Любая база, украденная в виде файлов, может быть подключена к другому SQL Server'у, где злоумышленник обладает правами администратора и прочитана на нем. По большому счету SQL Server тут даже не обязателен, т.к. внутри БД (равно как и ее backup'a) данные никак не шифруются, поэтому информацию, записанную в char, varchar и т.д., можно читать, грубо говоря, обычным текстовым viewer'ом. Вопрос, к-й задал Dmitry, можно отнести к более общей категории, когда, напр., спрашивают, что мне делать, чтобы злоумышленник, укравший жесткий диск, ноутбук и т.д., не получил доступ к записанной на нем конфиденциальной информации. Ответ простой - использовать EFS. SQL Server как сервис обычно работает под account'ом его администратора, к-й всегда можно сделать отличным от администратора домена. Ключ криптования вычисляется на основе SID'a пользователя, поэтому сетевой администратор, конечно, сможет удалить файлы БД, но ни поменять, ни прочитать их ему не удастся.
Еще часто задают вопрос: как защитить мою БД от администратора SQL Server. Я встречал в книжках и Интернете много советов на этот счет, порой даже довольно интересных. Тем не менее все они обходятся. Хорошо это или плохо, существующая организация безопасности в SQL Server не позволяет гарантированно защитить какую-либо область данных от его администратора. (Если не прибегать к навескам 3-х фирм, напр., к тому же шифрованию внутри полей, но это неэлегантно и подсаживает произв-ть).