构造SQL Server的安全门[MSSQL防范]

　　1、考证办法挑选

　　本文对考证(authentication)和受权(authorization)这两个概念作差别的注释.考证是指查验用户的身份标识;受权是指答应用户做些什么.在本文的谈论中,考证历程在用户登录sql server的时刻呈现,受权历程在用户试图拜候数据或履行号令的时刻呈现.

　　构造安全战略的第一个步骤是肯定SQL Server用哪类方法考证用户.SQL Server的考证是把一组帐户、密码与Master数据库Sysxlogins表中的一个清单举行匹配.Windows NT/2000的考证是恳求域掌握器查抄用户身份的合理性.普通地,假如服务器可以拜候域掌握器,我们应当利用Windows NT/2000考证.域掌握器可以是Win2K服务器,也可以是NT服务器.无论在哪类情形下,SQL Server都接纳到一个拜候标志(Access Token).拜候标志是在考证历程中构造出来的一个特别列表,此中包含了用户的SID(安全标识号)以及一系列用户所在组的SID.正如本文背面所介绍的,SQL Server以这些SID为底子授与拜候权限.注意,操作系统若何构造拜候标志并不重要,SQL Server只利用拜候标志中的SID.也就是说,不管你利用SQL Server 2000、SQL Server 7.0、Win2K还是NT举行考证都无关紧急,后果都一样.

　　假如利用SQL Server考证的登录,它最大的好处是很简单通过Enterprise Manager实现,最大的缺陷在于SQL Server考证的登录只对特定的服务器有效,也就是说,在一个多服务器的环境中管理对比艰难.利用SQL Server举行考证的第二个重要的缺陷是,关于每一个数据库,我们必须辨别地为它管理权限.假如某个用户对两个数据库有相同的权限要求,我们必须手工设置两个数据库的权限,大概编写脚本设置权限.假如用户数目较少,比方25个以下,并且这些用户的权限改变不是很频繁,SQL Server考证的登录大概实用.但是,在几近全部的其他情形下(有一些例外情形,比方直接纳理安全问题的利用),这种登录方法的管理负担将超越它的长处.

　　2、Web环境中的考证

　　即便最好的安全战略也常常在一种情形前屈从,这种情形就是在Web利用中利用SQL Server的数据.在这种情形下,举行考证的典型办法是把一组SQL Server登录名称和密码嵌入到Web服务器上运行的程序,比方ASP页面大概CGI脚本;然后,由Web服务器负责考证用户,利用程序则利用它自己的登录帐户(大概是系统管理员sa帐户,大概为了便利起见,利用Sysadmin服务器角色中的登录帐户)为用户拜候数据.

　　这种安置有几个缺陷,此中最重要的包含:它不具有对用户在服务器上的活动举行考核的本领,完好依靠于Web利用程序实现用户考证,当SQL Server需求限定用户权限时差别的用户之间不易辨别.假如你利用的是IIS 5.0大概IIS 4.0,你可以用四种办法考证用户.第一种办法是为每一个网站和每一个虚拟目录成立一个匿名用户的NT帐户.此后,全部利用程序登录SQL Server时都利用该安全环境.我们可以通过授与NT匿名帐户符合的权限,改良考核和考证功效.

　　第二种办法是让全部网站利用Basic考证.此时,只有当用户在对话框中输入了合理的帐户和密码,IIS才会答应他们拜候页面.IIS依靠一个NT安全数据库实现登录身份考证,NT安全数据库既可以在本地服务器上,也可以在域掌握器上.当用户运行一个拜候SQL Server数据库的程序大概脚本时,IIS把用户为了浏览页面而供应的身份信息发送给服务器.假如你利用这种办法,应当记着:在普通情形下,浏览器与服务器之间的密码传送普通是不加密的,关于那些利用Basic考证而安全又很重要的网站,你必须实现SSL(Secure Sockets Layer,安全套接字层).

　　在客户端只利用IE 5.0、IE 4.0、IE 3.0浏览器的情形下,你可以利用第三种考证办法.你可以在Web网站上和虚拟目录上都启用NT考证.IE会把用户登录计算机的身份信息发送给IIS,当该用户试图登录SQL Server时IIS就利用这些登录信息.利用这种简化的办法时,我们可以在一个远程网站的域上对用户身份举行考证(该远程网站登录到一个与运行着Web服务器的域有着信任关系的域).

　　最后,假如用户都有个人数字证书,你可以把那些证书映射到本地域的NT帐户上.个人数字证书与服务器数字证书以一样的技术为底子,它证明用户身份标识的合理性,所以可以代替NT的Challenge/Response(质询/回应)考证算法.Netscape和IE都自动在每一个页面恳求中把证书信息发送给IIS.IIS供应了一个让管理员把证书映射到NT帐户的工具.因此,我们可以用数字证书代替普通的供应帐户名字和密码的登录历程.

