SQLSERVER--4-安全性.ppt

1 SQLSERVER教程 SQLSERVER数据库管理系统 SQLSERVER教程 2 第六章安全管理 SQLServer2005安全架构身份验证模式登录管理用户管理角色管理权限管理 SQLSERVER教程 3 6 1SQLServer安全架构 两个安全阶段 身份验证和权限验证视图安全机制加密方法 加密机制 证书 对称密钥 非对称密钥用户架构分离安全与加密函数withencryption子句审核SQLServerProfiler 事件跟踪 SQLSERVER教程 4 6 2SQLServer的验证模式 Windows身份验证模式混合身份验证模式 即SQLServer身份验证模式 设置验证模式 SQLSERVER教程 5 1Windows身份验证模式 WINDOWS身份验证模式是指通过Windows用户帐户连接到SQLServer 用户身份由Windows系统验证优点 高级安全特性访问速度快 SQLSERVER教程 6 2SQLServer身份验证模式 混合身份验证模式允许用户使用Windows和SQLServer身份进行连接 由SQLServer检验登录和密码的正确性优点 非Windows客户 Internet客户能够通过混合模式建立连接增加了安全性的选择 SQLSERVER教程 7 3设置验证模式 方法一 在 已注册的服务器 选择服务器 单击鼠标右键 在弹出的菜单上选择 属性 项 在 编辑 窗口进行设置 方法二 在 对象资源管理器 中 右键单击服务器 再单击选择 属性 项 在 安全性 页上的 服务器身份验证 下进行设置 SQLSERVER教程 8 身份验证过程 SQLSERVER教程 9 6 3登录管理 系统管理员登录账号使用ManagementStudio管理登录帐户用T SQL管理登录帐户 SQLSERVER教程 10 1系统管理员登录账号 两个默认的系统管理员登录帐号 可以在服务器中执行任何活动saBUILTIN Administrators 本地管理员组 注 应给sa账号指定口令 SQLSERVER教程 11 2用ManagementStudio管理登录账户 创建登录账户查看 修改或删除登录帐户 SQLSERVER教程 12 2用ManagementStudio管理登录账户 创建登录账户 1 选择服务器 展开 安全性 登录名 并选择 新建登录名 进入对话框 2 选择验证模式 根据需要输入帐户名称 密码3 单击 服务器角色 查看固定服务器角色中的成员4 单击 用户映射 查看登录到数据库用户的映射5 最后按 确定 按钮 SQLSERVER教程 13 2用ManagementStudio管理登录账户 查看 修改登录账户 1 选择服务器 展开 安全性 登录名 2 单击 登录名 下某一登录帐户 在弹出菜单上单击 属性 项 可查看该帐户信息3 单击 删除 能删除该登录帐户 SQLSERVER教程 14 3用T SQL管理登录账户 新建登录账户 CreateLOGINlogin name WITH sp addlogin修改登录帐户 ALTERLOGIN 删除帐户 DROPLOGIN sp droplogin sp revokelogin SQLSERVER教程 15 3用T SQL管理登录账户 新建登录账户 CreateLOGINlogin name WITH FROM sp addlogin修改登录帐户 ALTERLOGIN 删除帐户 DROPLOGIN sp droplogin sp revokelogin SQLSERVER教程 16 6 4用户管理 登录名与数据库用户名的关系使用ManagementStudio管理用户用T SQL管理用户 SQLSERVER教程 17 1登录名与数据库用户名的关系 登录名是访问SQLServer的通行证 要访问具体的数据库 还要有该数据库的用户名默认情况下 用户名和登录名使用相同的名称一个登录帐户可以映射到不同的数据库 一个数据库用户只能映射到一个登录帐户一个登录名在一个数据库中只能有一个用户 SQLSERVER教程 18 2使用ManagementStudio管理用户 在创建登录帐户时 可指定该帐户允许访问的数据库 同时生成该登录帐户在数据库中的用户步骤 1 选择服务器和要设置的数据库 展开 安全性 用户 2 选择 新建数据库用户 在弹出的对话框输入用户名字及对应的登录名 按 确定 完成 SQLSERVER教程 19 3用T SQL管理用户 CREATEUSER语句 sp adduserALTERUSERDROPUSER sp revokeaccess SQLSERVER教程 20 3用T SQL管理用户 例1 创建名为AborHam且密码为340 