第5章管理安全性

1、第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性1 第五章第五章 管理安全性管理安全性 q 系統(tǒng)安裝后的安全檢查和設(shè)置系統(tǒng)安裝后的安全檢查和設(shè)置 q 身份驗(yàn)證模式和身份驗(yàn)證方式身份驗(yàn)證模式和身份驗(yàn)證方式 q login帳戶帳戶 q user帳戶帳戶 q q q 規(guī)劃規(guī)劃SQL Server系統(tǒng)的安全性系統(tǒng)的安全性 q 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性2 教學(xué)重點(diǎn)教學(xué)重點(diǎn) 理解和掌握系統(tǒng)安裝后的安全檢查和設(shè)置 理解身份驗(yàn)證模式和身份驗(yàn)證方式之間的關(guān)系 掌握管理login帳戶 掌握管理數(shù)據(jù)庫user帳戶 掌握管理角色 理解和掌握管理應(yīng)

2、用程序角色 掌握權(quán)限的授予、收回和否定 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性3 系統(tǒng)安裝后的安全檢查和設(shè)置系統(tǒng)安裝后的安全檢查和設(shè)置 系統(tǒng)安裝結(jié)束之后，不僅要確認(rèn)安裝是否成功，而且還應(yīng)該確保 系統(tǒng)安裝之后處于安全的環(huán)境。 為了確保系統(tǒng)的安全運(yùn)行，應(yīng)該執(zhí)行下面一系列安裝后的安全檢 查。在安全檢查過程中，應(yīng)該采取有效的手段，徹底消除系統(tǒng)中的 安全隱患。 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性4 1.確保數(shù)據(jù)庫服務(wù)器物理上的安全 建議把數(shù)據(jù)庫服務(wù)器放在一個(gè)上鎖的獨(dú)立房間，并且嚴(yán)格限制進(jìn)出房 間的人數(shù)。 2.sa帳戶的密碼必須嚴(yán)格管

3、理 避免使用空白的密碼； 使用長的密碼，密碼應(yīng)該由字母和數(shù)字混合組成，并且避免使用有 意義的描述性密碼； 限制密碼的使用期限，必須定期進(jìn)行更換。 3.對(duì)于數(shù)據(jù)庫管理員來說，一項(xiàng)經(jīng)常性的工作是，及時(shí)為Microsoft SQL Server系統(tǒng)安裝最新的補(bǔ)丁程序 (sqldownloadsdefaultasp) 微軟提供了一個(gè)命令行工具fnetchk（ technetsecuritytools hfnetchk.asp），該工具可以通過網(wǎng)絡(luò)遠(yuǎn)程檢查系統(tǒng)的補(bǔ)丁程序是否完整， 幫助系統(tǒng)管理員持續(xù)更新補(bǔ)丁程序。 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性5 4.如果使用M

4、icrosoft SQL Server 7(Service Pack 3)及以前的版 本，由于系統(tǒng)將帳戶密碼未加密地保存在sqlsp.log和setup.iss文件 中，因此強(qiáng)烈建議用戶安裝之后，刪除這兩個(gè)文件。即使在安裝 Microsoft SQL Server 2000之后，帳戶密碼采用了加密的方式保存 在這兩個(gè)文件中，但是依然建議安裝之后刪除這兩個(gè)文件。 5.在默認(rèn)情況下，系統(tǒng)安裝之后，除了model系統(tǒng)數(shù)據(jù)庫之外， 每一個(gè)數(shù)據(jù)庫都生成了一個(gè)guest用戶帳戶。該帳戶的存在是系統(tǒng) 安全性方面的一個(gè)隱患。 建議：除了master和tempdb兩個(gè)系統(tǒng)數(shù)據(jù)庫之外，刪除其他數(shù) 據(jù)庫中的gues

5、t用戶帳戶。 6.在默認(rèn)情況下，系統(tǒng)中包括了許多沒有必要的、可能具有危 險(xiǎn)性的系統(tǒng)存儲(chǔ)過程和擴(kuò)展存儲(chǔ)過程。這些系統(tǒng)存儲(chǔ)過程和擴(kuò)展 存儲(chǔ)過程可以直接訪問系統(tǒng)注冊(cè)表、操作系統(tǒng)文件等。因此，系 統(tǒng)安裝之后，應(yīng)該刪除那些非必須存在的存儲(chǔ)過程。 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性6 為了刪除Microsoft SQL Server系統(tǒng)中存在的可能的危險(xiǎn)系統(tǒng)存儲(chǔ)過 程和擴(kuò)展存儲(chǔ)過程，可以從. com / uploads / sql2000.zip下載兩個(gè)SQL腳 本文件。使用這些腳本文件檢查和刪除相關(guān)的系統(tǒng)存儲(chǔ)過程和擴(kuò)展存儲(chǔ) 過程。 可以訪問注冊(cè)表的擴(kuò)展存儲(chǔ)過程如下表

