SQL SERVER的安全问题一直是困扰DBA的一个难题95.docVIP

SQL SERVER的安全问题一直是困扰DBA的一个难题，作为开发者和用户希望自己的权限越大越好，最好是sa，而作为DBA希望所有的用户权限越小越好，这总是一对矛盾。一般来说，我们会考虑采用WINDOWS验证模式，建立安全的用户权限，改变SQL SERVER TCP/IP的默认端口...等安全措施，但很多DBA还是忽略了SQL SERVER服务的启动账号，这也是一个非常值得重点关注的问题。特别是SQL SERVER提供了许多操作系统和注册表扩展存储过程，比如：xp_cmdshell, xp_regdeletekey, xp_regdeletevalue 等等。　　　　我们先来回顾一下SQL SERVER执行这些扩展存储过程的步骤。SQL SERVER提供的扩展存储过程使你可以向T-SQL一样调用一些动态链接库的内部函数逻辑，而且这些扩展存储过程可以包括WIN32和COM的大多数功能。　　　　当关系数据库引擎确定 Transact-SQL语句引用扩展存储过程时：　　　　关系数据库引擎将扩展存储过程请求传递到开放式数据服务层。　　　　然后开放式数据服务将包含扩展存储过程函数的 DLL 装载到 SQL Server 2000 地址空间（如果还没有装载）。　　　　开放式数据服务将请求传递到扩展存储过程。　　　　开放式数据服务将操作结果传递到数据库引擎。　　　[img]/upl