SQL服务器安全措施

　　修改默认的SQL服务器端口

　　最普遍的SQL的攻击甚至在安全公告也没有包含。这就是使用一个空白的口令企图简单地登录SA账户。微软的SQL服务器安装了默认采用一个口令空白的SA账户，这是你需要修改的第一件事情。

另一个产生空白口令的常见原因是产品。例如，某些版本的Visio安装微软的SQL服务器2000桌面引擎(MSDE)从来不修改SA口令。用户甚至都不知道他们在运行MSDE。你可以从eEye数字安全公司下载一个程序扫描你的网络查找拥有空白SA账户的SQL服务器。

　　SQL服务器安全检查清单

　　1.设置一个SA账户口令，并且限制这个账户的使用。你还要定期修改口令以防止口令扩散，并且被开发人员或者太多的管理员所使用。如果任何知道SA口令的人离开公司，你都需要修改SA口令。使用eEye的工具扫描你的网络查找没有SA口令的SQL服务器。

　　2.将你的SQL服务器设置在防火墙后面，与你的IIS服务器或者网络服务器分开。仅允许这些指定的网络服务器连接SQL服务器。你的SQL服务器永远不要向互联网开放或者允许公开访问。

　　3.从sysadmin角色中删除bUILTIN/Administrators ，然后将SQL管理权限赋予需要SQL管理功能的域账户。

　　4.如果可能的话，使用Windows身份识别或者仅使用Windows模式。采用这种方式，潜在的黑客必须首先向这个域验证身份，而不是仅向SQL服务器验证身份。

　　5.不要在域控制器上运行SQL服务器。

　　6.把SQL服务器启动账户改为非本地帐户。

　　7.启用失败登录选项(服务器属性/安全标签)，这样你就可以查看失败的登录，看看是否有未经过允许的个人设法访问这个服务器。如果可能的话，监视SQL记录并且使用NETSEND或者电子邮件在SQL中设置报警。

　　8.为操作系统和SQL保持最新的补丁更新和服务包。某些选项可以参考确保IIS安全的工具。

　　9.保护任何扩展的存储过程。控制存储过程对数据的访问，批准访问这些数据，而不是对数据本身提供全面的db_datareader和db_datawriter许可。

　　10.使用设置工具修改标准的SQL服务器端口，关闭默认端口1433。让你的网络管理员打开新的端口。

　　11.确保everyone组无SQL服务器注册表键的写权。