在保密你的服務器和數(shù)據(jù)，防備當前復雜的攻擊，SQL Server有你需要的一切。但在你能有效使用這些安全功能前，你需要理解你面對的威脅和一些基本的安全概念。這篇文章提供了基礎(chǔ)，因此你可以對SQL Server里的安全功能充分利用，不用在面對特定威脅，不能保護你數(shù)據(jù)的功能上浪費時間。

身份驗證是驗證主體（需要訪問SQL Server數(shù)據(jù)庫的用戶或進程，是聲稱是的人或物）的過程。主體需要唯一的身份，這樣的話SQL Server可以決定主體有哪個許可。在提供安全訪問數(shù)據(jù)庫對象中，正確的身份驗證是必須的第一步。

SQL Server支持身份驗證的兩個途徑：Windows集成身份驗證和SQL Server身份驗證。你使用的途徑取決于網(wǎng)絡環(huán)境，應用程序訪問數(shù)據(jù)庫的類型和這些應用程序的用戶類型。

1. Windows身份驗證：這個身份驗證方式依賴于Windows來擔當重任——當用戶登錄到Windows是驗證身份。訪問SQL Server對象的許可然后會分配給Windows登錄。只有當SQL Server運行在支持Windows NT或Kerberos身份驗證的Windows版本上才可以使用，這個自Windows 2000起已經(jīng)幾乎是標準。
2. SQL Server身份驗證：SQL Server可以完全自主完成身份驗證。在這個情況下，你可以創(chuàng)建唯一的用戶名——在SQL Server調(diào)用登錄——和密碼。連接到SQL Server的用戶或應用程序提供這些憑證來訪問。許可然后直接分配到那個登錄或通過角色里的資格。

在SQL Server里在這2個類型之間配置身份驗證不是一個非此即彼的選擇（可以混合使用）。你可以在任何兩個方式里配置身份驗證：

1. 混合身份驗證模式：服務器同時支持SQL Server和Windows身份驗證。
2. Windows身份驗證模式：服務器只支持Windows身份驗證。

只要可能的話，微軟強烈推薦使用Windows身份驗證。Windows擁有可靠的驗證選項，包括密碼策略，但正真正的應用程序里，Windows身份驗證并不總是可行的。SQL Server身份驗證可以嵌入Windows驗證的一些功能，但它不太安全。

Windows身份驗證

如果你配置你的SQL Server在Windows身份驗證里操作，SQL Server認為與Windows服務器有信任關(guān)系。當它們登錄到Windows里時，SQL Server認為Windows已經(jīng)驗證用戶。然后SQL Server檢查用戶賬號，任何Windows組和任何SQL Server角色，看用戶是否是其成員之一來決定用戶是否允許與各個SQL Server對象打交道。

與SQL Server身份驗證比，Windows身份驗證有很多優(yōu)勢，包括：

用戶一次登錄即可，因此她不需要單獨登錄到SQL Server審計功能簡單化登錄管理密碼策略（在Windows Server 2003及后續(xù)版本）

Winows身份驗證的另一個大優(yōu)勢是你對Windows用戶和組的任何修改會自動在SQL Server里生效，因此你不需要單獨管理它們。然后，如果你對Windows用戶做出的修改，它們此時剛好連接到SQL Server，這些修改不會生效，直到下次用戶連接到SQL Server才會生效。

配置SQL Server安全設置

當你安裝SQL Server時，你可以選擇SQL實例允許的驗證模式。安裝完成后你可以在SSMS里的服務器屬性對話框里修改這個設置。這些設置適用于SQL Server實例里的所有數(shù)據(jù)庫和其它對象。因此如果你需要為任何數(shù)據(jù)庫使用SQL Server身份驗證，你需要為服務器設置為混合模式。

插圖2.1顯示了在SSMS里選擇了【安全性】頁的【服務器屬性】對話框。為了打開這個對話框，在對象瀏覽器里右擊服務器實例名，從彈出的菜單里選擇【屬性】，然后點擊【安全性】頁。通過點擊對應的單選框和點擊【確定】提交修改，就可以修改驗證模式。

