《SQL Server 2012数据库应用与开发教程(第三版) 教学课件 ppt 作者 卫 琳 主编 模块11 SQLServer的安全机制》由会员分享,可在线阅读,更多相关《SQL Server 2012数据库应用与开发教程(第三版) 教学课件 ppt 作者 卫 琳 主编 模块11 SQLServer的安全机制(107页珍藏版)》请在金锄头文库上搜索。
1、模块11 SQLServer的安全机制,2,项目七 ,SQL Server的身份验证模式 SQL Server的登录账户的管理 用户的管理 角色管理和权限管理,学习目标,任务11.1 SQL Server 2012安全性概述,安全机制可以分为5个层级。 (1)客户机安全机制 (2)网络传输的安全机制 (3)实例级别安全机制 (4)数据库级别安全机制 (5)对象级别安全机制,11.1.1 SQL Server网络安全基础,4个核心组件为: Secure by design。作为抵御黑客及保护数据的基础,软件需要进行安全设计。 Secure by default。系统管理员不必操心新安装的安全,默
2、认设置即可保证。 Secure in deployment。软件自身应能更新最新的安全补丁,并能协助维护。 Communications。交流最佳实践和不断发展的威胁信息,以使管理员能够主动地保护系统。,用“SQL Server外围应用配置器”工具来启用远程访问。 可以通过如下操作来配置远程访问,启用远程访问连接。 (1)从“开始”菜单中选择“所有程序”|“Microsoft SQL Server 2012”|SQL Server Management Studio命令,启动SSMS。 (2)在“连接到服务器”对话框中,指定属性值,单击“连接”按钮。 (3)右击服务器节点,从弹出的快捷菜单中选
3、择“方面”命令。 (4)在打开的“查看方面”对话框中,选择“外围应用配置器”选项。,11.1.2 SQL Server 2012安全性体系结构,其功能结构基于三个基本实体: (1)主体:安全帐户。 (2)安全对象:要保护的对象。 (3)权限:为主体访问安全对象所提供的权限。,安全对象,Server 角色,SQL Server 登录,Windows 组,域用户账户,本地用户账户,用户,数据库角色,应用程序角色,组,SQL Server,数据库,Windows,文件,密钥,服务器,架构,数据库,安全对象,权限,主体,SQL Server 2012 权限,Server 角色,SQL Server 登
4、录,Windows 组,域用户账户,本地用户账户,用户,数据库角色,应用程序角色,组,SQL Server,数据库,Windows,文件,密钥,CREATE ALTER DROP CONTROL CONNECT SELECT EXECUTE UPDATE DELETE INSERT TAKE OWNERSHIP VIEW DEFINITION BACKUP,授予/撤销/拒绝,ACL,服务器,架构,数据库,安全对象,权限,主体,Windows 身份验证模式 用户由 Windows 授权,适用于当数据库仅在组织内部访问时。 通过登录而被授予 SQL Server 的访问权 混合身份验证模式 用户通
5、过一个受信任连接连接到 SQL Server 并使用 Windows 身份验证来访问 SQL Server 适用于当外界的用户需要访问数据库时或当用户不能使用WINDOWS域时。,SQL Server 身份验证模式,1Windows 身份验证模式 当使用Windows身份验证连接到SQL Server时, Microsoft Windows将完全负责对客户端进行身份验证。 在这种情况下,将按其Windows用户账户来识别客户端。 当用户通过Windows用户账户进行连接时,SQL Server使用Windows操作系统中的信息验证账户名和密码,这是SQL Server默认的身份验证模式,比混合
6、模式安全的多。,2混合身份验证模式 混合验证模式允许以SQL Server身份验证模式或者Windows身份验证模式来进行验证。 使用哪个模式取决于在最初的通信时使用的网络库。 如果一个用户使用TCP/IP Sockets进行登录验证,则使用SQL Server身份验证模式;如果用户使用命名管道,则登录时将使用Windows验证模式。 这种模式能更好地适应用户的各种环境。,设置身份验证模式,通过图形化界面设置身份验证模式 第步 :打开SQL Server Management studio,使用WINDOWS或SQL SERVER身份验证建立连接。 第2步:对象资源管理器-服务器右击-属性-服
7、务器属性 第3步: 选择安全性-在此设置身份验证模式,说明:服务器重启后,设置才生效,2. 理解架构,SQL Server架构是数据库中的逻辑名称空间。DBA可以使用架构来组织数据库存储的大量对象和赋予这些对象的权限。架构是安全对象的集合,其本身也是一个安全对象。 当数据库开发人员创建一个对象(如表或过程),这个对象就关联到一个数据库架构。默认情况下,每个数据库包含一个dbo架构。必要时,DBA可以创建其他架构。在数据库应用中,架构提供三种功能。 (1)组织 (2)分解 (3)权限层次,要在SSMS中创建架构,执行下列步骤: 1)打开SSMS并连接到要求的服务器实例。 2)打开“数据库”文件夹
8、,然后打开要新建架构的数据库的文件夹。 3)打开“安全性”文件夹和“架构”子文件夹,以显示架构列表。列表中应该有dbo和sys等架构。 4)右击“架构”文件夹,从快捷菜单中选择“新建架构”。结果对话框会提供一个文本框,可以用这个文本框来命名架构和提供架构的所有者。本章将在后面讨论架构所有权。 5)单击“确定”按钮来创建架构。,3. 主体,“主体(Principal)”是可以请求SQL Server资源的实体(entity)-Principals are entities that can request SQL Server resources。与SQL Server授权模型(authoriz
