使用表面區域配置工具保護服務

CISSP公司:Kevin Beaver

在SQL Server 2005中，你可以手工地配置來平衡安全性和功能之間的關系。然而，如果你想要確保你覆蓋了所有的安全基礎范圍，并且只想激活你絕對需要的服務(還有最小化對“表面”的攻擊)，微軟使得這項工作對你而言簡單化了。我說的是SQL Server 表面區域配置工具，這是構建在SQL Server 2005和 SQL Server 2005 Express 版本上的。

你可以通過開始/程序/微軟SQL Server 2005/配置工具，或者簡單的點擊一下表面區域配置工具鏈接(安裝過程中，在如下圖1顯示的最后安裝窗口中)即可訪問表面區域配置了。

Figure 1: 微軟 SQL Server 2005 安裝

一旦啟動了這個工具，你有兩個主要的配置選項，如下圖2所示:

1. 針對服務和連接的表面區域配置。

2. 針對特性的表面區域配置。

Figure 2: SQL Server 2005 表面區域配置

你在本地機器上或者在遠程系統上完成了如下的更改，如果你的默認設置是不允許網絡連接的話，那么這個過程就沒有看上去那么直觀了。默認的是本地主機，但是你可以通過圖3所示的鏈接(更改計算機)選擇一個遠程系統。

Figure 3:針對服務和連接的表面區域配置

針對服務和連接的配置選項允許你管理數據庫引擎和瀏覽器訪問，以及更多的內容，這個根據你的SQL Server的版本而定，還有如下配置頁面上顯示的一個運行SQL Server Express的服務器上的網絡連接。

針對特性的配置選項可以讓你配置服務代理(Service Broker)，xp_cmdshell，以及如下圖所示更多的內容。

Figure 4:針對特性的表面區域配置

還有用來導出硬化的SQL Server 2005配置，以及導入到另一臺服務器的SAC命令行工具，這樣就不需要你重復配置的步驟了。這個工具(sac.exe)是在程序/微軟SQL Server 90共享中，它的命令行開關在如下圖5顯示的位置。

Figure 5:命令行提示

記住，以前的SQL Server版本在升級到SQL Server 2005之后仍然將會保留他們的設置，所以運行表面區域配置工具是必需的。

還有一個更重要的步驟就是啟動你的SQL Server 2005安裝來從一個壞人的視角進行測試。你可以嘗試攻擊SQL Server密碼，查找存儲過程的弱點，將緩沖區溢出，等等。

無論你使用什么樣的工具、技術或者檢測列表來保護你的系統，遇到嚴重的攻擊的可能性還是存在的。微軟的基線安全分析器(MBSA)工具現在還不會刪除它，因為它現在還不支持SQL Server 2005，或者是在未來，因為它不是一個魯棒的安全測試工具。要獲得從外部察看可能存在的安全漏洞的靠得住的方式，就是使用安全測試工具，例如Qualys的 QualysGuard 和 Application Security的AppDetective，以及/或者類似的商業產品。

作者簡介:Kevin Beaver是一位獨立信息安全顧問，作家和位于亞特蘭大的Principle Logic公司的發言人。他有超過18年的IT工作經驗，以及在執行信息安全評估方面的特殊經驗。Beaver已經編寫了5本書，其中包括《Hacking For Dummies》(Wiley出版社)，《Hacking Wireless Networks For Dummies》，以及《The Practical Guide to HIPAA Privacy and Security Compliance》(Auerbach出版社)。你可以通過[email protected]聯系他。

      本文國際來源：http://searchsqlserver.techtarget.com/tip/1,289483,sid87_gci1179692,00.html
(e129)