站內搜索  

哈爾濱百姓網首頁 | 操作系統 | 軟件應用 | 平面設計 | 程序開發 | 硬件維護 | 網絡安全
 您的位置: 哈爾濱百姓網 > 電腦網絡 > 網絡安全 > 閱讀文章:SQL Server 2000 安全模型
SQL Server 2000 安全模型
2009-9-21 14:47:07 哈爾濱百姓網 來源:賓縣百姓網-收集 瀏覽 次 【 】【打印】【關閉

  簡介
  本白皮書面向的對象是 Microsoft SQL Server 管理員和開發人員,主要是介紹 SQL Server 2000 Service Pack 3 (SP3) 的安全功能。本文討論了安全方面的一些最佳做法,給出了詳細的建議信息,并提供了一些源代碼示例。最后,列出了安全最佳做法檢查表。本白皮書的重點是 SQL Server 引擎。有關復制、分析服務或數據轉換服務的詳細討論,請參閱 http://go.microsoft.com/fwlink/?LinkId=15402。
  
  前提
  SQL Server 2000 安全是基于 Microsoft Windows NT 4.0® 和 Windows 2000 安全模型實現的,因此,閱讀本白皮書的前提是讀者對 Windows NT 4.0 和 Windows 2000 安全有一個基本的了解。另外一個前提就是,讀者理解域、全局組、本地組和用戶帳戶應用于 Windows NT 4.0 安全上下文時的概念,以及 Windows 2000 中 Microsoft Active Directory ®的概念。

中國網管論壇bbs.bitsCN.com


  
  對于那些對代碼示例感興趣的讀者,學習 Microsoft Visual Basic® 和結構化查詢語言 (SQL) 有助于增強理解。此外,有使用 SQL 分布式管理對象 (SQL-DMO) 的經驗對理解本白皮書中的內容也大有好處。
  
  但是,即便是那些對 Windows NT 4.0、Windows 2000 或 SQL Server 知之甚少的讀者,通過閱讀本文,也將對使用這些產品時的安全性有一個大概的了解。
  
  SQL Server 2000 安全模型
  SQL Server 2000 安全模型是基于 Windows 安全模型實現的。有關 Windows 安全最佳做法的詳細討論,請參閱 http://go.microsoft.com/fwlink/?LinkId=15392。
  
  應該按圖 1 所示保護 SQL Server 2000 的安全。
   
  圖 1:Windows 用戶和組為 SQL Server 管理員提供了強大且靈活的安全模型
  上圖中的步驟可以總結為如下幾點:
  
  1. 將每個域中的用戶指派到 Windows 全局組。
  2. 將各個域中的 Windows 全局組放入 Windows 本地組。
  3. 授予 Windows 本地組登錄 SQL Server 2000 的權限。
  4. 授予 Windows 本地組訪問適當數據庫的權限。此 Windows 本地組可能與步驟 3 中被授予登錄權限的本地組不同。因此,通常重復步驟 1 和 2 來按需要的訪問權限組織用戶。
bitscn_com

  5. 為 Windows 本地組分配對特定數據庫對象的訪問權限。
  
  另一種實現安全的途徑是基于角色的使用,通常通過如圖 2 所示的方式來實現。
   
  圖 2:基于角色的安全是 SQL Server 2000 中的另一個安全選項
  
  當使用角色來分配對象權限時,仍然需要使用建議的方法為各個用戶授予對服務器和數據庫的訪問權限。
  
  步驟 1 到步驟 4 與圖 1 中基本相同,所不同的只是可能不必創建多個 Windows 全局組和本地組。同時,它還對 Windows 2000 通用組提供完全支持。
  
  步驟 5:將各個 Windows 帳戶和 Windows 組分配給某個角色。
  
  步驟 6:為角色分配對象訪問權限。
  
  使用角色,通過在 SQL Server 2000 內組織用戶而減少了在 Windows 內組織用戶的需要。
  
  身份驗證模式
  SQL Server 2000 提供兩種身份驗證模式來保護對服務器訪問的安全:Windows 身份驗證模式和混合模式。
  
  Windows 身份驗證模式
  Windows 身份驗證模式是 SQL Server 2000 中的默認身份驗證模式。在 Windows 身份驗證模式下,SQL Server 2000 僅依賴用戶的 Windows 身份驗證。然后,授予 Windows 用戶或組對 SQL Server 的訪問權限。使用此模式與服務器建立的連接稱為信任連接。
中國網管聯盟www.bitscn.com

  當使用 Windows 身份驗證模式時,數據庫管理員通過授予用戶登錄 SQL Server 2000 的權限來允許他們訪問運行 SQL Server 的計算機。Windows 安全標識符 (SID) 用于跟蹤已經過 Windows 驗證的登錄。使用 Windows SID,數據庫管理員可以直接授予 Windows 用戶或組登錄權限。
  