　　由此可见,通过NT帐户考证用户时我们可以利用多种实现办法.即便当用户通过IIS超越Internet衔接SQL Server时,挑选仍旧存在.因此,你应当把NT考证作为首选的用户身份考证办法.

　　3、设置全局组

　　构造安全战略的下一个步骤是肯定用户应当属于什么组.普通,每一个组织或利用程序的用户都可以按照他们对数据的特定拜候要求分成很多类别.比方,会计利用软件的用户普通包含:数据输入操作员,数据输入管理员,报表编写员,会计师,审计员,财政经理等.每一组用户都有差别的数据库拜候要求.

　　掌握数据拜候权限最简单的办法是,关于每一组用户,辨别地为它成立一个满意该组用户权限要求的、域内全局有效的组.我们既可认为每一个利用辨别成立组,也可以成立实用于整个企业的、涵盖遍及用户类别的组.但是,假如你想要可以切确地理解构成员可以做些什么,为每一个利用程序辨别成立组是一种较好的挑选.比方,在前面的会计系统中,我们应当成立Data Entry Operators、Accounting Data Entry Managers等组.请记着,为了简化管理,最好为组取一个可以明确表示出作用的名字.

　　除了面向特定利用程序的组之外,我们还需求几个基咀椤;?咀榈某稍备涸鸸芾矸?衿鳌０凑障肮撸?颐强梢源唇ㄏ旅嬲庑┗?咀椋篠QL Server Administrators,SQL Server Users,SQL Server Denied Users,SQL Server DB Creators,SQL Server Security Operators,SQL Server Database Security Operators,SQL Server Developers,以及 DB_Name Users(此中DB_Name是服务器上一个数据库的名字).当然,假如必要的话,你还可以成立其他组.

　　成立了全局组之后,接下来我们可以授与它们拜候SQL Server的权限.首先为SQL Server Users成立一个NT考证的登录并授与它登录权限,把Master数据库设置为它的默许数据库,但不要授与它拜候任何其他数据库的权限,也不要把这个登录帐户设置为任何服务器角色的成员.接着再为SQL Server Denied Users反复这个历程,但这次要回绝登录拜候.在SQL Server中,回绝权限始终优先.成立了这两个组之后,我们就有了一种答应或回绝用户拜候服务器的便捷办法.

　　为那些没有直接在Sysxlogins系统表里面登记的组受权时,我们不能利用Enterpris Managr,因为Enterprise Manager只答应我们从现有登录名字的列表挑选,而不是域内全部组的列表.要拜候全部的组,请翻开Query Analyzer,然后用系统存储历程sp_addsrvrolemember以及sp_addrolemember举行受权.

　　关于操作服务器的各个组,我们可以用sp_addsrvrolemember存储历程把各个登录加入到符合的服务器角色:SQL Server Administrators成为Sysadmins角色的成员,SQL Server DB Creators成为Dbcreator角色的成员,SQL Server Security Operators成为Securityadmin角色的成员.注意sp_addsrvrolemember存储历程的第一个参数要求是帐户的完好途径.比方,BigCo域的JoeS应当是bigco\joes(假如你想用本地帐户,则途径应当是server_name\joes).

　　要成立在全部新数据库中都存在的用户,你可以改正Model数据库.为了简化工作,SQL Server自动把全部对Model数据库的窜改复制到新的数据库.只要精确应用Model数据库,我们无需定制每一个新成立的数据库.别的,我们可以用sp_addrolemember存储历程把SQL Server Security Operators加入到db_securityadmin,把SQL Server Developers加入到db_owner角色.

　　注意我们仍旧没有受权任何组或帐户拜候数据库.事实上,我们不能通过Enterprise Manager受权数据库拜候,因为Enterprise Manager的用户界面只答应我们把数据库拜候权限授与合理的登录帐户.SQL Server不要求NT帐户在我们把它设置为数据库角色的成员或分配对象权限之前可以拜候数据库,但Enterprise Manager有这种限制.固然如此,只要我们利用的是sp_addrolemember存储历程而不是Enterprise Manager,便可以在不授与域内NT帐户数据库拜候权限的情形下为肆意NT帐户分配权限.

　　到这里为止,对Model数据库的设置已经完成.但是,假如你的用户群体对企业范围内各个利用数据库有着近似的拜候要求,你可以把下面这些操作移到Model数据库上举行,而不是在面向特定利用的数据库上举行.

　　4、答应数据库拜候

　　在数据库内部,与迄今为止我们对登录考证的处理方法差别,我们可以把权限分配给角色而不是直接把它们分配给全局组.这种本领使得我们可以轻松地在安全战略中利用SQL Server考证的登录.即便你历来没有想要利用SQL Server登录帐户,本文仍旧倡议分配权限给角色,因为这样你可认为将来大概呈现的改变做好预备.

