SQLSERVER---安全性.ppt

1,SQL SERVER教程,SQL SERVER 數(shù)據(jù)庫管理系統(tǒng),SQL SERVER教程,2,第六章 安全管理,SQL Server 2005安全架構(gòu) 身份驗(yàn)證模式 登錄管理 用戶管理 角色管理 權(quán)限管理,SQL SERVER教程,3,6.1 SQL Server安全架構(gòu),兩個(gè)安全階段：身份驗(yàn)證和權(quán)限驗(yàn)證 視圖安全機(jī)制 加密方法： 加密機(jī)制：證書、對(duì)稱密鑰、非對(duì)稱密鑰 用戶架構(gòu)分離 安全與加密函數(shù) with encryption子句 審核 SQL Server Profiler(事件跟蹤),SQL SERVER教程,4,6.2 SQL Server的驗(yàn)證模式,Windows身份驗(yàn)證模式 混合身份驗(yàn)證模式(即SQL Server身份驗(yàn)證模式) 設(shè)置驗(yàn)證模式,SQL SERVER教程,5,1 Windows身份驗(yàn)證模式,WINDOWS身份驗(yàn)證模式是指通過Windows用戶帳戶連接到SQL Server，用戶身份由Windows系統(tǒng)驗(yàn)證 優(yōu)點(diǎn)： 高級(jí)安全特性 訪問速度快,SQL SERVER教程,6,2 SQL Server身份驗(yàn)證模式,混合身份驗(yàn)證模式允許用戶使用Windows和SQL Server身份進(jìn)行連接，由SQL Server檢驗(yàn)登錄和密碼的正確性 優(yōu)點(diǎn)： 非Windows客戶、Internet 客戶能夠通過混合模式建立連接 增加了安全性的選擇,SQL SERVER教程,7,3 設(shè)置驗(yàn)證模式,方法一：在“已注冊(cè)的服務(wù)器”選擇服務(wù)器，單擊鼠標(biāo)右鍵，在彈出的菜單上選擇“屬性”項(xiàng)，在“編輯”窗口進(jìn)行設(shè)置。 方法二：在“對(duì)象資源管理器”中，右鍵單擊服務(wù)器，再單擊選擇“屬性”項(xiàng)。在“安全性”頁上的“服務(wù)器身份驗(yàn)證”下進(jìn)行設(shè)置。,SQL SERVER教程,8,身份驗(yàn)證過程,SQL SERVER教程,9,6.3 登錄管理,系統(tǒng)管理員登錄賬號(hào) 使用Management Studio管理登錄帳戶 用T-SQL管理登錄帳戶,SQL SERVER教程,10,1 系統(tǒng)管理員登錄賬號(hào),兩個(gè)默認(rèn)的系統(tǒng)管理員登錄帳號(hào)，可以在服務(wù)器中執(zhí)行任何活動(dòng) sa BUILTINAdministrators(本地管理員組) 注：應(yīng)給sa賬號(hào)指定口令,SQL SERVER教程,11,2 用Management Studio管理登錄賬戶,創(chuàng)建登錄賬戶 查看、修改或刪除登錄帳戶,SQL SERVER教程,12,2 用Management Studio管理登錄賬戶,創(chuàng)建登錄賬戶： 1) 選擇服務(wù)器，展開“安全性”、“登錄名”，并選擇“新建登錄名”，進(jìn)入對(duì)話框。 2) 選擇驗(yàn)證模式，根據(jù)需要輸入帳戶名稱、密碼 3) 單擊“服務(wù)器角色”，查看固定服務(wù)器角色中的成員 4) 單擊“用戶映射”，查看登錄到數(shù)據(jù)庫用戶的映射 5) 最后按“確定”按鈕。,SQL SERVER教程,13,2 用Management Studio管理登錄賬戶,查看、修改登錄賬戶： 1) 選擇服務(wù)器，展開“安全性”、“登錄名。 2) 單擊“登錄名”下某一登錄帳戶，在彈出菜單上單擊“屬性”項(xiàng)，可查看該帳戶信息 3) 單擊“刪除”，能刪除該登錄帳戶。,SQL SERVER教程,14,3 用T-SQL管理登錄賬戶,新建登錄賬戶： Create LOGIN login_name WITH sp_addlogin 修改登錄帳戶： ALTER LOGIN; 刪除帳戶： DROP LOGIN; sp_droplogin; sp_revokelogin,SQL SERVER教程,15,3 用T-SQL管理登錄賬戶,新建登錄賬戶： Create LOGIN login_name WITH |FROM sp_addlogin 修改登錄帳戶： ALTER LOGIN; 刪除帳戶： DROP LOGIN; sp_droplogin; sp_revokelogin,SQL SERVER教程,16,6.4 用戶管理,登錄名與數(shù)據(jù)庫用戶名的關(guān)系 使用Management Studio管理用戶 用T-SQL管理用戶,SQL