数据库技术与应用第13章SQLServer安全管理.ppt

《数据库技术与应用第13章SQLServer安全管理.ppt》由会员分享，可在线阅读，更多相关《数据库技术与应用第13章SQLServer安全管理.ppt（82页珍藏版）》请在三一办公上搜索。

1、第13章 SQL Server安全管理,13.1 SQL Server 2000的安全机制13.2 管理服务器的安全性13.3 管理数据库用户13.4 管 理 角 色13.5 管 理 权 限,合理有效的数据库安全机制可以既保证被授权用户能够方便地访问数据库中的数据，又能够防止非法用户的入侵。SQL Server 2000提供了一套设计完善、操作简单的安全管理机制。,13.1 SQL Server 2000的安全机制,SQL Server 2000 的安全性机制由四层构成，可以用图13-1表示。从用户的角度讲，要访问数据库，需经过如下步骤。,图13-1 SQL Server 2000 的安全性机

2、制,（1）一个数据库用户必须有权登录操作系统，即该用户在Windows 2000 Server操作系统中具有登录账户。在这个前提条件下，才有可能进入SQL Server 2000 系统。,（2）一旦登录了操作系统，登录者还必须得到数据库系统的通行证数据库服务器的登录账户，才具有数据库服务器的连接权或登录权。SQL Server 2000 只有在验证了指定的登录账户有效后，才完成连接。这种对登录账户的验证称为身份验证。对用户而言，登录SQL Server 2000 需要使用以下两类身份验证之一。,Windows 身份验证：此种验证方式仅用于Windows 2000 Server/NT操作系统。在

3、这种方式下，用户只要通过Windows 2000 Server/NT操作系统的登录验证，就可以连接到SQL Server 2000 数据库实例。SQL Server身份验证：在此种验证方式下，即使用户已经登录操作系统，也必须输入有效的SQL Server专用登录名与密码方可连入SQL Server 2000 数据库实例。,（3）当一个登录者登录数据库服务器后，并不等于对其中的数据库具有访问权限，还必须由数据库所有者或管理员授权，使该登录者成为某一个数据库的用户。（4）作为某个数据库的用户，对数据库对象（如数据库pubs中的表authors）的访问权限也必须被授予，这些权限包括SELECT、UP

4、DATE、INSERT、DELETE等。,另一方面，从SQL Server 2000数据库服务器的角度讲，对于要登录数据库服务器的用户，SQL Server 2000采用以下两种安全认证模式。（1）仅Windows 认证模式：这是 SQL Server 2000 的默认身份验证模式，适用于所有登录者均为Windows 2000 Server/NT操作系统用户的情况。但在Windows 98操作系统上运行的SQL Server 实例不支持 Windows 身份验证。,（2）混合认证模式：该模式可用于两类登录者，对于登录时提供了SQL Server 2000登录账户者，系统将使用 SQL Serv

5、er 身份验证对其进行验证。对于没有提供 SQL Server 2000 登录账户或请求 Windows 身份验证的登录者，则使用 Windows 身份验证对其进行验证。,13.2 管理服务器的安全性,对于一个合法的数据库用户，首先必须在SQL Server 2000中为其设置相应的登录账户，否则他不能登录数据库服务器。有两类登录账户，SQL Server身份验证的登录账户（以下简称SQL账户）与Windows 身份验证的登录账户（以下简称Windows账户）。SQL账户的登录名称与登录密码由SQL Server 2000系统负责验证，Windows账户的登录名称与登录密码则由Windows

6、2000 Server/NT负责验证。,使用企业管理器管理登录账户只有sysadmin 或 securityadmin 固定服务器角色的成员能够利用企业管理器或T-SQL语句完成SQL账户和Windows账户的管理任务。1建立登录账户2登录账户的有关内容3修改登录账户,13.2.2 使用T-SQL语句管理登录账户 管理登录账户也可以使用T-SQL语句，需要注意的是管理Windows账户与SQL账户所使用的系统存储过程不同。1管理Windows 身份验证的登录账户,（1）向Windows 账户授权的语法如下。命令格式：sp_grantlogin loginame=login命令说明：logina