　　成立了数据库之后,我们可以用sp_grantdbaccess存储历程受权DB_Name Users组拜候它.但应当注意的是,与sp_grantdbaccess对应的sp_denydbaccess存储历程并不存在,也就是说,你不能按照回绝对服务器拜候的办法回绝对数据库的拜候.假如要回绝数据库拜候,我们可以成立别的一个名为DB_Name Denied Users的全局组,受权它拜候数据库,然后把它设置为db_denydatareader以及db_denydatawriter角色的成员.注意SQL语句权限的分配,这里的角色只限制对对象的拜候,但不限制对DDL(Data Definition Language,数据定义语言)号令的拜候.

　　正如对登录历程的处理,假如拜候标志中的肆意SID已经在Sysusers系统表登记,SQL将答应用户拜候数据库.因此,我们既可以通过用户的个人NT帐户SID受权用户拜候数据库,也可以通过用户所在的一个(大概多个)组的SID受权.为了简化管理,我们可以成立一个名为DB_Name Users的拥有数据库拜候权限的全局组,同时不把拜候权授与全部其他的组.这样,我们只需简单地在一个全局组中增添大概删除成员便可以增添大概削减数据库用户.

　　5、分配权限

　　实施安全战略的最后一个步骤是成立用户定义的数据库角色,然后分配权限.完成这个步骤最简单的办法是成立一些名字与全局组名字配套的角色.比方关于前面例子中的会计系统,我们可以成立Accounting Data Entry Operators、Accounting Data Entry Managers之类的角色.由于会计数据库中的角色与帐务处理任务有关,你大概想要缩短这些角色的名字.但是,假如角色名字与全局组的名字配套,你可以削减混乱,可以更便利地判断出哪些组属于特定的角色.

　　成立好角色之后便可以分配权限.在这个历程中,我们只需用到尺度的GRANT、REVOKE和DENY号令.但应当注意DENY权限,这个权限优先于全部其他权限.假如用户是肆意具有DENY权限的角色大概组的成员,SQL Server将回绝用户拜候对象.

　　接下来我们便可以加入全部SQL Server考证的登录.用户定义的数据库角色可以包含SQL Server登录以及NT全局组、本地组、个人帐户,这是它最贵重的特点之一.用户定义的数据库角色可以作为各种登录的通用容器,我们利用用户定义角色而不是直接把权限分配给全局组的主要缘由就在于此.

　　由于内建的角色普通实用于整个数据库而不是单独的对象,因此这里倡议你只利用两个内建的数据库角色,即db_securityadmin和db_owner.其他内建数据库角色,比方db_datareader,它授与对数据库里面全部对象的SELECT权限.固然你可以用db_datareader角色授与SELECT权限,然后有挑选地对个体用户或组回绝SELECT权限,但利用这种办法时,你大概忘掉为某些用户大概对象设置权限.一种更简单、更直接并且不简单呈现错误的办法是为这些特别的用户成立一个用户定义的角色,然后只把那些用户拜候对象所需求的权限授与这个用户定义的角色.

　　6、简化安全管理

　　SQL Server考证的登录不但可以便利地实现,并且与NT考证的登录像比,它更简单编写到利用程序里.但是,假如用户的数目超越25,大概服务器数目在一个以上,大概每个用户都可以拜候一个以上的数据库,大概数据库有多个管理员,SQL Server考证的登录不简单管理.由于SQL Server没有显示用户有效权限的工具,要记忆每个用户具有哪些权限以及他们为什么要得到这些权限就越发艰难.即便关于一个数据库管理员还要担负其他责任的小型系统,简化安全战略也有助于减轻问题的复杂程度.因此,首选的办法应当是利用NT考证的登录,然后通过一些尽心挑选的全局组和数据库角色管理数据库拜候.

　　下面是一些简化安全战略的经验法则:

　　◆用户通过SQL Server Users组得到服务器拜候,通过DB_Name Users组得到数据库拜候.

　　◆用户通过加入全局组得到权限,而全局组通过加入角色得到权限,角色直接拥有数据库里的权限.

　　◆需求多种权限的用户通过加入多个全局组的方法得到权限.

　　只要筹划得得当,你可以在域掌握器上完成全部的拜候和权限保护工作,使得服务器反映出你在域掌握器上举行的各种设置调整.固然实际利用中情形大概有所改变,但本文介绍的基本办法仍旧实用,它们可以帮忙你构造出很简单管理的安全战略. 　　以上是“构造SQL Server的安全门[MSSQL防范]”的内容，如果你对以上该文章内容感兴趣，你可以看看七道奇为您推荐以下文章：