Uxwp7Mcxo7Khy的服务器登录名 然后在Sales中创建对应的数据库用户AborHam CREATELOGINAborHamWITHPASSWORD 340 Uxwp7Mcxo7Khy USESalesCREATEUSERAborHam SQLSERVER教程 21 dbo和guest用户 dbo用户dbo是特殊的数据库用户 它是数据库所有者 可在数据库中执行所有的操作 服务器角色sysadmin的任何成员都会对应到每个数据库内的一个dbo用户 且服务器角色sysadmin任何成员创建的任何对象自动属于dbo dbo无法删除 guest用户由系统创建数据库后自动生成 它的作用是让未经授权的或未明确定义的用户具有一定的权限 guest也无法删除 SQLSERVER教程 22 6 5角色管理 public角色固定服务器角色 在服务器级别定义数据库角色 在数据库级别定义用户定义的角色应用程序角色 SQLSERVER教程 23 1public角色 public角色在每个数据库中都存在 是系统预定义的角色 每个数据库用户都自动是此角色的成员 无法在此角色中添加或删除用户 public角色提供数据库中用户的默认权限 不能删除 用户将继承授予public角色的权限 SQLSERVER教程 24 2固定服务器角色 SQLSERVER教程 25 固定服务器角色 固定服务器角色具有服务器级别上的管理权限 存储在master syslogins系统表中为固定服务器角色添加 删除登录帐号 设置登录帐号属性系统存储过程 sp addsrvrolemembers sp dropsrvrolemembers用managementstudio添加 删除角色成员查看固定服务器角色的成员 sp helpsrvrolemembers SQLSERVER教程 26 使用ManagementStudio添加 删除角色成员 方法一 选择服务器和要设置的数据库 展开 安全性 服务器角色 在某固定服务器角色上单击右键 选择菜单中的 属性 项 单击 添加 或 删除 按钮选择成员 方法二 选择服务器和要设置的数据库 展开 安全性 登录名 在某登录名上右击 选择 属性 出现 登录属性 对话框 单击 服务器角色 选项卡 直接多项选择该登录名所属的固定服务器角色 SQLSERVER教程 27 固定服务器角色 例1 将登录名HelenS添加到sysadmin固定服务器角色EXECsp addsrvrolemember HelenS 用managementstudio添加例2 查看sysadmin固定服务器角色的成员sp helpsrvrolemember sysadmin SQLSERVER教程 28 3固定数据库角色 SQLSERVER教程 29 3固定数据库角色 SQLSERVER教程 30 固定数据库角色 为固定数据库角色添加 删除用户 系统存储过程 sp addrolemembers sp droprolemembers用managementstudio添加 删除角色成员查看固定数据库角色的成员 sp helprolemembers SQLSERVER教程 31 使用ManagementStudio添加 删除角色成员 选择要处理的固定数据库角色 右击后选择 属性 在对话框中 单击 添加 按钮 选择要加入数据库角色的用户名 按 确定 完成 SQLSERVER教程 32 4用户自定义角色 用于组织数据库用户的安全当一组用户在SQLServer中有相同的权限时 可建用户角色用户定义的角色只适用于数据库级别 SQLSERVER教程 33 1 用户角色的创建 修改或删除 用managementstudio创建 删除角色用T SQL创建 删除角色CREATEROLErole name AUTHORIZATIONowner name sp addroleALTERROLErole nameWITHNAME new nameDROPROLEsp helprole返回当前数据库中的所有角色 SQLSERVER教程 34 使用ManagementStudio创建 删除角色 选择服务器和要设置的数据库 展开 安全性 角色 数据库角色 在数据库角色目录上单击右键 选择菜单中的 新建数据库角色 项 指定角色名与所有者 单击 确定 完成 在某数据库角色上单击右键 选择菜单中的 属性 项 可查阅或修改角色信息 单击 删除 项完成删除 注 角色成员必须为空才能删除 SQLSERVER教程 35 用户自定义角色 例1 创建用户Miller拥有的数据库角色buyersCREATEROLEbuyersAUTHORIZATIONMiller用managementstudio添加例2 