6、所示: 擴(kuò)展存儲(chǔ)過程描 述 xp_regaddmultistring在多值字符串中增加一個(gè)新值。黑客可以用來獲取對(duì)資源的控制 xp_regdeletekey刪除注冊(cè)表中的特定鍵值和其所有的內(nèi)容。避免黑客的任意攻擊 xp_regdeletevalue刪除注冊(cè)表中的特定鍵值的內(nèi)容 xp_regenumvalues可以返回有關(guān)注冊(cè)表鍵值的多個(gè)結(jié)果集的內(nèi)容。黑客可以用來搜集信息 xp_regread可以讀取注冊(cè)表中的某個(gè)鍵值。黑客可以用來發(fā)現(xiàn)系統(tǒng)上安裝的應(yīng)用、 功能模塊、參數(shù)等信息 xp_regremovemultistring可以刪除多值字符串中的某個(gè)值 xp_regwrite向注冊(cè)表中寫入數(shù)據(jù)。這

7、是最危險(xiǎn)的擴(kuò)展存儲(chǔ)過程之一 xp_regenumkeys該存儲(chǔ)過程存在于Microsoft SQL Server 2000以及以上版本 中，可以返回指定的鍵值的所有子鍵值的清單 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性7 7.Microsoft SQL Server 系統(tǒng)提供了這樣一種功能：允許具有某種權(quán)限的 帳戶執(zhí)行CmdExec、ActiveScripting和xp_cmdshell調(diào)用。如果數(shù)據(jù)庫中的用 戶在操作數(shù)據(jù)庫期間，需要訪問數(shù)據(jù)庫系統(tǒng)外部的資源，那么這種功能是有 價(jià)值的。 但是，這種功能存在安全隱患：允許SQL Server服務(wù)以操作系統(tǒng)帳戶方 式

8、執(zhí)行操作。如果用戶的生產(chǎn)環(huán)境中不需要這種功能，那么應(yīng)該刪除這種功 能。刪除這種功能的操作方式是使用本地安全策略工具，將SQL Server服務(wù) 的帳戶從“以操作系統(tǒng)方式操作”策略和“替換進(jìn)程級(jí)記號(hào)”策略中刪除。 8.當(dāng)系統(tǒng)安裝程序之后，可以看到兩個(gè)樣本數(shù)據(jù)庫：Northwind和pubs。 這兩個(gè)樣本數(shù)據(jù)庫有助于用戶學(xué)習(xí)Microsoft SQL Server系統(tǒng)。但是，這兩個(gè) 樣本數(shù)據(jù)庫也存在安全隱患，因?yàn)槟J(rèn)情況下用戶都可以訪問這些樣本數(shù)據(jù) 庫中的數(shù)據(jù)，因此，黑客有可能借助對(duì)這兩個(gè)樣本數(shù)據(jù)庫的訪問而攻擊其他 用戶數(shù)據(jù)庫或系統(tǒng)數(shù)據(jù)庫。 建議：當(dāng)服務(wù)器置于生產(chǎn)環(huán)境中時(shí)，必須刪除這兩個(gè)樣本數(shù)據(jù)庫

9、。使用 SQL查詢分析器刪除這兩個(gè)樣本數(shù)據(jù)庫。 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性8 9.Microsoft SQL Server系統(tǒng)提供了分布式查詢的功能，系統(tǒng)中的用戶 可以訪問其他數(shù)據(jù)源中的數(shù)據(jù)。但是，這種功能也為黑客攻擊其他數(shù)據(jù) 源提供了一種渠道。因此，在生產(chǎn)環(huán)境中，應(yīng)該禁止這種功能。 禁止這種功能的方式是：在HKEY_LOCAL_MACHINESoftware MicrosoftMSSQLSERVERProvidersProviders_Name注冊(cè)表中增加一 個(gè)Disallow AdhocAccess項(xiàng)并且設(shè)置其值為1。例如，如果希望禁止從 Mi

