SQL Server 2008 安全性概述

核心提示： 这些都是 Trustworthy Computing 技术中 secure by default 特性的一部分，这表示在安装时，SQL Server 2008 安全性概述(4)，SQLServer2008 可利用默认的安全设置集实现开箱即用的安全性，基本数据库服务器不需要的特性并未被安装，

这些都是 Trustworthy Computing 技术中 secure by default 特性的一部分。这表示在安装时，SQLServer2008 可利用默认的安全设置集实现开箱即用的安全性。基本数据库服务器不需要的特性并未被安装，目的是为了减少外围应用。由于默认情形下并未在所有系统中启用所有特性，因此在安装系统镜像时引入了异质性。这一点限制了启用易受潜在攻击的特性的系统数量，因此有助于防御大规模攻击或蠕虫病毒。

Windows Update

在企业中部署SQL Server 之后，就能发现新的威胁和漏洞。Windows Update 旨在确保及时下载并应用能够显著减少特定安全问题的补丁。可以利用 Windows Update 自动应用 SQL Server 2008 补丁，并减少由于已知的软件漏洞所导致的威胁。在大多数企业环境中，应使用 Windows Server Update Service（WSUS）管理补丁在组织内部的分发和更新。

外围应用配置

SQL Server 2008 具有大量特性，其中有许多在安装时处于禁用状态。例如，CLR 集成、数据库镜像、调试、Service Broker 以及邮件功能虽被安装，但未运行且不可用，除非显式地启用或对其进行配置。该设计与 SQL Server “默认保证安全”思路的“减少外围应用”原则保持一致，可以减小攻击表面。如果特性不可用或未被启用，攻击者就不能利用它。

这样做的代价就是，要花些时间搜寻启用特性的所有 Transact-SQL 语句。即使发现sp_configure system 存储过程可以满足很多需要，仍须编写并不直观的如下代码：

sp_configure 'show advanced options', 1
reconfigure with override
sp_configure 'clr enabled', 1


由于配置选项过多，编写此类代码很耗时间，尤其是在组织中部署了多个SQL Server 实例时更是如此。SQL Server 2008 带有基于策略的管理技术，名为Declarative Management Framework （声明管理框架，DMF）。DMF 提供了大量的配置 facet，其中的每一个都定义了一组相关的配置设置或属性。可以利用这些 facet 创建一些为配置选项指定所需设置的“条件”，并将这些条件作为“策略”应用给企业中的 SQL Server 实例。