SQLServer安全性管理课件.ppt

《SQLServer安全性管理课件.ppt》由会员分享，可在线阅读，更多相关《SQLServer安全性管理课件.ppt（60页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、SQL ServerSQL Server安全性管理安全性管理内容内容SQLServer的安全机制的安全机制登录账号与数据库用户的建立登录账号与数据库用户的建立了解服务器角色的作用了解服务器角色的作用了解服务器角色的作用了解服务器角色的作用数据库中对象的权限赋予数据库中对象的权限赋予 Page 3/28SQL Server 2008安全机制安全机制客户机的安全机制客户机的安全机制网络传输的安全机制网络传输的安全机制服务器的安全机制服务器的安全机制数据库的安全机制数据库的安全机制数据对象的安全机制数据对象的安全机制登录到系统登录到系统v当用户登录数据库管理系统时，如何确保只有合法的用户才能登录？v

2、身份验证和主体vSQL Server提供了身份验证模式，用以验证客户端和服务器之间连接的方式。Windows身份验证模式SQL Server 和Windows 身份验证模式 Page 4/28主体主体v主体是可以请求系统资源的个体、组合过程。vMicrosoft SQL Server 2008系统有多种不同的主体，不同主体之间的关系是典型的层次结构关系，位于不同层次上的主体其在系统中影响的范围也不同。位于层次比较高的主体，其作用范围比较大；位于层次比较低的主体，其作用范围比较小。Page 5/28Page 6/28有权限登录到这个服务器的用户有权限能操作数据库的用户Page 7/28Windo

3、ws身份身份验证模式模式身份验证模式身份验证模式 SQL ServerWindows 身份验证身份验证用用户户Page 8/28身份验证模式身份验证模式 SQL ServerWindows 身份验证身份验证用用户户windows 身份身份验证模式模式的的优势：（1）可以将一个）可以将一个Windows的用的用户或或组被映射到被映射到SQL Serevr的登的登录账户。（2）用）用户访问SQL Server更快，不用更快，不用输入用入用户名和密名和密码。（3）提供更多功能。如安全确）提供更多功能。如安全确认和密和密码加密、加密、审核、密核、密码到期、最小密到期、最小密码长度和度和输入无效密入无效

4、密码后将后将账户锁定等。定等。Page 9/28SQL Server 和和Windows 身份身份验证模式模式 身份验证模式身份验证模式混合验证混合验证用户用户Windows 身份验证身份验证 SQL Server用用户使用使用Windows身份身份验证可以直接可以直接访问SQL Server。用用户使用使用SQL Server账户与密与密码进行行连接接时，将，将验证账户是否在是否在syslogins表中，密表中，密码是否匹配。是否匹配。Page 10/28身份验证模式身份验证模式混合模式的混合模式的优点：点：通常用于运行在非通常用于运行在非Windows系系统环境的用境的用户、Interne

5、t用用户或者或者混混杂的工作的工作组用用户访问SQL Server时提示：提示：Windows用用户映射到映射到SQL Server 登登录账户称称为Windows登登录账户，由，由SQL Server验证的登的登录账户为SQL Serevr 登登录账户。Page 11/28切换身份验证模式切换身份验证模式 演示演示演示演示切换身份切换身份验证模式验证模式SQL Server登录帐户登录帐户当需要使用登当需要使用登录账户时采用如下方法：采用如下方法：（1）把已有的）把已有的windows用用户或或组添加添加为登登录账户。（2）创建新的建新的SQL server登登录账户。（3）使用系）使用系统

6、默默认的登的登录账户。创建登录账户创建登录账户v语句vCREATE LOGIN loginName WITH FROM vSourcesWINDOWSCERTIFICATEvOption_listPASSWORD=*CHECK_CHANGECHECK_EXPIRATION=ON|OFFPage 13/28创建登录账户创建登录账户vcreate login df with password=123,default_database=schtest -建立登录账号vcreate login zxx with password=123,default_database=schtest -建立登录账号

7、Page 14/28Page 15/28服务器角色服务器角色-1v什么是服务器角色（固定服务器角色）什么是服务器角色（固定服务器角色）执行服务器级管理操作的用户权限的集合执行服务器级管理操作的用户权限的集合 是系统内置的是系统内置的不能创建服务器角色不能创建服务器角色 每个角色有一定的权限每个角色有一定的权限登录帐户可以添加到服务器角色登录帐户可以添加到服务器角色拥有大多数常用管理功能拥有大多数常用管理功能可以使管理员很方便地给用户授予权限可以使管理员很方便地给用户授予权限作用于整个服务器而不是单独的哪个数据库作用于整个服务器而不是单独的哪个数据库服务器角色服务器角色-2固定服务器角色描述sy