插圖2.1：為SQL Server實例配置驗證模式

添加一個Windows登錄

使用Windows身份驗證，你的用戶在能訪問SQL Server前需要驗證Windows登錄賬號。然后你可以授予一個Windows組連接到SQL Server，或者你可以授予許可給單獨的Windows用戶，如果你不想授予集體許可。

使用SSMS管理安全的一個好處是你可以同時配置登錄和數(shù)據(jù)庫訪問。啟用Windows登錄到訪問SQL Server和AdventureWorks2012數(shù)據(jù)庫。使用下列步驟，并假定本地機器已經(jīng)定義了woodytu用戶。

1.打開SSMS，確保對象瀏覽器窗體可見，并且你已經(jīng)連接到SQL Server實例

2.展開服務器對象的樹狀視圖，然后展開【安全性】節(jié)點。你會看到如插圖2.2所示的多個子節(jié)點。

插圖2.2：服務器對象瀏覽器的安全性部分，你定義的登錄的地方

3.右擊【登錄名】節(jié)點，從彈出的菜單里選擇【新建登錄名】來打開【登錄名】——新的對話框

4.確?！網(wǎng)indows身份驗證】單選框已經(jīng)選擇

5.你可以用任何2種方式選擇Windows登錄。第一種方式是直接輸入域名或機器名，然后一個/和所使用的Windows登錄名。第二個方式，通常更簡單的方式點擊【搜索】按鈕來打開【選擇用戶或組】對話框。輸入用戶名，點擊【檢查名稱】來查找具體的名稱。如果找到用戶，完整的名字在對話框里出現(xiàn)，如插圖2.3里所示。點擊【確定】選擇那個用戶。

插圖2.3：找到一個Window登錄來添加到SQL Server

6.回到【登錄名-新建】對話框，設置AdventureWorks2012數(shù)據(jù)庫作為登錄的默認數(shù)據(jù)庫。當用戶連接到服務器且不指定數(shù)據(jù)庫時，這是用戶使用的數(shù)據(jù)庫。這不限制用戶只訪問那個數(shù)據(jù)庫。插圖2.4展示對于在WIN10的機器上Windows的登錄用戶woodytu，設置默認數(shù)據(jù)庫為示例數(shù)據(jù)庫AdventureWorks2012的登錄配置。

插圖2.4：【登錄名—新建】對話框啟用Windows登錄到訪問SQL Server實例。

提示：
絕不保持默認數(shù)據(jù)庫為master數(shù)據(jù)庫。這個是慘痛的教訓：連接到服務器，太容易忘記修改數(shù)據(jù)庫了。到時候如果你運行腳本在master數(shù)據(jù)庫上創(chuàng)建上百個數(shù)據(jù)庫對象，你會花大量的精力來人為刪除這些對象，清理master數(shù)據(jù)庫。

7.接下來，給用戶訪問一個數(shù)據(jù)庫。從對話框的左邊清單里選擇【用戶映射】頁。通過選擇數(shù)據(jù)庫名旁的選擇框授予用戶訪問AdventureWorks2012數(shù)據(jù)庫。SQL Server自動映射用戶用同樣的用戶名到數(shù)據(jù)庫里的用戶，如你在表里的第3列所見，如果你想要的話，可以修改用戶名。分配Sales作為用戶在數(shù)據(jù)庫里默認的架構(gòu)，可以在【默認架構(gòu)】列里輸入，或者點擊【...】按鈕從列表里選擇。對話框應該如插圖2.5所示。

插圖2.5：授予Windows登錄訪問AdventureWorks2012數(shù)據(jù)庫

提示：
為登錄設置默認數(shù)據(jù)庫和授予訪問到數(shù)據(jù)庫之間是有區(qū)別的。當用戶登錄沒有指定數(shù)據(jù)庫時，默認數(shù)據(jù)庫指的是SQL Server嘗試修改上下文到那個數(shù)據(jù)庫。但這不授予在數(shù)據(jù)庫里做任何事的任何許可，或者甚至允許訪問到數(shù)據(jù)庫。這就是說分配用戶完全不能訪問的數(shù)據(jù)庫是可能的。一旦數(shù)據(jù)庫被訪問了，為了讓用戶可以進行一些操作，你需要授權(quán)用戶許可。

