第5章管理安全性1.ppt

1、2020年七月23日3点7分，第1、5章管理安全，系统安装后安全检查和设置认证模式，以及认证方法管理登录帐户管理用户帐户管理角色管理权限计划user服务器系统安全练习，2020年七月23日3点7分，2，教育重点， 了解系统安装后的安全检查和设置了解验证模式和认证方法之间的关系了解管理登录帐户了解管理数据库用户帐户了解和了解管理角色了解管理应用节目角色赋权，回收和拒绝，2020年七月23日3点7分，3，安装系统后的安全检查和设置，不仅要验证系统安装后的安装是否成功，还要进行一系列安装后的安全检查，以确保系统的安全运行。 在安全检查过程中要采取有效的手段，彻底消除系统的安全风险。2020年七月二十

2、三日3点7分，4，1。为了确保数据库服务器的物理安全，将数据库服务器放在上锁的独立房间里，严格限制出入房间的数量。2.sa帐户的密码必须严格管理，不要使用空白密码。如果使用长密码，密码必须包含字母和数字的混合，不要使用有意义的说明密码。限制密码使用期限，必须定期更换。3.对于数据库管理员，通常在Microsoft SQL Server系统上及时安装最新修补程序(sqldownloadsdefaultasp)Microsoft的命令行工具fnetchk (technetsecuritytoolshk)，这是200如果使用Microsoft SQL server 7(服务包3)和更低版本，由于sq

3、lsp.log和setup.iss文件中的帐户密码未加密，因此安装Microsoft SQL Server 2000后，帐户密码在两个档案中都以加密方式存储，但强烈建议您在安装后删除这两个文件。5.默认情况下，安装系统后，除model系统数据库外，每个数据库都会创建来宾用户帐户。牙齿账户的存在是系统安全的隐患。建议：删除主数据库和tempdb系统数据库以外的其他数据库中的来宾用户帐户。6.基本上，系统包含许多可能不必要且危险的系统存储过程和扩展存储过程。这些系统存储过程和扩展存储过程可以直接访问系统注册表、操作系统档案等。因此，安装系统后，必须删除必须存在的存储过程。2020年七月23日3点7

4、分6，www，消除Microsoft SQL Server系统中可能发生的风险系统存储过程和扩展存储过程。可以在SQL /uploads/SQL 2000 . zo中查看这些脚本文件，以检查和删除相关系统存储过程和扩展存储过程。可访问注册表的扩展存储过程提供了允许在下表所示的：2020年七月二十三日3:07:7，7.Microsoft SQL Server系统上运行CmdExec、ActiveScripting和XP _ cmd的权限帐户的功能。如果数据库的用户在操作数据库时需要访问数据库系统以外的资源，则牙齿功能非常有用。但是，牙齿功能存在使SQL Server服务能

5、够使用操作系统帐户执行操作的安全风险。如果您的生产环境不需要牙齿功能，则必须删除牙齿功能。删除牙齿功能的方法是使用本地安全策略工具从操作系统操作和进程级令牌替代策略中删除SQL Server服务帐户。8.系统安装程序完成后，您将看到两个示例数据库Northwind和pubs。牙齿两个茄子样例数据库可以帮助用户学习Microsoft SQL Server系统。但是，这两个示例数据库基本上都允许用户访问这些示例数据库中的数据，因此黑客可以通过访问这两个示例数据库来攻击其他用户数据库或系统数据库。建议：在生产环境中部署服务器时，必须删除这两个样本数据库。使用SQL查询分析器删除这两个样本数据库。20

6、20年七月二十三日3:07:00 8，9.Microsoft SQL Server系统提供分布式查询功能，允许系统中的用户访问其他数据源中的数据。但是，牙齿功能还提供了黑客攻击其他数据源的渠道。因此，生产环境中必须禁止牙齿功能。禁止牙齿功能的方法是将Disallow AdhocAccess条目添加到HKEY _ local _ machinesoftwaremicrosoftmssqlserverprovidersproviders _ name注册表中，然后设置其值；例如必须将DisallowAdhocAccess条目添加到Jet.OLEDB.4.0。SQL Security网站提供了SQL

7、脚本文件，该文件在安装Microsoft SQL server系统后执行安全检查并提供了安全增强任务。牙齿网站将于2020年七月23日3:7:00，9，身份验证模式和认证方法，1，基本概念2，Windows身份验证模式3，混合身份验证模式，SQL Server 2000使用各种安全管理操作保护数据库中的信息资源免受未经授权的使用，必须使用登录帐户连接到SQL Server系统。SQL Server系统通过两种茄子身份验证方法验证用户的身份。在2020年七月23日3:07，10，1，基本概念和数据库安全注意事项(1)使用方面，SQL Server 2000的安全性分为两个茄子类别：数据库安全性和

8、应用程序安全性。数据库安全使用信息资源和信息资源用户作为主要管理对象。只有对象访问权限的用户可以使用任何工具访问对象。应用程序节目安全性可以指定只能在特定应用程序中访问的数据库或对象之一。(2)从登录角度来看，SQL服务器系统中的安全性使用两级权限管理机制。第一个级别是服务器级别的“访问权限”。第二个级别是数据库级别“访问”。2020年七月二十三日3:07，11，因为大多数数据库管理系统是在特定操作系统平台上运行的应用程序，SQL Server也不例外，数据库包含很多对象，因此SQL Server的安全机制实际上可以分为：(1)客户端操作的四个茄子级别；(2)SQL Server登录安全；(3