7、me=login 指定一个名称为login的 Windows 2000 Server/NT 用户或用户组名称，其格式为 域 用户名 或 计算机名 用户名,loginame可以省略。,（2）拒绝一个Windows 账户登录的语法如下。命令格式：sp_denylogin loginame=login（3）删除一个Windows账户的语法如下。命令格式：sp_revokelogin loginame=login,2管理SQL身份验证的登录账户（1）使用系统存储过程创建SQL账户命令格式：sp_addlogin loginame=login,passwd=password,defdb=database

8、,deflanguage=language,命令说明：login为新建登录账户的名称。password 为密码，默认设置为 NULL。database 为登录时的默认数据库。language 为默认语言。全部按上述次序取值时，局部变量名称loginame、passwd、defdb、deflanguage可以省略。,（2）使用系统存储过程修改SQL账户的密码命令格式：sp_password old=old _ password,new=new _password,loginame=login,命令说明：（1）old _ password为旧的登录密码，其默认值为 NULL；（2）new _pas

9、sword为新的登录密码，无默认值；login为需要更改密码的登录名，login 必须已经存在。,（3）使用系统存储过程修改SQL账户的默认数据库命令格式：sp_defaultdb loginame=login,defdb=database 命令说明：database是新的默认数据库的名称。,（4）使用系统存储过程修改SQL账户的默认语言命令格式：sp_ defaultlanguage loginame=login,deflanguage=language 命令说明：language 是新的数据库默认语言。,（5）使用系统存储过程删除SQL账户命令格式：sp_droplogin loginam

10、e=login,13.2.3 特殊的登录账户saSQL Server 2000在安装后自动建立了一个特殊的SQL账户sa，即System Administrator。该账户默认为是所有数据库的dbo用户（数据库所有者），具有最高权限，可以进行任何操作，且不能被删除。刚安装完毕时，sa没有密码，为了安全起见，一定要为其加入密码。,13.3 管理数据库用户,无论是Windows账户还是SQL账户，登录数据库服务器后的其他操作都是相同的。但首先他必须获得对数据库的访问权。SQL Server 2000 通过为登录账户指派数据库用户来使其获得对数据库的访问权限。,13.3.1 使用企业管理器管理数据库

11、用户1新建数据库用户2删除数据库用户,13.3.2 使用T-SQL语句管理数据库用户使用系统存储过程可以在当前数据库中管理数据库用户。1新建数据库用户命令格式：sp_grantdbaccess loginame=login,name_in_db=name_in_db,命令说明：（1）login:为登录账户的登录名，当其为Windows 账户名时，须采用“域名登录名”格式；当其为SQL账户名时，采用“登录名”格式。（2）name_in_db：表示在当前数据库中为该登录账户所指定的数据库用户的用户名，省略该参数，则默认登录名与用户名相同。,2删除数据库用户命令格式：sp_revokedbacces

12、s name_in_db=name 命令说明：name 为当前数据库中要删除的用户名。,13.3.3 特殊的数据库用户dbo 和guestSQL Server 2000 数据库中有2个特殊用户：dbo和guest。1dbo在创建一个数据库时，SQL Server 2000自动将创建该数据库的登录账户设置为该数据库的一个用户，并起名为dbo。dbo是数据库的拥有者，不能从数据库中删除，dbo对本数据库拥有所有操作权限，并可以将这些权限全部或部分授予其他数据库用户。另外，属于固定服务器角色sysadmin的成员也映射为所有数据库的dbo。,2guest当一个登录者登录数据库服务器时，如果该服务器上

13、的所有数据库都没有为其建立用户账户，则该登录者只能访问那些具有guest用户的数据库。系统数据库Master 与tempdb中的guest 用户不能被删除，而其他数据库中的guest 用户可以被添加或删除。,13.4 管 理 角 色,角色是为了方便权限管理而设置的一种管理单位。若打算使一组登录账户或数据库用户在数据库服务器或数据库对象上具有相同的权限，则可以通过角色实现。,13.4.1 固定角色固定角色按其权限作用范围可以分为固定服务器角色与固定数据库角色，其作用范围分别为整个数据库服务器与单个数据库。这些角色不能修改或删除。,1固定服务器角色SQL Server 2000的服务器角色只有固定

