打造SQL Server2000的安全策略

核心提示：打造SQL Server2000的安全策略

Microsoft建立了1种既灵活又强大的安全治理机制，它能够对用户访问SQL Server服务器系统和数据库的安全进行全面地治理。依照本文先容的步骤，你可以为SQL Server 7.0（或2000）构造出1个灵活的、可治理的安全策略，而且它的安全性经得起考验。

1、验证方法选择

本文对验证（authentication）和授权（authorization）这两个概念作不同的解释。验证是指检验用户的身份标识；授权是指答利用户做些甚么。在本文的讨论中，验证进程在用户登录SQL Server的时候出现，授权进程在用户试图访问数据或履行命令的时候出现。

构造安全策略的第1个步骤是肯定SQL Server用哪种方式验证用户。SQL Server的验证是把1组帐户、密码与Master数据库Sysxlogins表中的1个清单进行匹配。Windows NT/2000的验证是要求域控制器检查用户身份的正当性。1般地，假设服务器可以访问域控制器，我们应当使用Windows NT/2000验证。域控制器可以是Win2K服务器，也能够是NT服务器。不管在哪种情况下，SQL Server都接收到1个访问标记（Access Token）。访问标记是在验证进程中构造出来的1个特殊列表，其中包括了用户的SID（安全标识号）和1系列用户所在组的SID。正如本文后面所先容的，SQL Server以这些SID为基础授与访问权限。留意，操纵系统如何构造访问标记其实不重要，SQL Server只使用访问标记中的SID。也就是说，不论你使用SQL Server 2000、SQL Server 7.0、Win2K还是NT进行验证都无关紧要，结果都1样。

假设使用SQL Server验证的登录，它最大的好处是很轻易通过Enterprise Manager实现，最大的缺点在于SQL Server验证的登录只对特定的服务器有效，也就是说，在1个多服务器的环境中治理比较困难。使用SQL Server进行验证的第2个重要的缺点是，对每1个数据库，我们必须分别地为它治理权限。假设某个用户对两个数据库有相同的权限要求，我们必须手工设置两个数据库的权限，或编写脚本设置权限。假设用户数目较少，比如25个以下，而且这些用户的权限变化不是很频繁，SQL Server验证的登录或许适用。但是，在几近所有的其他情况下（有1些例外情况，例如直接治理安全题目的利用），这类登录方式的治理负担将超过它的优点。

2、Web环境中的验证

即使最好的安全策略也常常在1种情形前屈服，这类情形就是在Web利用中使用SQL Server的数据。在这类情形下，进行验证的典型方法是把1组SQL Server登录名称和密码嵌进到Web服务器上运行的程序，比如ASP页面或CGI脚本；然后，由Web服务器负责验证用户，利用程序则使用它自己的登录帐户（或是系统治理员sa帐户，或为了方便起见，使用Sysadmin服务器角色中的登录帐户）为用户访问数据。

这类安排有几个缺点，其中最重要的包括：它不具有对用户在服务器上的活动进行审核的能力，完全依托于Web利用程序实现用户验证，当SQL Server需要限定用户权限时不同的用户之间不容易辨别。假设你使用的是IIS 5.0或IIS 4.0，你可以用4种方法验证用户。第1种方法是为每1个网站和每1个虚拟目录创建1个匿名用户的NT帐户。尔后，所有益用程序登录SQL Server时都使用该安全环境。我们可以通过授与NT匿名帐户合适的权限，改进审核和验证功能。

第2种方法是让所有网站使用Basic验证。此时，只有当用户在对话框中输进了正当的帐户和密码，IIS才会答应他们访问页面。IIS依托1个NT安全数据库实现登录身份验证，NT安全数据库既可以在本地服务器上，也能够在域控制器上。当用户运行1个访问SQL Server数据库的程序或脚本时，IIS把用户为了浏览页面而提供的身份信息发送给服务器。假设你使用这类方法，应当记住：在通常情况下，浏览器与服务器之间的密码传送1般是不加密的，对那些使用Basic验证而安全又很重要的网站，你必须实现SSL（Secure Sockets Layer，安全套接字层）。

在客户端只使用IE 5.0、IE 4.0、IE 3.0浏览器的情况下，你可使用第3种验证方法。你可以在Web网站上和虚拟目录上都启用NT验证。IE会把用户登录计算机的身份信息发送给IIS，当该用户试图登录SQL Server时IIS就使用这些登录信息。使用这类简化的方法时，我们可以在1个远程网站的域上对用户身份进行验证（该远程网站登录到1个与运行着Web服务器的域有着信任关系的域）。

