六章安全管理ppt课件

1、u实施身份验证方式实施身份验证方式u为用户和角色分配登录帐号为用户和角色分配登录帐号u为用户和角色分配答应权限为用户和角色分配答应权限u管理管理SQL SERVER的平安性的平安性 u管理运用程序平安性管理运用程序平安性u管理企业内部管理企业内部SQL SERVER的平安性的平安性u身份验证处置过程身份验证处置过程u选择身份验证方式选择身份验证方式u实施身份验证的步骤实施身份验证的步骤u创建登录帐号创建登录帐号u演示如何建立登录帐号演示如何建立登录帐号Windows 2000Windows 2000 Group or UserSQL ServerLogin AccountVerifies en

2、try in sysxlogins table;trusts that Windows 2000 has verified passwordVerifies entry in sysxlogins table, and verifiespasswordSQL ServeruWINDOWS身份验证方式的优点身份验证方式的优点u高级平安特性高级平安特性u可以将组作为单个帐号添加可以将组作为单个帐号添加u访问速度快访问速度快u混合方式的优点混合方式的优点u非非Windows 2000 和和Internet 客户可以经客户可以经过混合方式建立衔接过混合方式建立衔接Set the Authenticat

3、ion ModeStop and Restart MSSQLServer ServiceCreate Windows 2000 Groups and UsersAuthorize Windows 2000 Groups and Users toAccess SQL ServerCreate SQL Server Login Accounts for Users Who Connectwith Non-Trusted Connectionsu登录帐号存放：登录帐号存放：Master.sysloginsu缺省：缺省：Sa and Builtinadministratorsu用用EM创建登录帐号创建

4、登录帐号u2000 UseruSp_grantlogin domainntuser uNo password setu注销注销windows 2000，重新进入，重新进入uSQL UseruSp_addlogin sqluser , password uPassworduEM 断开衔接，重新衔接断开衔接，重新衔接u配置配置SQL SERVER身份验证方式身份验证方式u授权授权windows 2000组和用户访问组和用户访问SQL SERVER 2000u废除和回绝废除和回绝windows 2000组和用户的访问组和用户的访问权限权限uidname0137publicdboINFORMATION

5、_SCHEMApayrollUsers are stored herePermissions are stored hereid1977058079197705807919770580791977058079uid0007action193195196193protecttype205205205205u在数据库中添加用户在数据库中添加用户uEM：添加用户时选择登录帐号：添加用户时选择登录帐号usp_grantdbaccessu在创建登录帐号时在创建登录帐号时udbo用户帐号用户帐号uGuest用户帐号用户帐号u固定效力器角色固定效力器角色u固定数据库角色固定数据库角色u用户自定义数据库角色用

6、户自定义数据库角色u运用角色运用角色系统管理员系统管理员可以执行任何活动可以执行任何活动数据库创建者数据库创建者创建更改和删除数据库创建更改和删除数据库磁盘管理员磁盘管理员管理磁盘文件管理磁盘文件进程管理员进程管理员管理在管理在 SQL Server 中运转的进程中运转的进程效力器管理员效力器管理员设置效力器范围的配置选项，封锁效力器设置效力器范围的配置选项，封锁效力器安装管理员安装管理员可以安装复制可以安装复制平安管理员平安管理员管理和审计登录帐号管理和审计登录帐号大容量管理员大容量管理员执行执行 BULK INSERT 语句语句u固定效力器角色具有效力器级别上的管固定效力器角色具有效力器级

7、别上的管理权限，存储在理权限，存储在master.syslogins系统系统标中标中u为固定效力器角色分配登录帐号：为固定效力器角色分配登录帐号：uEM：登录帐号属性：登录帐号属性u系统存储过程：系统存储过程：sp_addsrvrolememberspublicMaintain all default permissionsdb_ownerPerform any database role activitydb_accessadminAdd or remove database users, groups, and rolesdb_ddladminAdd, modify, or drop da

8、tabase objectsdb_security adminAssign statement and object permissionsdb_backupoperatorBack up databasedb_datareaderRead data from any tabledb_datawriterAdd, change, or delete data from all tablesdb_denydatareaderCannot read data from any tabledb_denydatawriterCannot change data in any tableu为固定效力器角

