第29講安全管理(理論+實(shí)訓(xùn))

第10章SQLServer安全管理第29講復(fù)習(xí):存儲(chǔ)過(guò)程含義、類型、語(yǔ)句格式、調(diào)用含義:存儲(chǔ)在服務(wù)器上的多條T-SQL語(yǔ)句的預(yù)編譯集合。類型:系統(tǒng)存儲(chǔ)過(guò)程、用戶自定義存儲(chǔ)過(guò)程語(yǔ)句格式createprocedure

存儲(chǔ)過(guò)程名形參

assql語(yǔ)句調(diào)用存儲(chǔ)過(guò)程exec

存儲(chǔ)過(guò)程名實(shí)參復(fù)習(xí):觸發(fā)器的含義、類型、作用、語(yǔ)句格式含義：DML觸發(fā)器是一種對(duì)表或視圖執(zhí)行insert、delete、update操作時(shí)，被系統(tǒng)自動(dòng)執(zhí)行的特殊的存儲(chǔ)過(guò)程。類型：按觸發(fā)的時(shí)機(jī)分為：后觸發(fā)器和替代觸發(fā)器按觸發(fā)的事件分為：insert觸發(fā)器、delete觸發(fā)器、update觸發(fā)器作用：對(duì)表實(shí)現(xiàn)復(fù)雜的數(shù)據(jù)完整性約束，以防止不正確的操作。語(yǔ)句格式：createtrigger

觸發(fā)器名on

表名

after{[insert][,delete][,update]}

as

SQL語(yǔ)句

復(fù)習(xí):存儲(chǔ)過(guò)程和觸發(fā)器的區(qū)別相同點(diǎn)：觸發(fā)器和存儲(chǔ)過(guò)程都是由多條T-SQL語(yǔ)句的預(yù)編譯集合。不同點(diǎn)：存儲(chǔ)過(guò)程是由用戶利用execute命令執(zhí)行。觸發(fā)器是通過(guò)事件進(jìn)行觸發(fā)而自動(dòng)執(zhí)行。引:對(duì)于一個(gè)網(wǎng)絡(luò)數(shù)據(jù)庫(kù)管理系統(tǒng)，安全是很重要的。如何才能保護(hù)數(shù)據(jù)庫(kù)不被破壞、偷竊和非法使用？第10章SQLServer安全管理

教學(xué)內(nèi)容基礎(chǔ)知識(shí)：安全機(jī)制服務(wù)器級(jí)的安全管理數(shù)據(jù)庫(kù)級(jí)的安全管理權(quán)限管理第10章SQLServer安全管理

學(xué)習(xí)目標(biāo)認(rèn)知目標(biāo)：了解安全模式、身份驗(yàn)證、權(quán)限驗(yàn)證、登錄帳戶、服務(wù)器角色、數(shù)據(jù)庫(kù)角色等概念能力目標(biāo):掌握登錄帳戶、數(shù)據(jù)庫(kù)用戶、數(shù)據(jù)庫(kù)角色的創(chuàng)建(重點(diǎn))掌握數(shù)據(jù)庫(kù)中權(quán)限設(shè)置管理的方法(難點(diǎn))一、安全機(jī)制每個(gè)網(wǎng)絡(luò)用戶在訪問(wèn)SQLServer數(shù)據(jù)庫(kù)之前，都必須經(jīng)過(guò)兩級(jí)安全驗(yàn)證：身份驗(yàn)證：驗(yàn)證用戶是否擁有服務(wù)器級(jí)的“連接權(quán)”，即是否允許訪問(wèn)SQLServer服務(wù)器。權(quán)限驗(yàn)證：驗(yàn)證用戶是否擁有數(shù)據(jù)庫(kù)級(jí)的“訪問(wèn)權(quán)”，即是否可以在數(shù)據(jù)庫(kù)上執(zhí)行操作。二、服務(wù)器級(jí)的安全管理

