SQL Server的安全性管理课件

SQLServer的安全性管理

11.1

SQLServer2000的身份驗證模式

用戶想操作SQLServer中某一資料庫中的數據，必須滿足以下3個條件：首先，登錄SQLServer伺服器時必須通過身份驗證；其次，必須是該資料庫的用戶或者是某一資料庫角色的成員；最後，必須有執行該操作的許可權。從上面三個條件可以看出SQLServer資料庫的安全性檢查是通過登錄名、用戶、許可權來完成的。

11.1.1Windows身份驗證模式

當用戶通過WindowsNT/2000用戶帳戶進行連接時，SQLServer通過回叫WindowsNT/2000以獲得資訊，重新驗證帳戶名和密碼，並在syslogins表中查找該帳戶，以確定該帳戶是否有許可權登錄。在這種方式下，用戶不必提供密碼或登錄名讓SQLserver驗證。

11.1.2混合驗證模式

混合模式使用戶能夠通過Windows身份驗證或SQLServer身份驗證與SQLServer實例連接。

在SQLServer驗證模式下，SQLServer在syslogins表中檢測輸入的登錄名和密碼。如果在syslogins表中存在該登錄名，並且密碼也是匹配的，那麼該登錄名可以登錄到SQLServer。否則，登錄失敗。在這種方式下，用戶必須提供登錄名和密碼,讓SQLserver驗證。

11.1.3設置驗證模式可以使用SQLServer企業管理器來設置或改變驗證模式。（1）打開企業管理器，展開伺服器組，右擊需要修改驗證模式的伺服器，再單擊"屬性"選項，出現SQLServer屬性對話框。如圖11-1所示。

圖11-1

SQLServer屬性對話框

（2）在SQLServer屬性對話框單擊“安全性”選項卡，如圖11-2所示。

圖11-2安全性選項卡

（3）如果要使用Windows身份驗證，選擇“僅Windows”,如圖11-2所示；如果想使用混合認證模式，選擇“SQLServer和Windows”。（4）在“審核級別”中選擇在SQLServer錯誤日誌中記錄的用戶訪問SQLServer的級別。如果選擇該選項，則必須停止並重新啟動伺服器審核才生效。SQLServer2000默認的是“僅Windows”即Windows身份驗證，身份驗證模式的修改後需要重新啟動SQLServer服務才能生效。11.2登錄管理

11.2.1系統安裝時創建的登錄帳戶

SQLServer2000安裝好之後，系統會自動產生兩個登錄帳戶。

本地管理員組（BUILT\Administrators）默認屬於sysadmin角色中的成員，因此具有管理員許可權。系統管理員(sa)

默認情況下，它指派給固定伺服器角色

sysadmin，並不能進行更改。

11.2.2

添加Windows登錄

在WindowsNT/2000的用戶或組可以訪問資料庫之前，必須給其授予連接到

SQLServer

實例的許可權。1．使用企業管理器添加Windows登錄帳戶

（1）打開企業管理器，展開伺服器組，然後展開伺服器。（2）展開“安全性”，右擊“登錄”，然後單擊“新建登錄”選項。（3）在“名稱”框中，輸入要被授權訪問SQLServer的WindowsNT/2000帳戶（以電腦名（功能變數名稱）\用戶名（組名）的形式），如圖11-4所示。

圖11-4添加Windows登錄對話框

（4）在“身份驗證”下，單擊“Windows身份驗證”。（5）在“資料庫”中，單擊用戶在登錄到SQLServer實例後所連接的默認資料庫。在“語言”中，單擊顯示給用戶的資訊所用的默認語言。（6）單擊“確定”按鈕。

注意：授權一個Windows用戶或組訪問SQLServer，必須以這個用戶登錄到Windows後才能驗證這個用戶能否聯接到SQLServer。授權用戶或組訪問SQLServer時，此Windows用戶和組必須事先存在。

2．使用系統存儲過程sp_grantlogin

添加Windows登錄。

sp_grantlogin’login’登錄名必須以“電腦名稱（或功能變數名稱）\用戶名（或組名）”的形式。例11-1下麵的示例使Windows2000用戶HBSI\ZhangSan得以連接到SQLServer。EXECsp_grantlogin'HBSI\ZhangSan'11.2.3添加SQLServer登錄