10、crosoft SQL Server系統(tǒng)中通過分布式查詢方式訪問Microsoft Jet OLEDB Provider，那么應(yīng)該針對(duì)Microsoft.Jet.OLEDB.4.0增加一個(gè) DisallowAdhocAccess項(xiàng)并且設(shè)置其值為1。 10.在SQL Security的Web站點(diǎn)上，提供了一個(gè)SQL腳本文件，該文件 可以在Microsoft SQL Server系統(tǒng)安裝之后執(zhí)行安全檢查，并且提供強(qiáng)化 安全的操作。該Web站點(diǎn)是。 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性9 身份驗(yàn)證模式和身份驗(yàn)證方式身份驗(yàn)證模式和身份驗(yàn)證方式 1、基本概念 2、Wi

11、ndows身份驗(yàn)證模式 3、混合身份驗(yàn)證模式 SQL Server 2000使用各種安全管理操作來保護(hù)數(shù)據(jù)庫中的信息資 源，以防止這些資源的非授權(quán)使用。 用戶必須使用一個(gè)login帳戶，才能連接到SQL Server系統(tǒng)中。 SQL Server系統(tǒng)通過兩種身份驗(yàn)證方式求確認(rèn)用戶的身份。 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性10 1、基本概念、基本概念 數(shù)據(jù)庫的安全性考慮數(shù)據(jù)庫的安全性考慮 （1 1）從使用方式的角度來看）從使用方式的角度來看 SQL Server 2000的安全性分為兩類：數(shù)據(jù)庫安全性和應(yīng)用程序安全性。 數(shù)據(jù)庫安全性以信息資源和信息資源的用

12、戶為主要管理對(duì)象。一個(gè)用戶 只要具有對(duì)某個(gè)對(duì)象的訪問權(quán)限，則無論使用什么工具，都可以對(duì)該對(duì)象進(jìn) 行訪問。 應(yīng)用程序安全性則可以指定一個(gè)數(shù)據(jù)庫或其中的某個(gè)對(duì)象只能由某些特 殊的應(yīng)用程序訪問。 （2 2）從登錄的角度來看）從登錄的角度來看 在SQL Server系統(tǒng)中，安全性采用的是兩級(jí)權(quán)限管理機(jī)制。第一級(jí)是服 務(wù)器級(jí)的“連接權(quán)”。第二級(jí)是數(shù)據(jù)庫級(jí)的“訪問權(quán)”。 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性11 由于絕大多數(shù)數(shù)據(jù)庫管理系統(tǒng)都還是運(yùn)行在某一特定操作系統(tǒng)平臺(tái) 下的應(yīng)用程序，SQL Server也不例外，而數(shù)據(jù)庫中又包含有很多對(duì)象， 因而實(shí)際上，SQL Ser

13、ver的安全性機(jī)制可以劃分為4個(gè)等級(jí)： (1)客戶機(jī)操作系統(tǒng)的安全性； (2)SQL Server的登錄安全性； (3)數(shù)據(jù)庫的使用安全性； (4)數(shù)據(jù)庫對(duì)象的使用安全性。 每個(gè)安全等級(jí)就好像一道門，如果門沒有上鎖，或者用戶擁有 開門的鑰匙，則用戶可以通過這道門達(dá)到下一個(gè)安全等級(jí)。如果通過了 所有的門，則用戶就可以實(shí)現(xiàn)對(duì)數(shù)據(jù)的訪問了。 用戶用戶 客戶機(jī)客戶機(jī) 服務(wù)器服務(wù)器 數(shù)據(jù)庫數(shù)據(jù)庫 數(shù)據(jù)庫對(duì)象數(shù)據(jù)庫對(duì)象 操作系統(tǒng)安全操作系統(tǒng)安全 SQL Sever驗(yàn)證驗(yàn)證 數(shù)據(jù)庫訪問權(quán)限數(shù)據(jù)庫訪問權(quán)限 數(shù)據(jù)庫對(duì)象訪問權(quán)限數(shù)據(jù)庫對(duì)象訪問權(quán)限 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理

14、安全性12 基本概念： 身份驗(yàn)證方式就是指當(dāng)用戶訪問數(shù)據(jù)庫系統(tǒng)時(shí)，系統(tǒng)對(duì)該用戶的 帳戶和密碼的確認(rèn)過程。認(rèn)證的內(nèi)容包括確認(rèn)用戶的帳戶是否有效、 是否能訪問系統(tǒng)、能訪問系統(tǒng)中的哪些數(shù)據(jù)等。 身份驗(yàn)證模式就是指系統(tǒng)選擇何種身份驗(yàn)證方式確認(rèn)用戶是否合 法的方式。 用戶必須使用一個(gè)login帳戶，才能連接到SQL Server系統(tǒng)中。 SQL Server系統(tǒng)通過兩種身份驗(yàn)證方式求確認(rèn)用戶的身份，這兩種身 份驗(yàn)證方式是： Windows身份驗(yàn)證方式當(dāng)使用Windows身份驗(yàn)證方式時(shí)， 由Windows系統(tǒng)確認(rèn)用戶的login帳戶或組賬戶。這些Windows系統(tǒng)的 login帳戶或組帳戶可以直接訪問SQ

