加強SQL Server網絡連接安全性的操作流程
下面的文章主要介紹的是正確加強SQL Server網絡連接安全性的實際操作流程,有些 SQL Server 2000 Personal Edition 實例與 SQL Server 2000 Desktop Engine數據庫的實例可能會作為本地數據存儲運行,僅由運行在同一計算機上的應用程序使用。
如果從未向這些 MSDE 2000 實例進行過SQL Server網絡連接,則這些實例不需要網絡支持,此時關閉那些不需要的資源是一個明智的選擇。
如果使用的是 SQL Server 2005
有關 SQL Server 2000 的概念和討論同樣適用于 SQL Server 2005 和 SQL Server Express。
每一個 SQL Server 2000 實例或 MSDE 2000 實例都可以配置為偵聽一組特定的網絡協議和地址。如果某一實例不需要SQL Server網絡連接,則關閉不用的網絡支持可減少該實例的安全依賴性。您可以通過將該實例配置為不偵聽任何網絡協議來做到這一點。一般來說,您只應對作為本地數據存儲運行的 SQL Server 2000 版本進行這樣的配置:
SQL Server 2000 Personal Edition
- 或 -
SQL Server 2000 Desktop Engine (MSDE 2000)
將一個 SQL Server 實例配置為不偵聽網絡協議后,同一計算機上的所有應用程序都將使用共享的內存網絡庫與之進行通信。
關閉網絡協議支持并不意味著網絡協議具有固有的不安全性。任何時候某一程序訪問一項外部資源時,該程序都要獲取有關此外部資源安全性的依賴項,即使此外部資源非常安全也是如此。通過關閉不使用的資源,該程序就可以減少其安全依賴項。
注意:對該實例的所有管理都必須在它所運行的計算機上完成。
當 SQL Server 2000 SP3a 或 MSDE 2000 SP3a 的實例被配置為不偵聽任何網絡協議時,它們將停止在 UDP 端口 1434 上的偵聽。SQL Server 2000 或 MSDE 2000 的早期版本不管配置如何,總是要偵聽 UDP 1434。
如果該實例在“Windows 身份驗證”模式下運行,則此計算機上的 Windows 帳戶之一必須是 SQL Server sysadmin 固定服務器角色的一個成員。如果該實例以混合模式運行,管理員可以使用 sa 帳戶或 SQL Server sysadmin 固定服務器角色中的一個 Windows 帳戶進行登錄。
要使用“SQL Server 2000 服務器網絡”實用工具將一個現有的 SQL Server 2000 或 MSDE 2000 實例配置為不偵聽SQL Server網絡連接,請按照下列步驟操作:
1. 如果在計算機上安裝了 SQL Server 客戶端工具,請打開 Microsoft SQL Server 程序組,然后啟動“服務器網絡”實用工具。如果未安裝 SQL Server 客戶端實用工具,請運行 SQL Server ToolsBinn 文件夾中的 Svrnetcn.exe 文件。通常情況下,不在計算機上安裝 SQL Server 客戶端實用工具的原因是:該計算機只運行 MSDE 2000 實例,而這些實例不向用戶提供使用 SQL Server 客戶端實用工具的許可。
2. 在“常規”選項卡上,選擇“此計算機上的實例”列表框中的 SQL Server 實例的名稱。單擊默認實例的“服務器名”以將其選中,或為任何指定的實例選擇“服務器名/實例名”。
3. 要將 SQL Server 的實例限制為只允許本地連接,請單擊“禁用”,直到“啟用的協議”列表中不再列出任何協議。如果您需要在以后更改此設置以允許遠程連接,請逆向執行此過程并啟用一個或多個協議。
4. 單擊“確定”。
5. 重新啟動 SQL Server 實例,以使所做更改生效。
對于一個當前配置為不支持網絡連接的 SQL Server 2000 實例,您可以使用“SQL Server 2000 服務器網絡”實用工具來啟用到它的網絡連接。
DISABLENETWORKPROTOCOLS 開關
SQL Server 2000 Desktop Engine (MSDE 2000) Service Pack 3 安裝程序引入了一個新的 DISABLENETWORKPROTOCOLS 開關,您可以用它來安裝一個新的未啟用任何SQL Server網絡連接的 MSDE 2000 實例。
對于 SP3,此開關的行為是:如果未指定 DISABLENETWORKPROTOCOLS,該實例將安裝為啟用網絡協議連接。如果您指定 DISABLENETWORKPROTOCOLS=1,將不為該實例啟用任何網絡協議。
在 SP3a 中,對 DISABLENETWORKPROTOCOLS 的行為有兩處更改:
安裝 SP3a 的新實例時的默認行為是禁用網絡協議支持,從而使該實例在默認情況下更加安全。
當升級現有 MSDE 2000 實例時,您可以指定關閉網絡協議支持。
下面的表描述了此行為:
MSDE 2000 SP3a 的全新安裝: 當前設置 用戶指定的網絡協議設置 網絡協議結果 無 禁用 禁用 無 啟用 啟用 無 沒有用戶指定的設置 禁用
升級到 MSDE 2000 SP3a 當前設置 用戶指定的網絡協議設置 網絡協議結果 禁用 禁用 禁用 禁用 啟用 啟用 禁用 沒有用戶指定的設置 禁用 啟用 啟用 啟用 啟用 禁用 禁用 啟用 沒有用戶指定的設置 啟用
注意:在您使用 “/?” 開關運行 MSDE 2000 setup.exe 以列出其支持的開關時,/DISABLENETWORKPROTOCOLS 開關不會列出。
以上的相關內容就是對加強SQL Server網絡連接安全性的介紹,望你能有所收獲。
【編輯推薦】