8.默認情況下，新的Windows登錄可以訪問到服務器。但是如果你想禁止登錄訪問服務器，從【登錄名—新建】的左邊列表選擇【狀態(tài)】，勾選【拒絕】單選框。你也可以通過選擇【禁止】按鈕臨時禁用登錄。插圖2.6顯示了這些選項。

插圖2.6：授予和拒絕連接到數(shù)據(jù)庫和臨時禁用登錄賬號選項點擊【確定】創(chuàng)建用戶。

你也可以在同樣的方式里添加Windows組到SQL Server，組的任何成員也可以訪問數(shù)據(jù)庫服務器，包括你給組的數(shù)據(jù)庫里的任何對象 。

SQL Server身份驗證

當你使用SQL Server登錄作為驗證時，客戶端應用程序需要提供有效的用戶名和密碼來連接到數(shù)據(jù)庫。這些SQL Server登錄在SQL Server里保存，與Windows無關(guān)。當在登錄時，如果沒有匹配的用戶名和密碼，SQL Server拋出錯誤，用戶不能訪問數(shù)據(jù)庫。

盡管Windows身份驗證更加安全，在一些情況或許你只能選擇SQL Server登錄來代替。對于簡單沒有廣泛安全需求的應用程序，SQL Server身份驗證更容易管理，它允許你避免Windows安全的復雜。而且如果客戶端運行在更老版本的Windows（比Windows 2000還老）或非Windows的操作系統(tǒng)，你必須使用SQL Server登錄。

創(chuàng)建SQL Server登錄，使用和Windows登錄同樣的【登錄名-新建】對話框。但不是選擇Windows登錄，輸入沒有域名或機器名的用戶名，并提供密碼。例如，插圖2.7顯示了如何創(chuàng)建一個新的SQL Server登錄user，把AdventureWorks2012作為他的默認數(shù)據(jù)庫。

插圖2.7：創(chuàng)建SQL Server登錄

對于用戶映射和狀態(tài)的所有其它選項的SQL Server登錄和Windows登錄是一樣的。

通過T-SQL的SQL Server登錄

你也可以用T-SQL代碼來進行同樣的操作。在代碼2.1里的Create Login代碼創(chuàng)建一個有強勁密碼的SQL Server登錄Tudou。

CREATE LOGIN Tudou WITH PASSWORD = 'yBqyZIPT8}b]b[{5al0v';GO

代碼2.1:使用T-SQL創(chuàng)建新的SQL Server登錄的代碼

然后，授予Tudou訪問AdventureWorks2012數(shù)據(jù)庫，使用CREATE USER語句并分配默認的架構(gòu)，如代碼2.2所示。

USE AdventureWorks2012; GO  CREATE USER Tudou FOR LOGIN Tudou   WITH DEFAULT_SCHEMA = HumanResources; GO

代碼2.2：用SQL Server登錄關(guān)聯(lián)創(chuàng)建數(shù)據(jù)庫用戶的代碼

提示：

如第一篇，如果你想在本地SQL Server實例運行它們的話，很可能你需要對代碼做些改動。在代碼2.2里假定你已經(jīng)安裝了AdventureWorks2012數(shù)據(jù)庫。

像Windows登錄，你可以映射服務器登錄Tudou到數(shù)據(jù)庫里其它一些名稱。代碼2.3里在AdventureWorks2012數(shù)據(jù)庫里映射TudouZ到Tudou用戶。

 DROP USER Tudou; GO CREATE USER TudouZ FOR LOGIN Tudou WITH DEFAULT_SCHEMA = HumanResources; GO

