数据库的出厂设置和薄弱的配置让攻击者更容易攻入数据存储，让IT更难以快速检测数据泄露。尽管企业花了很多钱在IT基础设施的各个层次部署数据防御措施，但最终这些努力可能在配置不当的数据库中毁于一旦。无论是因为方便管理员还是数据库管理员缺乏安全意识，企业内经常可以看到数据库仍然采用出厂设置。

    这些默认的配置很容易被消息灵通的数据窃贼获取。当攻击者访问到登录屏幕时，他们首先会尝试使用默认账户登录信息。当他们发现存储在数据库的密钥时，他们会如获至宝。

    GreenSQL公司首席技术官兼创始人David Maman表示，“唯一可以使用默认配置的是你的TIVO或者电视，IT世界的任何位置都最好不好使用默认配置，尤其是数据库。数据库硬化是至关重要的。”

    成也数据库，败也数据库，数据库配置如果设置得当，将可以保护数据存储，反之，将让数据面临数据泄露的风险。安全专家建议企业仔细检查所有的数据库默认设置，以下几个默认设置将构成最大风险：

    1. 默认的密码和帐户

    Accuvant实验室首席安全架构师David Litchfield表示：“不安全的密码绝对是最致命的数据库服务器配置问题。”

    我们看到各种围绕身份验证和账户凭证的配置问题，但到目前为止，最危险和最普遍的是允许默认管理用户名和密码继续使用。

    eIQnetworks公司首席安全和合规官John Linkous表示，“攻击者和恶意软件会故意针对已知的登录信息，更改共同账户名称或者其他管理默认账户，并为这些账户使用复杂的密码，将为数据库增加一个安全层。”

    此外，允许匿名登录的默认配置是另一个危险的权限设置。

    “攻击者经常使用分析工具来查找允许匿名登录的数据库，然后确定数据库和其他信息，”ExtraHop Networks公司高级技术培训师Cal Jewell表示，“然后他们使用这些信息来发动攻击，以帮助他们获得更多的访问权限。”

    同样地，共享服务账户可能会带来很大风险，因为它们难以被监控，并且经常在数据库内提供相当大的权限。

    2. 允许直接表访问

    Infusions Brands公司电子商务副总裁Ron Rule表示，让企业陷入困境的头号数据库配置问题是允许直接表访问。

    Rule表示，让你的应用程序可以自己生成SELECT/UPDATE/INSERT/DELETE语句，并直接访问表时，你的数据很容易被泄露。