9、)数据库使用安全；(4)数据库对象使用安全性。每个安全级别都等于门。如果门没有锁，或者用户拥有打开门的钥匙，则用户可以通过牙齿门达到下一个安全级别。通过所有语句后，用户就可以访问数据了。2020年七月二十三日3点7分，12，基本概念：验证方法是用户访问数据库系统时确认该用户的帐户和密码的过程。身份验证包括验证用户的帐户是否有效、是否可以访问系统、是否可以访问系统中的哪些数据等。验证模式是系统为确保用户合法而选择的验证方法。要连接到SQL Server系统，必须使用登录帐户。使用Windows认证方法Windows身份验证方法时，SQL Server系统通过两种茄子身份验证方法验证用户，这两种方

10、法在Windows系统上验证用户的登录帐户或组帐户。这些Windows系统上的login或组帐户可以直接访问SQL Server系统上的数据，而无需提供SQL Server的login帐户和密码。使用SQL Server认证方法SQL Server身份验证方法时，SQL Server系统将验证用户的登录帐户和密码。这意味着用户连接到SQL Server时，必须提供SQL Server系统的登录帐户和密码。2020年七月二十三日3:07:00，13，SQL Server在Windows环境中运行时，系统管理员必须指定系统使用的身份验证模式类型。SQL Server系统使用身份验证来指定系统使用的

11、身份验证方法。验证模式有两种茄子类型。Windows验证模式仅接受Windows验证方法。牙齿时，用户无法使用SQL Server的登录帐户。混合身份验证模式允许使用Windows和SQL Server身份验证方法。在混合身份验证模式下，用户尝试登录到SQL Server系统时，系统使用Windows身份验证还是SQL Server身份验证取决于用户连接到系统的网络协议类型。在2020年七月二十三日3:07:00、14，2、Windows身份验证模式和SQL服务器系统中，诸如“命名管道”和TCPIP等网络协议称为信任协议。在网络环境中，如果连接客户端和服务器的所有通信协议都是信托协议，则必须使

12、用Windows身份验证模式。在Windows身份验证模式下，系统只是使用Windows身份验证来验证用户身份，通过不可靠的协议连接到服务器的客户端无法访问SQL Server计算机。与SQL Server验证方法相比，Windows验证方法提供了更多的功能，例如安全检查和密码加密、审计、密码过期、最小密码长度和帐户锁定。可以通过添加单个登录帐户将用户组添加到SQL Server系统。用户无需使用其他登录帐户、密码等即可快速访问SQL Server系统。2020年七月二十三日3:07，15，SQL Server系统处理Windows身份验证模式下的登录帐户，当用户连接到SQL Server系统

13、时，客户端将创建到SQL Server系统的可信连接。牙齿信任连接将Windows组或用户的登录帐户传递到SQL Server系统。由于客户端创建了可信连接，SQL服务器系统知道Windows系统已验证用户的登录帐户是否有效。如果SQL Server系统在login系统表的SQL Server用户列表中找到该用户的登录帐户，则允许牙齿身份验证连接。牙齿时，SQL Server系统不需要再次验证密码是否有效。这是因为Windows系统已经验证了该用户的密码是否有效。在牙齿中，该用户的登录帐户可以是Windows用户帐户或Windows组帐户。当然，这些帐户都定义为SQL服务器系统的登录帐户。如果

14、多个SQL Server系统位于一个域或信托域组中，则登录到其中一个域后，可以访问所有SQL Server系统。在2020年七月二十三日3:07，16，3，混合身份验证模式，混合身份验证模式下，SQL Server系统可以同时使用Windows身份验证和SQL Server身份验证来验证用户。但是，SQL Server系统首先使用Windows身份验证验证用户。这意味着，如果要连接到服务器的用户通过信托连接协议登录到系统，系统将自动使用Windows身份验证来验证用户。系统仅通过不可靠的连接协议记录系统的用户使用SQL服务器身份验证验证用户的身份。混合身份验证模式与Windows身份验证模式相

15、比具有一些茄子优势，它允许非Windows客户、网络客户等连接到SQL Server系统。对用户id使用二元身份验证方法。2020年七月二十三日3:07:17:00 SQL server系统按照以下步骤处理混合身份验证模式下的登录帐户：如果用户通过信托连接协议访问系统，请使用Windows身份验证方法。对于通过不受信任的连接协议访问系统的用户，必须提供SQL Server的登录帐户和密码。SQL Server验证用户的登录帐户是否位于login系统表中，并且其密码是否与表中存储的密码匹配。如果在Login系统表中找不到与该用户匹配的登录帐户或口令，验证将失败，该用户的连接请求将被拒绝。2020

16、年七月23日3:07，18，SQL Server认证，2020年七月23日3:07，19，登录帐户管理，1，登录帐户概念2，登录帐户管理，2020年七月20日在SQL Server系统上，Windows组SQL Server具有默认登录帐户sa帐户。Sa是系统管理员(system administrator)的缩写，是一个特殊的登录帐户。Sa帐户具有SQL Server系统的所有权限，并且可以执行所有操作。无法删除Sa帐户。2020年七月23日3:07，21，Windows管理员管理员组拥有SQL server系统的所有权限，该SQL Server系统的登录帐户是BUILTIN Administrators牙