14、服务器角色，用于对数据库服务器的操作。对数据库服务器操作的权限不能直接赋给其他登录账户，只能使某些登录账户成为固定服务器角色的成员，才能使他们具有这些权限。SQL Server 2000具有如下固定服务器角色：,（1）sysadmin，有权在 SQL Server 中进行任何活动。（2）serveradmin，有权设置服务器一级的配置选项，关闭服务器。（3）setupadmin，有权管理链接服务器和启动过程。,（4）securityadmin，有权管理登录和 CREATE DATABASE 权限，还可以读取错误日志和更改密码。（5）processadmin，有权管理在 SQL Server 中

15、运行的进程。（6）dbcreator，有权创建、更改和除去数据库。（7）diskadmin，有权管理磁盘文件。（8）bulkadmin，有权执行 BULK INSERT 语句。,2固定数据库角色SQL Server 2000中的数据库角色用于对单个数据库的操作。每个数据库都有一系列固定数据库角色，尽管在不同的数据库内他们是同名的，但各自的作用范围都仅限于本数据库。SQL Server 2000具有如下固定数据库角色：,（1）db_owner，在数据库中具有全部权限。（2）db_accessadmin，有权添加或删除数据库用户。（3）db_securityadmin，有权管理全部权限、对象所有权

16、、角色和角色成员资格。（4）db_ddladmin，有权发出 ALL DDL，但不能发出 GRANT、REVOKE 或 DENY 语句。,（5）db_backupoperator，有权发出 DBCC、CHECKPOINT 和 BACKUP 语句。（6）db_datareader，有权查询数据库内任何用户表中的所有数据。（7）db_datawriter，有权更改数据库内任何用户表中的所有数据。,（8）db_denydatareader，不能查询数据库内任何用户表中的任何数据。（9）db_denydatawriter，不能更改数据库内任何用户表中的任何数据。,13.4.2 用户定义的数据库角色数据

17、库角色除了固定角色外，还有一种角色是用户定义的数据库角色。这种角色是在SQL Server 2000安装之后根据需要设置的，因此可以创建、修改或删除，它们通常由sysadmin、db_securityadmin、db_owner等固定角色中的成员创建。,1创建用户定义的数据库角色创建用户定义的数据库角色需要调用系统存储过程sp_addrole，语法如下。命令格式：sp_addrole rolename=role,ownername=owner,命令说明：（1）role 表示要在当前数据库中创建的角色名称。（2）owner 表示该角色的所有者，默认值为数据库的所有者dbo。,2从当前数据库删除用

18、户定义的角色删除角色需要调用系统存储过程。命令格式：sp_droprole rolename=role命令说明：role为将要从当前数据库中删除的角色的名称。,注意：（1）不能删除固定角色及 13.4.3节所述的public 角色。（2）使用 sp_droprole 只能删除标准角色中的用户定义角色，不能删除应用程序角色，若要删除应用程序角色，须使用 sp_dropapprole。,（3）不能删除带有成员的角色。在删除角色之前，首先必须从该角色中删除其所有成员。（4）只有 sysadmin 固定服务器角色、db_owner 和 db_securityadmin 固定数据库角色成员或角色的所有者

19、才能执行 sp_droprole。,3利用企业管理器创建或删除用户定义的数据库角色,13.4.3 特殊的数据库角色public在SQL Server 2000 的每个数据库中（包括master、msdb、tempdb、model和所有用户数据库）都有一个特殊的数据库角色 public，它能够捕获数据库中用户的所有默认权限。public无法删除，每个数据库用户都自动属于该角色的成员。,13.4.4 角色成员管理角色成员管理包括将登录账户、数据库用户或其他角色添加为一个角色的成员以及删除角色成员。可以利用系统存储过程或企业管理器管理角色成员。1管理服务器角色的成员服务器角色的成员均为登录账户。管理