1.身份驗(yàn)證–(1)兩種模式Windows身份驗(yàn)證使用Windows操作系統(tǒng)本身提供的安全機(jī)制驗(yàn)證用戶的身份。只要用戶能夠通過(guò)Windows的用戶帳戶驗(yàn)證，就可連接到SQLServer，又稱為“信任連接”模式。SQLServer驗(yàn)證使用SQLServer驗(yàn)證時(shí)，必須提供連接到SQLServer上登錄帳號(hào)和口令(該帳號(hào)和口令由系統(tǒng)管理員事先創(chuàng)建并存儲(chǔ)在SQLServer中)。使用該模式：一是為了和7.0版以前的SQLServer相兼容；二是如果SQLServer安裝在Windows98下，必須使用該模式。二、服務(wù)器級(jí)的安全管理

1.身份驗(yàn)證—(2)模式設(shè)置動(dòng)手實(shí)驗(yàn)1：設(shè)置身份驗(yàn)證模式。任務(wù)1：將本地服務(wù)器的身份驗(yàn)證模式設(shè)置為“混合模式”右擊“本地服務(wù)器”→“屬性”→“安全性”→……任務(wù)2：用“windows”身份驗(yàn)證連接到本地服務(wù)器上。右擊“本地服務(wù)器”→“編輯SQLServer注冊(cè)屬性”→……展開“本地服務(wù)器”即連接(因“windows”身份是信任連接)任務(wù)3：用“SQLServer”身份驗(yàn)證連接到本地服務(wù)器上。修改登錄帳號(hào)“sa”的密碼。展開“本地服務(wù)器”中的“安全性”→單擊“登錄”→右擊“sa”→“屬性”→修改密碼→……設(shè)置“使用SQLServer身份驗(yàn)證”。右擊“本地服務(wù)器”→“編輯SQLServer注冊(cè)屬性”→勾選“使用SQLServer身份驗(yàn)證”→輸入“登錄名”和“密碼”→…說(shuō)明：sa是一個(gè)超級(jí)登錄帳號(hào)，具有操作服務(wù)器的一切權(quán)限。二、服務(wù)器級(jí)的安全管理

2.登錄帳號(hào)含義：登錄者用來(lái)連接SQLserver的帳號(hào)。兩種類型：windows身份驗(yàn)證時(shí)的登錄帳號(hào)(即用戶帳號(hào))。形式為“域(或計(jì)算機(jī))名\用戶(或組)”系統(tǒng)內(nèi)建的本地組,采用“BUILTIN\Administrators”形式SQLserver身份驗(yàn)證時(shí)，由系統(tǒng)管理員創(chuàng)建的登錄帳號(hào)和密碼。sa是一個(gè)內(nèi)置的SQLServer超級(jí)登錄帳號(hào)，該賬戶擁有最高的管理權(quán)限，具有操作服務(wù)器的一切權(quán)限。動(dòng)手實(shí)驗(yàn)2：登錄帳號(hào)的使用任務(wù)1：①將windows中的某個(gè)組或用戶設(shè)置為登錄帳號(hào)；②創(chuàng)建個(gè)“SQLServer”登錄帳號(hào)，登錄名為st1和st2。方法：雙擊“服務(wù)器”→安全性→右擊“登錄”→“新建登錄”

①創(chuàng)建“windows”登錄帳號(hào)。單擊“名稱”旁的“瀏覽”按鈕→選擇要加入的組或用戶…②創(chuàng)建“SQLServer”登錄帳號(hào)。在“名稱”框中輸入“st1”→選擇“SQLServer身份驗(yàn)證”→輸入密碼…動(dòng)手實(shí)驗(yàn)2：登錄帳號(hào)的使用任務(wù)2：使用st1登錄帳號(hào)連接到SQLServer服務(wù)器，請(qǐng)問(wèn)能否查看xscj庫(kù)中的數(shù)據(jù)?為什么？說(shuō)明：普通登錄帳號(hào)必須賦予了服務(wù)器角色后,才會(huì)具有服務(wù)器范圍內(nèi)的操作權(quán)限。任務(wù)3：查看各登錄帳號(hào)的服務(wù)器角色。右擊“登錄帳號(hào)”→“屬性”→……二、服務(wù)器級(jí)安全性的管理

