SQLSERVER---安全性.ppt

1,SQL SERVER教程,SQL SERVER 數(shù)據(jù)庫管理系統(tǒng),SQL SERVER教程,2,第六章 安全管理,SQL Server 2005安全架構 身份驗證模式 登錄管理 用戶管理 角色管理 權限管理,SQL SERVER教程,3,6.1 SQL Server安全架構,兩個安全階段：身份驗證和權限驗證 視圖安全機制 加密方法： 加密機制：證書、對稱密鑰、非對稱密鑰 用戶架構分離 安全與加密函數(shù) with encryption子句 審核 SQL Server Profiler(事件跟蹤),SQL SERVER教程,4,6.2 SQL Server的驗證模式,Windows身份驗證模式 混合身份驗證模式(即SQL Server身份驗證模式) 設置驗證模式,SQL SERVER教程,5,1 Windows身份驗證模式,WINDOWS身份驗證模式是指通過Windows用戶帳戶連接到SQL Server，用戶身份由Windows系統(tǒng)驗證 優(yōu)點： 高級安全特性 訪問速度快,SQL SERVER教程,6,2 SQL Server身份驗證模式,混合身份驗證模式允許用戶使用Windows和SQL Server身份進行連接，由SQL Server檢驗登錄和密碼的正確性 優(yōu)點： 非Windows客戶、Internet 客戶能夠通過混合模式建立連接 增加了安全性的選擇,SQL SERVER教程,7,3 設置驗證模式,方法一：在“已注冊的服務器”選擇服務器，單擊鼠標右鍵，在彈出的菜單上選擇“屬性”項，在“編輯”窗口進行設置。 方法二：在“對象資源管理器”中，右鍵單擊服務器，再單擊選擇“屬性”項。在“安全性”頁上的“服務器身份驗證”下進行設置。,SQL SERVER教程,8,身份驗證過程,SQL SERVER教程,9,6.3 登錄管理,系統(tǒng)管理員登錄賬號 使用Management Studio管理登錄帳戶 用T-SQL管理登錄帳戶,SQL SERVER教程,10,1 系統(tǒng)管理員登錄賬號,兩個默認的系統(tǒng)管理員登錄帳號，可以在服務器中執(zhí)行任何活動 sa BUILTINAdministrators(本地管理員組) 注：應給sa賬號指定口令,SQL SERVER教程,11,2 用Management Studio管理登錄賬戶,創(chuàng)建登錄賬戶 查看、修改或刪除登錄帳戶,SQL SERVER教程,12,2 用Management Studio管理登錄賬戶,創(chuàng)建登錄賬戶： 1) 選擇服務器，展開“安全性”、“登錄名”，并選擇“新建登錄名”，進入對話框。 2) 選擇驗證模式，根據(jù)需要輸入帳戶名稱、密碼 3) 單擊“服務器角色”，查看固定服務器角色中的成員 4) 單擊“用戶映射”，查看登錄到數(shù)據(jù)庫用戶的映射 5) 最后按“確定”按鈕。,SQL SERVER教程,13,2 用Management Studio管理登錄賬戶,查看、修改登錄賬戶： 1) 選擇服務器，展開“安全性”、“登錄名。 2) 單擊“登錄名”下某一登錄帳戶，在彈出菜單上單擊“屬性”項，可查看該帳戶信息 3) 單擊“刪除”，能刪除該登錄帳戶。,SQL SERVER教程,14,3 用T-SQL管理登錄賬戶,新建登錄賬戶： Create LOGIN login_name WITH sp_addlogin 修改登錄帳戶： ALTER LOGIN; 刪除帳戶： DROP LOGIN; sp_droplogin; sp_revokelogin,SQL SERVER教程,15,3 用T-SQL管理登錄賬戶,新建登錄賬戶： Create LOGIN login_name WITH |FROM sp_addlogin 修改登錄帳戶： ALTER LOGIN; 刪除帳戶： DROP LOGIN; sp_droplogin; sp_revokelogin,SQL SERVER教程,16,6.4 用戶管理,登錄名與數(shù)據(jù)庫用戶名的關系 使用Management Studio管理用戶 用T-SQL管理用戶,SQL