  混合模式
  在混合模式下,可以使用 Windows 身份驗證或 SQL Server 身份驗證對用戶進行驗證。SQL Server 負責維護經過 SQL Server 身份驗證的用戶的用戶名和密碼對。
  
  如果客戶端和服務器能夠使用 NTLM 或 Kerberos 登錄身份驗證協議,則以混合模式連接的 SQL Server 就像使用 Windows 身份驗證模式一樣,也依賴 Windows 來驗證用戶身份。如果客戶端無法使用標準 Windows 登錄,則 SQL Server 要求提供用戶名和密碼對,并將其與存儲在系統表中的用戶名和密碼對進行比較。依賴用戶名和密碼對的連接稱為非信任連接或 SQL 連接。
  
  在內部使用安全標識號
  SQL Server 使用 SID 跟蹤信任的登錄。可以直接對 Windows 用戶和組授予對數據庫或特定數據庫對象的訪問權限。例如,Jane 同時是 Windows 中 SALES 和 MARKETING 組的成員。SALES 組被授予了登錄 SQL Server 以及訪問 pubs 數據庫的權限。管理員可以通過 Jane 的 Windows 名稱 REDMOND\Jane 授予其訪問 authors 表的權限。Windows 帳戶必須通過域和用戶名來引用。在這種情況下,Jane 的 SID 將存儲在 pubs 數據庫的系統表中。SQL Server 2000 不支持用戶主體名 (UPN)。例如,如果 Windows 登錄包含域 SALES 和用戶名 SOMEONE,那么登錄到 SQL Server 時應使用 SALES\SOMEONE,而不能使用 Windows 2000 Active Directory 所支持的 SOMEONE@MYCOMPANY.COM 形式的登錄。
feedom.net

  
  角色
  
  角色的使用與 Windows 組的使用很相似。通過角色,可以將用戶集中到一個單元中,然后對這個單元應用權限。對角色授予、拒絕或吊銷權限時,將對其中的所有成員生效。可以用角色來代表一個組織中某一類工作人員所執行的某項工作,然后對該角色授予權限。當工作人員執行該項工作時,便成為該角色的成員;而當不再執行該項工作時,便不再是該角色的成員。這樣,就不必在用戶接受或離開某項工作時,反復地授予、拒絕或吊銷每個用戶的權限。
  
  角色的功能之所以如此強大,其中涉及到了許多關鍵的概念。首先,除固定的服務器角色外,其他角色都是在數據庫內部實現的。這意味著數據庫管理員無需依賴 Windows 管理員來組織用戶。第二,角色可以嵌套。嵌套的深度沒有限制,但不允許循環嵌套。第三,數據庫用戶可以同時是多個角色的成員。
  
  因為角色的這些特性,使得數據庫管理員可以安排權限的層次結構,以反映使用數據庫的組織的管理結構。例如,財務部門可能包含分別負責應付帳款和應收帳款的不同組。數據庫管理員可以分別為 APEmployees 和 AREmployees 創建不同的數據庫角色,并只對每個角色分配完成相應工作的雇員所需的權限。然后,數據庫管理員可以創建一個 FinManagers 角色,并使之包含這兩個限制較多的角色(APEmployees 和 AREmployees)。這樣,FinManagers 將具有他們的直接下屬雇員的所有權限。當某個負責應付帳款的雇員被提升為管理人員時,數據庫管理員只需要將其添加到 FinManagers 角色中即可。

網管網bitsCN.com


  
  public 角色
  
  public 角色在每個數據庫(包括系統數據庫 master、msdb、tempdb 和 model)中都存在。public 角色提供數據庫中用戶的默認權限,不能刪除。其功能相當于 Windows NT 4.0 環境中的 Everyone 組。每個數據庫用戶都自動是此角色的成員,因此,無法在此角色中添加或刪除用戶。
  
  預定義角色
  
  SQL Server 2000 包括幾個預定義的角色。這些角色具有預定義的、不能授予其他用戶帳戶的內在權限。有兩種類型的預定義角色:固定服務器角色和固定數據庫角色。
  
  固定服務器角色
  
  固定服務器角色的作用域在服務器范圍內。它們存在于數據庫之外。固定服務器角色的每個成員都能夠向該角色中添加其他登錄。
  
  注意 Windows BUILTIN\Administrators 組(本地管理員組)的所有成員都默認是 sysadmin 角色的成員。
  
  表 1列出了 SQL Server 2000 中存在的固定服務器角色。
   
  表 1:SQL Server 2000 固定服務器角色
  
  要將用戶添加到固定服務器角色中,請使用下列 Transact-SQL 語句:
  /* Add Bob to the sysadmin server role */

網管網bitsCN_com


  exec sp_addsrvrolemember "REDMOND\Bob", "sysadmin"
  
