表2所示。 (3) 管理工具管理工具如表3所示。 (4) 开发工具开发工具如表4所示。 (5) 文档和示例文档和示例如表5所示。
常用的数据库

MySQL 开源数据库适合中小型应用、简单、易用支持Windows、Linux等操作系统 Sybase Sybase公司产品适合大中型应用支持Windows、Linux等多个操作系统
SQL Server 2005 的版本和组件

1. SQL Server 2005 的版本 SQL Server 2005 的不同版本能够满足企业和个人独特的性能、运行时以及价格要求。需要安装哪些 SQL Server 2005 组件也要根据企业或个人的需求而定。 (1) SQL Server 2005 Enterprise Edition(32 位和 64 位)-企业版 (2) SQL Server 2005 Standard Edition(32 位和 64 位)-标准版 (3) SQL Server 2005 Workgroup Edition(仅适用于 32 位)工作组版 (4) SQL Server 2005 Developer Edition(32 位和 64 位)-开发版 (5) SQL Server 2005 Express Edition(仅适用于 32 位)-简易版

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

数据库安全加固手册SQL Server目录一、总则 (3)二、适用范围 (3)三、数据库的安装 (3)四、数据库的加固 (4)1. 补丁检查 (4)2. 安装补丁 (5)3. 服务 (5)4. 协议 (5)5. Windows SQL SERVER帐号 (6)6. SQL SERVER登陆组、帐户和角色 (7)7. 文件和目录 (8)8. 共享及端口 (9)9. 加固注册表 (9)10. 存储过程 (10)11. 审计和日志 (11)五、设置应用开发检查及控制措施 (11)六、设置良好的日志管理策略 (11)七、设置良好的数据库备份策略 (11)SQL SERVER安全加固手册一、总则1制定SQL Server数据库安全加固维护手册的目的是建立SQL Server安全配置、安全维护标准，并以此标准为指导，配置和审视SQL Server数据库服务器的安全性；降低系统存在的安全风险，确保系统安全可靠的运行。

2本手册既可以作为SQL Server管理员的安全加固维护手册，也可作为进行SQL Server数据库的定期风险评估的评估内容。

二、适用范围1本手册适用于SQL Server数据库服务器，包括但不限于桌面计算机、笔记本计算机及个人使用的计算机设备等。

2本手册是管理员操作级的手册，SQL Server数据库系统的管理有责任认真遵照手册的规定进行SQL Server数据库系统的加固和日常维护，对于SQL Server数据库系统的个人使用者也有重要的参考作用和意义。

3本手册应当适用于SQL Server数据库系统的管理员。

4本手册忽略大小写，即SELECT与Select以及select相同。

三、数据库的安装1保证SQL SERVER数据库主机物理安全。

2在安装SQL Server数据之前，应将所在的主机操作系统进行必要的安全加固，特别是操作系统的补丁。

参见《主机系统安全加固维护手册》。

3安装SQL Server之前创建一个可以具有运行SQL Server服务权限的操作系统帐号。

而不要用本地系统帐号或者administrator帐号进行数据库的安装。

4不要将SQL Server数据库安装在域控制器服务器上。

5SQL Server数据库系统应当安装在非系统卷的ntfs分区上。

6建议选择定制安装数据库，如非特殊需要，去掉以下不必要的安装选项：upgrade tools、replication support、full text search、books online、development tools、code samples。

7安装时建议选择windows认证模式，除非特殊需要，否则不建议使用SQL Server认证模式。

8如选择混合模式则必须为sa以及所有用户帐号选择强壮的口令。

9删除缺省安装的sample database。

四、数据库的加固1.补丁检查➢用Isql或者SQL查询分析器登录到SQL Server➢在ISQL中输入：Select @@Version；go➢版本补丁情况：i. SQL Server 6.5 Service Pack 5a with the post-5a hotfixii. SQL Server 7.0 Service Pack 4iii. SQL Server 2000 Service Pack 3iv. SQL Server 2000 desktop engine (MSDE 2000) sp3a或使用查看数据库补丁发布情况或从下载Windows补丁检查工具mbsa，查看数据库补丁安装情况SQL Server补丁对应关系参照：SQL Server 2000补丁对应关系如下：8.00.194 －——————SQL Server 2000 RTM8.00.384 －——————(SQL Server 2000 SP1)8.00.534 －——————(SQL Server 2000 SP2)8.00.760 －——————(SQL Server 2000 SP3)8.00.760 －——————(SQL Server 2000 SP3a)8.00.2039 －---------(SQL Server 2000 SP4)2.安装补丁➢在补丁安装之前建议先对数据库进行备份➢停止SQL SERVER服务➢在Microsoft SQL Server Downloads Web site下载补丁进行安装3.服务➢禁用不必要的服务在sql server 缺省安装时，有MSSQLSERVER、QLSERVERAGENT、SSQLServerADHelper、Microsoft Search这四个服务，除了MSSQLSERVER之外，其他的如不需要，建议禁用。

