如何保护 SQL Server 2005 MDF 文件

如果某人是实例的系统管理员，无论你做什么，他都能够附加mdf。如果你想保护数据免受系统管理员的干扰，有一些技巧可行，但这相当困难。

如果你想防止大多数人（除了数据库所有者和系统管理员）连接到数据库，可以实现基于角色的安全性，在其中你可以定义哪些角色可以对数据库中的数据进行何种操作。你还可以查看应用程序角色，它们可能对你有用。

您可以使用EncryptByPassPhrase加密列中保存的数据。
请参阅使用SQL Server 2005高级安全功能保护数据。
透明数据加密仅在SQL Server 2008中引入：

在SQL Server 2008（仅企业版），引入了一种新的数据库加密形式：透明数据加密（TDE），包括以下主要特点：

•加密整个数据库：只需翻转开关，即可加密MDF文件、LDF文件、快照、tempdb和备份的全部内容。加密是实时进行的，当数据从内存写入磁盘时进行加密，当数据从磁盘读取并移动到内存时进行解密。加密是在数据库级别进行的，因此您可以选择加密尽可能少或尽可能多的数据库。使用TDE加密数据库的主要好处是，如果一个数据库或备份被盗，没有原始加密证书和主密钥就无法将其附加或还原到另一个服务器上。这可以避免那些令人不快的新闻报道中出现的情况，即数据库备份已从一个位置运送到另一个位置并“丢失”，这可能会使公司面临责任问题。

•易于实施和管理：正如其名称所示，透明数据加密对应用程序是透明的。这意味着您不必修改应用程序和数据库架构即可利用TDE。此外，初始设置和密钥管理简单，需要很少的日常维护。

•使用最少的服务器资源来加密数据：虽然实施TDE需要额外的CPU资源，但总体而言，它比列级加密提供更好的性能。根据Microsoft的说法，性能损失平均只有3-5％。