  可以將 Windows 用戶和組添加到服務器角色中。下列代碼顯示了如何使用 SQL 分布式管理對象 (DMO) 集合將用戶添加到服務器角色中:
  ' Declare variables
  Dim oServer As SQLDMO.SQLServer
  
  ' Create a server object and connect
  Set oServer = CreateObject("SQLDMO.SQLServer")
  oServer.Connect ("SERVERNAME")
  
  ' Add Bob to the sysadmin server role
  oServer.ServerRoles("sysadmin").AddMember ("REDMOND\Bob")
  
  有關如何使用固定服務器角色的詳細信息,請參閱 SQL Server 聯機叢書。
  
  固定數據庫角色
  
  固定數據庫角色在數據庫級別定義,并在每個數據庫中都存在。db_owner 和 db_security 管理員角色的成員可以管理固定數據庫角色的成員身份;但是,只有 db_owner 角色可以將其他用戶添加到 db_owner 固定數據庫角色中。
  
  表 2 列出了 SQL Server 2000 中存在的固定數據庫角色。
   
  表 2:SQL Server 2000 固定數據庫角色
[責任編輯:佚名]
 相關文章
·Web服務器如何避免CC攻擊 (2011-3-18 13:07:03)
·局域網遭ARP攻擊網絡掉線批處理 (2010-3-2 13:34:37)
·保障遠程桌面Web連接安全四項注意 (2010-1-25 10:28:12)
·教你六招處理服務器數據意外丟失 (2010-1-25 10:26:07)
·IIS安全設置讓Webshell無用武之地 (2009-11-3 11:07:16)
·資深網管教你打造SSL加密的安全站點 (2009-8-4 12:21:34)
·利用麥咖啡打造超安全的Web站點目錄 (2009-6-23 10:05:18)
·讓你的電腦在局域網中輕松隱身 (2009-4-27 11:29:38)
·安全防護策略-打造堡壘主機 (2009-4-17 9:06:45)
·SA弱口令帶來的安全隱患 (2009-4-15 16:55:38)
·Microsoft SQL Server SA (2009-4-15 16:53:11)
·ISA Server 2006常用功能疑難 (2009-4-15 16:45:32)
·ISA Server 2006高級應用指南 (2009-4-15 16:38:42)
·十招妙招 確保WindowsXP系統安全 (2009-4-15 16:25:26)
·Windows 2003服務器安全配置終極技 (2009-4-15 16:18:12)
·Windows 2003 server變態磁盤 (2009-4-15 16:08:43)
·Windows下PHP+MySQL+IIS安全平臺III  (2009-4-15 15:49:42)
·Windows XP中鮮為人知的熱鍵漏洞 (2009-4-15 15:42:55)
·利用xp網絡身份驗證功能 讓遠程連接 (2009-4-15 15:41:22)
·終級Win2003服務器安全配置篇 (2009-4-15 15:38:50)
 熱門文章 哈爾濱電腦
·安全防護策略-打造堡壘主機
·SQL Server到底需要使用哪些端口?
·把重要的Word 2003文檔放到菜單中
·您試圖在此 Web 服務器上訪問的 
·Photoshop制作火焰的神龍
·Win2003架設多用戶隔離Ftp服務器
·XP系統服務恢復批處理
·還有2天發布 Windows7必備77條小知識
·情侶玩兒法:用虛擬硬盤打造堅不可摧的影子系統
·用U盤當鑰匙 輕松繞過WinXP的登陸密碼
·Photoshop打造漂亮的心形掛鏈壁紙
 推薦文章 哈爾濱電腦
·精簡節約!小公司辦公打印省錢全攻略
·CSS布局方法的十八般技巧和兼容方案
·三種方法 教你解決輸入法不顯示的問題
·當紅情侶QQ表情:茉莉和龍井
·Win 7出現休眠Bug 微軟提供解決方案
·將Powerpoint文檔轉換為Word文檔
·非常實用來學習連續供墨系統入門知識
·怕吃虧?怕假的?鑒別真假耗材的小竅門
·情侶玩兒法:用虛擬硬盤打造堅不可摧的影子系統
·開始—運行(cmd)命令大全
·您試圖在此 Web 服務器上訪問的 
 最新文章 哈爾濱電腦
·Web服務器如何避免CC攻擊
·SQL Server到底需要使用哪些端口?
·XP系統服務恢復批處理
·局域網遭ARP攻擊網絡掉線批處理
·CISCO 2811 路由器配置命令全集
·避免“悲劇” 打印機使用技巧全面攻略
·保障遠程桌面Web連接安全四項注意
·教你六招處理服務器數據意外丟失
·挑選相紙有學問 教你如何辨別相紙優劣
·精簡節約!小公司辦公打印省錢全攻略
·CSS布局方法的十八般技巧和兼容方案
ag环亚平台app- ag环亚旗舰厅客户端下载