➢禁用微软DTC服务如不需要用到微软的DTC服务提供分布式事务处理，则禁用该服务。

4.协议➢限制sql server 使用的协议在Microsoft SQL Server程序组, 运行服务网络实用工具。

建议只使用tcp/ip协议，禁用其他协议。

➢加固tcp/ip协议栈对于tcp/ip协议栈的加固主要是某些注册表键值的修改。

主要是以下几个：HKLM\System\CurrentControlSet\ Services\Tcpip\ Parameters\DisableIPSourceRouting说明：该键值应设为2，以防御源路由欺骗攻击。

HKLM\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters\EnableICMPRedirect说明：该键值应设为0，以ICMP重定向。

HKLM\System\CurrentControlSet\ Services\ Tcpip\ Parameters\SynAttackProtect说明：该键值应设为2，防御SYN FLOOD攻击。

➢详细的内容可以参见：5.Windows SQL SERVER帐号➢服务帐号对SQL Server服务帐号的授权应当加以限制。

新建sql server服务帐号后，建议将其从User组中删除，且不要把该帐号提升为Administrators组的成员。

授予如以下windows SQLRunAs帐户最少的权限启动SQLServer数据库。

➢删除和禁用无用帐号在SQL Server 2000sp3安装过程中，缺省创建了sql debugger帐号，由于该帐号只用来支持debug，因此可以从production database server中去掉。

6.SQL SERVER登陆组、帐户和角色➢取消windows 不必要的组和用户登陆，如windowsbuiltin\administrators组，数据库的guest用户帐户等。

➢使用“仅windows的身份验证”使sa用户帐户所具功能失效。

➢服务器角色用于对登陆授予服务器范围内的安全特权，建议采用最小权限分配，特别要注意sysadmin,serveradmin,securityadmin和dbcreator这四个角色的权限分配。

（可以通过sp_helpsrvrole查看服务器角色，从sp_srvrolepermission查看服务器角色特定权限）➢数据库角色对于数据库角色的分配同样建议采用最小权限分配。

（可以从sp_helpdbfixedrole 获得固定数据库角色的列表，可以从sp_dbfixedrolepermission 获得每个角色的特定权限）数据库中的每个用户都属于public 数据库角色。

如果想让数据库中的每个用户都能有某个特定的权限，则将该权限指派给public 角色。

如果没有给用户专门授予对某个对象的权限，他们就使用指派给public角色的权限。

建议不要授予权限给public数据库角色。

7.文件和目录➢没有特殊需要建议不要安装SDKs以及调试工具等➢按照下表设置sql server安装目录下文件的属性：8.共享及端口➢限制和减少不必要的共享。

➢Sql server使用到的端口是tcp 1433和upd 1434，在防火墙上或主机上设置对数据库端口的访问限制。

9.加固注册表➢使用regedt32设置sql server以下相关注册表的属性为：Administrators: Full ControlSQL Server service account: Full Controli. HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSSQLSERVERii. HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MICROSOFT SQL SERVER\INSTANCENAMEiii.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSSQL SERVER10.存储过程➢删除测试或不必要的存储过程，一般情况下建议删除的存储过程有：➢除非应用程序需要否则以下存储过程也建议删除：11.审计和日志➢启用sql server登录审计➢注：审计的启用可能会带来性能上的开销五、设置应用开发检查及控制措施➢不要在程序中使用授予sysadmin、db_owner角色的帐号连接数据库➢使用应用角色➢使用应用proxy➢对输入数据进行验证、检查或过滤➢使用SSL对传输数据加密六、设置良好的日志管理策略➢数据库事务日志➢数据库审计日志➢系统日志、应用日志和安全日志七、设置良好的数据库备份策略➢根据业务需求以及重要性进行设置。

第11页共11页。