1. 前言
MS SQL Server作为一款广受欢迎的关系型数据库管理系统,为了保障数据的安全性,在登录方面设置了许多的保护措施。但有时候这些保护措施也会给我们的使用带来一定的不便。本文介绍一些MSSQL快速和安全登录的技巧,帮助用户更高效、更安全地使用MSSSQL。
2. Windows认证模式登录
Windows认证模式是MSSQL Server的默认身份验证方式。采用此方式,用户在MSSQL Server的安装主机上建立Windows域账户,然后通过Windows身份认证方式验证登录。
2.1 Windows认证模式的优点
优点1:Windows认证方式避免了密码的传输,因此提高了系统的安全性。
优点2:用户可以使用Active Directory域账号管理的统一账户系统,减少了管理员为MSSQL Server和Windows账户系统分别授权的工作量。
优点3:Windows账户系统可以通过应用组原则、安全策略等集中管控,遵循这种方式的话,可以提高对账户的管理效果。
2.2 Windows认证模式的缺点
缺点1:没有对Windows域账户限制时,MSSQL Server可以被任何Windows主机上所有账户所连接,因此需要在MSSQL Server本地设置对于角色的限制,在SSMS工具中添加Windows账号,限制登录账号的权限。
缺点2:Windows认证方式在跨不同域环境或者本地用户不参与域账户系统的情况下,可能会造成部分账户无法登录的状态。
3. SQL Server身份验证模式
SQL Server身份验证方式除了依赖Windows域控制器外,还提供了自定义密码账户管理模式。使用该方式在SQL Server中增加登录账户即可实现登录操作。
3.1 SQL Server身份验证方式的优点
优点1:SQL Server身份验证方式独立于Windows域控制器,提高了独立性,便于在跨域环境的登录管理中应用。
优点2:当系统做得足够安全时,该方式可以是有效的登录方式,也不会增加过多的安全风险。
优点3:SQL Server身份验证方式可以支持SQL Server独立于Windows安装,方便使用。
3.2 SQL Server身份验证方式的缺点
缺点1:该方式的安全性取决于登录账户密码的复杂性,因此需要用户采取一些安全措施,例如规定密码复杂度。
缺点2:既解决了新用户的登录问题,也增加了管理密码的复杂度,密码的重置和同步需要合理的安全策略和用户口令复杂变化策略。更多信息,请参见本地安全策略。
4. 禁止登录sa账户
在MSSQL Server中,sa账户拥有超级管理员权限,可以对所有数据库进行读取、写入、删除等操作。然而,任何人都可以使用sa账户密码来访问MSSQL Server,因此非常不安全,需要禁止sa账户的登录。
4.1 禁止sa账户的优点
优点1:禁止sa账户的登录增加MSSQL Server的安全性,防止黑客利用sa账户进行攻击。
优点2:sa账户的禁用过程并不会影响数据库功能的使用,可以放心操作。
4.2 禁止sa账户的方法
采用别的管理员权限账户进行登录管理服务,禁用默认情况下开启的sa登录方式。实行SQL Server身份验证方式和限制Windows认证模式账户登录的IP地址范围,减少系统的安全风险。
-- 禁用sa账户登录
USE master;
GO
ALTER LOGIN sa DISABLE;
注意:考虑到系统遇到紧急状况或重要修复时,在这些情况下,我们需要启用sa账户进行登录服务。
5. 检查强密码策略
强密码策略是指在企业信息安全管理系统中,我们应该对于MSSQL Server密码策略进行合理化设置,增加系统的安全性,并且不会影响到SQL Server运行效果。
5.1 强密码策略的优点
优点1:目前绝大部分的账户系统中都采用密码策略,因此也合理适用在MSSQL Server中。
优点2:强密码策略可以有效阻止暴力破解,从而增加系统的安全性。
5.2 强密码策略的方法
步骤1:在SSMS中,点击“安全性”菜单下的“登录”的选项,在右键菜单中单击“新建登录”,新建一个授权登录。
步骤2:设计一个强密码,使用大小写字母、数字和标点符号,密码长度应该超出8位。
步骤3:在“通用”选项卡下,配置强密码策略参数:
会计历:永不过期。
默认数据库:MSSQL默认数据库。
默认语言:SQL Server默认语言。
强制设置密码:已选中。
密码策略:强制执行MSSQL Server2016密码策略,包括密码复杂性、锁定错误的登录尝试、密码过期检查和修改间隔上限。
证书:不选中
MS-SQL注册:当登录系统时,你可以选择连接的服务器。
步骤4:完成相应配置后正常创建账户即可。
6. 使用4位主机名登录