15、L Server系統(tǒng)的數(shù)據(jù)，不必提供 SQL Server的login賬戶和密碼。 SQL Server身份驗(yàn)證方式當(dāng)使用SQL Server身份驗(yàn)證方式 時(shí)，由SQL Server系統(tǒng)確認(rèn)用戶的login帳戶和密碼。也就是說，當(dāng)用 戶連接SQL Server時(shí)，必須提供SQL Server系統(tǒng)的login帳戶和密碼。 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性13 當(dāng)SQL Server在Windows環(huán)境中運(yùn)行時(shí)，系統(tǒng)管理員必須指定系統(tǒng)使 用的身份驗(yàn)證模式類型。 SQL Server系統(tǒng)使用身份驗(yàn)證指定系統(tǒng)使用的 身份驗(yàn)證方式。有兩種類型的身份驗(yàn)證模式： Wi

16、ndows身份驗(yàn)證模式只允許使用Windows身份驗(yàn)證方式。 這時(shí)，用戶不能使用SQL Server的login帳戶。 混合身份驗(yàn)證模式既允許使用Windows身份驗(yàn)證方式，又允 許使用SQL Server身份驗(yàn)證方式。 在混合身份驗(yàn)證模式中，當(dāng)某個(gè)用戶希望登求SQL Server系統(tǒng)時(shí)，系 統(tǒng)是采用Windows身份驗(yàn)證方式還是采用SQL Server身份驗(yàn)證方式取決于 該用戶連接到系統(tǒng)的網(wǎng)絡(luò)協(xié)議類型。 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性14 2、Windows身份驗(yàn)證模式身份驗(yàn)證模式 在SQL Server系統(tǒng)中，把“命名管道”和TCPIP等網(wǎng)絡(luò)協(xié)議稱

17、為信 任協(xié)議。 如果在一個(gè)網(wǎng)絡(luò)環(huán)境中，連接客戶機(jī)和服務(wù)器的所有通訊協(xié)議都是 信任協(xié)議，那么應(yīng)該采用Windows身份驗(yàn)證模式。 在Windows身份驗(yàn)證模式下，系統(tǒng)只是采用Windows身份驗(yàn)證方式來 確認(rèn)用戶的身份，那些通過非信任協(xié)議連接服務(wù)器的客戶機(jī)不能訪問 SQL Server系統(tǒng)。 與SQL Server身份驗(yàn)證方式相比，Windows身份驗(yàn)證方式具有下列一 些優(yōu)點(diǎn)： 提供了更多的功能，例如安全確認(rèn)和密碼加密、審計(jì)、密碼失效、 最小密碼長度和帳戶鎖定； 通過添加單個(gè)login帳戶，允許在SQL Server系統(tǒng)中添加用戶組； 允許用戶迅速訪問SQL Server系統(tǒng)，而不必使用另外一個(gè)

18、login帳 戶和密碼等。 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性15 SQL Server系統(tǒng)按照下列步驟處理Windows身份驗(yàn)證模式中的login帳戶： 當(dāng)用戶連接SQL Server系統(tǒng)時(shí)，客戶機(jī)創(chuàng)建一個(gè)到SQL Server 系統(tǒng)的信 任連接。該信任連接傳送Windows組或用戶的login帳戶到SQL Server系統(tǒng)中。 因?yàn)榭蛻魴C(jī)創(chuàng)建了一個(gè)信任連接，所以SQL Server系統(tǒng)知道Windows系統(tǒng)已 經(jīng)確認(rèn)該用戶的login帳戶有效。 如果SQL Server系統(tǒng)在syslogins系統(tǒng)表中的SQL Server用戶列表找到該用 戶的logi

19、n帳戶，就接受這次認(rèn)證連接。這時(shí)，SQL Server系統(tǒng)不需要重新 驗(yàn)證密碼是否有效，因?yàn)閃indows系統(tǒng)已經(jīng)驗(yàn)證該用戶的密碼是有效的。 在這種情況下，該用戶的login帳戶既可以是Windows的用戶帳戶，也可 以是Windows的組帳戶。當(dāng)然，這些帳戶都是作為SQL Server系統(tǒng)的login帳 戶已經(jīng)定義了。 如果多個(gè)SQL Server系統(tǒng)住一個(gè)域中或在一組信任域中，那么只要登陸 到其中一個(gè)域，就可以訪問全部的SQL Server系統(tǒng)。 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性16 3、混合身份驗(yàn)證模式、混合身份驗(yàn)證模式 在混合身份驗(yàn)證模式下，SQ