最后，假设用户都有个人数字证书，你可以把那些证书映照到本地域的NT帐户上。个人数字证书与服务器数字证书以一样的技术为基础，它证实用户身份标识的正当性，所以可以取代NT的Challenge/Response（质询/回应）验证算法。Netscape和IE都自动在每1个页面要求中把证书信息发送给IIS。IIS提供了1个让治理员把证书映照到NT帐户的工具。因此，我们可以用数字证书取代通常的提供帐户名字和密码的登录进程。
因而可知，通过NT帐户验证用户时我们可使用多种实现方法。即使当用户通过IIS逾越Internet连接SQL Server时，选择依然存在。因此，你应当把NT验证作为首选的用户身份验证办法。

1 2 3 下1页

核心提示：打造SQL Server2000的安全策略

3、设置全局组

构造安全策略的下1个步骤是肯定用户应当属于甚么组。通常，每1个组织或利用程序的用户都可以依照他们对数据的特定访问要求分成很多种别。例如，会计利用软件的用户1般包括：数据输进操纵员，数据输进治理员，报表编写员，会计师，审计员，财务经理等。每1组用户都有不同的数据库访问要求。

控制数据访问权限最简单的方法是，对每1组用户，分别地为它创建1个满足该组用户权限要求的、域内全局有效的组。我们既可以为每1个利用分别创建组，也能够创建适用于全部企业的、涵盖广泛用户种别的组。但是，假设你想要能够精确地了解组成员可以做些甚么，为每1个利用程序分别创建组是1种较好的选择。例如，在前面的会计系统中，我们应当创建Data Entry Operators、Accounting Data Entry Managers等组。请记住，为了简化治理，最好为组取1个能够明确表示出作用的名字。

除面向特定利用程序的组之外，我们还需要几个基本组。基本组的成员负责治理服务器。依照习惯，我们可以创建下面这些基本组：SQL Server Administrators，SQL Server Users，SQL Server Denied Users，SQL Server DB Creators，SQL Server Security Operators，SQL Server Database Security Operators，SQL Server Developers，和 DB_Name Users（其中DB_Name是服务器上1个数据库的名字）。固然，假设必要的话，你还可以创建其他组。

创建了全局组以后，接下来我们可以授与它们访问SQL Server的权限。首先为SQL Server Users创建1个NT验证的登录并授与它登录权限，把Master数据库设置为它的默许数据库，但不要授与它访问任何其他数据库的权限，也不要把这个登录帐户设置为任何服务器角色的成员。接着再为SQL Server Denied Users重复这个进程，但这次要拒尽登录访问。在SQL Server中，拒尽权限始终优先。创建了这两个组以后，我们就有了1种答应或拒尽用户访问服务器的便捷方法。

为那些没有直接在Sysxlogins系统表里面登记的组授权时，我们不能使用Enterpris Managr，由于Enterprise Manager只答应我们从现有登录名字的列表选择，而不是域内所有组的列表。要访问所有的组，请打开Query Analyzer，然后用系统存储进程sp_addsrvrolemember和sp_addrolemember进行授权。

对操纵服务器的各个组，我们可以用sp_addsrvrolemember存储进程把各个登录加进到合适的服务器角色：SQL Server Administrators成为Sysadmins角色的成员，SQL Server DB Creators成为Dbcreator角色的成员，SQL Server Security Operators成为Securityadmin角色的成员。留意sp_addsrvrolemember存储进程的第1个参数要求是帐户的完全路径。例如，BigCo域的JoeS应当是bigco\joes（假设你想用本地帐户，则路径应当是server_name\joes）。

要创建在所有新数据库中都存在的用户，你可以修改Model数据库。为了简化工作，SQL Server自动把所有对Model数据库的改动复制到新的数据库。只要正确应用Model数据库，我们无需定制每1个新创建的数据库。另外，我们可以用sp_addrolemember存储进程把SQL Server Security Operators加进到db_securityadmin，把SQL Server Developers加进到db_owner角色。

留意我们依然没有授权任何组或帐户访问数据库。事实上，我们不能通过Enterprise Manager授权数据库访问，由于Enterprise Manager的用户界面只答应我们把数据库访问权限授与正当的登录帐户。SQL Server不要求NT帐户在我们把它设置为数据库角色的成员或分配对象权限之前能够访问数据库，但Enterprise Manager有这类限制。虽然如此，只要我们使用的是sp_addrolemember存储进程而不是Enterprise Manager，便可以够在不授与域内NT帐户数据库访问权限的情况下为任意NT帐户分配权限。

到这里为止，对Model数据库的设置已完成。但是，假设你的用户群体对企业范围内各个利用数据库有着类似的访问要求，你可以把下面这些操纵移到Model数据库上进行，而不是在面向特定利用的数据库上进行。

4、答应数据库访问

在数据库内部，与迄今为止我们对登录验证的处理方式不同，我们可以把权限分配给角色而不是直接把它们分配给全局组。这类能力使得我们能够轻松地在安全策略中使用SQL Server验证的登录。即使你历来没有想要使用SQL Server登录帐户，本文依然建议分配权限给角色，由于这样你能够为未来可能出现的变化做好豫备。

