免费SQL_Server_2008基础教程第三章(安全管理).ppt

1、2020年7月25日，第1页，第3章，管理安全性，本章总结了本章的要点，2020年7月25日，第2页，本章总结了安全性是数据库管理系统的一个重要特性。能否提供全面、完整、有效、灵活的安全机制往往是衡量分布式数据库管理系统是否成熟的重要指标，也是用户选择合适的数据库产品的重要判断指标。微软的SQL Server 2008系统提供了一套完整的数据安全机制，包括角色、架构、用户、权限等手段，可以有效地控制系统访问和数据访问。本章全面描述了微软2008系统的安全管理。2020年7月25日，第3页，本章要点，了解数据库安全问题和安全机制之间的关系，管理和维护登录SQL Server系统的密码策略，固定服

2、务器角色的特征和管理，管理和维护数据库用户，管理和维护权限管理系统的体系结构、权限类型和内置加密机制，2020年7月25日，第4页，本章内容， 3.1概述3.2管理登录3.3固定服务器角色3.4管理数据库用户3.5管理体系结构3.6数据库角色3.7管理应用程序角色3.8管理权限3.9 SQL Server 2008内置加密机制3.10使用SQL Server Management Studio工具3.11本章概述3.1概述安全性是所有数据库管理系统的重要功能。 理解安全问题是理解数据库管理系统安全机制的前提。结合微软2008系统的安全特性，分析了安全问题与安全机制的关系。2020年7月25日，

3、第5页，登录系统，第一个安全问题：当用户登录数据库系统时，如何确保只有合法用户才能登录系统？这是一个基本的安全问题，也是数据库管理系统提供的基本功能。在微软的SQL Server 2008系统中，这个问题是通过身份验证模式和主体来解决的。2020年7月25日，第6页，身份验证模式，这是Microsoft SQL Server 2008系统验证客户端和服务器之间连接的方式。微软2008系统提供了两种身份验证模式：窗口身份验证模式和混合模式。在窗口身份验证模式下，当用户通过微软窗口用户帐户连接时，SQL Server将使用窗口操作系统中的信息验证帐户名和密码。Windows身份验证模式使用Kerb

4、eros安全协议，并提供密码策略实施、帐户锁定支持、密码过期支持等。通过强密码复杂性验证。在混合模式下，当客户端连接到服务器时，它可以采用Windows身份验证或SQL Server身份验证。当设置为混合模式时，允许用户使用窗口身份验证进行连接。2020年7月25日，第7页，主题，主题是可以请求系统资源的单独和组合过程。例如，数据库用户是可以根据自己的权限执行操作并使用数据库中相应数据的主体。Microsoft SQL Server 2008系统中有许多不同的主题，不同主题之间的关系是一种典型的层次关系。位于不同层次的主体在系统中有不同的影响。主体在更高的层次上有更大的行动范围；较低层次的主体

5、具有较小的作用范围。2020年7月25日，第8页，操作，第二个安全问题：当用户登录到系统时，他可以执行什么操作，他可以使用什么对象和资源？这也是一个基本的安全问题。在Microsoft SQL Server 2008系统中，这个问题通过设置安全对象和权限来解决。2020年7月25日，第9页，主体和安全对象示意图，2020年7月25日，第10页，所有，第三个安全问题：谁拥有数据库中的对象？如果它属于用户，那么当用户被删除时，用户所拥有的对象呢？没有所有者，数据库对象会变成孤儿吗？在微软的SQL Server 2008系统中，这个问题通过用户和体系结构的分离来解决。，2020年7月25日，第11页

6、，数据库对象、模式和用户之间关系示意图，2020年7月25日，第12页，3.2管理登录名，包括创建登录名、设置密码策略、查看登录信息、修改和删除登录名等。以下描述了登录名管理的内容。请注意，sa是一个默认的SQL Server登录名，拥有操作SQL Server系统的所有权限。无法删除登录名。在混合模式下安装Microsoft SQL Server系统后，您应该为sa指定一个密码。2020年7月25日，第13页，创建登录名。在Microsoft SQL Server 2008系统中，许多操作可以通过事务处理SQL语句或Microsoft SQL Server管理工作室工具来完成。下面主要介绍如