代碼2.3:刪除現(xiàn)存用戶增加用不同登錄名的數(shù)據(jù)庫用戶名的代碼

謹防sa登錄

如果你配置你的SQL Server支持SQL Server登錄，有一個SQL Server內(nèi)建的SQL Server登錄需要留意——sa登錄——在對象瀏覽器里的【安全性】節(jié)點，【登錄名】里可以看到。sa或系統(tǒng)管理員，登錄是為了SQL Server的早期版本的向后兼容性。sa登錄映射到sysadmin服務器角色，任何以sa登錄到SQL Server的任何人有完全的系統(tǒng)管理員權(quán)限，在整個SQL Server實例和所有里面的數(shù)據(jù)庫都有不可撤銷的權(quán)利。這的確是個強大的登錄。

你不能修改或刪除sa登錄。當你安裝SQL Server的時候，如果你選擇了混合驗證模式，你會提示為sa用戶輸入密碼。沒有密碼的話，任何人可以不輸密碼直接以sa登錄，玩弄起“我來管理服務器”。不用說，這是你讓你的用戶最后做的事。如果沒有其他系統(tǒng)管理員或忘記了它們的Windows密碼，使用sa登錄只是個后門。如果那個發(fā)生的話，你需要新的管理員！

絕不要在應用程序里使用sa登錄來訪問數(shù)據(jù)庫。如果黑客拿到應用程序的控制權(quán)，這樣做的話會給黑客真?zhèn)€數(shù)據(jù)庫服務器的管理權(quán)限。在早期，這是黑入服務器的最簡單方法，是個可怕的實例。相反，為應用程序設置一個自定義的Windows或SQL Server登錄來使用，給這個登錄來運行程序的絕對最小的必須許可（實現(xiàn)最小權(quán)限原則）。

提示：

事實上，你應該考慮使用剛才看到的登錄屬性對話框的【狀態(tài)】頁完全禁用sa登錄。那樣的話攻擊者不能使用這個全能登錄來控制你的服務器實例，不管你是否設置了強悍的sa密碼。

密碼策略與執(zhí)行

在SQL Server 2005之前的版本，對于可以讓系統(tǒng)更安全，對系統(tǒng)管理員的強制密碼策略，沒有一個簡單的方法。例如，SQL Server米有辦法強制用戶創(chuàng)建最短長度、數(shù)字和其它字符混合的強壯密碼。如果有人要用一個字母創(chuàng)建登錄的密碼，你不能配置SQL Server來阻止它。同樣，密碼也沒方法設置它定期過期，例如每三個月。一些人剛好看到了這個主要原因，不使用SQL Server登錄。

SQL Server的最近版本可以嵌入Windows Server 2003及后續(xù)版本的密碼策略。密碼還是保存在SQL Server里，但SQL Server調(diào)用了NetValidatePasswordPolicy() Windows API方法，這個是在Windows Server 2003首次引入的。這個API函數(shù)應用Windows密碼策略到Server登錄，返回一個值表示密碼是否有效。當用戶創(chuàng)建，設置或重置密碼時，SQL Server調(diào)用這個函數(shù)。

你可以通過Windows控制面板管理工具里的本地密碼策略來定義Windows密碼策略。默認密碼策略部分如插圖2.8所示。這個小程序有獨立的賬號鎖定策略，如插圖2.9所示，當用戶嘗試太多的失敗登錄時生效。默認情況下，新安裝的Windows鎖定策略是禁用的。

插圖2.8：Windows本地安全策略小程序，顯示默認的密碼策略。

插圖2.9：Windows本地安全策略小程序，顯示默認的賬號鎖定策略。

下表列出默認值的密碼策略和它們?nèi)绾芜\作的說明。

類別　　　　　　　　　　　　策略名　　　　　　　　　　　　　默認值　　　　　　　　　　　　說明

密碼策略　　　　　　　　　　強制密碼歷史　　　　　　　　　　0個記住的密碼　　　　　　　　 阻止用處重用舊密碼，例如在2個密碼之間修改

　　　　　　　　　　　　　　密碼長度最小值　　　　　　　　　0個字符　　　　　　　　　　　 使用這個要求密碼長度，讓它們很難破解

　　　　　　　　　　　　　　密碼必須符合復雜性要求　　　　　已禁用　　　　　　　　　　　　至少6個字母或數(shù)字和其它字符，不包含用戶名

密碼過期　　　　　　　　　　密碼最長使用期限　　　　　　　　42天　　　　　　　　　　　　　在用戶修改密碼前的天數(shù)　