将角色buyers的名称更改为purchasingALTERROLEbuyersWITHNAME purchasing SQLSERVER教程 36 2 角色成员的添加与删除 用managementstudio添加与删除角色成员用T SQL添加与删除角色成员sp addrolemember rolename role membername security account 安全账户 sp droprolemembersp helprolemember返回当前数据库中的某个角色的成员信息 SQLSERVER教程 37 使用ManagementStudio添加 删除角色成员 方法一 在前面提过的某数据库角色的 数据库角色属性 对话框中 常规 选项卡上 右下角成员操作区 单击 添加 或 删除 按钮选择成员 方法二 选择要设置的数据库 展开 安全性 用户 选择某具体用户 右击 选择 属性 出现 数据库用户 对话框 在右下角成员操作区 直接多项选择该用户名所属的数据库角色 SQLSERVER教程 38 角色成员的添加与删除 例1 将用户Ben添加到数据库角色purchasingSp addrolemember purchasing Ben 用managementstudio添加 SQLSERVER教程 39 5应用程序角色 用于应用程序级的安全 不允许用户直接操作表中数据 只能通过特定的应用程序访问特点 定义在数据库中 类似于用户定义的数据库角色 可以分配权限建立时 需提供口令无成员非活动的 使用时需要激活 sp setapprole SQLSERVER教程 40 应用程序角色的创建与删除 用managementstudio创建 删除角色用T SQL创建 删除角色CREATEAPPLICATIONROLEappication role nameWITHPASSWORD password DEFAULT SCHEMA schema name ALTERAPPLICATIONROLEDROPAPPLICATIONROLEsp setapprole sp unsetapprole SQLSERVER教程 41 使用ManagementStudio创建 删除角色 选择服务器和要设置的数据库 展开 安全性 角色 应用程序角色 在数据库角色目录上单击右键 选择菜单中的 新建应用程序角色 项 在 常规 选项卡指定角色名称指定角色名称 默认结构 密码等信息 单击 确定 完成 SQLSERVER教程 42 6 6权限管理 用户权限是指不同的用户对不同的数据对象允许执行的操作权限主体与安全对象的概念权限类型管理权限 SQLSERVER教程 43 1主体与安全对象的概念 1 主体主体是可以请求SQLServer数据资源的个体 组 每个主体有唯一的安全标识符 SID 主体分为如下几种 Windows级别的主体 Windows登录名SQLServer级别的主体 SQLServer登录名数据库级别的主体 数据库用户 数据库角色 应用程序角色 SQLSERVER教程 44 1主体与安全对象的概念 2 安全对象安全对象是系统控制对其访问的资源 安全对象范围有服务器 数据库 架构三个层次 安全对象范围服务器 包含端点 登录帐户 数据库等安全对象范围数据库 包含用户 角色 应用程序角色 程序集 服务 证书 非对称密钥 对称密钥 约定等安全对象范围架构 包含类型 约束 函数 过程 队列 统计信息 表 视图等 SQLSERVER教程 45 2权限类型 SQLSERVER教程 46 3为用户和角色分配权限 用managementstudio管理权限用T SQL管理权限授予 拒绝和废除许可权限 授予权限 许可访问 拒绝权限 即禁止访问废除已授予或已拒绝的权限 SQLSERVER教程 47 授予 拒绝 废除许可权限 SQLSERVER教程 48 使用ManagementStudio管理权限 可从主体或安全对象出发来设置权限从主体 选择用户或角色 右击 属性 项 单击 安全对象 选项卡 对权限进行设置从安全对象 选择数据库或表 右击 属性 项 单击 权限 选项卡 选定用户或角色对其权限进行设置 SQLSERVER教程 49 用T SQL管理权限 GRANT REVOKE DENY例 授予用户Ben对Sales中的Employee的SELECT权限GRANTSELECTONSales EmployeeTOBEN SQLSERVER教程 50 用户最终获得权限的必要条件 1 用户已直接被授予权限或者其已属于某一个角色且该角色已被授予权限 2 没有DENY过用户或其所属的任何一个角色 SQLSERVER教程 51 如何管理SQLSERVER的安全性 确定默认登录帐号的使用saBUILTIN Administrato