如果用戶沒有Windows帳號，

SQLServer配置為在混合模式下運行，或SQLServer實例正在

Windows98上運行，則可以創建SQLServer登錄帳戶。

1．使用企業管理器添加SQLServer登錄帳戶

（1）打開企業管理器，展開伺服器組，然後展開伺服器。（2）展開“安全性”，右擊“登錄”，然後單擊“新建登錄”選項。（3）在“身份驗證”下，選擇“SQLServer身份驗證”。（4）在“名稱”框中，輸入SQLServer登錄的名稱，在“密碼”框中輸入密碼（可選）。如圖11-5。圖11-5添加SQLServer登錄對話框

2．用系統存儲過程sp_addlogin添加SQLServer登錄。sp_addlogin'login'[,'password'][,'database'][,['language']

例11-2下麵的示例創建一個SQLServer登錄，登錄名為lisi並指定密碼abcd

。

sp_addlogin'lisi','abcd'11.3資料庫用戶管理

11.3.1默認資料庫用戶

1．資料庫所有者

(DataBaseOwmer,dbo)

dbo

是資料庫的擁有者，擁有資料庫中的所有對象，每個資料庫都有dbo,sysadmin伺服器角色的成員自動映射成dbo,無法刪除

dbo用戶，且此用戶始終出現在每個資料庫中。

通常，登錄名sa映射為庫中的用戶dbo。另外，由固定伺服器角色sysadmin的任何成員創建的任何對象都自動屬於dbo。2．Guest用戶

Guest用戶帳戶允許沒有用戶帳戶的登錄訪問資料庫。當登錄名沒有被映射到一個用戶名上時，如果在資料庫中存在Guest用戶，登錄名將自動映射成Guest，並獲得對應的資料庫訪問許可權。Guest用戶可以和其他用戶一樣設置許可權，以可以增加和刪除，但master和tempdb資料庫中的Guest不能被刪除。默認情況下，新建的資料庫中沒有

Guest用戶帳戶。11.3.2創建資料庫用戶

1．使用企業管理器添加資料庫用戶

（1）打開企業管理器，展開伺服器組，然後展開伺服器。（2）展開“資料庫”檔夾，然後展開將授權用戶或組訪問的資料庫。（3）右擊“用戶”，然後單擊“新建資料庫用戶”命令。彈出“資料庫用戶屬性”對話框，如圖11-6所示。

圖11-6資料庫用戶屬性對話框（4）在“資料庫用戶屬性”對話框的“登錄名”框中鍵入或選擇將被授權訪問資料庫的Windows或SQLServer登錄名。在“用戶名”中，輸入在資料庫中識別登錄所用的用戶名。在默認的情況下，它設置為登錄名。（5）單擊“確定”按鈕，完成資料庫用戶的創建。2．用系統存儲過程sp_grantdbaccess添加資料庫用戶。sp_grantdbaccess'login'

[,'name_in_db']11.4角色管理

角色是為了易於管理而按相似的工作屬性對用戶進行分組的一種方式。SQLServer中組是通過角色來實現的。在SQLServer中角色分為伺服器角色和數據庫角色兩種。伺服器角色是伺服器級的一個對象，只能包含登錄名。資料庫角色是資料庫級的一個對象，只能包含資料庫用戶名。11.4.1固定伺服器角色

固定伺服器角色描述Sysadmin

在SQLServer中執行任何活動。Serveradmin配置伺服器範圍的設置。Setupadmin添加和刪除鏈接伺服器，並執行某些系統存儲過程（如sp_serveroption）。Securityadmin管理伺服器登錄。Processadmin管理在SQLServer實例中運行的進程。Dbcreator創建和改變資料庫。Diskadmin

管理磁片檔。bulkadmin

執行

BULKINSERT（大容量插入）語句。1．使用企業管理器將登錄帳戶添加到固定伺服器角色。

（1）打開企業管理器，展開伺服器組，然後展開服務（2）展開“安全性”，然後單擊“伺服器角色”。如圖11-7所示。圖11-7伺服器角色對話框

（3）雙擊需要添加登錄帳戶的伺服器角色，彈出“屬性”對話框，如圖11-8所示。

圖11-8伺服器角色屬性對話框

（4）在“常規”選項卡中單擊“添加”按鈕,然後單擊要添加的登錄。（5）單擊“確定”按鈕，完成操作。2．使用存儲過程sp_addsrvrolemember

存儲過程sp_addsrvrolemember用來添加登錄，使其成為伺服器角色的成員。sp_addsrvrolemember'login','role'11.4.2固定資料庫角色

固定資料庫角色描述db_owner

資料庫擁有者，可以執行所有資料庫角色的活動，以及資料庫中的其他維護和配置活動。db_accessadmin在資料庫中添加或刪除WindowsNT4.0或Windows2000