3.服務(wù)器角色含義：系統(tǒng)定義的具有不同權(quán)限的組，其組成員是登錄帳號(hào)。服務(wù)器角色不能增加或刪除，只能對(duì)其中的成員進(jìn)行修改。常用的服務(wù)器角色

動(dòng)手實(shí)驗(yàn)3：服務(wù)器角色的使用任務(wù)1：了解各服務(wù)器角色中的成員及權(quán)限。雙擊“服務(wù)器”→“安全性”→“服務(wù)器角色”→……任務(wù)2：將登錄帳號(hào)st1賦予“databasecreators”的服務(wù)器角色，使其具有可創(chuàng)建和更改數(shù)據(jù)庫(kù)的權(quán)限。在“服務(wù)器角色”窗口中，右擊“databasecreators”角色→“屬性”→單擊“添加”→選擇成員→……請(qǐng)思考：使用st1登錄帳號(hào)連接到SQLServer服務(wù)器，請(qǐng)問(wèn)能否查看xscj庫(kù)中的表對(duì)象?為什么？說(shuō)明：盡管普通登錄帳號(hào)已賦予了服務(wù)器角色(sysadmin除外

)，但仍沒(méi)有使用其它數(shù)據(jù)庫(kù)對(duì)象(表/視圖/存儲(chǔ)過(guò)程等)的權(quán)限。因?yàn)镾QLServer是以數(shù)據(jù)庫(kù)用戶名來(lái)訪問(wèn)數(shù)據(jù)庫(kù)的。動(dòng)手實(shí)驗(yàn)3：服務(wù)器角色的使用任務(wù)3：將登錄帳號(hào)st2賦予“sysadmin”的服務(wù)器角色，使其具有對(duì)系統(tǒng)的所有操作權(quán)。說(shuō)明：若將登錄帳號(hào)st2加入到sysadmin服務(wù)器角色中，以該帳號(hào)登錄的用戶就擁有了對(duì)系統(tǒng)的所有操作權(quán)。任務(wù)4：分別以st1和st2登錄SQLServer服務(wù)器，查看xscj庫(kù)中的各對(duì)象，請(qǐng)思考哪個(gè)登錄帳號(hào)的權(quán)限大？任務(wù)5：因某種原因，要取消登錄帳號(hào)為st2所擁有的對(duì)服務(wù)器的所有操作權(quán)，但仍能登錄SQLServer服務(wù)器，如何設(shè)置？在“服務(wù)器角色”窗口中，右擊“sysadmin”角色→“屬性”→選擇成員→單擊“刪除”→……三、數(shù)據(jù)庫(kù)級(jí)的安全管理

1.數(shù)據(jù)庫(kù)用戶簡(jiǎn)介含義：如果要使登錄帳號(hào)具有訪問(wèn)數(shù)據(jù)庫(kù)的權(quán)力，必須將登錄帳號(hào)映射為數(shù)據(jù)庫(kù)用戶名。所以，每一個(gè)登錄帳號(hào)必須對(duì)應(yīng)一個(gè)數(shù)據(jù)庫(kù)用戶名稱。登錄帳號(hào)sa（或windows帳號(hào)）對(duì)應(yīng)的數(shù)據(jù)庫(kù)用戶名為dbo，dbo用戶擁有操作數(shù)據(jù)庫(kù)的所有權(quán)限（權(quán)限最高）。凡具有sysadmin服務(wù)器角色的登錄帳號(hào)，自動(dòng)映射為dbo。其它登錄帳號(hào)在某庫(kù)中沒(méi)有對(duì)應(yīng)的用戶名稱時(shí)，就映射到guest用戶帳號(hào)上，若沒(méi)有g(shù)uest(如xscj庫(kù))，則不能查看到該數(shù)據(jù)庫(kù)對(duì)象。三、數(shù)據(jù)庫(kù)級(jí)的安全管理

