SQL总结-最佳做法检查表.docx

SQL总结-最佳做法检查表.docx总结:最佳做法检查表以下检查表总结了本白皮书中讨论的各种最佳做法。有关详细信息,请参阅上面的讨论。管理员检查表在安装之前设置环境物理安全•确保服务器的物理安全。之间放置防火墙。总是在外围防火墙上阻止TCP端口1433和UDP端口1434。如果命名实例在其他端口上侦听,则还要阻止这歧端口。在多层环境中,使用多个防火墙创建屏蔽子网。服务隔离隔离服务,降低受到威胁的服务被利用来危害其他服务的风险。。在多层环境中,在单独的计算机上运行Web逻辑和业务逻辑。服务帐户•创建Windows帐户,尽可能只让其具有■运行SQLServer服务所需的最小特权。文件系统使用NTFS。对关键的数据文件使用RAlDo安装最新版本和ServicePack• 总是安装最新的ServicePack和安全修补程序。服务帐户使川尽可能具有故低特权的帐户运行SQLServer服务。使用企业管理器将服务与Windows帐户相关联。身份验证模式• 要求使用Windows身份验证与SQLServer连接。强密码即使在使用Windows身份验证时,也总是为sa帐户指派强密码。对所有SQLServer帐户都总是使用强密码。安装之后的配置选项和设置删除或保护旧安装文件在安装之后删除或存档下列文件:、,isso对于默认安装,这些文件位于<系统驱动器>:\ProgramFiles\MicrosoftSQLServer\MSSQL\Instal1文件夹中;对于命名实例,这些文件位于〈系统驱动器>:\ProgramFiles\MicrosoftSQLServer\MSSQL$〈实例名称〉\Instal1文件夹中。,请删除下列文件:%Windir%文件夹中的setup,iss;(续)设置登录审核级别• 将登录审核级别设置为“失败”或"全部”。启用安全审核对Sysadmin操作、周定角色成员身份更改、所有与登录相关的活动以及密码更改启用安全审核。在选择适当的审核选项之后,应该编写审核脚木,将它包装在存储过程中,并将该存储过程标记为AutoStarto即使在Windows身份验证模式下也要保护sa帐户的安全• 即使在配置为要求进行Windows身份验证的服务器上,也要为sa帐户指派强密码。删除示例数据库•从生产服务器中删除示例数据库。安全操作安全模型• 学会使用SQLServer安全模型。备份策略定期备份所有数据并将副本存放在安全的非现场位置。测试灾难恢复系统。减少功能、减小受攻击范围•通过只运行环境所必需的服务和功能,减小系统受到攻击的范围。减少管理员• 限制少数儿个受信任用户拥有sysadmin固定服务器角色的成员身份。强密码• 确保对于所有的SQLServer帐户使用复杂密码。跨数据库所有权链接•如果系统不使用跨数据库所有权链接,请禁用它。Xp_cmdshel1在默认情况下,只有sysadmin角色的成员能够执行xp_cmdshello不应更改此默认设置。水耍将执彳丁xp_cmdshell的权限授予sysadmin角色成员以外的用户。