系統(tǒng)安全管理

1、第9章 系統(tǒng)安全管理,9.1 SQL Server 2008安全機制,9.1.1 SQL Server 2008身份驗證模式 SQL Server 2008的身份驗證模式是指系統(tǒng)確認用戶的方式。SQL Server 2008有兩種身份驗證模式：Windows驗證模式和SQL Server驗證模式。如圖9.1所示為這兩種方式登錄SQL Server服務(wù)器的情形,9.1.1 SQL Server 2008身份驗證模式,1Windows驗證模式 （1）必須將Windows賬戶加入到SQL Server中，才能采用Windows賬戶登錄SQL Server。 （2）如果使用Windows賬戶登錄到另一

2、個網(wǎng)絡(luò)的SQL Server，則必須在Windows中設(shè)置彼此的托管權(quán)限。 2SQL Server驗證模式 在SQL Server驗證模式下，SQL Server服務(wù)器要對登錄的用戶進行身份驗證。當SQL Server在Windows XP或Windows 2003/2008等操作系統(tǒng)上運行時，系統(tǒng)管理員設(shè)定登錄驗證模式的類型可為Windows驗證模式和混合模式,9.1.2 SQL Server 2008安全性機制,1）服務(wù)器級別所包含的安全對象主要有登錄名、固定服務(wù)器角色等。其中，登錄名用于登錄數(shù)據(jù)庫服務(wù)器，而固定服務(wù)器角色用于給登錄名賦予相應的服務(wù)器權(quán)限。 （2）數(shù)據(jù)庫級別所包含的安全對象

3、主要有用戶、角色、應用程序角色、證書、對稱密鑰、非對稱密鑰、程序集、全文目錄、DDL事件、架構(gòu)等。 （3）架構(gòu)級別所包含的安全對象主要有表、視圖、函數(shù)、存儲過程、類型、同義詞、聚合函數(shù)等,9.2 建立和管理用戶賬戶,9.2.1 界面方式管理用戶賬戶 1建立Windows驗證模式的登錄名 第1步：創(chuàng)建Windows的用戶,9.2.1 界面方式管理用戶賬戶,第2步：將Windows賬戶加入到SQL Server中,9.2.1 界面方式管理用戶賬戶,2建立SQL Server驗證模式的登錄名 步驟如下。 第1步：以系統(tǒng)管理員身份登錄SQL Server Management Studio，在對象資源

4、管理器中選擇要登錄的SQL Server服務(wù)器圖標，右擊鼠標，在彈出的快捷菜單中選擇“屬性”菜單項，打開“服務(wù)器屬性”窗口。 第2步：在打開的“服務(wù)器屬性”窗口中選擇“安全性”選項卡。選擇服務(wù)器身份驗證為“SQL Server和Windows身份驗證模式”，單擊“確定”按鈕，保存新的配置，重啟SQL Server服務(wù)即可,9.2.1 界面方式管理用戶賬戶,3管理數(shù)據(jù)庫用戶 使用SSMS創(chuàng)建數(shù)據(jù)庫用戶賬戶的步驟如下（以PXSCJ為例,9.2.2 命令方式管理用戶賬戶,1創(chuàng)建登錄名 在SQL Server 2008中，創(chuàng)建登錄名可以使用CREATE LOGIN命令。語法格式： CREATE LOG

5、IN login_name WITH PASSWORD = password HASHED MUST_CHANGE , ,. /*WITH子句用于創(chuàng)建SQL Server登錄名*/ | FROM/*FROM子句用于創(chuàng)建其他登錄名*/ WINDOWS WITH ,. | CERTIFICATE certname | ASYMMETRIC KEY asym_key_name,9.2.2 命令方式管理用戶賬戶,其中， := SID = sid | DEFAULT_DATABASE = database | DEFAULT_LANGUAGE = language | CHECK_EXPIRATION

6、= ON | OFF | CHECK_POLICY = ON | OFF CREDENTIAL = credential_name := DEFAULT_DATABASE = database | DEFAULT_LANGUAGE = language,9.2.2 命令方式管理用戶賬戶,例9.1】 使用命令方式創(chuàng)建Windows登錄名tao（假設(shè)Windows用戶tao已經(jīng)創(chuàng)建，本地計算機名為0BD7E57C949A420），默認數(shù)據(jù)庫設(shè)為PXSCJ。 USE master GO CREATE LOGIN 0BD7E57C949A420tao FROM WINDOWS WITH DEFAULT

7、_DATABASE= PXSCJ 【例9.2】 創(chuàng)建SQL Server登錄名sql_tao，密碼為123456，默認數(shù)據(jù)庫設(shè)為PXSCJ。 CREATE LOGIN sql_tao WITH PASSWORD=123456, DEFAULT_DATABASE=PXSCJ,9.2.2 命令方式管理用戶賬戶,2刪除登錄名 刪除登錄名使用DROP LOGIN命令。語法格式： DROP LOGIN login_name 【例9.3】 刪除Windows登錄名tao。 DROP LOGIN 0BD7E57C949A420tao 【例9.4】 刪除SQL Server登錄名sql_tao。 DROP L