20、L Server系統(tǒng)既可以采用Windows身份 驗(yàn)證方式也可以采用SQL Server身份驗(yàn)證方式確認(rèn)用戶。 但是，SQL Server系統(tǒng)會(huì)優(yōu)先采用Windows身份驗(yàn)證方式確認(rèn)用戶。 也就是說，如果將要連接服務(wù)器的用戶是通過信任連接協(xié)議登錄系統(tǒng) 的，那么系統(tǒng)自動(dòng)采用Windows身份驗(yàn)證方式確認(rèn)用戶。 只有那些通過非信任連接協(xié)議程錄系統(tǒng)的用戶，系統(tǒng)才采用SQL Server身份驗(yàn)證方式確認(rèn)用戶的身份。 與Windows身份驗(yàn)證模式相比，混合身份驗(yàn)證模式提供了下列一些 優(yōu)點(diǎn)： 允許非Windows客戶、Internet客戶等連接到SQL Server系統(tǒng)中； 對(duì)用戶的身份采用了雙層身份驗(yàn)證

21、方式。 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性17 SQL Server系統(tǒng)按照下列步驟處理混合身份驗(yàn)證模式下的login帳戶： 如果用戶是通過信任連接協(xié)議訪問系統(tǒng)，就采用Windows身份驗(yàn)證 方式。 對(duì)于那些通過非信任連接協(xié)議訪問系統(tǒng)的用戶，該用戶必須提供 SQL Server的login帳戶和密碼。SQL Server驗(yàn)證該用戶的login帳戶是否 在syslogins系統(tǒng)表中，且其密碼是否與表中存儲(chǔ)的密碼匹配。 如果在syslogins系統(tǒng)表中，系統(tǒng)沒有發(fā)現(xiàn)匹配該用戶的login帳戶或 密碼，則這次認(rèn)證失敗，系統(tǒng)拒絕該用戶的連接請(qǐng)求。 第五章第五章 管

22、理安全性管理安全性 2021/5/27 第5章管理安全性18 SQL Server身份驗(yàn)證身份驗(yàn)證 使用客戶應(yīng)用程序使用客戶應(yīng)用程序 連接到連接到SQL Server Windows認(rèn)證模式認(rèn)證模式混合認(rèn)證模式混合認(rèn)證模式 SQL Server 接受連接接受連接 SQL Server 拒絕連接拒絕連接 使用使用Windows 帳戶連接帳戶連接 身份驗(yàn)證身份驗(yàn)證 模式模式 使用使用SQL Server 登錄連接登錄連接 有效登錄有效登錄 信任協(xié)議信任協(xié)議 密碼正確密碼正確 Yes Yes Yes Yes Yes No No No No No 第五章第五章 管理安全性管理安全性 2021/5/27

23、 第5章管理安全性19 管理管理login帳戶帳戶 1、login帳戶的概念 2、管理login帳戶 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性20 1、login帳戶的概念帳戶的概念 login帳戶是基于服務(wù)器服務(wù)器使用的用戶名。在SQL Server系統(tǒng)中，既可以 基于Windows組或用戶帳戶創(chuàng)建login帳戶，也可以創(chuàng)建SQL Server自己的 login帳戶。 SQL Server有一個(gè)默認(rèn)的login帳戶：sa帳戶。 sa是系統(tǒng)管理員(system administrator)的簡稱，是一個(gè)特殊的login 帳戶。 sa帳戶在SQL Server系統(tǒng)

24、中擁有全部的權(quán)限，可以執(zhí)行所有的操作。 sa帳戶是不能被刪除的。 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性21 Windows的Administrators管理員組擁有SQL server系統(tǒng)的全部權(quán)限，其對(duì) 應(yīng)的SQL Server系統(tǒng)中的login帳戶是BUILTIN Administrators。該帳戶也 可以執(zhí)行SQL Server系統(tǒng)中的所有操作。 login帳戶的信息是系統(tǒng)級(jí)信息，存儲(chǔ)在master數(shù)據(jù)庫的sysxlogins系統(tǒng)表中。 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性22 2、管理、管理login帳戶帳戶 管

