數據庫的出廠設置和薄弱的配置讓攻擊者更容易攻入數據存儲，讓IT更難以快速檢測數據泄露。盡管企業花了很多錢在IT基礎設施的各個層次部署數據防御措施，但最終這些努力可能在配置不當的數據庫中毀于一旦。無論是因為方便管理員還是數據庫管理員缺乏安全意識，企業內經?？梢钥吹綌祿烊匀徊捎贸鰪S設置。

這些默認的配置很容易被消息靈通的數據竊賊獲取。當攻擊者訪問到登錄屏幕時，他們首先會嘗試使用默認賬戶登錄信息。當他們發現存儲在數據庫的密鑰時，他們會如獲至寶。

GreenSQL公司首席技術官兼創始人David Maman表示，“唯一可以使用默認配置的是你的TIVO或者電視，IT世界的任何位置都最好不好使用默認配置，尤其是數據庫。數據庫硬化是至關重要的。”

成也數據庫，敗也數據庫，數據庫配置如果設置得當，將可以保護數據存儲，反之，將讓數據面臨數據泄露的風險。安全專家建議企業仔細檢查所有的數據庫默認設置，以下幾個默認設置將構成最大風險：

1. 默認的密碼和帳戶

Accuvant實驗室首席安全架構師David Litchfield表示：“不安全的密碼絕對是最致命的數據庫服務器配置問題。”

我們看到各種圍繞身份驗證和賬戶憑證的配置問題，但到目前為止，最危險和最普遍的是允許默認管理用戶名和密碼繼續使用。

eIQnetworks公司首席安全和合規官John Linkous表示，“攻擊者和惡意軟件會故意針對已知的登錄信息，更改共同賬戶名稱或者其他管理默認賬戶，并為這些賬戶使用復雜的密碼，將為數據庫增加一個安全層。”

此外，允許匿名登錄的默認配置是另一個危險的權限設置。

“攻擊者經常使用分析工具來查找允許匿名登錄的數據庫，然后確定數據庫和其他信息，”ExtraHop Networks公司高級技術培訓師Cal Jewell表示，“然后他們使用這些信息來發動攻擊，以幫助他們獲得更多的訪問權限。”

同樣地，共享服務賬戶可能會帶來很大風險，因為它們難以被監控，并且經常在數據庫內提供相當大的權限。

2. 允許直接表訪問

Infusions Brands公司電子商務副總裁Ron Rule表示，讓企業陷入困境的頭號數據庫配置問題是允許直接表訪問。

Rule表示，讓你的應用程序可以自己生成SELECT/UPDATE/INSERT/DELETE語句，并直接訪問表時，你的數據很容易被泄露。

在這種情況下，最佳保護措施之一就是在開發過程中通過存儲過程創建一個訪問緩沖區。

他表示：“讓你的應用程序只能執行這些存儲過程，然后授予用戶權限來訪問這些存儲過程，而拒絕直接對表的訪問。”

3.保留默認存儲過程

然而，存儲過程并不一定是一件好事。在很多情況下，執行常見任務(例如添加用戶)的出廠存儲過程其實一個很大的漏洞。

如果落入壞人的手中，一些出廠存儲過程將被濫用。他表示，“微軟SQL服務器的‘xp_cmdshell’就是一個這樣的例子：一個允許任意命令行的SP將被執行，即使該命令在SQL服務器范圍外運行。”

他建議企業密切關注默認存儲過程，要么完全禁止它們，要么刪除它們。

4.加密密鑰存儲在數據中心

Vormetric公司產品營銷高級總監Todd Thiemann表示，如果執行得當，數據庫加密可以增加有效的安全保護層。但糟糕的配置將讓數據庫供應商提供的透明數據加密(TDE)失效。

“將TDE密鑰存儲到數據庫的默認方法就像是將鑰匙放在門把手上，或者將密碼寫在顯示器上的便條上，”他表示，“企業應該將加密密鑰存儲在不托管該數據庫的服務器上。”

5. 不必要的服務和應用程序

數據庫具有各種支持服務、應用程序和其他組件，以便為盡可能多的用例提供廣泛的功能集。但數據庫的每個增加的組件都增加了潛在攻擊者可以利用的攻擊面。

“大多數數據庫產品提供‘附加’組件，例如報告或分析工具，”Linkous表示，“這些組件可能對整個數據庫系統帶來更多的漏洞，企業應該對不必要的組件進行禁用或者卸載。”

讓事情更糟糕的是，現在很多數據庫都沒有即時修復漏洞。不過，企業通常只需要一小部分功能集就能夠支持任何一個數據庫安裝，這可以幫助降低很大風險。

“在我們的安全部署中，我們經?？吹皆跀祿旆掌鲃倓倶嫿〞r，會安裝盡可能多的組件，以備不時之需，”他表示，“企業只需要有一點點遠期規劃意識，就可以避免很多組件。應用程序開發人員應該明確他們具體需要哪些組件，避免不需要的組件。”