SERVER教程,17,1 登錄名與數(shù)據(jù)庫用戶名的關系,登錄名是訪問SQL Server的通行證，要訪問具體的數(shù)據(jù)庫，還要有該數(shù)據(jù)庫的用戶名 默認情況下，用戶名和登錄名使用相同的名稱 一個登錄帳戶可以映射到不同的數(shù)據(jù)庫，一個數(shù)據(jù)庫用戶只能映射到一個登錄帳戶 一個登錄名在一個數(shù)據(jù)庫中只能有一個用戶,SQL SERVER教程,18,2 使用Management Studio管理用戶,在創(chuàng)建登錄帳戶時，可指定該帳戶允許訪問的數(shù)據(jù)庫，同時生成該登錄帳戶在數(shù)據(jù)庫中的用戶 步驟： 1) 選擇服務器和要設置的數(shù)據(jù)庫，展開“安全性”、“用戶” 2) 選擇“新建數(shù)據(jù)庫用戶”，在彈出的對話框輸入用戶名字及對應的登錄名，按“確定”完成。,SQL SERVER教程,19,3 用T-SQL管理用戶,CREATE USER語句; sp_adduser ALTER USER DROP USER; sp_revokeaccess,SQL SERVER教程,20,3 用T-SQL管理用戶,例1：創(chuàng)建名為AborHam且密碼為340$Uxwp7Mcxo7Khy的服務器登錄名，然后在Sales中創(chuàng)建對應的數(shù)據(jù)庫用戶AborHam。 CREATE LOGIN AborHam WITH PASSWORD=340$Uxwp7Mcxo7Khy USE Sales CREATE USER AborHam,SQL SERVER教程,21,dbo和guest用戶,dbo用戶 dbo是特殊的數(shù)據(jù)庫用戶，它是數(shù)據(jù)庫所有者，可在數(shù)據(jù)庫中執(zhí)行所有的操作。服務器角色sysadmin的任何成員都會對應到每個數(shù)據(jù)庫內的一個dbo用戶，且服務器角色sysadmin 任何成員創(chuàng)建的任何對象自動屬于dbo。dbo無法刪除。 guest用戶 由系統(tǒng)創(chuàng)建數(shù)據(jù)庫后自動生成，它的作用是讓未經(jīng)授權的或未明確定義的用戶具有一定的權限，guest也無法刪除。,SQL SERVER教程,22,6.5 角色管理,public角色 固定服務器角色：在服務器級別定義 數(shù)據(jù)庫角色：在數(shù)據(jù)庫級別定義 用戶定義的角色 應用程序角色,SQL SERVER教程,23,1 public角色,public角色在每個數(shù)據(jù)庫中都存在，是系統(tǒng)預定義的角色。每個數(shù)據(jù)庫用戶都自動是此角色的成員，無法在此角色中添加或刪除用戶。 public角色提供數(shù)據(jù)庫中用戶的默認權限，不能刪除。用戶將繼承授予public角色的權限。,SQL SERVER教程,24,2 固定服務器角色,SQL SERVER教程,25,固定服務器角色,固定服務器角色具有服務器級別上的管理權限，存儲在master.syslogins系統(tǒng)表中 為固定服務器角色添加/刪除登錄帳號： 設置登錄帳號屬性 系統(tǒng)存儲過程：sp_addsrvrolemembers; sp_dropsrvrolemembers 用management studio添加/刪除角色成員 查看固定服務器角色的成員： sp_helpsrvrolemembers,SQL SERVER教程,26,使用Management Studio添加/刪除角色成員,方法一：選擇服務器和要設置的數(shù)據(jù)庫，展開“安全性”-“服務器角色”，在某固定服務器角色上單擊右鍵，選擇菜單中的“屬性”項，單擊“添加”或“刪除”按鈕選擇成員。 方法二：選擇服務器和要設置的數(shù)據(jù)庫，展開“安全性”-“登錄名”，在某登錄名上右擊，選擇“屬性”，出現(xiàn)“登錄屬性”對話框。單擊“服務器角色”選項卡，直接多項選擇該登錄名所屬的固定服務器角色。