8、sadmin执行任何活动dbcreator可以创建、更改数据库serveradmin可以更改服务器范围的配置选项和关闭服务器securityadmin管理和审核登录帐户processadmin可以终止 SQL Server 实例中运行的进程setupadmin配置复制和链接服务器diskadmin用于管理磁盘文件bulkadmin可以运行 BULK INSERT 语句回顾回顾登登录账户存放在那个表中？存放在那个表中？身份身份验证模式有哪些？模式有哪些？sysloginsWindows身份模式和混合模式Page 18/28添加登录帐户到服务器角色添加登录帐户到服务器角色服务器服务器角色角色添加服

9、添加服添加服添加服务器角务器角务器角务器角色成员色成员色成员色成员Page 19/28添加登录帐户到服务器角色添加登录帐户到服务器角色在指派登在指派登录账户到服到服务器角色中器角色中时注意以下几点注意以下几点：不能添加、修改和不能添加、修改和删除服除服务器角色。器角色。任何已任何已经被指派到服被指派到服务器角色的登器角色的登录账户可以添加其它登可以添加其它登录账户到到这个角色。个角色。可以通可以通过对象象资源管理器来从服源管理器来从服务器角色中去除登器角色中去除登录账户。登录帐户与服务器角色登录帐户与服务器角色vSP_addsrvsolemember loginName,serverRolev

10、create login zxx with password=123vsp_addsrvrolemember zxx,sysadminPage 20/28Page 21/28阶段总结阶段总结SQL Server 2008安全机制身份验证模式Windows身份验证 SQL Server身份验证 登录帐号Windows登录帐号SQL Server登录帐号服务器角色系统内置用户可以添加到服务器角色Page 22/28数据库用户数据库用户v访问数据库需要在那个数据库上建立数据库用户 从登录中映射特殊用户Dboguest用户用户SQL Server数据库数据库Page 23/28管理数据库安全管理数据库

11、安全在建立了SQL Server登录账户以后，需要授予用户和组许可，使他们在数据库中执行任务Page 24/28登登录账户用于用于访问SQL Server实例，数据例，数据库用用户则用于用于访问数据数据库。访问数据数据库需要在数据需要在数据库上建立数据上建立数据库的用的用户数据数据库用用户是映射到登是映射到登录账户的用的用户当一个登当一个登录账户映射到一个映射到一个Windows组时，可以建立一个，可以建立一个数据数据库用用户映射到映射到这个登个登录账户，以使，以使Windows组的成的成员能能够访问数据数据库，也可以，也可以为这个个Windows组的成的成员单独建独建立用立用户，而不用再新建

12、登，而不用再新建登录账户。数据库用户数据库用户映射数据库用户映射数据库用户映射数据库用户映射数据库用户Page 25/28数据库用户数据库用户修改数据库用户修改数据库用户修改数据库用户修改数据库用户修改用修改用户属性属性可以在可以在对象象资源管理器的中修改用源管理器的中修改用户属性。属性。方法：方法：选择数据数据库用用户，单击鼠鼠标右右键，选择“属性属性”，修改用，修改用户的属性。的属性。删除用除用户可以在可以在对象象资源管理器的中源管理器的中删除数据除数据库用用户。方法是方法是:选择要要删除的数据除的数据库用用户，单击鼠鼠标右右键，选择“删除除”。Page 26/28向数据库添加帐户向数据库

13、添加帐户1、添加用、添加用户账户2、默、默认数据数据库账户Page 27/28向数据库添加帐户向数据库添加帐户2、默、默认数据数据库账户Guest用用户账户：允允许没有用没有用户账户的用的用户登登录并并访问数据数据库。可以可以对其配置其配置权限、限、删除或将其添加到除除或将其添加到除master、tempdb以外以外的任何数据的任何数据库中。中。满足下面条件是采用足下面条件是采用guest身份登身份登录：（1）登）登录账户本身的用本身的用户账户有有权访问SQL Server，但无，但无权访问该数据数据库。（2）该数据数据库包含了包含了guest用用户账户。添加数据库用户添加数据库用户v有登录用

14、户后，能用该帐号登录到dbms服务器。要访问数据库，还要建立数据库用户v建立数据库用户语句格式CREATE USER user_name FOR|FROM LOGIN login_name v如：create user zxx for login zxxPage 29/28数据库角色数据库角色数据数据库用用户账户对该数据数据库所具有的所具有的权限由限由该账户所属的数所属的数据据库角色决定角色决定SQL Server提供了两提供了两类数据数据库角色：角色：固定数据固定数据库角色和用角色和用户自定自定义数据数据库角色角色Page 30/28数据库角色数据库角色固定数据库角色描述db_owner 拥