当MSSQL Server被安装在整个企业内的一组服务器中时,可以使用短的4个字母主机名称,而不是完整的名称,在维护账户防止数据泄漏和攻击的情况下增加方便操作。
6.1 使用4位主机名登录的优点
优点1:使用短4位主机名称登录,减少因为长期密码忘记或者因为易于遗忘导致无法登陆的问题
优点2:使用短4位主机名称登录,避免密码输入错误给架构带来的负面影响。
6.2 使用4位主机名登录的方法
对于某台MSSQL Server主机的IP地址是:10.0.0.9,主机名为MS-DBSRV,在目标机器上打开SQL Server管理工具(SSMS)。
-- 先在SQL Server管理工具(SSMS)中通过SQL语句配置4位主机名
select (select replace(hostname,'\','.')+'-MSDBSRV') from sys.dm_exec_sessions where session_id=@@spid;
然后在弹出界面中进行首次连接,并勾选“使用本机凭据”,输入主机名,并尝试创建账户。
7. 使用IP地址登录
以IP地址作为数据库服务器登录IP是另一种快速和安全的登录方式。IP地址是网络上唯一的标识符,因此具有比主机名更好的唯一性。
7.1 使用IP地址登录的优点
优点1:IP地址是网络上唯一的标识符,使用IP地址登录时可以减少可能出现的重名主机等问题。
优点2:使用IP地址登录可以访问到其他需要认证的账户。
7.2 使用IP地址登录的方法
先在SQL Server准备好IP地址:
use master;
GO
sp_configure 'show advanced options',1;
GO
reconfigure;
GO
sp_configure 'network packet size',4096;
GO
reconfigure;
GO
sp_configure 'max degree of parallelism',8;
GO
reconfigure;
GO
sp_configure 'remote login timeout',45;
GO
reconfigure;
GO
sp_configure 'remote query timeout',1200;
GO
reconfigure;
GO
sp_configure 'backup compression default',1;
GO
reconfigure;
GO
sp_configure 'max server memory',128;
GO
reconfigure;
完成配置后,在SSMS中,选择IP地址登录方式,依次输入IP地址、用户名和密码。
8. 采用Windows PowerShell脚本方式
本操作以Windows PowerShell的脚本方式来启动MSSQL Server
8.1 采用Windows PowerShell脚本启动MSSQL Server的优点
优点1:在一些需要频繁操作及批量操作时,采用PowerShell脚本可以优化运维工作,提高工作效率。
优点2:PowerShell脚本可以对目标服务器实现控制、状态查询、服务启停,易操作、易调试、易部署。
优点3:通过PowerShell脚本方式启动MSSQL Server还可以实现集成、自动化的操作,节省管理员上线查看日志文件的时间和人力成本。
8.2 采用Windows PowerShell脚本启动MSSQL Server的缺点
缺点1:利用PowerShell脚本操作,因为涉及到数据库服务器的重启和停止操作,需要非常谨慎,避免造成数据库的数据丢失和系统崩溃等问题。
8.3 采用Windows PowerShell脚本启动MSSQL Server的方法
1. 在MSSQL Server安装目录下找到启动脚本。
cd "C:\Program Files\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Binn"
.\sqlservr.exe
2. 根据IP地址连接MSSQL Server。
$ip="10.100.20.180";
$password="123456";
$username="sa";
$sqlQuery = "SELECT @@VERSION\";
Invoke-Sqlcmd -ServerInstance $ip -Username $username -Password $password -Query $sqlQuery;
9. 小结
以上就是MSSQL Server快速和安全登录技巧的介绍,针对企业的不同需求,可以采用不同的登录方式和操作技巧,从而提高企业信息化程度和数据安全方面的需求。