20、服务器角色的成员就是将登录账户添加为固定服务器角色成员或删除之。,（1）利用系统存储过程将登录账户添加为固定服务器角色的成员命令格式：sp_addsrvrolemember loginame=login，rolename=role命令说明：login是添加到固定服务器角色的登录账户名称，可以是Windows或SQL账户。,（2）利用系统存储过程从固定服务器角色中删除成员命令格式：sp_dropsrvrolemember loginame=login,rolename=role命令说明：login 是将要从固定服务器角色成员中删除的登录账户的名称，login 必须存在。role固定服务器角色的名

21、称。,（3）利用企业管理器管理服务器角色成员 2管理数据库角色的成员数据库角色的成员均为数据库用户或其他数据库角色。管理数据库角色的成员就是将数据库用户（或其他数据库角色）添加为数据库角色成员或删除之。,（1）利用系统存储过程添加数据库角色的成员命令格式：sp_addrolemember rolename=role,membername=security_account,命令说明：role是当前数据库中数据库角色名称，包括固定数据库角色与用户定义数据库角色。security_account是拟添加到该数据库角色的数据库用户或其他用户定义的数据库角色名称。,（2）利用系统存储过程从数据库角色中删

22、除成员命令格式：sp_droprolemember rolename=role,membername=security_account,命令说明：role为将要从中删除成员的数据库角色的名称。security_account为将要从角色中删除的数据库用户或另一个角色的名称。（3）利用企业管理器管理数据库角色成员,13.4.5 应用程序角色 有时，从系统的安全性或性能上考虑，可能希望限制用户对数据库的访问方式。例如为了财务数据的安全，限定用户只能通过特定应用程序来访问一个财务数据库；又如，对于某些难以用外键表述的复杂表间关系，需要通过应用程序维护表间数据的完整性与一致性。在这类情况下，采用应用程

23、序角色十分有效。,应用程序角色具有如下特点：（1）应用程序角色不同于一般的标准角色，它没有成员。如果一个用户想要获得应用程序角色的权限，他必须有权使用某特定应用程序，该应用程序可以通过激活一个应用程序角色来连接某个数据库。,（2）默认情况下，应用程序角色是非活动的，需要用密码激活。只有在应用程序中激活并连入数据库，应用程序角色才能生效，连接一旦断开，应用程序角色立即失去作用。,（3）当一个应用程序角色被激活并连接到一个数据库时，连接期间会屏蔽掉该数据库中的所有用户和标准角色及其权限，仅应用程序角色的权限能够生效。只有在应用程序断开连接后，这些用户与标准角色的权限才能生效。,（4）当一个用户激活

24、了应用程序角色后，他将获得应用程序角色的所有权限，但其原有的非应用程序角色的权限会全部消失。此时，他若想访问其他数据库，只能通过其他数据库中的 guest 用户账户。如果数据库中没有 guest 用户账户，则无法访问这些数据库。,只有 sysadmin 固定服务器角色成员、db_owner和db_securityadmin 固定数据库角色成员才能利用系统存储过程创建、修改与删除应用程序角色，但任何用户都可以通过为角色提供正确的密码来激活角色。应用程序角色使用之前首先要创建它，使用时在应用程序中利用密码激活它，一旦应用程序与数据库的连接断开，应用程序角色将自动处于非激活状态。,1创建应用程序角色

25、命令格式：sp_addapprole rolename=role，password=password 命令说明：（1）role为新建应用程序角色的名称。（2）password为激活角色所需的密码。,2激活应用程序角色激活应用程序角色的工作应该在应用程序中进行，即在应用程序中嵌入如下语法代码。命令格式：sp_setapprole rolename=role,password=Encrypt N password|password,encrypt=encrypt_style,命令说明：（1）role是当前数据库中已经定义的应用程序角色名。（2）password是激活应用程序角色的密码。（3）Enc

26、rypt 函数用于对密码加密，使用时必须在密码前面加上N 以将密码转换成Unicode 字符串。,（4）encrypt_style指定密码加密方式，它可以取下列两值之一：（a）NONE，为默认值，表示密码以明文形式传递给SQL Server。（b）ODBC，将密码发送到 SQL Server 之前，使用 ODBC 规范 Encrypt 函数对密码加密。该方式仅用于ODBC 客户端或SQL Server 的 OLE DB 提供者。,3修改应用程序角色的密码命令格式：sp_approlepassword rolename=role,newpwd=password 命令说明：（1）role 为应用程