1.數(shù)據(jù)庫(kù)用戶簡(jiǎn)介含義：如果要使登錄帳號(hào)具有訪問(wèn)數(shù)據(jù)庫(kù)的權(quán)力，必須將登錄帳號(hào)映射為數(shù)據(jù)庫(kù)用戶名。登錄帳號(hào)和數(shù)據(jù)庫(kù)用戶的區(qū)別：SQLServer數(shù)據(jù)庫(kù)DB1DB2DB3數(shù)據(jù)庫(kù)用戶名（提供數(shù)據(jù)庫(kù)訪問(wèn)）登錄帳號(hào)（提供SQLserver訪問(wèn)）用戶說(shuō)明：每個(gè)登錄帳號(hào)要對(duì)應(yīng)一個(gè)數(shù)據(jù)庫(kù)用戶名稱。三、數(shù)據(jù)庫(kù)級(jí)的安全管理

1.數(shù)據(jù)庫(kù)用戶簡(jiǎn)介內(nèi)置的用戶名稱：dbo和guest登錄帳號(hào)sa（或windows帳號(hào)）對(duì)應(yīng)的數(shù)據(jù)庫(kù)用戶名為dbo，dbo用戶擁有操作數(shù)據(jù)庫(kù)的最高權(quán)限。凡具有sysadmin服務(wù)器角色的登錄帳號(hào)，自動(dòng)映射為dbo。其它登錄帳號(hào)在某庫(kù)中沒(méi)有對(duì)應(yīng)的用戶名時(shí)，就映射到guest用戶帳號(hào)上（對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限最低）。若沒(méi)有g(shù)uest(如xscj庫(kù))，則不能查看到該數(shù)據(jù)庫(kù)對(duì)象。例如:在xscj庫(kù)中，登錄帳號(hào)st1既沒(méi)有映射相應(yīng)的用戶名，又沒(méi)有g(shù)uest，所以，st1不能查看到該庫(kù)中對(duì)象的信息。動(dòng)手實(shí)驗(yàn)4：數(shù)據(jù)庫(kù)用戶的創(chuàng)建任務(wù)1：將登錄帳號(hào)st1映射為xscj庫(kù)中的一個(gè)名為“u1”的用戶帳號(hào)，使“u1”能訪問(wèn)該庫(kù)。右擊xscj庫(kù)中的“用戶”→“新建數(shù)據(jù)庫(kù)用戶”任務(wù)2：將登錄帳號(hào)st1同時(shí)映射為pubs、northwind庫(kù)中的一個(gè)用戶帳號(hào)。雙擊“服務(wù)器”→“安全性”→“登錄”在“登錄”窗口，雙擊“st1”登錄帳號(hào)單擊“數(shù)據(jù)庫(kù)訪問(wèn)”標(biāo)簽→勾選所要訪問(wèn)的數(shù)據(jù)庫(kù)三、數(shù)據(jù)庫(kù)級(jí)的安全管理

2.管理數(shù)據(jù)庫(kù)用戶修改數(shù)據(jù)庫(kù)用戶主要是修改為此用戶所設(shè)置的用戶權(quán)限（修改所屬的數(shù)據(jù)庫(kù)角色）。刪除數(shù)據(jù)庫(kù)用戶刪除一個(gè)登錄帳號(hào)在當(dāng)前數(shù)據(jù)庫(kù)的映射，使該登錄帳號(hào)失去訪問(wèn)數(shù)據(jù)庫(kù)的權(quán)限。方法1：與創(chuàng)建類似，只是取消數(shù)據(jù)的選定。方法2：在指定數(shù)據(jù)庫(kù)的“用戶”窗口中，右擊要?jiǎng)h除的用戶名→單擊“刪除”三、數(shù)據(jù)庫(kù)級(jí)的安全管理