組和用戶以及SQLServer用戶。db_datareader查看來自資料庫中所有用戶表的全部數據。db_datawriter添加、更改或刪除來自資料庫中所有用戶表的數據。db_ddladmin添加、修改或除去資料庫中的對象（運行所有DDL）。db_securityadmin管理

SQLServer2000資料庫角色的角色和成員，並管理資料庫中的語句和對象許可權。db_backupoperator有備份資料庫的許可權。db_denydatareader不允許查看資料庫數據的許可權。db_denydatawriter不允許更改資料庫數據的許可權。Public

資料庫中用戶的所有默認許可權。1．使用企業管理器將用戶添加到固定資料庫角色。

（1）打開企業管理器，展開伺服器組，然後展開伺服器。（2）展開“資料庫”檔夾，然後展開角色所在的資料庫。（3）單擊“角色”，如圖11-9所示。(4）雙擊需要添加用戶的資料庫角色，彈出“屬性”對話框，如圖11-10所示。（5）在“常規”選項卡中單擊“添加”按鈕，然後單擊要添加的用戶。（6）單擊“確定”按鈕，完成操作。圖11-9資料庫角色對話框

圖11-10資料庫角色屬性對話框2．使用存儲過程sp_addrolemember存儲過程sp_addrolemember用來添加用戶，使其成為資料庫角色的成員。sp_addrolemember'role',

'security_account'11.4.3自定義資料庫角色

當一組用戶需要在SQLServer中執行一組指定的活動時，為了方便管理，可以創建資料庫角色。用戶自定義資料庫角色有兩種：標準角色和應用程式角色。1．使用企業管理器創建用戶自定義資料庫角色。

（1）打開企業管理器，展開伺服器組，然後展開伺服器。（2）展開“資料庫”檔夾，然後展開要在其中創建角色的資料庫。（3）右擊“角色”，單擊“新建資料庫角色”命令，彈出“資料庫角色屬性”對話框。

（4）在“名稱”框中輸入新角色的名稱，選擇“標準角色”。單擊“添加”按鈕將成員添加到“標準角色”列表中，然後單擊要添加的一個或多個用戶。（也可以選擇“應用程式角色”，在“密碼”框中輸入密碼。注意：應用程式角色不包含成員）。（5）單擊“確定”按鈕，完成操作。2．使用存儲過程創建角色

sp_addrole

創建標準角色；

sp_addapprole

創建應用程式角色；

sp_setapprole

啟動應用程式角色。3．應用程式角色當要求對數據庫的某些操作不允許用戶用任何工具來進行操作，而只能用特定的應用程式來處理，這時就可以建立應用程式角色。應用程式角色不包含成員；默認情況下，應用程式角色是非活動的，需要用密碼啟動。在啟動應用程式角色以後，當前用戶的原來的所有權限會自動消失，而獲得了該應用程式角色的許可權。

11.5許可權管理

11.5.1許可權類型

許可權用來控制用戶如何訪問資料庫對象。一個用戶可以直接分配到許可權，以可以作為一個角色的成員來間接的得到許可權。一個用戶可以同時屬於具有不同許可權的多個角色。許可權分為：

對象許可權、語句許可權、暗示性許可權。

1．對象許可權對象許可權是指用戶訪問和運算元據庫中表、視圖、存儲過程等對象的許可權。有五個不同的許可權：查詢（select）插入（insert）更新（update）刪除（delete）執行（execute）前四個許可權用於表和視圖，執行只用於存儲過程。2．語句許可權

語句許可權是指用戶創建資料庫或在資料庫中創建或修改對象、執行數據庫或事務日誌備份的許可權。語句許可權有：

BACKUPDATABASE

BACKUPLOG

CREATE

DATABASE

DEFAULT

CREATE

FUNCTION

CREATEPROCEDURE

CREATERULE

CREATETABLE

CREATEVIEW3．暗示性許可權暗示性許可權是指系統預定義角色的成員或資料庫對象所有者所擁有的許可權。例如，sysadmin固定伺服器角色成員自動繼承在

SQLServer安裝中進行操作或查看的全部許可權。

資料庫對象所有者還有暗示性許可權，可以對所擁有的對象執行一切活動。

11.5許可權管理11.5.2許可權管理操作

一個用戶或角色的許可權可以有三種存在的形式：

授予（granted）

拒絕（denied）

廢除（revoked）

授予是賦予用戶某許可權；拒絕是禁止用戶的某許可權；