SQL Server 2008 安全性概述

核心提示： 由于默认情形下 SQL Server 中的 XML Web 服务使用 HTTP 和80端口，因此大多数防火墙都允许流量通过，SQL Server 2008 安全性概述(8)，但是，不受保护的端点其实是潜在的攻击载体，必须通过 HTTP.sys 以及作为 Windows Support To

由于默认情形下 SQL Server 中的 XML Web 服务使用 HTTP 和80端口，因此大多数防火墙都允许流量通过。但是，不受保护的端点其实是潜在的攻击载体，必须对其施加保护，因此 SQL Server 提供了强大的验证和授权机制。默认情形下，SQL Server 没有任何端点，用户必须拥有高级权限，以创建、更改及启用 HTTP 端点。

SQLServer2008 提供了五种不同的验证类型，与 IIS 用于网站验证的方法类似。

Basic 验证

基本验证是 HTTP 1.1 协议的一部分，它以base-64编码的明文传送登录凭证。凭证必须映射到 Windows 登录，然后 SQL Server 利用该凭证授权给对数据库资源的访问。如果使用 Basic 验证，就无法将 PORTS 自变量设为 CLEAR，反之必须将其设为 SSL，并通过 SSL 利用数字证书加密与客户端软件的通信。

Digest 验证

Digest 验证也是 HTTP 1.1 的一部分。在将凭证发送给服务器之前，它利用 MD5 对凭证进行杂散化，这样就无法通过电线发送它们，即使采用加密形式也是如此。凭证必须映射到有效的 Windows 域帐户，且不能使用本地的用户帐户。

NTLM 验证

NTLM 使用的是挑战响应协议，该协议最初是在Microsoft WindowsNT® 中最先得到应用的，自此之后得到了 Windows 所有版本客户端和服务器的支持。当客户端和服务器都使用 Windows 系统时，它提供了安全验证机制，而且需要有效的域帐户。

Kerberos 验证

Kerberos 验证是 Windows2000 及更新版本才有的特性，它以许多操作系统中都有的行业标准协议为基础。它允许执行相互验证，其中客户端和服务器都有理由相信对方的身份，并提供高级别的验证形式。为利用 Windows Server2003 中的 Kerberos 特性，必须通过 HTTP.sys 以及作为 Windows Support Toos 一部分的 SetSPN.exe 实用工具，注册 Kerberos Service Principal Name（Kerberos 服务主体名，SPN）。