3.數(shù)據(jù)庫(kù)角色定義：是在數(shù)據(jù)庫(kù)級(jí)別上定義的用戶權(quán)限組，存在于每個(gè)數(shù)據(jù)庫(kù)中。其成員是用戶帳號(hào)。類型：固定數(shù)據(jù)庫(kù)角色自建數(shù)據(jù)庫(kù)角色動(dòng)手實(shí)驗(yàn)5：數(shù)據(jù)庫(kù)角色的創(chuàng)建任務(wù)1：將xscj庫(kù)的所有者權(quán)限賦給st1用戶。在“登錄”窗口，雙擊“st1”登錄帳號(hào)→單擊“數(shù)據(jù)庫(kù)訪問(wèn)”標(biāo)簽→勾選“db_owner”任務(wù)2：創(chuàng)建一個(gè)名為“zdy”的數(shù)據(jù)庫(kù)角色，使該角色具有如下的權(quán)限：可查詢xsqk表、可查詢和修改xs_kc表、可查詢和插入kc表，但不能進(jìn)行刪除的權(quán)限。右擊xscj庫(kù)的“角色”→“新建數(shù)據(jù)庫(kù)角色”→輸入名稱“zdy”→“確定”雙擊“zdy”→單擊“權(quán)限”按鈕→設(shè)置語(yǔ)句權(quán)限四、權(quán)限管理

1.權(quán)限的分類權(quán)限的作用：用來(lái)控制用戶如何訪問(wèn)數(shù)據(jù)庫(kù)對(duì)象。權(quán)限的分類：對(duì)象權(quán)限：是指用戶對(duì)數(shù)據(jù)庫(kù)中的表、視圖、存儲(chǔ)過(guò)程等對(duì)象的操作權(quán)限。語(yǔ)句權(quán)限：是指執(zhí)行數(shù)據(jù)定義語(yǔ)句的權(quán)限。隱含權(quán)限：是指系統(tǒng)預(yù)定義的服務(wù)器角色、數(shù)據(jù)庫(kù)擁有者和數(shù)據(jù)庫(kù)對(duì)象擁有者所擁有的權(quán)限。該權(quán)限不能明確地賦予和撤銷。四、權(quán)限管理

2.權(quán)限管理的內(nèi)容用戶或角色的權(quán)限有三種形式：授予權(quán)限√：能執(zhí)行相應(yīng)操作拒絕權(quán)限×：不能執(zhí)行相應(yīng)操作剝奪權(quán)限□：不允許執(zhí)行相應(yīng)操作，但可以通過(guò)加入角色來(lái)獲得許可權(quán)。動(dòng)手實(shí)驗(yàn)6：管理權(quán)限任務(wù)1：管理數(shù)據(jù)庫(kù)用戶的語(yǔ)句權(quán)限。要求：xscj庫(kù)中的用戶u1只能查看kc表中的數(shù)據(jù)，不能做任何更改和刪除，應(yīng)如何設(shè)置？單擊xscj庫(kù)中的“用戶”→右擊“u1”用戶→“所有任務(wù)”→“管理權(quán)限”設(shè)置在kc表上的操作權(quán)限任務(wù)2：管理數(shù)據(jù)庫(kù)角色的語(yǔ)句權(quán)限。要求：xscj庫(kù)中的所有用戶只能查看kc表中的數(shù)據(jù)，不能做任何更改和刪除，應(yīng)如何設(shè)置？右擊xscj庫(kù)中的“角色”→“新建自定義角色”(aa)雙擊aa→添加所有用戶→單擊“權(quán)限”按鈕→設(shè)置在kc表上的操作權(quán)限動(dòng)手實(shí)驗(yàn)6：管理權(quán)限任務(wù)3：管理數(shù)據(jù)庫(kù)對(duì)象的權(quán)限。對(duì)于xscj庫(kù)中的xsqk表，希望所有用戶都不能刪除、修改和插入記錄，且不能訪問(wèn)“地址”字段右擊xsqk表→“所有任務(wù)”→“管理權(quán)限”→設(shè)置權(quán)限單擊“列”按鈕→設(shè)置列權(quán)限五、數(shù)據(jù)庫(kù)備份和恢復(fù)備份設(shè)備備份策略完全備份差異備份事