　　　　　　　　　　　　　　密碼最短使用期限　　　　　　　　0天　　　　　　　　　　　　　 在允許用戶可以修改密碼前的天數(shù)

賬戶鎖定策略　　　　　　　　賬戶鎖定時間　　　　　　　　　　不適用　　　　　　　　　　　　如果鎖定閾值啟用的話則鎖定

　　　　　　　　　　　　　　賬戶鎖定閾值　　　　　　　　　　0次無效登錄　　　　　　　　　　賬戶鎖定前失敗登錄次數(shù)

　　　　　　　　　　　　　　重置賬戶鎖定計數(shù)器　　　　　　 不適用 　　　　 重置失敗登錄次數(shù)；

當鎖定閾值啟用的時候啟用

表2.1：Windows密碼策略設置

當你創(chuàng)建登錄的時候，你可以啟用或禁用執(zhí)行密碼策略。【登錄名-新建】對話框在登錄名下，在你創(chuàng)建SQL Server登錄的時候，有個啟用部分，如插圖2.10所示。

插圖2.10：對于新的登錄執(zhí)行密碼策略

當你使用T-SQL創(chuàng)建登錄的時候，也可以應用密碼策略。例如，如果你在Windows 2003 Server后后續(xù)版本上運行SQL Server并啟用了密碼策略，代碼2.4會運行失敗。

 USE master; GO CREATE LOGIN SIMPLEPWD WITH PASSWORD = 'SIMPLEPWD'; GO

代碼2.4：嘗試創(chuàng)建違反密碼策略的登錄

這個代碼運行失敗的原因是密碼不能和用戶名一樣。

當你創(chuàng)建或修改登錄時，你可以控制策略。代碼2.5關(guān)閉了過期檢查和策略。

 ALTER LOGIN Tudou WITH PASSWORD = 'yBqyZIPT8}b]b[{5al0v',   CHECK_EXPIRATION = OFF, CHECK_POLICY = OFF;

代碼2.5：只對修改登錄來禁止密碼策略的代碼（只對這次登錄）

CHECK_EXPIRATION選項控制SQL Server檢查密碼的策略里年齡，CHECK_POLICY應用到其他策略。MUST_CHANGE選項執(zhí)行用戶下次登錄必須修改密碼。

如果用戶有太多次數(shù)的失敗登錄，超過了賬號鎖定策略的設置數(shù)，管理員可以使用UNLOCK來重置，如代碼2.6所示。

代碼2.6：由于太多失敗登錄而鎖定登錄，解鎖的代碼。

當你在Windows Server 2003之前的版本上運行SQL Server，你可以啟用強制密碼策略。但SQL Server默認使用至少6個字符的密碼，密碼里不能包含你的用戶名，而且是大小寫字母，數(shù)字和其他字符的混合體。你不能修改這些默認設置。但希望你不要這么老的版本上運行SQL Server，因為自那以后有了大的安全改進。

小結(jié)

在這篇SQL Server安全文章里，你學習了SQL Server里的多個驗證選項。Windows集成身份驗證是最安全的，但并不是都是可行的，微軟多年來已經(jīng)讓SQL Server驗證更加安全。但是如果你使用混合驗證模式，不要忘記給sa足夠強悍的密碼，甚至停用它。同樣大多數(shù)對象，你都可以使用SSMS里的圖形界面或T-SQL來創(chuàng)建或修改它們。如果你在當下的Windows版本上運行SQL Server，你可以將本地安全策略嵌入密碼策略。

感謝關(guān)注！

原文鏈接：

http://www.sqlservercentral.com/articles/Stairway+Series/109975/