5. 集成身份验证改进

　　在以往的SQL Server 2005中仅TCP/IP支持Kerberos，而且要使用Kerberos对连接进行相互身份验证，必须在 Active Directory中注册SQL Server实例的服务主体名称 (SPN)，并且客户端驱动程序必须在连接时提供已注册的SPN。在SQL Server 2008 R2中，Kerberos 身份验证已扩展到所有网络协议，包括TCP、命名管道、共享内存和虚拟接口适配器(VIA)。默认情况下，客户端驱动程序会自动推断出所连接SQL Server实例的正确 SPN,不再需要在活动目录中注册SPN就可以支持Kerberos。还可在连接字符串参数中显式指定SPN，以提供更好的安全性、控制和故障排除功能。

　　6. 基于策略的管理

　　SQL Server 2008 R2增加了基于策略的管理方式，可以将策略应用于单个数据库、单个SQL Server实例或所管理的所有SQL Server，通过基于策略的管理，可检测SQL Server配置选项和安全设置是否合法，对于某些安全设置还可创建策略来检测不合规则的数据库服务器，并采取措施使其合法有效。在SQL Server 2008 R2中默认禁用了许多不必要的功能，以最小化受攻击的可能，基于策略的管理可以有选择性的启用所需的任何功能，将相关属性归纳成组，并将其放到成为层面的组件中，如，外围应用配置器层面包含用于远程查询、CLR集成、数据库邮件、OLE自动化、远程DAC、Web助手和xp_cmdshell的属性，可以创建策略来启用CLR集成但禁用其他功能。

　　层面强制执行设置的能力各有不同，具体取决于其相关 DDL 语句能否在非自动提交模式下运行。有时，层面可强制在数据库引擎实例上实施某个配置设置，但管理员仍可重新配置设置。有些层面可通过服务器触发器来强制实施——从而可以防止低权限用户更改设置，并降低管理员意外地更改设置的机率。此时，管理员必须先暂时禁用该策略，然后才能更改设置。其他一些层面仅报告属性的状态，而无法更改属性。如下图5所示为，检查对称或非对称密钥长度的策略。

　　图5检查对称或非对称密钥长度的策略

　　7. 增强的审核

　　SQL Server 2005中关于审核的功能有：

　　– SQL Trace

　　– DDL/DML Trigger

　　– 利用第三方软件解析日志文件内容

　　– 没有管理工具支持

　　• SQL Server 2008新增了以下特性：

　　– SQL Audit审核作为直接的服务器对象

　　– 有DDL支持审核的配置和管理

　　– 支持安全性

　　SQL Server Audit 还比 SQL Server Trace 更快，并且 SQL Server Management Studio 使审核日志的创建和监控变得简单。现在，审核级别更加精细，甚至可以捕获单个用户的 SELECT、INSERT、UPDATE、DELETE、REFERENCES 和 EXECUTE 语句。另外，SQL Server Audit 可通过 T-SQL 语句 CREATE SERVER AUDIT 和 CREATE SERVER AUDIT SPECIFICATION 以及相关的 ALTER 和 DROP 语句来实现完全脚本化。

　　SQL Server 2008 R2中可以将审核信息存储在审核日志中，可以写入以下位置：

　　– 文件

　　– Windows应用程序日志

　　– Windows安全日志

　　为了写到Windows安全日志中去，SQL Server 安全必须被配置为作为本地系统、本地服务、网络服务或一个具有SeAuditPrivilege权限但不是交互的用户的域帐户来运行。为了创建一个审核对象，必须使用CREATE SERVER AUDIT语句。这个语句定义了一个审核对象，并将它与一个目的地相关联。这个特定的选项习惯于配置一个依赖于审核目的地的审核对象。例如，下面的Transact-SQL代码创建了两个审核对象;一个记录活动到一个文件中，另一个记录活动到Windows应用程序日志中：