27、序角色的名称。（2）password 为应用程序角色的新密码,password 不能为 NULL。,4删除应用程序角色命令格式：sp_dropapprole rolename=role命令说明：role表示将要删除的应用程序角色。,13.5 管 理 权 限,一个登录者若要对某个数据库进行修改或访问，必须具有相应的权限，这种权限涉及服务器级与数据库级的操作。权限既可以直接获得，也可以通过成为角色成员而继承角色的权限。管理权限包括授予、拒绝和废除权限。,13.5.1 权限的种类权限分为三种：对象权限、语句权限和隐含权限。1对象权限对象权限指对已存在的数据库对象的操作权限，包括对数据库对象的SELE

28、CT、INSERT、UPDATE、DELETE和 EXECUTE权限。,2语句权限语句权限用于创建数据库或数据库对象所涉及的活动。3隐含权限隐含权限控制那些只能由固定角色的成员或数据库对象所有者执行的活动。,13.5.2 使用T-SQL语句管理权限权限管理指对于用户或角色的某些操作赋予允许权限、拒绝权限、以及废除权限。（1）允许权限（GRANT），表示用户或角色能够执行某项操作。,（2）拒绝权限（DENY），表示用户或角色不能执行某项操作，也称禁止权限。（3）废除权限（REVOKE），表示废除以前用户或角色所具有的允许权限或拒绝权限。,1语句权限的管理使用T-SQL允许、拒绝或废除语句权限的语

29、法如下。命令格式：GRANT|DENY|REVOKEALL|statement,.nTO security_account,.n,命令说明：（1）GRANT、DENY、REVOKE分别表示允许、拒绝和废除语句权限的操作。（2）ALL表示针对所有语句权限的设置，只有sysadmin成员有权使用ALL。,（3）statement表示被允许、拒绝或废除语句权限的语句，包括9个语句：CREATE DATABASE、CREATE DEFAULT、CREATE FUNCTION、CREATE PROCEDURE、CREATE RULE、CREATE TABLE、CREATE VIEW、BACKUP DAT

30、ABASE、BACKUP LOG。,（4）,.n 表示同时可以处理多个语句的权限。（5）security_account表示当前数据库内将要被设置权限的登录账户、数据库用户或角色。,2对象权限的管理使用T-SQL允许、禁止或废除对象权限的语法如下。命令格式：GRANT|DENY|REVOKE ALL PRIVILEGES|permission,.n(column,.n)ONtable|view|ONtable|view(column，.n)|ON stored_procedure|extended_procedure|ONuser_defined_function TO security_ac

31、count,.n,命令说明：（1）GRANT、DENY、REVOKE分别表示允许、禁止或废除对象权限。（2）ALL表示允许、禁止或废除所有适用的权限。只有sysadmin、db_owner成员及数据库拥有者有权使用ALL。,（3）PRIVILEGES，是与SQL-92 标准兼容而列出的可选关键字，可以省略。（4）permission表示允许、禁止或废除的对象权限。例如SELECT、INSERT等。（5）(column,.n)ONtable|view|ON table|view(column,.n)表示上述权限的作用对象，可以是表或视图，也可以是表或视图的某一列或几列。可以使用“|”两边的任意一

32、种书写格式。,（6）stored_procedure、extended_procedure、user_defined_function 分别表示在当前数据库中设置权限的存储过程名、扩展存储过程名、用户定义函数名。（7）TO指定安全账户列表，对于REVOKE语句，可以改用FROM。,（8）security_account表示当前数据库内将要允许、禁止或废除权限的安全账户，可以是 SQL账户、角色、Windows用户或组。,13.5.3 使用企业管理器管理权限在企业管理器中管理语句权限与对象权限的方法不同，语句权限是在数据库一级进行，对象权限是在数据库对象一级进行。1使用企业管理器管理语句权限2使用企业管理器管理对象权限,