SERVER教程,17,1 登錄名與數(shù)據(jù)庫用戶名的關(guān)系,登錄名是訪問SQL Server的通行證，要訪問具體的數(shù)據(jù)庫，還要有該數(shù)據(jù)庫的用戶名 默認(rèn)情況下，用戶名和登錄名使用相同的名稱 一個(gè)登錄帳戶可以映射到不同的數(shù)據(jù)庫，一個(gè)數(shù)據(jù)庫用戶只能映射到一個(gè)登錄帳戶 一個(gè)登錄名在一個(gè)數(shù)據(jù)庫中只能有一個(gè)用戶,SQL SERVER教程,18,2 使用Management Studio管理用戶,在創(chuàng)建登錄帳戶時(shí)，可指定該帳戶允許訪問的數(shù)據(jù)庫，同時(shí)生成該登錄帳戶在數(shù)據(jù)庫中的用戶 步驟： 1) 選擇服務(wù)器和要設(shè)置的數(shù)據(jù)庫，展開“安全性”、“用戶” 2) 選擇“新建數(shù)據(jù)庫用戶”，在彈出的對(duì)話框輸入用戶名字及對(duì)應(yīng)的登錄名，按“確定”完成。,SQL SERVER教程,19,3 用T-SQL管理用戶,CREATE USER語句; sp_adduser ALTER USER DROP USER; sp_revokeaccess,SQL SERVER教程,20,3 用T-SQL管理用戶,例1：創(chuàng)建名為AborHam且密碼為340$Uxwp7Mcxo7Khy的服務(wù)器登錄名，然后在Sales中創(chuàng)建對(duì)應(yīng)的數(shù)據(jù)庫用戶AborHam。 CREATE LOGIN AborHam WITH PASSWORD=340$Uxwp7Mcxo7Khy USE Sales CREATE USER AborHam,SQL SERVER教程,21,dbo和guest用戶,dbo用戶 dbo是特殊的數(shù)據(jù)庫用戶，它是數(shù)據(jù)庫所有者，可在數(shù)據(jù)庫中執(zhí)行所有的操作。服務(wù)器角色sysadmin的任何成員都會(huì)對(duì)應(yīng)到每個(gè)數(shù)據(jù)庫內(nèi)的一個(gè)dbo用戶，且服務(wù)器角色sysadmin 任何成員創(chuàng)建的任何對(duì)象自動(dòng)屬于dbo。dbo無法刪除。 guest用戶 由系統(tǒng)創(chuàng)建數(shù)據(jù)庫后自動(dòng)生成，它的作用是讓未經(jīng)授權(quán)的或未明確定義的用戶具有一定的權(quán)限，guest也無法刪除。,SQL SERVER教程,22,6.5 角色管理,public角色 固定服務(wù)器角色：在服務(wù)器級(jí)別定義 數(shù)據(jù)庫角色：在數(shù)據(jù)庫級(jí)別定義 用戶定義的角色 應(yīng)用程序角色,SQL SERVER教程,23,1 public角色,public角色在每個(gè)數(shù)據(jù)庫中都存在，是系統(tǒng)預(yù)定義的角色。每個(gè)數(shù)據(jù)庫用戶都自動(dòng)是此角色的成員，無法在此角色中添加或刪除用戶。 public角色提供數(shù)據(jù)庫中用戶的默認(rèn)權(quán)限，不能刪除。用戶將繼承授予public角色的權(quán)限。,SQL SERVER教程,24,2 固定服務(wù)器角色,SQL SERVER教程,25,固定服務(wù)器角色,固定服務(wù)器角色具有服務(wù)器級(jí)別上的管理權(quán)限，存儲(chǔ)在master.syslogins系統(tǒng)表中 為固定服務(wù)器角色添加/刪除登錄帳號(hào)： 設(shè)置登錄帳號(hào)屬性 系統(tǒng)存儲(chǔ)過程：sp_addsrvrolemembers; sp_dropsrvrolemembers 用management studio添加/刪除角色成員 查看固定服務(wù)器角色的成員： sp_helpsrvrolemembers,SQL SERVER教程,26,使用Management Studio添加/刪除角色成員,方法一：選擇服務(wù)器和要設(shè)置的數(shù)據(jù)庫，展開“安全性”-“服務(wù)器角色”，在某固定服務(wù)器角色上單擊右鍵，選擇菜單中的“屬性”項(xiàng)，單擊“添加”或“刪除”按鈕選擇成員。 方法二：選擇服務(wù)器和要設(shè)置的數(shù)據(jù)庫，展開“安全性”-“登錄名”，在某登錄名上右擊，選擇“屬性”，出現(xiàn)“登錄屬性”對(duì)話框。單擊“服務(wù)器角色”選項(xiàng)卡，直接多項(xiàng)選擇該登錄名所屬的固定服務(wù)器角色。