创建了数据库以后，我们可以用sp_grantdbaccess存储进程授权DB_Name Users组访问它。但应当留意的是，与sp_grantdbaccess对应的sp_denydbaccess存储进程其实不存在，也就是说，你不能依照拒尽对服务器访问的方法拒尽对数据库的访问。假设要拒尽数据库访问，我们可以创建另外1个名为DB_Name Denied Users的全局组，授权它访问数据库，然后把它设置为db_denydatareader和db_denydatawriter角色的成员。留意SQL语句权限的分配，这里的角色只限制对对象的访问，但不限制对DDL（Data Definition Language，数据定义语言）命令的访问。

正如对登录进程的处理，假设访问标记中的任意SID已在Sysusers系统表登记，SQL将答利用户访问数据库。因此，我们既可以通过用户的个人NT帐户SID授权用户访问数据库，也能够通过用户所在的1个（或多个）组的SID授权。为了简化治理，我们可以创建1个名为DB_Name Users的具有数据库访问权限的全局组，同时不把访问权授与所有其他的组。这样，我们只需简单地在1个全局组中添加或删除成员便可以够增加或减少数据库用户。

上1页 1 2 3 下1页

核心提示：打造SQL Server2000的安全策略

5、分配权限

实行安全策略的最后1个步骤是创建用户定义的数据库角色，然后分配权限。完成这个步骤最简单的方法是创建1些名字与全局组名字配套的角色。例如对前面例子中的会计系统，我们可以创建Accounting Data Entry Operators、Accounting Data Entry Managers之类的角色。由于会计数据库中的角色与帐务处理任务有关，你可能想要缩短这些角色的名字。但是，假设角色名字与全局组的名字配套，你可以减少混乱，能够更方便地判定出哪些组属于特定的角色。

创建好角色以后便可以够分配权限。在这个进程中，我们只需用到标准的GRANT、REVOKE和DENY命令。但应当留意DENY权限，这个权限优先于所有其他权限。假设用户是任意具有DENY权限的角色或组的成员，SQL Server将拒尽用户访问对象。

接下来我们便可以够加进所有SQL Server验证的登录。用户定义的数据库角色可以包括SQL Server登录和NT全局组、本地组、个人帐户，这是它最宝贵的特点之1。用户定义的数据库角色可以作为各种登录的通用容器，我们使用用户定义角色而不是直接把权限分配给全局组的主要缘由就在于此。

由于内建的角色1般适用于全部数据库而不是单独的对象，因此这里建议你只使用两个内建的数据库角色,，即db_securityadmin和db_owner。其他内建数据库角色，例如db_datareader，它授与对数据库里面所有对象的SELECT权限。固然你可以用db_datareader角色授与SELECT权限，然后有选择地对个别用户或组拒尽SELECT权限，但使用这类方法时，你可能忘记为某些用户或对象设置权限。1种更简单、更直接而且不轻易出现毛病的方法是为这些特殊的用户创建1个用户定义的角色，然后只把那些用户访问对象所需要的权限授与这个用户定义的角色。

6、简化安全治理

SQL Server验证的登录不但能够方便地实现，而且与NT验证的登录相比，它更轻易编写到利用程序里。但是，假设用户的数目超过25，或服务器数目在1个以上，或每个用户都可以访问1个以上的数据库，或数据库有多个治理员，SQL Server验证的登录不轻易治理。由于SQL Server没有显示用户有效权限的工具，要记忆每个用户具有哪些权限和他们为甚么要得到这些权限就更加困难。即使对1个数据库治理员还要担当其他责任的小型系统，简化安全策略也有助于减轻题目的复杂程度。因此，首选的方法应当是使用NT验证的登录，然后通过1些精心选择的全局组和数据库角色治理数据库访问。

下面是1些简化安全策略的经验规则：

用户通过SQL Server Users组取得服务器访问，通过DB_Name Users组取得数据库访问。

用户通过加进全局组取得权限，而全局组通过加进角色取得权限，角色直接具有数据库里的权限。

需要多种权限的用户通过加进多个全局组的方式取得权限。

只要计划得恰当，你能够在域控制器上完成所有的访问和权限保护工作，使得服务器反应出你在域控制器上进行的各种设置调剂。固然实际利用中情况可能有所变化，但本文先容的基本措施依然适用，它们能够帮助你构造出很轻易治理的安全策略。

请作者联系本站，及时附注您的姓名。联系邮箱:Post@chinaz.com（把#改成@）。

上1页 1 2 3 唐山网站建设www.fw8.net

TAG:用户,数据库,权限,帐户,角色

评论加载中... 内容： 评论者： 验证码：