15、有数据库的所有许可 db_securityadmin 能建立架构、更改角色 db_accessadmin 能添加或删除用户、组或角色 db_backupoperator 能备份数据库 db_datareader 能从数据库表中读数据 db_datawriter 能修改数据库表中的数据 db_ddladmin 能添加、修改或删除数据库对象 db_denydatareader 不能从数据库表中读数据 db_denydatawriter 不修改数据库表中的数据 public 维护默认的权限 查看数据库角色查看数据库角色查看数据库角色查看数据库角色Page 31/28Public角色角色：维护数据数据

16、库的默的默认用用户权限限所有用所有用户、角色或、角色或组默默认的属于的属于Public角色，因此不能将角色，因此不能将它它们分配分配给Public角色角色 包含在每一个数据包含在每一个数据库中，包括系中，包括系统数据数据库和用和用户数据数据库不能被不能被删除除数据库角色数据库角色Page 32/28数据库角色数据库角色在没有在没有设置置权限的情况下，用限的情况下，用户拥有有public角色的任何角色的任何权限，限，能能够进行一下任行一下任务：执行不要求行不要求权限的限的语句，如句，如print语句。句。查看系看系统表的信息，并表的信息，并执行某些存行某些存储过程，以从它程，以从它们有有权访问的

17、的master和用和用户数据数据库中中检索信息。索信息。使用使用guest账户获得任一用得任一用户的的访问权。Page 33/28数据库角色数据库角色用用户定定义数据数据库角色：角色：一一组具有相同具有相同权限的用限的用户在以下情况在以下情况时将用将用户定定义的数据的数据库角色添加到数据角色添加到数据库：有一有一组人需要在人需要在SQL server中中执行一行一组指定的活指定的活动，并且不存在可使用的并且不存在可使用的windows组；没有管理没有管理windows用用户账户的的权限。限。Page 34/28数据库用户帐户和角色数据库用户帐户和角色SQL Server 指定登录指定登录用户和

18、角色用户和角色数据库用户数据库用户数据库角色数据库角色Windows 组用户组用户SQL Server登录帐户登录帐户SQL Server 验证信任连接验证信任连接SQL Server验证用户名和口令验证用户名和口令SQL ServerWindows 2000或或Page 35/28数据库角色数据库角色创建用户创建用户创建用户创建用户定义数据定义数据定义数据定义数据库角色库角色库角色库角色注意：注意：在对角色应用权限时，该角色的每一个成员都获得该权限。在对角色应用权限时，该角色的每一个成员都获得该权限。Page 36/28添加数据库角色成员添加数据库角色成员 向数据向数据库定定义的角色添加安全

19、的角色添加安全账户时考考虑一下因素：一下因素：向角色添加安全向角色添加安全账户时，任何，任何应用于用于该角色的角色的权限会限会应用到新成用到新成员；将一个将一个SQL Server角色添加角色添加为另一个另一个SQL Server角色成角色成员时，不能，不能创建循建循环角色。故如果角色角色。故如果角色A已已经是角色是角色B的成的成员时，不能将，不能将B角色添加角色添加为A角色的成角色的成员。Page 37/28阶段总结阶段总结数据库用户从登录中映射特殊用户：Dbo和guest数据库角色固定数据库角色用户定义数据库角色 增加用户数据库角色增加用户数据库角色vexec sp_addrolememb

20、er db_owner,zxxv存放数据库用户sysusersvSelect*from sysusersPage 39/28Page 40/28管理权限管理权限对数据数据库对象的安全管理，是通象的安全管理，是通过权限来限来进行的行的权限用于控制限用于控制对数据数据库对象的象的访问，以及指，以及指定用定用户对数据数据库可以可以执行的操作。行的操作。访问数据数据库资源的唯一方法是被直接授予源的唯一方法是被直接授予权限或者限或者间接的通接的通过角色或角色或组的成的成员授予授予权限。限。Page 41/28管理权限管理权限权限的类型：权限的类型：语句、对象和预定义语句、对象和预定义（1）语句句权限：限

