SQL Server數據庫在企業中的應用越來越多，安全性顯得越來越突出。特別是最近一段時間以來，一種新的網絡攻擊技術開始在Internet上快速流行，那就是“SQL Injection”，俗稱“腳本注入式攻擊”，只要被不法分子盯上的系統，恰好您使用的數據庫是SQL Server 2000的話，那么被成功入侵的概率高達90%。
如何加強數據庫的安全呢？本文將向您全面介紹保護SQL Server 2000數據庫安全配置的十七招。

第一招 首先確認是否已經安裝了操作系統和SQL Server的最新安全補丁。很多黑客攻擊不是通過SQL Server本身的漏洞來完成資料竊取的，而是通過操作系統漏洞來完成，然后進入到數據庫中。
第二招 根據業務系統需求，選擇一個考慮到最大安全性但是同時又不影響功能的網絡協議。如TCP/IP協議、命名管道等。
第三招 眾所周知，SQL Server的“SA”賬戶在默認狀態下是空密碼的。給其設定一個足夠復雜并且足夠長度密碼來加強其安全性，同時把該密碼保存在一個安全的地方。
配置方法：開始→所有程序→Microsoft SQL Server→企業管理器，展開控制臺根目錄，選擇“安全性”，展開，點擊“登錄”，在右側的用戶列表中可以看到有SA這個用戶。雙擊打開SA用戶，可以更改SA用戶的密碼。

第四招 建立一個低權限用戶做為SQL服務器服務的查詢操作專用賬戶，不要用LocalSystem或SA。 這個賬戶應該有最小的權利，比如僅能執行Select語句，對其他的DDL操縱語句都沒有權限。
配置方法：展開控制臺根目錄，選擇“數據庫”，展開，點擊“用戶”，在右側用戶列表中可以看到已經授權的用戶，在默認狀態下只有“SA”和“Guest”兩個用戶。雙擊打開已經建立的低權限賬戶，打開數據庫用戶屬性。選擇數據庫腳色，盡可能低的權限。打開“權限”按鈕，賦予用戶相應的權限，最好全部是Select查詢權限。

第五招 確認SQL服務器系統安裝在NTFS分區，且權限控制列表 被應用。如果黑客得到對數據庫系統的存取操作權限，該層權限可以阻止入侵者進一步破壞數據。Windows 2000或者2003 Server都是需要安裝在NTFS分區。
配置方法：找到SQL Server安裝文件夾，默認安裝在“X:Program FilesMicrosoft SQL Server”目錄下。鼠標右鍵，選擇“屬性”。注意查看“共享”屬性選項卡，一定不要共享。點擊安全選項，只有許可的用戶才能訪問這個文件夾。
第六招 嚴格禁止使用Xp_cmdshell命令。限制所有的賬戶擁有操作、使用XP_cmdshell的權限。如果黑客或者其他有惡意的人，擁有操作這個命令的權限，那它就可以輕松得到系統管理員的權限。

第七招 在業務應用系統中，如果不需要就停用對象連接與嵌入自動化儲存程序。當這些儲存程序被停用的時候，企業管理器部分功能可能丟失。比如：DTS數據導入導出。同時，禁用部分注冊表存取程序。
注意：Xp_regread和 xp_regwrite這兩個存儲過程如果刪除，會影響一些主要功能包括日志和SP的安裝。建議保留。

第八招 關閉遠程服務器連接。如果允許使用遠程服務器連接，入侵者在自己的機器上安裝SQL Server就可以使用數據庫服務器連接到你服務器的數據庫上，這是一個危險級別很高的安全風險。
配置方法：展開控制臺根目錄，選擇“（Local）Windows NT”，鼠標右鍵，選擇“屬性”，在配置窗口中選擇“連接”選項卡，去掉“允許其他SQL Server使用RPC遠程連接到本SQL Server”選項。這樣就可以防止他人使用數據庫的惡意連接。如圖1所示。

第九招 注意SQL服務器的物理安全。數據機房禁止不相關的人員進入，把Server鎖在機柜里，并且注意鑰匙的安全，只要有機會到服務器面前，就會找到攻擊服務器的方法。

