İçerdiği veritabanları ile güvenlik en iyi uygulamalar
İçerdiği veritabanları anlaşılır ve hafifletilmiş tarafından benzersiz bazı tehditler var SQL Server Veritabanı AltyapısıYöneticiler. Tehditlerin çoğunu için ilgili USER WITH PASSWORDkimlik doğrulaması sınır hamle kimlik doğrulama işlemi, dan Veritabanı Altyapısıdüzeyi veritabanı düzeyi.
Kullanıcılarla ilgili tehditleri
Kullanıcıların içerdiği veritabanı ALTER ANY USERizni, üyeleri gibi db_owner ve db_securityadmin sabit veritabanı rolü, bilginiz veya izniniz olmadan veritabanı erişimi verebilirsiniz SQL Serveryönetici. Kullanıcıların içerdiği veritabanı erişim verme artırır olası saldırı alanını karşı bütün SQL Serverörneği. Yöneticiler bu temsilci erişim denetimi anlamak ve içerdiği veritabanlarında verilmesi hakkında çok dikkatli olmak ALTER ANY USERizni. Tüm veritabanı sahipleri var. ALTER ANY USERizni. SQL ServerYöneticiler belirli aralıklarla içerdiği veritabanlarında denetlemek.
Diğer veritabanlarını kullanarak Konuk hesabına erişme
Veritabanı sahipleri ve veritabanı kullanıcıları ile ALTER ANY USERizni bulunan veritabanı kullanıcıları oluşturabilir. Örneği bulunan bir veritabanına bağlandıktan sonra SQL Server, içerdiği veritabanı kullanıcı-ebilmek giriş diğer veritabanları üzerinde Veritabanı Altyapısı, diğer veritabanları etkinleştirdiyseniz, Konuk hesabı.
Yinelenen oturum açma oluşturma
İçerdiği veritabanı kullanıcı şifre ile aynı adı kullanarak oluşturulur Eğer bir SQL Servergiriş ve eğer SQL Servergiriş bağlayan ilk katalog olarak içerilen veritabanı belirtme sonra SQL Servergiriş bağlanamıyor olacak. Bağlantı içerdiği veritabanı kullanıcı ile parola müdür içerdiği veritabanı yerine dayalı bir kullanıcı olarak değerlendirilecek SQL Servergiriş. Bu hizmet için kasıtlı veya yanlışlıkla bir reddine neden SQL Servergiriş.
En iyi yöntem olarak, üye sysadmin sabit sunucu rolü, her zaman Initial catalog seçeneği kullanmadan bağlanan düşünmelisiniz. Bu oturum açma ana veritabanına bağlanır ve girişimleri oturum açma girişimi yanlış bir veritabanı sahibi tarafından önler. Daha sonra yönetici içerdiği veritabanı kullanarak değiştirebilirsiniz USE <database>deyimi. Mantık-e doğru tamamlandığında içerdiği veritabanı oturumu varsayılan veritabanı da ayarlayabilirsiniz anave giriş bulunan veritabanına aktarır.
En iyi yöntem, aynı parola ile içerdiği veritabanı kullanıcıları oluşturma adı olarak SQL Serveroturumları.
Yinelenen giriş varsa, bağlanmak ana veritabanı Initial catalog belirtmeden ve yürütün USEiçerdiği veritabanı komutu.
İçerdiği veritabanları bulunduğunda, veritabanlarının içerdiği veritabanları olmayan kullanıcılar için gereken Veritabanı Altyapısıbir Başlangıç Kataloğu kullanmadan veya Initial catalog sigara içerdiği veritabanının veritabanı adını belirterek. Bu daha az doğrudan denetimi altında olan içerdiği veritabanına bağlanmak önler Veritabanı AltyapısıYöneticiler.
Access veritabanı içerik durumunu değiştirerek artan
Sahip oturumların ALTER ANY DATABASEizni, üyeleri gibi dbcreator sabit sunucu rolü ve kullanıcıların sigara bulunan bir veritabanında CONTROL DATABASEizni, üyeleri gibi db_owner sabit veritabanı rolü veritabanı kapsayıcı ayarını değiştirebilirsiniz. Veritabanı çevreleme ayar değiştirilirse, NONEya da PARTIALya FULL, o zaman kullanıcı erişim şifreleri ile içerdiği veritabanı kullanıcısı oluşturarak verilebilir. Bu-ebil sağlamak erişim bilgisi veya onayı olmadan SQL ServerYöneticiler. Tüm veritabanları içerdiği önlemek için ayarlayın Veritabanı Altyapısı contained database authenticationseçenek 0. Bağlantılar tarafından içerilen veritabanı kullanıcı ile parola seçili kapsanan veritabanlarının önlemek için girişi iptal etmek için oturum açma tetikleyici kullan içerdiği veritabanı kullanıcılar parolaları ile çalışır.
Kapsanan bir veritabanı iliştirme
Kapsanan bir veritabanına ekleyerek, yönetici istenmeyen kullanıcıların erişim örneğine verebilir Veritabanı Altyapısı. Bir yönetici bu risk hakkında endişe veritabanında çevrimiçi getirebilir RESTRICTED_USERengelleyen parolalarla içerdiği veritabanı kullanıcıları için kimlik doğrulama modunu. Yalnızca oturumları yetkili sorumlularına-ecek muktedir erişmek Veritabanı Altyapısı.
Kullanıcılar parola gereksinimlerini etkin oluşturuldukları zaman kullanarak oluşturulur ve parola veritabanı iliştirildiğinde rechecked değil. Zayıf parolalar sistemi ile sıkı bir parola ilkesi izin içerdiği veritabanı takılarak, yönetici takılması üzerine geçerli parola ilkesi uymayan şifreleri izin Veritabanı Altyapısı. Yöneticiler, Zayıf parolalar iliştirilmiş veritabanı için tüm parolaların sıfırlanması kılarak istinat önleyebilirsiniz.
Parola ilkeleri
Veritabanı parolaları güçlü parolalar için gerekli, ama sağlam parola ilkeleri tarafından korunamaz. Mümkün olduğunca Windows'dan daha geniş parola ilkeleri yararlanmak Windows kimlik doğrulaması kullanın.
Kerberos kimlik doğrulaması
İçerdiği veritabanı kullanıcı ile parola Kerberos kimlik doğrulaması kullanamazsınız. Mümkün olduğunda, Windows kimlik doğrulaması Kerberos gibi Windows özelliklerinden yararlanmak için kullanın.
Çevrimdışı sözlük saldırısı
İçerdiği veritabanı kullanıcılar parolaları parolası karmalarının içerdiği veritabanında depolanır. Veritabanı dosyalarına erişimi olan herkes bir unaudited sistemde bulunan veritabanı kullanıcı ile parola bir sözlük saldırısı gerçekleştirebilir. Bu tehdide etkisini azaltmak için veritabanı dosyalarına erişimi kısıtlamak veya yalnızca Windows kimlik doğrulaması kullanarak içerdiği veritabanları bağlantılarına izin.
İçerdiği veritabanı kaçan
Kısmen veritabanı içeriyorsa, SQL ServerYöneticiler düzenli olarak denetim özelliklerine kullanıcılar ve modüller içerdiği veritabanlarında.
auto_close aracılığıyla hizmet reddi
İçerdiği veritabanları yakın otomatik olarak yapılandırmayın. Kapattıysanız, bir kullanıcının kimliğini doğrulamak için veritabanının açılması ek kaynaklarını tüketir ve bir hizmet reddi saldırısı için katkıda bulunmak.