,SQL SERVER教程,27,固定服務器角色,例1：將登錄名HelenS添加到sysadmin固定服務器角色 EXEC sp_addsrvrolemember HelenS 用management studio添加 例2：查看sysadmin固定服務器角色的成員 sp_helpsrvrolemember sysadmin,SQL SERVER教程,28,3 固定數(shù)據(jù)庫角色,SQL SERVER教程,29,3 固定數(shù)據(jù)庫角色,SQL SERVER教程,30,固定數(shù)據(jù)庫角色,為固定數(shù)據(jù)庫角色添加/刪除用戶： 系統(tǒng)存儲過程：sp_addrolemembers; sp_droprolemembers 用management studio添加/刪除角色成員 查看固定數(shù)據(jù)庫角色的成員： sp_helprolemembers,SQL SERVER教程,31,使用Management Studio添加/刪除角色成員,選擇要處理的固定數(shù)據(jù)庫角色，右擊后選擇“屬性”。在對話框中，單擊“添加”按鈕，選擇要加入數(shù)據(jù)庫角色的用戶名。按“確定”完成。,SQL SERVER教程,32,4 用戶自定義角色,用于組織數(shù)據(jù)庫用戶的安全 當一組用戶在 SQL Server中有相同的權限時，可建用戶角色 用戶定義的角色只適用于數(shù)據(jù)庫級別,SQL SERVER教程,33,（1） 用戶角色的創(chuàng)建、修改或刪除,用management studio創(chuàng)建、刪除角色 用T-SQL創(chuàng)建、刪除角色 CREATE ROLE role_name AUTHORIZATION owner_name; sp_addrole ALTER ROLE role_name WITH NAME=new_name DROP ROLE sp_helprole 返回當前數(shù)據(jù)庫中的所有角色,SQL SERVER教程,34,使用Management Studio創(chuàng)建、刪除角色,選擇服務器和要設置的數(shù)據(jù)庫，展開“安全性”-“角色”-“數(shù)據(jù)庫角色”，在數(shù)據(jù)庫角色目錄上單擊右鍵，選擇菜單中的“新建數(shù)據(jù)庫角色”項，指定角色名與所有者，單擊“確定” 完成。 在某數(shù)據(jù)庫角色上單擊右鍵，選擇菜單中的“屬性”項，可查閱或修改角色信息。單擊“刪除”項完成刪除。 注：角色成員必須為空才能刪除。,SQL SERVER教程,35,用戶自定義角色,例1：創(chuàng)建用戶Miller擁有的數(shù)據(jù)庫角色buyers CREATE ROLE buyers AUTHORIZATION Miller 用management studio添加 例2：將角色buyers的名稱更改為purchasing ALTER ROLE buyers WITH NAME= purchasing,SQL SERVER教程,36,（2） 角色成員的添加與刪除,用management studio添加與刪除角色成員 用T-SQL添加與刪除角色成員 sp_addrolemember rolename=role,membername=security_account(安全賬戶) sp_droprolemember sp_helprolemember 返回當前數(shù)據(jù)庫中的某個角色的成員信息,SQL SERVER教程,37,使用Management Studio添加/刪除角色成員,方法一：在前面提過的某數(shù)據(jù)庫角色的“數(shù)據(jù)庫角色屬性”對話框中，“常規(guī)”選項卡上，右下角成員操作區(qū)，單擊 “添加”或“刪除”按鈕選擇成員。 方法二：選擇要設置的數(shù)據(jù)庫，展開“安全性”-“用戶” ，選擇某具體用戶，右擊，選擇“屬性”，出現(xiàn)“數(shù)據(jù)庫用戶”對話框。在右下角成員操作區(qū)，直接多項選擇該用戶名所屬的數(shù)據(jù)庫角色。