9、ation model)的其他组件一样,主体也可以按层次结构排列。主体的影响范围取决于主体的定义范围(Windows、服务器或数据库)以及主体是否不可分或是一个集合。例如,Windows登录名就是一个不可分主体,而Windows组则是一个集合主体。每个主体都具有一个安全标识符(SID)。 (1)Windows级的主体 (2)SQL Server级的主体 (3)数据库级的主体 (4)特殊主体,4. SQL Server安全对象,1. 服务器(server)作用范围安全对象 一些安全对象存在于服务器作用范围。这些安全对象的权限只能赋予服务器级主体。这一安全对象作用范围包含下面的对象。 (1) 端点
10、(Endpoint) (2) 登录名(Login) (3) 服务器角色(Server role) (4) 数据库(Database) 2. 数据库(database)作用范围安全对象 3. 架构作用范围安全对象,5. 权限,6. 权限层次结构(数据库引擎),11.1.3 SQL Server 2012安全机制的总体策略,(1)远程网络主机通过Internet访问SQL Server 2012服务器所在的网络,这由网络环境提供某种保护机制。 (2)网络中的主机访问SQL Server 2012服务器,首先要求对SQL Server进行正确配置,其内容将在下一节中介绍;其次是要求拥有对SQL Se
11、rver 2012实例的访问权 登录名,其内容将要在11.2.1小节中介绍。 (3)访问SQL Server 2012数据库,这要求拥有对SQL Server 2012数据库的访问权数据库用户,其内容将要在11.2.2小节中介绍。 (4)访问SQL Server 2012数据库中的表和列,这要求拥有对表和列的访问权 权限,其内容将要在11.6节中介绍。,任务11.2 管理用户,11.2.1 管理对SQL Server实例的访问 针对SQL Server实例访问,SQL Server 2012支持两种身份验证模式:Windows身份验证模式和混合身份验证模式。 在Windows身份验证模式下,S
12、QL Server依靠操作系统来认证请求SQL Server实例的用户。由于已经通过了Windows的认证,因此用户不需要在连接字符串中提供任何认证信息。 在混合身份验证模式下,用户既可以使用Windows身份验证模式,也可以使用SQL Server身份验证模式来连接SQL Server。在后一种情况下,SQL Server根据现有的SQL Server登录名来验证用户的凭据。使用SQL Server身份验证需要用户在连接字符串中提供连接SQL Server 的用户名和密码。,1. 设置SQL Server服务器身份验证模式 可以通过如下步骤在SQL Server Management Stu
13、dio中设置身份验证模式。 (1)在“开始”菜单中选择“所有程序”|“Microsoft SQL Server 2012”|“SQL Server Management Studio”命令,打开“连接到服务器”对话框,如图11-9所示。 (2)在“连接到服务器”对话框中,“身份验证”选择“Windows身份验证”,单击“连接”按钮,连接到服务器,如图11-10所示。 (3)在“对象资源管理器”中,在SQL Server实例名上单击鼠标右键,从弹出的快捷菜单中选择“属性”命令,打开“服务器属性”对话框,如图11-11所示。 (4)在左边的“选择页”列表框中,选择“安全性”选项,打开“安全性”选项
14、页,如图11-12所示。 (5)在“服务器身份验证”选项区中设置身份验证模式,如图11-12所示。更改身份验证模式后,需要重新启动SQL Server实例才能使其生效。,2. 授权Windows用户及组连接到SQL Server实例,为Windows用户或者Windows组创建登录名,以允许这些用户连接到SQL Server。默认情况下,只有本地Windows系统管理员组的成员和启动SQL服务的帐户才能访问SQL Server。 注意,可以删除本地系统管理员组对SQL Server的访问权限。 可以通过指令或者通过SQL Server Management Studio来创建登录名,以便授权用
15、户对SQL Server实例的访问。下面的代码将授权Windows域用户ADMINMAINMaryLogin对SQL Server实例的访问: CREATE LOGIN ADMINMAINMaryLogin FROM WINDOWS;,3. 授权SQL Server登录名,在混合身份验证模式下,可以创建并管理SQL Server登录名。 (1)创建并管理SQL Server身份验证模式的登录名 创建SQL Server登录名时,要为登录名设置一个密码。当用户连接到SQL Server实例时必须提供密码。创建SQL Server登录名时,可以为其指定一个默认的数据库和一种默认语言。当应用程序连接
16、到SQL Server但没有指定连接到哪个数据库和使用何种语言时,SQL Server将为这个连接使用登录名的默认属性。,首先,考虑用WINDOWS本地账户登录SQL SERVER,1.先在WINDOWS中建立本地账户,1.创建windows登录帐号 命令: create login 计算机名用户名 from windows with default_database=用户数据库,添加为db_owner成员 Use 用户数据库 go exec sp_addrolemember db_owner, 计算机名用户名,create login pc3hb81mary from windows,开始-控制面板-管理工具-计算机管理(本地用户和组),开始-设置-控制面板-用户账号,使用组学校教务处中的成员进行登录、 使用不在该组的用户进行登录 使用Administrator重新登录Windows系统,11.2.2 管理对SQL S