9、色分配登录帐号：为固定效力器角色分配登录帐号：uEM：登录帐号属性：登录帐号属性u系统存储过程：系统存储过程：sp_addrolememberu用于组织数据库用户的平安用于组织数据库用户的平安u当一组用户在当一组用户在 SQL ServerSQL Server中有中有一样的权限时，可建用户角色一样的权限时，可建用户角色u管理非管理非NTNT用户用户u答应权限类型答应权限类型u授予授予,回绝和废除答应权限回绝和废除答应权限u授予权限答应访问授予权限答应访问u回绝权限制止访问回绝权限制止访问u废除已授予或已回绝的权限废除已授予或已回绝的权限Fixed RoleObject OwnerSELECT

10、INSERTUPDATEDELETEREFERENCESSELECT UPDATEREFERENCESEXECTABLEVIEWCOLUMNSTORED PROCEDURECREATE DATABASECREATE TABLECREATE VIEWCREATE PROCEDURECREATE RULECREATE DEFAULTCREATE FUNCTIONBACKUP DATABASEBACKUP LOGGRANT:Can Perform ActionREVOKE:NeutralDENY:Cannot Perform Action1 1、用户已直接被保证答应或者其、用户已直接被保证答应或者其

11、已属于某一个角色且该角色已被已属于某一个角色且该角色已被保证答应。保证答应。2 2、没有、没有DENYDENY过用户或其所属的任过用户或其所属的任何一个角色。何一个角色。u确定默许登录帐号的运用确定默许登录帐号的运用usauBUILTINAdministratorsu确定用户帐号确定用户帐号Guest 的职能的职能u确定角色确定角色public的答应权限的答应权限u对角色运用答应权限对角色运用答应权限u创建创建dbo所属的对象所属的对象u创建数据库角色并添加成员创建数据库角色并添加成员u分配语句答应权限分配语句答应权限u分配对象答应权限分配对象答应权限u利用视图和存储过程管理平利用视图和存储过

12、程管理平安性安性u利用运用角色管理客户运用利用运用角色管理客户运用程序的平安性程序的平安性OrderID CustomerID EmployeeID102481024910250VINETTOMSPHANAR312 .Microsoft ExcelOrder Entry Applicationu机制机制u视图主要是防止用户访问或修正数据库表中某视图主要是防止用户访问或修正数据库表中某些敏感列数据。可以经过赋予用户视图权限些敏感列数据。可以经过赋予用户视图权限(SELECT、UPDATE、INSERT、DELETE)，而制止用户访问底层表，来实现数据平安。而制止用户访问底层表，来实现数据平安。u

13、存储过程主要是实现数据库的整体一致性，可存储过程主要是实现数据库的整体一致性，可以经过赋予用户执行存储过程的权限以经过赋予用户执行存储过程的权限(EXEC)，而制止用户访问底层表或视图，来实现平安。而制止用户访问底层表或视图，来实现平安。u 调用链：调用链：u 视图援用其它的表或视图，存储过程援用其它的视视图援用其它的表或视图，存储过程援用其它的视图、表及存储过程，构成一个调用链。图、表及存储过程，构成一个调用链。u普通来说，视图或存储过程的拥有者普通来说，视图或存储过程的拥有者Owner也是也是被援用对象被援用对象(表、视图或其它对象表、视图或其它对象)的的Owner，并且都，并且都属于同一

14、数据库。视图或存储过程拥有者只需求属于同一数据库。视图或存储过程拥有者只需求将视图对象的答应分配给用户，用户就能执行该视图，将视图对象的答应分配给用户，用户就能执行该视图，不需求用户具有访问被援用对象的答应。不需求用户具有访问被援用对象的答应。u但是，假设视图和存储过程援用了他人的对象，也即但是，假设视图和存储过程援用了他人的对象，也即一 切 者 不 同 ， 那 么 用 户 提 交一 切 者 不 同 ， 那 么 用 户 提 交 T_SQL恳 求 时 ，恳 求 时 ，SQLServer将检查以下答应：将检查以下答应：u 1.执行该视图或存储过程的答应；执行该视图或存储过程的答应；u 2. 不同一切者被援用对象的答应不同一切者被援用对象的答应 OrderID CustomerID EmployeeID102481024910250VINETTOMSPHANAR312 .Microsoft ExcelOrder Entry Application 用于运用程序级的平安，不允许用户直接操作表中数据，只能经过定制的运用程序访问 特点： 定义在数据库中，类似于用户定义的数据库角色，可以分配权限 建立时，需提供口令 无成员u经过激活经过激活Application RoleApp