第十招 在系統中，有很多人沒有設置密碼的習慣。審計使用空密碼的用戶，強制使用安全密碼。
使用下列語句，可以得到現有用戶中沒有使用密碼的賬號：
Select name,Password from syslogins where password is null
執行結果如圖2所示。可以看到目前在業務系統中有四個人的密碼是空，其中包括SA超級用戶的密碼。

第十一招 不允許使用者交互式登錄到SQL Server之上。這個規則適用任何服務器。一旦一個使用者能夠交互式進入一個服務器之內，就有可能利用管理員的存取特權得到管理員權限。
解決方法：關閉遠程終端服務和Windows 2003的Web管理功能。
第十二招 啟用混合模式安全性認證，在默認狀態只是執行失敗的審核，建議使用“SQL Server和Windows”身份驗證，審核級別使用“全部”。“無”表示不執行審核；“成功”表示只審核成功的登錄嘗試；“失敗”表示只審核失敗的登錄嘗試；“全部”表示審核成功的和失敗的登錄嘗試。
配置方法：展開控制臺根目錄，選擇“（Local）Windows NT”，鼠標右鍵，選擇“屬性”，在配置窗口中選擇“安全性”選項卡，審核級別選擇“全部”，記錄所有的身份驗證狀況。
第十三招 定期檢測SQL日志文件，檢索其中成功登錄或者登錄失敗的信息，從而找到任何非法入侵者所作多次數據庫登錄嘗試。
配置方法：展開控制臺根目錄，選擇“管理”，展開，選擇“SQL Server日志”，在右側窗口列表中打開您選擇的日志文件，上面有詳細的記錄狀況。如圖3所示。

第十四招 制定嚴格的數據庫備份策略，在數據庫管理中，這是最重要的工作。同時在允許的條件下模擬可能出現的災難情況，模擬出測試環境，進行數據保護有效性防范，減少故障發生的機率，系統災難恢復時間最小化。
第十五招 如果條件許可，數據庫文件和日志文件分開存儲，分別放在不同的物理存儲設備上。一旦發生災難性故障，如硬件損壞，數據文件和日志存放在一起，沒有任何手段可以恢復數據。如果做了數據備份，同時日志文件保存在其它位置，并且日志文件沒有損壞的情況下，就有可能恢復數據。數據安全級別定義：高。
配置方法：雙擊數據庫文件名，打開數據庫屬性，點擊“數據文件”選項卡，設置數據文件存放的位置。如圖4所示。點擊“事務日志”選項卡，設置日至文件存放的位置。

第十六招 選擇數據庫故障還原模型，建議選擇“完全”方式。
SQL Server2000支持3種方式的數據庫故障還原模型：簡單、完全、大容量日志記錄。其優缺點如表1所示。
配置方法：選中數據庫名稱，鼠標右鍵選擇屬性，點擊“選項”選項卡，在故障還原子段下有一個‘模型’欄目，選擇需要設置的模型方式即可。如圖5所示。

第十七招 關閉服務器行為下的允許對“系統目錄直接進行修改”功能。如果開啟此功能，則在數據庫架構內可以使用擴展存儲過程對系統目錄下的文件或者其他信息進行修改，或者在數據庫架構內上傳具有惡意功能的代碼。這是大家都不愿意看到的。安全風險級別：高。
配置方法：鼠標右鍵數據庫服務器，選擇“服務器設置”，在“服務器行為”字段下，關閉“系統目錄直接進行修改”。如圖6所示。

以上為您介紹了SQL Server 2000數據庫安全配置的十七種方法，這些方法只要使用得當，做好安全管理工作就不是一個難題。
表1 三種還原模型對比表
簡單方式還原模型 產生日志文件的容量小，方便檢索。 如果一旦發生數據損壞的情況， 常常不能恢復數據。

大容量日志記錄故障還原模型 所有的對數據庫的操作將全部保留，會日志文件太大。產生一個巨大的日志文件。如果數據文 件發生損壞，可以完全恢復數據庫的數據。

完全方式的還原模型對數據庫的數據操作將全部保留，會產對數據庫的一些操作記錄的不 生一個適中的日志文件，也可以恢復數據庫數據夠詳細。