25、理login帳戶的操作包括新建、更改和刪除login帳戶?？梢酝?過下面兩種方式添加login帳戶： 基于Windows組或用戶帳戶創(chuàng)建login帳戶。 創(chuàng)建新的SQL Server系統(tǒng)的login帳戶。 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性23 基于Windows組或用戶帳戶創(chuàng)建login帳戶 使用存儲(chǔ)過程把Windows用戶帳戶或組帳戶連接到SQL Server系統(tǒng)上 A. 使用sp_grantlogin系統(tǒng)存儲(chǔ)過程 sp_grantlogin：授予Windows組或用戶帳號(hào)連接到SQL Server的權(quán)利。 只有系統(tǒng)管理員或安全管理員可以執(zhí)行sp_gr

26、antlogin系統(tǒng)存儲(chǔ)過程。 sp_grantlogin系統(tǒng)存儲(chǔ)過程的語法形式如下： sp grantlogin domainNamelogin 其中：login參數(shù)是將要添加的Windows用戶帳戶或組帳戶。Windows用 戶帳戶或組帳戶必須使用Windows域名限定； domainName參數(shù)表示W(wǎng)indows域名。域名和用戶名或組名合起來 的長度不能超過128個(gè)字符。 例：把sales域中的tom用戶添加到SQL Server系統(tǒng)中： use master sp_grantlogin salestom 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性24 B.

27、 可以使用sp_revokelogin系統(tǒng)存儲(chǔ)過程管理login帳戶 sp_revokelogin系統(tǒng)存儲(chǔ)過程從SQL Server系統(tǒng)中刪除Windows組帳戶 或用戶帳戶，其語法形式如下： sp_revokelogindomainNamelogin C.可以使用sp_ denylogin系統(tǒng)存儲(chǔ)過程管理login帳戶 sp_denylogin系統(tǒng)存儲(chǔ)過程禁止Windows組賬戶或用戶帳戶連接到 SQL Server系統(tǒng)中。其語法形式如下： sp_denylogindomainNamelogin 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性25 使用SQL Ser

28、ver Enterprise Manager工具把Windows的組或用戶帳戶 添加到SQL Server系統(tǒng)中。 其過程如下： A. 創(chuàng)建Windows用戶帳戶。在Windows 2000/XP 系統(tǒng)中新建一個(gè) WinSQL賬戶。 B. 授權(quán)Windows用戶訪問SQL Server系統(tǒng)。 在SQL Server Enterprise Manager主窗口中，打開指定的服務(wù)器節(jié)點(diǎn)， 打開“安全性”節(jié)點(diǎn)，右擊“登陸”節(jié)點(diǎn)，從彈出的快捷菜單中選擇“新 建登錄”命令。 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性26 C.打開“SQL Server登錄屬性新建登錄”對(duì)話

29、框。 在“常規(guī)”選項(xiàng)卡中，選中“Windows 身份驗(yàn)證”單選按鈕，并且從“域”下拉 框中選擇相應(yīng)的域名。然后，單擊“名稱”文本框右邊的無線電按鈕，則出現(xiàn)選擇 Windows賬戶對(duì)話框。在該對(duì)話框中，從“名稱列表框中選中WinSQL帳戶。單擊 “添加”按鈕，則可以把WinSQL帳戶添加到“添加名稱”文本框中。 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性27 選中“允許訪問”單選按鈕，表示授權(quán)該Windows帳戶訪問SQL Server系統(tǒng)。還應(yīng)該為該帳戶指定一個(gè)默認(rèn)的數(shù)據(jù)庫和使用的語言。 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性28

30、 D. “服務(wù)器角色”選項(xiàng)卡中，列出了系統(tǒng)中所有的固定服務(wù)器角色。 在每一個(gè)固定服務(wù)器角色的左端，有一個(gè)復(fù)選框。選中某個(gè)復(fù)選框，就表示 新創(chuàng)建的login帳戶是該服務(wù)器角色的成員。 將新建的WinSQL帳戶添加到svstem Administrator固定服務(wù)器角色中，使用 “屬性按鈕可以顯示指定角色的詳細(xì)描述信息。 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性29 E.“數(shù)據(jù)庫訪問”選項(xiàng)卡中，上面的列表框列出了當(dāng)前系統(tǒng)中數(shù)據(jù)庫清 單。單擊某個(gè)數(shù)據(jù)庫左端的復(fù)選框，表示該賬戶可以訪問數(shù)據(jù)庫，并且指定 一個(gè)該賬戶在該數(shù)據(jù)庫中的對(duì)應(yīng)的用戶名。在默認(rèn)的情況下，login賬戶