21、：在数据在数据库中中创建数据建数据库或其他或其他项目的活目的活动时所受到的所受到的权限控制限控制语句句权限授予某些用限授予某些用户使用使用T_SQL语句句 的的权力。力。语句句权限是限是对语句本身的定句本身的定义。只有只有sysadmin、db_owner或或db_securityadmin角色的角色的成成员才可以授予才可以授予语句句权限。限。Page 42/28管理权限管理权限权限的类型：权限的类型：语句、对象和预定义语句、对象和预定义（2）对象象权限：限：使用使用数据数据库或或执行程序行程序的活的活动受到的受到的权限控制限控制表和表和视图权限限：限制用：限制用户对表和表和视图执行行sele

22、cct、insert、update、delete语句的句的权力力。列列权限：限：可以将可以将select、update、references权限有限有选择的的应用的用的单个列上。个列上。存数存数过程程权限限：是是对于存于存储过程的唯一程的唯一对象象权限限。Page 43/28管理权限管理权限权限的类型：权限的类型：语句、对象和预定义语句、对象和预定义（3）预定定义权限：限：使只有固定角色的成使只有固定角色的成员或者数据或者数据库对象的所象的所有者才能有者才能够执行某些活行某些活动，执行行这些活些活动的的权限称限称为预定定义权限限或或隐式式权限。限。固定角色固定角色权限：限：有有隐式管理式管理权

23、限限。对象所有者象所有者权限：限：允允许对拥有的有的对象象执行所有的操作行所有的操作。Page 44/28管理权限管理权限v管理权限权限可以被授予(Grant)、拒绝(Deny)和回收(Revoke)访问一个资源拒绝权限将阻止所有授予的权限继承Page 45/28管理权限管理权限授予授予(Grant)：允允许一个数据一个数据库用用户或者角色或者角色执行行所授所授权限指定的操作。限指定的操作。拒拒绝(Deny)：拒拒绝一个数据一个数据库用用户或者角色的特定或者角色的特定权限，并且阻止它限，并且阻止它们从其它角色中集成从其它角色中集成这个个权限。限。回收回收(Revoke)：取消先前被授予或拒取消

24、先前被授予或拒绝的的权限限Page 46/28管理权限管理权限GRANT语句的一般格式：GRANT,.ON TO,.WITH GRANT OPTION;谁定义？DBA和表的建立者（即表的属主）Page 47/28管理权限管理权限REVOKE语句的一般格式为：REVOKE,.ON FROM,.cascade Page 48/28权限的案例权限的案例表权限描述Select查询表Insert插入表Update更新表Delete删除表数据库权限描述Control数据库的所有权限Create Table在数据库中建表Page 49/28为表授权为表授权 为表授权为表授权为表授权为表授权Page 50/2

25、8为数据库授权为数据库授权 为数据库授权为数据库授权为数据库授权为数据库授权v徐海蔚徐海蔚 Microsoft SQL Server 企业级平台管理实践Page 52/28架构架构v微软对架构的官方定义:架构(Schema)是形成单个命名空间的数据库实体的集合。v在这里，我们可以将架构看成一个存放数据库中对象的一个容器。架构架构v无权限管理阶段李老板开了一个小公司，公司有个仓库，堆放了一些货物，由于仓库小，为了节约成本，这个仓库根本没有锁。只要知道仓库在哪里，就可以去取货。v上锁阶段或者单用户管理阶段最近仓库里的东西老是不翼而飞。李老板才明白，就算是员工都是自觉的，但是别的人也可以拿走里面的货

26、物，怎么办呢？老板一咬牙，花一百块钱买了一把锁！并且只给少数几个人配钥匙。架构架构v权限管理阶段好景不长，老板发现仓库的东西还是经常少。老板一咬牙，没收所有的钥匙。花800块一个月雇个仓库管理员，每个进仓库拿东西的人都要登记。李老板还给给仓库管理员一张权限表。姓名货物0货物1货物2货物3货物4AYYNNNBYYYNNCYYYYYDNYYYY架构架构v权限管理阶段过了一年，李老板的生意越做越大，仓库里的东西也越来越多，最近A反应，去仓库取货老是要排队，而且经常要等很久才能取到货，李老板心想，取货的人一共就这几个人，还要排队，岂有此理！把仓库保管员叫过来！保管员早有准备，递给李老板一份最新的清单。

27、姓名货物0货物1货物2货物货物1000AYYNYBYYYNCYYYYDNYYN架构架构每次货物入库的时候，根据货架货物清单放到相应的货架上，然后贴上标签。出库的时候只要看货架号码就可以啦。架构架构v架构的创建Create schema zxxSchv对象架构的修改Alter schema transfer v用户架构的查看select sys.objects.name 对象名,sys.schemas.name 架构名 from sys.objects,sys.schemas where sys.objects.type=U and sys.objects.schema_id=sys.schemas.schema_id