,SQL SERVER教程,38,角色成員的添加與刪除,例1：將用戶Ben添加到數(shù)據(jù)庫角色purchasing Sp_addrolemember purchasing,Ben 用management studio添加,SQL SERVER教程,39,5 應用程序角色,用于應用程序級的安全，不允許用戶直接操作表中數(shù)據(jù)，只能通過特定的應用程序訪問 特點： 定義在數(shù)據(jù)庫中，類似于用戶定義的數(shù)據(jù)庫角色，可以分配權限 建立時，需提供口令 無成員 非活動的，使用時需要激活(sp_setapprole),SQL SERVER教程,40,應用程序角色的創(chuàng)建與刪除,用management studio創(chuàng)建、刪除角色 用T-SQL創(chuàng)建、刪除角色 CREATE APPLICATION ROLE appication_role_name WITH PASSWORD=password ,DEFAULT_SCHEMA=schema_name ALTER APPLICATION ROLE DROP APPLICATION ROLE sp_setapprole, sp_unsetapprole,SQL SERVER教程,41,使用Management Studio創(chuàng)建、刪除角色,選擇服務器和要設置的數(shù)據(jù)庫，展開“安全性”-“角色”-“應用程序角色”，在數(shù)據(jù)庫角色目錄上單擊右鍵，選擇菜單中的“新建應用程序角色”項，在“常規(guī)”選項卡指定角色名稱指定角色名稱、默認結構、密碼等信息，單擊“確定” 完成。,SQL SERVER教程,42,6.6 權限管理,用戶權限是指不同的用戶對不同的數(shù)據(jù)對象允許執(zhí)行的操作權限 主體與安全對象的概念 權限類型 管理權限,SQL SERVER教程,43,1 主體與安全對象的概念,1) 主體 主體是可以請求SQL Server數(shù)據(jù)資源的個體、組，每個主體有唯一的安全標識符(SID)。主體分為如下幾種： Windows級別的主體：Windows登錄名 SQL Server級別的主體：SQL Server登錄名 數(shù)據(jù)庫級別的主體：數(shù)據(jù)庫用戶、數(shù)據(jù)庫角色、應用程序角色,SQL SERVER教程,44,1 主體與安全對象的概念,2) 安全對象 安全對象是系統(tǒng)控制對其訪問的資源。安全對象范圍有服務器、數(shù)據(jù)庫、架構三個層次。 安全對象范圍服務器：包含端點、登錄帳戶、數(shù)據(jù)庫等 安全對象范圍數(shù)據(jù)庫：包含用戶、角色、應用程序角色、程序集、服務、證書、非對稱密鑰、對稱密鑰、約定等 安全對象范圍架構：包含類型、約束、函數(shù)、過程、隊列、統(tǒng)計信息、表、視圖等,SQL SERVER教程,45,2 權限類型,SQL SERVER教程,46,3為用戶和角色分配權限,用management studio管理權限 用T-SQL管理權限 授予、拒絕和廢除許可權限 “授予權限”許可訪問 “拒絕權限”即禁止訪問 廢除已授予或已拒絕的權限,SQL SERVER教程,47,授予、拒絕，廢除許可權限,SQL SERVER教程,48,使用Management Studio管理權限,可從主體或安全對象出發(fā)來設置權限 從主體：選擇用戶或角色，右擊“屬性”項，單擊“安全對象”選項卡，對權限進行設置 從安全對象：選擇數(shù)據(jù)庫或表，右擊“屬性”項，單擊“權限”選項卡，選定用戶或角色對其權限進行設置,SQL SERVER教程,49,用T-SQL管理權限,GRANT、REVOKE、DENY 例：授予用戶Ben對Sales中的Employee的SELECT權限 GRANT SELECT ON Sales. Employee TO BEN,SQL SERVER教程,50,用戶最終獲得權限的必要條件,1、用戶已直接被授予權限或者其已屬于某一個角色且該角色已被授予權限。 2、沒有DENY過用戶或其所屬的任何一個角色。,SQL SERVER教程,51,如何管理SQL SERVER的安全性,確定默認登錄帳號的使用 sa BUILT