7、何使用Transact-SQL语句创建登录名。创建登录名时，您可以将窗口登录名映射到SQL Server系统，也可以创建一个SQL Server登录名。2020年7月25日，第14页，用窗口登录名创建登录名，2020年7月25日，第15页，用默认数据库创建登录名，2020年7月25日，第16页，创建SQL Server登录名，2020年7月25日，第17页，密码策略问题，密码复杂性和Microsoft SQL Server 2008系统的密码过期策略是指如何管理密码的过期日期。在创建SQL Server登录名时，如果使用了密码过期策略，系统会提醒用户及时更改旧密码和登录名，并禁止使用过期密码。

8、2020年7月25日，第18页，关键字，为了实现上述密码策略，您可以指定关键字，如HASHED、MUST_CHANGE、CHECK _ EXPIRE、CHECK_PLICY等。2020年7月25日，第19页，HASHED关键字，HASHED关键字用于描述如何处理密码哈希操作。当使用CREATE LOGIN语句创建一个SQL Server登录名时，如果在PASSWORD关键字之后使用HASHED关键字，这意味着在将密码字符串存储到数据库之前对其进行哈希处理。如果在PASSWORD关键字之后没有使用HASHED关键字，这意味着用作密码的字符串已经过哈希处理，因此在存储到数据库之前不再进行哈希处理。

9、2020年7月25日，第20页，其他关键字，MUST_CHANGE关键字是指首次使用新登录名时提示用户输入新密码。CHECK _ EXPIRE关键字指示是否为登录名实施密码过期策略。CHECK_PLICY关键字表示对此登录名强制执行了窗口密码策略。2020年7月25日，第21页，使用密码策略创建了SQL Server登录名，2020年7月25日，第22页，维护了登录名。创建登录名后，您可以根据需要修改登录名的名称、密码、密码策略、默认数据库和其他信息，禁用或启用登录名，甚至删除不必要的登录名。2020年7月25日，第23页，用ALTER LOGIN修改登录名，2020年7月25日，第24页，修

10、改Rudolf登录名的密码，2020年7月25日，第25页，禁用和启用登录名，2020年7月25日，第26页，3.3固定服务器角色，它是服务器级别的主体。固定服务器角色已经具有执行指定操作的权限，其他登录名可以作为成员添加到固定服务器角色中，以便登录名可以继承下面首先描述了微软SQL Server 2008系统提供的固定服务器角色的特点，然后分析了如何处理登录名和固定服务器角色之间的关系。2020年7月25日，第27页，固定服务器角色的特征，也是服务器级的主体，已经具有执行指定操作的权限。Microsoft SQL Server 2008系统提供了九个固定的服务器角色，这些角色的列表和功能描述

11、如表3-1所示。，2020年7月25日，第28页，固定服务器角色，2020年7月25日，第29页，固定服务器角色和登录名。在Microsoft SQL Server系统中，可以将登录名添加到固定服务器角色中，以便登录名可以作为固定服务器角色的成员继承固定服务器角色的权限。对于登录名，您可以确定它是否是固定服务器角色的成员。用户可以使用存储过程，如sp_addsrvrolemember、sp _ helpsrvrolememeber、sp _ dropsrvrolemember和IS_SRVROLEMEMBER函数，对固定服务器角色和登录名之间的关系执行操作。2020年7月25日，第30页，sp