31、與 數(shù)據(jù)庫用戶的名稱是一樣的。 下面的列表框列出了選定數(shù)據(jù)庫中的數(shù)據(jù)庫角色，可以在該列表框中指 定該帳戶所屬的數(shù)據(jù)庫角色。這里，指定新建的WinSQL賬戶可以訪問 Northwind數(shù)據(jù)庫，在該數(shù)據(jù)庫中的user賬戶是WinSQL，且添加到了public 和db_owner固定數(shù)據(jù)庫角色中。 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性30 F. 單擊對(duì)話框中的“確定”按鈕，則完成login賬戶的創(chuàng)建操作。 可以在SQL Server Enterprise Manager工具中看到新建的WinSQL賬戶， 該賬戶名稱前有域名限定，表示這是一個(gè)Windows賬戶。 第

32、五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性31 在創(chuàng)建基于Windows帳戶的SQL Server系統(tǒng)的login帳戶時(shí)，應(yīng)該考慮 下列 一些注意事項(xiàng)： 對(duì)于一個(gè)Windows組帳戶來說，SQL Server系統(tǒng)只有一個(gè)login帳戶 與其對(duì)應(yīng)，因此刪除在SQL Server中Windows組帳戶的某個(gè)成員帳戶并不 影響SQL Server系統(tǒng)中的login帳戶。 刪除某個(gè)Windows組帳戶或用戶帳戶，并不把他們從SQL Server系 統(tǒng)中刪除。如果希望在SQL Server中刪除Windows的某個(gè)組帳戶或用戶帳 戶，應(yīng)該首先把它從Windows中刪除，然后再

33、把它從SQL Server系統(tǒng)中刪 除。 作為某個(gè)Windows組帳戶成員的用戶帳戶，既可以作為組成員訪問 SQL Server系統(tǒng)，也可以通過單獨(dú)授權(quán)的方式訪問SQL Server系統(tǒng)。 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性32 創(chuàng)建新的SQL Server系統(tǒng)的login帳戶 可以使用sp_addlogin系統(tǒng)存儲(chǔ)過程或SQL Server Enterprise Manager 工 具或向?qū)?chuàng)建一個(gè)SQL Server的login帳戶。只有系統(tǒng)管理員或安全管理員 才可以執(zhí)行這種新建login帳戶的操作。 sp_addlogin系統(tǒng)存儲(chǔ)過程的語法形式如下：

34、 sp_addloginloginame=login ，passwd=password ，defdb=database ，deflanguage=language ，sid=sid ，encryptopt=encryption_option 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性33 其中： loginame參數(shù)表示將要?jiǎng)?chuàng)建的login帳戶名稱，該參數(shù)值是必須提供 的。 passwd參數(shù)指定該帳戶的密碼，默認(rèn)值是NULL。有效的SQL Server密碼的是1至128個(gè)字符長度，可以包含字母、數(shù)字和特殊符號(hào)。 defdb參數(shù)指定該帳戶默認(rèn)的數(shù)據(jù)庫，默認(rèn)情況下該數(shù)

35、據(jù)庫為master 數(shù)據(jù)庫。注意，雖然可以為新建的login帳戶指定一個(gè)默認(rèn)的數(shù)據(jù)庫，但 是sp_addlogin系統(tǒng)存儲(chǔ)過程并不能保證該帳戶可以訪問該默認(rèn)的數(shù)據(jù)庫。 必須在該新建的login帳戶訪問數(shù)據(jù)庫之前，為該帳戶授予可以訪問該數(shù) 據(jù)庫的權(quán)限。 deflangtJage參數(shù)可以覆蓋服務(wù)器默認(rèn)的語言設(shè)置； sid參數(shù)允許管理員明確地設(shè)置login帳戶的SID，而不是由SQL Server系統(tǒng)自動(dòng)生成該SID值，當(dāng)從一個(gè)服務(wù)器的備份向另外一個(gè)服務(wù)器 傳遞login帳戶以及其權(quán)限時(shí)，這種設(shè)置是有意義的； encryptopt參數(shù)用于指定是否以加密方式提供帳戶密碼。 deflanguage、 s

36、id、encryptopt參數(shù)主要在編寫生成SQL Login 的腳本命令時(shí)使用。 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性34 例：創(chuàng)建沒有密碼和主默認(rèn)數(shù)據(jù)庫的登錄賬戶THL。 EXEC sp_addlogin THL 例：創(chuàng)建登錄賬戶THK，密碼為12345，默認(rèn)數(shù)據(jù)庫為dyna_office。 EXEC sp_addlogin THK, 12345,dyna_office 例如：創(chuàng)建了一個(gè)名叫“ssq”，密碼是“518405”，默認(rèn)數(shù)據(jù)庫為 “master”的帳戶。 EXEC sp_addlogin ssq, 518405, master 注意：對(duì)于一個(gè)沒

