确保你的散布式Windows利用的安全

核心提示：在Windows环境下服务器监控软件的选择这篇文章中我们讨论了监视你基于Windows的散布式利用与服务器的题目。除运行这些利用时实行监控之外，保护这些利用和保持这些利用的安全运行是同等重要的。

在Windows环境下服务器监控软件的选择这篇文章中我们讨论了监视你基于Windows的散布式利用与服务器的题目。除运行这些利用时实行监控之外，保护这些利用和保持这些利用的安全运行是同等重要的。因此，让我们研究1下系统治理员在设置和运行基于Windows的散布式利用时应当知道的1些事情。

身份辨认

1般会使用这两种方法之1来保证安全的访问1个利用的1部份或全部。你可以创建1个用户名和口令的数据表并且把那个表存储在SQL服务器等数据库中，或你将使用Windows活动目录或本地SAM账户用于身份辨认。

在IIS中的摘要辨认

当把用户名和口令存储在数据库中时，利用会向用户要求用户名和口令，并且根据数据库中的用户表验证这个信息的正当性。网络浏览器把用户认证信息(用户名和密码)发送到处理这些信息的ASP脚本。ASP脚本要求SQL服务器查找用户名和口令以验证用户。这类方法1般用于互联网或外部网接进。这些用户1般都是你的机构之外的职员，或许是你的贸易合作火伴。

当使用基于Windows活动目录的身份辨认或本地安全接进治理器(SAM)身份辨认(比如说不存在Windows域时)，用户可以访问1个包括ASP脚本的网页。这个脚本则访问SQL服务器来寻求认证。而SQL服务器将认证要求重新定向到域控制器或本地服务器的SAM帐号。这类方式1般当访问者是你的机构内部职员时使用。

假设微软SQL服务器正在作为1个域成员的1台服务器上运行，SQL服务器将首先检查域名控制器来辨认用户的身份。假设不行的话，SQL服务器将检查本地服务器的SAM。使用活动目录是最好的，由于它把用户账户和组都集中在你所有的服务器都可以访问的1个地方。另1个好处是，假设他们登录其工作站的账户是在那台服务器中或在那个域名中的话，你的用户就不需要第2个用户名和口令来访问利用程序。

其它身份辨认的方法

除在IIS中集成的Windows和基本的身份辨认之外，还有对访问1个网站的用户进行身份辨认的其它方法。你能够做的1件事情是把1个用户证书映照到本地Windows或域名用户账户。当用户使用那个证书进行连接时，IIS(5.0或以上版本)使用这个映照的账户登录这个用户，这些账户证书要用来访问这些资源。

另1个替换的方法(用于Windows 2000或以上版本和IIS 5.0或以上版本)是摘要验证。当你使用摘要验证时，这个浏览器创建1种与其它信息合在1起的混合版本的用户名和口令。这些证书是不轻易解密的。但是，域名控制器能够把这类混合的信息与存储在域名控制器中的未加密的信息进行比较。用这类方法，摘要验证让浏览器和服务器不用发送未加密的口令便可以够辨认用户的身份。为了使用摘要验证，浏览器必须是IE 5.5以上版本，IIS服务器必须是活动目录域的1部份。

授权

授权可以简单地解释为批准访问资源。这或许意味着批准你已设置予以授权的用户或组具有“读”或“读/写”的权限。1般来讲，这些授权适用于你的基于网络的利用程序所在的文件夹。这或许意味着在DCOM或ASP.NET组件中配置摹拟的设置，特别是假设你的用户或客户是来自你的机构外部的或是内部网与外部网混合的用户。这或许还意味着在SQL服务器中配置某些具体的设置。我们将在下面先容这类SQL服务器。

SQL服务器方面的任务：角色与许可

标准SQL服务器角色

你可以设置1个Windows用户或组作为SQL服务器登录用户，然后以各种方法使用那个登录。1种方法是把SQL服务器登录(Windows用户或组)作为有权访问数据库的1个SQL服务器角色的1部份。要为1个角色增加现有的登录，可采取以下步骤：

1、打开企业治理器。

2、打开数据库文件夹。

3、打开你要增加登录的数据库。

4、为这个数据库选择1个任务文件夹。

5、用鼠标右键点击你要增加登录的任务并且选择属性。

6、点击增加，选择要增加的登录，然后点击“OK”。

7、点击“OK”封闭这个任务属性，设置结束。

例如，假设你使用这些步骤为db_datawriter数据库任务增加1个登录，SQL数据库现在便可以够辨认在那个组中的用户，并且答应他们读取数据和向上面第3步当选择的数据库中写进数据。你可以打开SQL服务器登录的属性，在数据库访问页上清空“Northwind ”条目，在这个组中的用户依然可以访问那个数据库，由于他们仍在db_datareader和db_datawriter任务中。但是，这个组没有插进、更新或删除的权限，由于你没有给予他们这些权限。你可以创建另1个登录，并把这个登录分配给提供更多的权限(如db_owner)的另1个任务。

存储进程授权

存储进程许可

假设你不单单是答应1个登录访问全部数据库，而是需要更多地控制安全题目，在你创建这个登录的时候或根据个性化的许可增加你自己的任务的时候，你可以编辑你选择的任务选项。你创建的任务能够限制或批准访问具体的表格，乃至是具体的栏目。

在很多利用程序环境中的最好做法是授权用户或任务具有参与操纵数据库的存储进程的权限，而不答应他们直接访问真实的数据库：

1、打开企业治理器。

2、打开数据库文件夹。

3、打开你要增加这个权限的数据库。

4、选择那个数据库的存储进程文件夹然后选择属性。

5、点击批准按钮。

6、在用户/数据库任务栏目之下，选择你希看给予权限的账户。

7、点击适当的栏目(例如，点击“Exec”答应这个账户在那个存储进程中履行批准的权限)。

8、双击“OK”封闭存储进程属性，完成这个设置。

现在，我们已先容了在基于Windows的散布式利用程序环境中的身份辨认和授权。在另1篇文章中，我们将先容保证IIS安全、和微软SQL服务器安全的1些最好做法。

http://www.fw8.net/

TAG:用户,数据库,服务器,账户,身份

评论加载中... 内容： 评论者： 验证码：