《六章安全管理》由会员分享,可在线阅读,更多相关《六章安全管理(29页珍藏版)》请在金锄头文库上搜索。
1、六章安全管理Stillwatersrundeep.流静水深流静水深,人静心深人静心深Wherethereislife,thereishope。有生命必有希望。有生命必有希望6.1 实施身份验证模式实施身份验证模式u身份验证处理过程身份验证处理过程u选择身份验证模式选择身份验证模式u实施身份验证的步骤实施身份验证的步骤u创建登录帐号创建登录帐号u演示如何建立登录帐号演示如何建立登录帐号身份验证过程sysxloginssysxloginsWindows 2000Windows 2000 Group or UserSQL ServerLogin Accountsysxloginssysxlogins
2、Verifies entry in sysxlogins table;trusts that Windows 2000 has verified passwordVerifies entry in sysxlogins table, and verifiespasswordSQL Server选择身份验证模式uWINDOWS身份验证模式的优点身份验证模式的优点v高级安全特性高级安全特性v能够将组作为单个帐号增加能够将组作为单个帐号增加v访问速度快访问速度快u混合模式的优点混合模式的优点v非非Windows 2000 和和Internet 客户能够通过混客户能够通过混合模式建立连接合模式建立连接
3、实现认证模式步骤Set the Authentication ModeStop and Restart MSSQLServer ServiceCreate Windows 2000 Groups and UsersAuthorize Windows 2000 Groups and Users toAccess SQL ServerCreate SQL Server Login Accounts for Users Who Connectwith Non-Trusted Connections创建login accountu登录帐号存放:登录帐号存放:Master.sysloginsu缺省:缺省
4、:Sa and Builtinadministratorsu用用EM创建登录帐号创建登录帐号u2000 UservSp_grantlogin domainntuser vNo password setv注销注销windows 2000,重新进入,重新进入uSQL UservSp_addlogin sqluser , password vPasswordvEM 断开连接,重新连接断开连接,重新连接练习u配置配置SQL SERVER身份验证模式身份验证模式u授权授权windows 2000组和用户访问组和用户访问SQL SERVER 2000u废除和拒绝废除和拒绝windows 2000组和用户的
5、访问组和用户的访问权限权限6.2 为用户和角色分配登录帐号Northwind.sysusersNorthwind.sysusersuidname0137publicdboINFORMATION_SCHEMApayrollUsers are stored herePermissions are stored hereNorthwind.sysprotectsNorthwind.sysprotectsid1977058079197705807919770580791977058079uid0007action193195196193protecttype205205205205为用户帐号分配登录帐
6、号u在数据库中增加用户在数据库中增加用户vEM:增加用户时选择登录帐号:增加用户时选择登录帐号vsp_grantdbaccessv在创建登录帐号时在创建登录帐号时udbo用户帐号用户帐号uGuest用户帐号用户帐号为角色分配登录帐号u固定服务器角色固定服务器角色u固定数据库角色固定数据库角色u用户自定义数据库角色用户自定义数据库角色u应用角色应用角色固定服务器角色RoleRolePermissionPermission系统管理员系统管理员可以执行任何活动可以执行任何活动数据库创建者数据库创建者创建更改和删除数据库创建更改和删除数据库磁盘管理员磁盘管理员管理磁盘文件管理磁盘文件进程管理员进程管理
7、员管理在管理在 SQL Server 中运行的进程中运行的进程服务器管理员服务器管理员设置服务器范围的配置选项,关闭服务器设置服务器范围的配置选项,关闭服务器安装管理员安装管理员可以安装复制可以安装复制安全管理员安全管理员管理和审计登录帐号管理和审计登录帐号大容量管理员大容量管理员执行执行 BULK INSERT 语句语句固定服务器角色u固定服务器角色具有服务器级别上的管固定服务器角色具有服务器级别上的管理权限,存储在理权限,存储在master.syslogins系统系统标中标中u为固定服务器角色分配登录帐号:为固定服务器角色分配登录帐号:vEM:登录帐号属性:登录帐号属性v系统存储过程:系统
8、存储过程:sp_addsrvrolemembers固定数据库角色RoleRolePermissionPermissionpublicMaintain all default permissionsdb_ownerPerform any database role activitydb_accessadminAdd or remove database users, groups, and rolesdb_ddladminAdd, modify, or drop database objectsdb_security adminAssign statement and object permis