37、有授予任何權(quán)限的新建帳戶，默認(rèn)數(shù)據(jù)庫只能選 擇“master”。 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性35 例：創(chuàng)建例：創(chuàng)建3個(gè)個(gè)SQL Server系統(tǒng)系統(tǒng)login帳戶帳戶 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性36 已創(chuàng)建的3個(gè)SQL Server系統(tǒng)login帳戶： 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性37 如果希望刪除SQL Server系統(tǒng)中某個(gè)login帳戶，那么可以使用 sp_droplogin系統(tǒng)存儲(chǔ)過程。 sp_droplogin系統(tǒng)存儲(chǔ)過程的語法形式如下： sp_dr

38、oplogin login 在上面的語法形式中， login參數(shù)指定將要?jiǎng)h除的SQL Server系統(tǒng)中 login帳戶名稱。但是，如果指定的login帳戶在數(shù)據(jù)庫中擁有對(duì)象，那 么不能直接刪除該帳戶。只有首先刪除指定帳戶擁有的所有對(duì)象，才可 以刪除該login帳戶。 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性38 管理管理user帳戶帳戶 1、管理user帳戶 2、默認(rèn)的user帳戶 在SQL Server系統(tǒng)中新建login帳戶后，就可以把它們映射成所 需訪問的數(shù)據(jù)庫中的user帳戶。 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性3

39、9 1、管理、管理user帳戶帳戶 user帳戶是基于數(shù)據(jù)庫數(shù)據(jù)庫使用的名稱，是與login帳戶相對(duì)應(yīng)的。 當(dāng)某個(gè)login帳戶訪問數(shù)據(jù)庫時(shí)，必須使用一個(gè)特定的或默認(rèn)的用 戶帳戶。每一個(gè)數(shù)據(jù)庫都有一個(gè)用來記錄數(shù)據(jù)庫user帳戶信息的 sysusers系統(tǒng)表。在sysusers系統(tǒng)表中，每一行數(shù)據(jù)是Windows用戶帳 戶、Windows組帳戶或SQL Server系統(tǒng)的login帳戶或SQL Server角色 中的一個(gè)。 管理user帳戶包括新建、更改、刪除user帳戶等操作。 可以使用SQL Server Enterprise Manager或sp_grantdbaccess系統(tǒng)存 儲(chǔ)過程在

40、數(shù)據(jù)庫中新建user帳戶。 只有數(shù)據(jù)庫所有者或數(shù)據(jù)庫訪問管理員可以執(zhí)行新建user帳戶的 操作。 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性40 使用sp_grantdbaccess系統(tǒng)存儲(chǔ)過程在數(shù)據(jù)庫中新建user帳戶 sp_grantdbaccess系統(tǒng)存儲(chǔ)過程的語法形式如下： sp_grantdbaccessloginame=login ，name_in_db=name_in_db 其中，loginame參數(shù)是與新建的數(shù)據(jù)庫user帳戶匹配的login帳戶 名稱。該login帳戶可以是Windows用戶帳戶、Windows組帳戶或SQL Server系統(tǒng)中的

41、login帳戶。該參數(shù)是必需的。 第二個(gè)參數(shù)，即name_in_db參數(shù)，是一個(gè)可選的數(shù)據(jù)庫user帳 戶名稱。如果沒有使用 name_in_db參數(shù)指定數(shù)據(jù)庫user名稱，那么 該user帳戶的名稱與login帳戶的名稱相同。 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性41 例：例： 用用sp_grantdbaccess系統(tǒng)存儲(chǔ)過程在數(shù)據(jù)庫中新建系統(tǒng)存儲(chǔ)過程在數(shù)據(jù)庫中新建user帳帳戶戶 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性42 sp_revokedbacess系統(tǒng)存儲(chǔ)過程可以從當(dāng)前的數(shù)據(jù)庫中刪除指定的user帳 戶。sp_revokedbacess系統(tǒng)存儲(chǔ)過程的語法形式如下： sp_revokedbaccessname_in_db 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性43 例：添加數(shù)據(jù)庫用戶例：添加數(shù)據(jù)庫用戶帳帳戶到戶到SQL Server系統(tǒng)中系統(tǒng)中 （1）首先查看已有的服務(wù)器帳號(hào)：DCA78502706B4D2WinSQL 第五章第五章 管理安全性管理安全性 2021/5/27 第5章管理安全性44 （2）授權(quán) （3）刪