7个基本的SQL Server安全提示

如何保护数据库免受SQL注入,数据盗窃,流氓用户和善意的入侵者的侵扰,而又不会使您的环境陷入困境

7个基本的SQL Server安全提示
Facebook

像很多IT一样,数据库安全性要求在很大程度上取决于情况和环境。一家商店之间的需求可能完全不同,即使同一家商店中的不同服务器之间也是如此。这是我的最佳做法的问题。他们在没有任何背景的情况下提供建议,人们有时会遵循该建议,这对他们是有害的。

保护数据库安全时,您需要做的第一件事就是定义要保护的数据库。毕竟,如果您尚未定义安全性措施的参数,又如何知道它们是否有效?这可能是在安全方面犯下的最大错误。我总是被要求保护SQL Server的安全,但是当我问这些客户端他们想要保护什么时,他们通常不知道。他们所知道的只是他们的数据库需要安全性。每个DBA都需要做些努力,以使利益相关者列出他们的标准。

请记住,安全性不仅仅在于防止数据被盗。当然,这很重要,但这不是保护系统安全的唯一原因。威胁可以起源于组织内部或外部,并且可以是有意或无意的。您的系统可能需要保护以防盗窃,或者可能仅需要保护以防止恶意查询耗尽所有资源。或者,它可能需要免受好心的开发人员或Windows管理员的保护,他们认为他们应该做出更改以“改进”这些内容。

考虑到这些不同的目标和注意事项,我将为您提供一些用于锁定SQL Server环境的基本指示。一些技巧将帮助您保护自己免受侵害,而其他技巧将有助于防止其他滥用行为。在某些情况下,您必须仔细考虑应在何处应用哪种安全措施。

SQL Server技巧1:不要给用户查看定义权限

如果您的应用程序在Web上,这至关重要。黑客常用的方法是尝试使用Web表单中的不同条目,然后使用结果将有关您的环境的事实汇总在一起。视图定义权限允许用户查看表,存储过程和视图的定义。如果攻击者可以获取该信息,则可以完成很多工作。切勿在面向Web的应用程序的用户帐户上允许此权限。

要继续阅读本文,请立即注册