9、sionsdb_backupoperatorBack up databasedb_datareaderRead data from any tabledb_datawriterAdd, change, or delete data from all tablesdb_denydatareaderCannot read data from any tabledb_denydatawriterCannot change data in any table固定数据库角色u为固定服务器角色分配登录帐号:为固定服务器角色分配登录帐号:vEM:登录帐号属性:登录帐号属性v系统存储过程:系统存储过程:sp_
10、addrolemember用户自定义数据库角色u用于组织数据库用户的安全用于组织数据库用户的安全u当一组用户在当一组用户在 SQL Server SQL Server中有中有相同的权限时,可建用户角色相同的权限时,可建用户角色u管理非管理非NTNT用户用户6.3为用户和角色分配许可权限u许可权限类型许可权限类型u授予授予,拒绝和废除许可权限拒绝和废除许可权限v授予权限许可访问授予权限许可访问v拒绝权限禁止访问拒绝权限禁止访问v废除已授予或已拒绝的权限废除已授予或已拒绝的权限许可权限类型PredefinedPredefinedFixed RoleObject OwnerObjectObjectS
11、ELECT INSERTUPDATEDELETEREFERENCESSELECT UPDATEREFERENCESEXECTABLEVIEWCOLUMNSTORED PROCEDUREStatementStatementCREATE DATABASECREATE TABLECREATE VIEWCREATE PROCEDURECREATE RULECREATE DEFAULTCREATE FUNCTIONBACKUP DATABASEBACKUP LOG授予,拒绝,废除许可权限GRANT:Can Perform ActionREVOKE:NeutralDENY:Cannot Perform A
12、ction用户最终获得许可的必要条件1 1、用用户户已已直直接接被被保保证证许许可可或或者者其其已已属属于于某某一一个个角角色色且且该该角角色色已已被被保证许可。保证许可。2 2、没有、没有DENYDENY过用户或其所属的任过用户或其所属的任何一个角色。何一个角色。6.4 管理SQL SERVER的安全性u确定默认登录帐号的使用确定默认登录帐号的使用vsavBUILTINAdministratorsu确定用户帐号确定用户帐号Guest 的职能的职能u确定角色确定角色public的许可权限的许可权限u对角色应用许可权限对角色应用许可权限u创建创建dbo所属的对象所属的对象练习u创建数据库角色并增
13、加成员创建数据库角色并增加成员u分配语句许可权限分配语句许可权限u分配对象许可权限分配对象许可权限6.5 管理应用程序的安全性u利用视图和存储过程管理安利用视图和存储过程管理安全性全性u利用应用角色管理客户应用利用应用角色管理客户应用程序的安全性程序的安全性利用视图和存储过程管理安全性OrdersOrdersOrderID CustomerID EmployeeID102481024910250VINETTOMSPHANAR312 .Microsoft ExcelOrder Entry Application视图和SP的许可机制 u机制机制u视视图图主主要要是是防防止止用用户户访访问问或或修修
14、改改数数据据库库表表中中某某些些敏敏感感列列数数据据。可可以以通通过过赋赋予予用用户户视视图图权权限限(SELECT、UPDATE、INSERT、DELETE),而禁止用户访问底层表,来实现数据安全。而禁止用户访问底层表,来实现数据安全。u存存储储过过程程主主要要是是实实现现数数据据库库的的整整体体一一致致性性,可可以以通通过过赋赋予予用用户户执执行行存存储储过过程程的的权权限限(EXEC),而禁止用户访问底层表或视图,来实现安全。而禁止用户访问底层表或视图,来实现安全。视图和SP的许可机制 u调用链:调用链:视视图图引引用用其其它它的的表表或或视视图图,存存储储过过程程引引用用其其它它的的视
15、视图图、表及存储过程,形成一个调用链。表及存储过程,形成一个调用链。一一般般来来说说,视视图图或或存存储储过过程程的的拥拥有有者者(Owner)也也是是被被引引用用对对象象(表表、视视图图或或其其它它对对象象)的的Owner,并并且且都都属属于于同同一一数数据据库库。视视图图(或或存存储储过过程程)拥拥有有者者只只需需要要将将视视图图对对象象的的许许可可分分配配给给用用户户,用用户户就就能能执执行行该该视视图图,不需要用户具有访问被引用对象的许可。不需要用户具有访问被引用对象的许可。但但是是,如如果果视视图图和和存存储储过过程程引引用用了了别别人人的的对对象象,也也即即所所有有者者不不同同,则
16、则用用户户提提交交T_SQL请请求求时时,SQLServer将检查下列许可:将检查下列许可: 1.执行该视图或存储过程的许可;执行该视图或存储过程的许可; 2. 不同所有者被引用对象的许可不同所有者被引用对象的许可 应用角色OrdersOrdersOrderID CustomerID EmployeeID102481024910250VINETTOMSPHANAR312 .Microsoft ExcelOrder Entry Application应用角色用于应用程序级的安全,不允许用户直接操作表中数据,只能通过定制的应用程序访问 特点: 定义在数据库中,类似于用户定义的数据库角色,可以分配权限 建立时,需提供口令 无成员应用角色许可机制u通过激活通过激活Application RoleApplication Role来获取其权来获取其权限限uApplication RoleApplication Role覆盖用户的其它许可覆盖用户的其它许可u应用的范围是当前数据库应用的范围是当前数据库u一个一个Application RoleApplication Role对应一个应用对应一个应用sp_setApprole应用角色名应用角色名,口令口令 练习 u创建并激活应用程序角色创建并激活应用程序角色u利用视图和存储过程实施许可权限利用视图和存储过程实施许可权限