,SQL SERVER教程,27,固定服務(wù)器角色,例1：將登錄名HelenS添加到sysadmin固定服務(wù)器角色 EXEC sp_addsrvrolemember HelenS 用management studio添加 例2：查看sysadmin固定服務(wù)器角色的成員 sp_helpsrvrolemember sysadmin,SQL SERVER教程,28,3 固定數(shù)據(jù)庫角色,SQL SERVER教程,29,3 固定數(shù)據(jù)庫角色,SQL SERVER教程,30,固定數(shù)據(jù)庫角色,為固定數(shù)據(jù)庫角色添加/刪除用戶： 系統(tǒng)存儲(chǔ)過程：sp_addrolemembers; sp_droprolemembers 用management studio添加/刪除角色成員 查看固定數(shù)據(jù)庫角色的成員： sp_helprolemembers,SQL SERVER教程,31,使用Management Studio添加/刪除角色成員,選擇要處理的固定數(shù)據(jù)庫角色，右擊后選擇“屬性”。在對(duì)話框中，單擊“添加”按鈕，選擇要加入數(shù)據(jù)庫角色的用戶名。按“確定”完成。,SQL SERVER教程,32,4 用戶自定義角色,用于組織數(shù)據(jù)庫用戶的安全 當(dāng)一組用戶在 SQL Server中有相同的權(quán)限時(shí)，可建用戶角色 用戶定義的角色只適用于數(shù)據(jù)庫級(jí)別,SQL SERVER教程,33,（1） 用戶角色的創(chuàng)建、修改或刪除,用management studio創(chuàng)建、刪除角色 用T-SQL創(chuàng)建、刪除角色 CREATE ROLE role_name AUTHORIZATION owner_name; sp_addrole ALTER ROLE role_name WITH NAME=new_name DROP ROLE sp_helprole 返回當(dāng)前數(shù)據(jù)庫中的所有角色,SQL SERVER教程,34,使用Management Studio創(chuàng)建、刪除角色,選擇服務(wù)器和要設(shè)置的數(shù)據(jù)庫，展開“安全性”-“角色”-“數(shù)據(jù)庫角色”，在數(shù)據(jù)庫角色目錄上單擊右鍵，選擇菜單中的“新建數(shù)據(jù)庫角色”項(xiàng)，指定角色名與所有者，單擊“確定” 完成。 在某數(shù)據(jù)庫角色上單擊右鍵，選擇菜單中的“屬性”項(xiàng)，可查閱或修改角色信息。單擊“刪除”項(xiàng)完成刪除。 注：角色成員必須為空才能刪除。,SQL SERVER教程,35,用戶自定義角色,例1：創(chuàng)建用戶Miller擁有的數(shù)據(jù)庫角色buyers CREATE ROLE buyers AUTHORIZATION Miller 用management studio添加 例2：將角色buyers的名稱更改為purchasing ALTER ROLE buyers WITH NAME= purchasing,SQL SERVER教程,36,（2） 角色成員的添加與刪除,用management studio添加與刪除角色成員 用T-SQL添加與刪除角色成員 sp_addrolemember rolename=role,membername=security_account(安全賬戶) sp_droprolemember sp_helprolemember 返回當(dāng)前數(shù)據(jù)庫中的某個(gè)角色的成員信息,SQL SERVER教程,37,使用Management Studio添加/刪除角色成員,方法一：在前面提過的某數(shù)據(jù)庫角色的“數(shù)據(jù)庫角色屬性”對(duì)話框中，“常規(guī)”選項(xiàng)卡上，右下角成員操作區(qū)，單擊 “添加”或“刪除”按鈕選擇成員。 方法二：選擇要設(shè)置的數(shù)據(jù)庫，展開“安全性”-“用戶” ，選擇某具體用戶，右擊，選擇“屬性”，出現(xiàn)“數(shù)據(jù)庫用戶”對(duì)話框。在右下角成員操作區(qū)，直接多項(xiàng)選擇該用戶名所屬的數(shù)據(jù)庫角色。