MSSQL SA权限：安全特权保护你的系统

1. MSSQL SA权限

MSSQL SA（SQL Server Authentication），是在MSSQL中最高权限管理员账户，它类似于Windows系统中的Administrator账户。SA权限可以让管理员对所有的数据库、表、视图、存储过程等数据库对象具有完全控制权限，可以执行任何级别的操作和更改数据库、表或存储过程。但是，SA权限也带来了一定的安全风险。

1.1 SA权限的风险

SA权限可以从许多方面给黑客提供入口。

首先，SA权限的账户可以访问所有数据库，包括系统数据库，而系统数据库包含着MSSQL Server的所有运行与维护的程序、参数和配置信息，若黑客获取到SA权限的账户，并在不经意间将其密钥泄露，则可以对所有的数据库发起攻击。

其次，如果SA权限的密码过于简单，如弱口令（密码长度不足、纯数字或字母等）时，黑客可以通过暴力破解等手段获得SA权限账户，并实施恶意攻击。

1.2 如何保护SA权限

为了保护系统安全，建议对SA权限进行必要的保护措施。

1.2.1 修改SA权限的默认登录名

首先，可以将SA权限的默认登录名“sa”修改为其他名称（比如其他随机字符或字符串）。

USE master; 

GO 
ALTER LOGIN sa WITH NAME = [new_login_name];
GO

这样，即使黑客获取了默认的SA权限登录名，也无法登录到系统中。

1.2.2 修改SA权限密码

其次，为了防止弱口令，可以采用强密码策略，建议配置密码复杂度，并定期更换密码。

USE master; 

GO 
ALTER LOGIN sa WITH PASSWORD = 'NewStrongPassword1234'; 
GO

此时，SA权限的密码已被更改为“NewStrongPassword1234”。

1.2.3 将SA权限权限拆分成不同的数据库角色

为了降低被入侵的风险，我们可以将SA权限的权限拆分成不同的数据库角色，并将这些角色授予其他管理员账户。这样，即使某个管理员账户被攻击成功，黑客也无法获得全部权限。

USE [master]; 

GO 
CREATE ROLE db_securityadmin; 
GRANT ALTER ANY LOGIN TO db_securityadmin; 
-- 添加其他角色
GO 
ALTER SERVER ROLE sysadmin ADD MEMBER db_securityadmin;

此时，创建了一个名为db_securityadmin的数据库角色，并将ALTER ANY LOGIN的权限授予该角色，最后将该角色添加到sysadmin角色中。

1.2.4 禁用SA账户

最后，为了进一步加强系统安全，可以完全禁用SA账户，这样_SA账户将无法登录到MSSQL Server。

ALTER LOGIN sa DISABLE;

GO

当需要使用SA账户进行维护时，可以重新启用该账户：

ALTER LOGIN sa ENABLE;

2. 安全特权保护你的系统

安全特权是MSSQL中的一个安全特性，它是一种授权机制，用于限制SA权限的使用。它可以让数据库管理员限制系统管理员的权限，而不是总是使用SA权限登录到系统中。

2.1 如何启用安全特权

安全特权可以通过以下步骤在MSSQL Server上启用：

1.在MSSQL Server上创建一个sysadmin账户，用于授予其他管理员账户的特权。

USE [master]; 

GO 
-- 创建sysadmin账户
CREATE LOGIN [sysadmin_user] WITH PASSWORD = 'password'; 
GO 
ALTER SERVER ROLE sysadmin ADD MEMBER [sysadmin_user];

2.授予sysadmin账户与安全特权相关的服务器和数据库级别权限。

USE [master]; 

GO 
-- 授予sysadmin账户与安全特权相关的服务器和数据库级别权限
GRANT ALTER ANY CREDENTIAL TO [sysadmin_user]; 
GRANT VIEW SERVER STATE TO [sysadmin_user]; 
GRANT CREATE ANY DATABASE TO [sysadmin_user]; 
GRANT EXECUTE ON xp_readerrorlog TO [sysadmin_user]; 
GO

3.在MSSQL Server中启用安全特权。

USE [master]; 

GO 
-- 启用安全特权
EXEC sp_configure 'show advanced options', 1; 
GO 
RECONFIGURE; 
GO 
EXEC sp_configure 'scan for startup procs', 1; 
GO 
RECONFIGURE; 
GO

2.2 安全特权的优点

安全特权可以为MSSQL Server提供以下优点：

1. SA账户被禁用后，数据库管理员仍然可以执行系统级别的任务。

2.数据库管理员可以按需授予其他管理员账户需要的权限。这样，即使某个管理员账户被攻击，黑客也无法获取太多的权限。

3. 安全特权可以帮助数据库管理员更好地保护数据库，并且可以与其他安全特性（如登录密码策略、数据加密等）相结合，共同为数据库提供更强的安全性。

2.3 注意事项

在启用安全特权时，请注意以下事项：

1.安全特权与其他安全特性配合使用时可能存在问题。在启用安全特权之前，请确保您已了解所使用的其他安全特性。

2. 如果禁用SA账户，则非sysadmin账户无法完成部分管理任务。

3. 安全特权并不是默认开启的，需要手动开启。同时，安全特权仅适用于MSSQL Server 2005以上版本，低版本的MSSQL Server不支持安全特权机制。

3. 总结

MSSQL SA权限是MSSQL中最高权限管理员账户，给管理员带来了方便操作的同时，也带来了一定的安全风险。为了保护SA权限，可以采取措施如修改默认登录名、修改密码、拆分权限等。另外，通过启用安全特权，可以为MSSQL Server提供更好的安全保障，避免使用SA权限，更好地保护数据库。