12、_addsrvrolemember。如果希望指定的登录名成为固定服务器角色的成员，可以使用sp_addsrvrolemember存储过程来完成此操作。sp_addsrvrolemember存储过程的语法如下：sp _ addsrvrolemember login _ name，role _ name，2020年7月25日，第31页，以sysadmin角色添加成员，2020年7月25日，第32页，sp _ helpsvrolemember。要查看指定固定服务器角色或所有固定服务器角色的成员，可以使用sp _ helpsvrolemember存储过程。如果您想确定指定的登录名是否是固定服务器角色的

13、成员，可以使用IS_SRVROLEMEMBER函数。当此函数的返回值为1时，表示当前用户的登录名是成员；当返回0时，表示它不是成员；否则，指定的固定服务器角色名称是错误的。是意味着登录名成员不是当前固定服务器角色的成员，但仍然作为系统的登录名存在。2020年7月25日，第33页，sp _ dropsvrolemember，如果要删除固定服务器角色的成员，可以使用sp _ dropsvrolemember存储过程。删除固定服务器角色的登录名成员仅意味着该登录名成员不是当前固定服务器角色的成员，但仍作为系统的登录名存在。2020年7月25日，第34页，3.4管理数据库用户。数据库用户是数据库级别的

14、主体、数据库中登录名的映射以及在数据库中执行操作和活动的参与者。在Microsoft SQL Server 2008系统中，数据库用户不能直接拥有表和视图等数据库对象，而是通过模式来拥有这些对象。数据库用户管理包括创建用户、查看用户信息、修改用户、删除用户等。2020年7月25日，第35页，CREATE USERs，您可以使用create user语句在指定的数据库中创建用户。由于用户是数据库中登录名的映射，因此在创建用户时需要指定登录名。2020年7月25日，第36页，创建具有登录名的数据库用户，2020年7月25日，第37页，创建具有默认模式的数据库用户，2020年7月25日，第38页，查

15、看和dbo。如果要查看数据库用户的信息，可以使用sys.database _ principals目录视图。此目录视图包含有关数据库用户的名称、标识、类型、默认方案、创建日期和上次修改日期的信息。Dbo是数据库中的默认用户。在安装了SQL Server系统之后，dbo用户将自动存在。dbo用户拥有在数据库中操作的所有权限。默认情况下，每个数据库中sa登录名的对应用户是dbo用户。2020年7月25日，第39页，激活来宾用户，2020年7月25日，第40页，维护用户，并使用ALTER USER语句修改用户。修改用户包括两个方面。首先，您可以修改用户名；其次，可以修改用户的默认模式。修改用户名不同

16、于删除或重建用户。修改用户名只是名称的改变，不是用户和登录名之间对应关系的改变，也不是用户和模式之间关系的改变。2020年7月25日，第41页，修改用户名，2020年7月25日，第42页，修改和删除。您也可以使用ALTER USER语句来修改指定用户的默认模式。此时，您可以使用WITH DEFAULT_ SCHEMA子句。如果用户不再需要它，可以使用DROP USER语句删除数据库中的用户。2020年7月25日，第43页，3.5管理体系结构，它是形成单个命名空间的数据库实体的集合。体系结构是一个数据库级的安全对象，也是微软2008系统的一个重点，它是数据库对象的容器。管理模式包括创建模式、查看

17、模式信息、修改模式和删除模式。2020年7月25日，第44页，创建模式，使用CREATE SCHEMA语句不仅可以创建模式，还可以创建模式所拥有的表和视图，并设置对这些对象的权限。下面描述如何创建架构。2020年7月25日，第45页，创建简单模式，2020年7月25日，第46页，创建具有显式所有者的模式，2020年7月25日，第47页，创建表同时创建模式，2020年7月25日，第48页，创建表并在创建模式时管理权限。此视图包含模式名称、模式标识符和数据库中模式所有者的标识符等信息。2020年7月25日，第50页，修改和删除模式。修改模式意味着将特定模式中的对象转移到其他模式。您可以使用ALTER SCHEMA语句修改该架构。应该注意的是，如果你想改变对象本身的结构，你应该对对象使用ALTE