,SQL SERVER教程,38,角色成員的添加與刪除,例1：將用戶Ben添加到數(shù)據(jù)庫角色purchasing Sp_addrolemember purchasing,Ben 用management studio添加,SQL SERVER教程,39,5 應(yīng)用程序角色,用于應(yīng)用程序級(jí)的安全，不允許用戶直接操作表中數(shù)據(jù)，只能通過特定的應(yīng)用程序訪問 特點(diǎn)： 定義在數(shù)據(jù)庫中，類似于用戶定義的數(shù)據(jù)庫角色，可以分配權(quán)限 建立時(shí)，需提供口令 無成員 非活動(dòng)的，使用時(shí)需要激活(sp_setapprole),SQL SERVER教程,40,應(yīng)用程序角色的創(chuàng)建與刪除,用management studio創(chuàng)建、刪除角色 用T-SQL創(chuàng)建、刪除角色 CREATE APPLICATION ROLE appication_role_name WITH PASSWORD=password ,DEFAULT_SCHEMA=schema_name ALTER APPLICATION ROLE DROP APPLICATION ROLE sp_setapprole, sp_unsetapprole,SQL SERVER教程,41,使用Management Studio創(chuàng)建、刪除角色,選擇服務(wù)器和要設(shè)置的數(shù)據(jù)庫，展開“安全性”-“角色”-“應(yīng)用程序角色”，在數(shù)據(jù)庫角色目錄上單擊右鍵，選擇菜單中的“新建應(yīng)用程序角色”項(xiàng)，在“常規(guī)”選項(xiàng)卡指定角色名稱指定角色名稱、默認(rèn)結(jié)構(gòu)、密碼等信息，單擊“確定” 完成。,SQL SERVER教程,42,6.6 權(quán)限管理,用戶權(quán)限是指不同的用戶對(duì)不同的數(shù)據(jù)對(duì)象允許執(zhí)行的操作權(quán)限 主體與安全對(duì)象的概念 權(quán)限類型 管理權(quán)限,SQL SERVER教程,43,1 主體與安全對(duì)象的概念,1) 主體 主體是可以請(qǐng)求SQL Server數(shù)據(jù)資源的個(gè)體、組，每個(gè)主體有唯一的安全標(biāo)識(shí)符(SID)。主體分為如下幾種： Windows級(jí)別的主體：Windows登錄名 SQL Server級(jí)別的主體：SQL Server登錄名 數(shù)據(jù)庫級(jí)別的主體：數(shù)據(jù)庫用戶、數(shù)據(jù)庫角色、應(yīng)用程序角色,SQL SERVER教程,44,1 主體與安全對(duì)象的概念,2) 安全對(duì)象 安全對(duì)象是系統(tǒng)控制對(duì)其訪問的資源。安全對(duì)象范圍有服務(wù)器、數(shù)據(jù)庫、架構(gòu)三個(gè)層次。 安全對(duì)象范圍服務(wù)器：包含端點(diǎn)、登錄帳戶、數(shù)據(jù)庫等 安全對(duì)象范圍數(shù)據(jù)庫：包含用戶、角色、應(yīng)用程序角色、程序集、服務(wù)、證書、非對(duì)稱密鑰、對(duì)稱密鑰、約定等 安全對(duì)象范圍架構(gòu)：包含類型、約束、函數(shù)、過程、隊(duì)列、統(tǒng)計(jì)信息、表、視圖等,SQL SERVER教程,45,2 權(quán)限類型,SQL SERVER教程,46,3為用戶和角色分配權(quán)限,用management studio管理權(quán)限 用T-SQL管理權(quán)限 授予、拒絕和廢除許可權(quán)限 “授予權(quán)限”許可訪問 “拒絕權(quán)限”即禁止訪問 廢除已授予或已拒絕的權(quán)限,SQL SERVER教程,47,授予、拒絕，廢除許可權(quán)限,SQL SERVER教程,48,使用Management Studio管理權(quán)限,可從主體或安全對(duì)象出發(fā)來設(shè)置權(quán)限 從主體：選擇用戶或角色，右擊“屬性”項(xiàng)，單擊“安全對(duì)象”選項(xiàng)卡，對(duì)權(quán)限進(jìn)行設(shè)置 從安全對(duì)象：選擇數(shù)據(jù)庫或表，右擊“屬性”項(xiàng)，單擊“權(quán)限”選項(xiàng)卡，選定用戶或角色對(duì)其權(quán)限進(jìn)行設(shè)置,SQL SERVER教程,49,用T-SQL管理權(quán)限,GRANT、REVOKE、DENY 例：授予用戶Ben對(duì)Sales中的Employee的SELECT權(quán)限 GRANT SELECT ON Sales. Employee TO BEN,SQL SERVER教程,50,用戶最終獲得權(quán)限的必要條件,1、用戶已直接被授予權(quán)限或者其已屬于某一個(gè)角色且該角色已被授予權(quán)限。 2、沒有DENY過用戶或其所屬的任何一個(gè)角色。,SQL SERVER教程,51,如何管理SQL SERVER的安全性,確定默認(rèn)登錄帳號(hào)的使用 sa BUILT