8、OGIN sql_tao,9.2.2 命令方式管理用戶賬戶,3創(chuàng)建數(shù)據(jù)庫用戶 創(chuàng)建數(shù)據(jù)庫用戶使用CREATE USER命令。語法格式： CREATE USER user_name FOR | FROM LOGIN login_name | CERTIFICATE cert_name | ASYMMETRIC KEY asym_key_name | WITHOUT LOGIN WITH DEFAULT_SCHEMA = schema_name,9.2.2 命令方式管理用戶賬戶,例9.5】 使用SQL Server登錄名sql_tao（假設(shè)已經(jīng)創(chuàng)建）在PXSCJ數(shù)據(jù)庫中創(chuàng)建數(shù)據(jù)庫用戶tao，默認架

9、構(gòu)名使用dbo。 USE PXSCJ GO CREATE USER tao FOR LOGIN sql_tao WITH DEFAULT_SCHEMA=dbo,9.2.2 命令方式管理用戶賬戶,4刪除數(shù)據(jù)庫用戶 刪除數(shù)據(jù)庫用戶使用DROP USER語句。語法格式： DROP USER user_name user_name為要刪除的數(shù)據(jù)庫用戶名，在刪除之前要使用USE語句指定數(shù)據(jù)庫。 【例9.6】 刪除PXSCJ數(shù)據(jù)庫的數(shù)據(jù)庫用戶tao。 USE PXSCJ GO DROP USER tao,9.3 角色管理,9.3.1 固定服務(wù)器角色 （1）sysadmin：系統(tǒng)管理員，角色成員可對SQL

10、Server服務(wù)器進行所有的管理工作，為最高管理角色。這個角色一般適合于數(shù)據(jù)庫管理員（DBA）。 （2）securityadmin：安全管理員，角色成員可以管理登錄名及其屬性?？梢允谟?、拒絕、撤銷服務(wù)器級和數(shù)據(jù)庫級的權(quán)限。 （3）serveradmin：服務(wù)器管理員，角色成員具有對服務(wù)器進行設(shè)置及關(guān)閉服務(wù)器的權(quán)限。 （4）setupadmin：設(shè)置管理員，角色成員可以添加和刪除鏈接服務(wù)器，并執(zhí)行某些系統(tǒng)存儲過程。 （5）processadmin：進程管理員，角色成員可以終止SQL Server實例中運行的進程。 （6）diskadmin：用于管理磁盤文件。 （7）dbcreator：數(shù)據(jù)庫創(chuàng)建

11、者，角色成員可以創(chuàng)建、更改、刪除或還原任何數(shù)據(jù)庫。 （8）bulkadmin：可執(zhí)行BULK INSERT語句，但是這些成員對要插入數(shù)據(jù)的表必須有INSERT權(quán)限。BULK INSERT語句的功能是以用戶指定的格式復制一個數(shù)據(jù)文件至數(shù)據(jù)庫表或視圖。 （9）public：其角色成員可以查看任何數(shù)據(jù)庫,9.3.1 固定服務(wù)器角色,1通過對象資源管理器添加服務(wù)器角色成員 第1步：以系統(tǒng)管理員身份登錄到SQL Server服務(wù)器，在對象資源管理器中展開“安全性登錄名”，選擇登錄名，例如“0BD7E57C949A420liu”，雙擊或右擊選擇“屬性”菜單項，打開“登錄屬性”窗口。 第2步：在打開的“登錄

12、屬性”窗口中選擇“服務(wù)器角色”選項卡。如圖9.7所示,9.3.1 固定服務(wù)器角色,2利用系統(tǒng)存儲過程添加服務(wù)器角色成員 利用系統(tǒng)存儲過程sp_addsrvrolemember可將一登錄名添加到某一固定服務(wù)器角色中，使其成為固定服務(wù)器角色的成員。語法格式： sp_addsrvrolemember loginame = login, rolename = role 【例9.7】 將Windows登錄名0BD7E57C949A420liu添加到sysadmin固定服務(wù)器角色中。 EXEC sp_addsrvrolemember 0BD7E57C949A420liu, sysadmin,9.3.1 固

13、定服務(wù)器角色,3利用系統(tǒng)存儲過程刪除固定服務(wù)器角色成員 利用sp_dropsrvrolemember系統(tǒng)存儲過程可從固定服務(wù)器角色中刪除SQL Server 登錄名或Windows登錄名。語法格式： sp_dropsrvrolemember loginame = login , rolename = role 參數(shù)含義：login為將要從固定服務(wù)器角色刪除的登錄名。role為服務(wù)器角色名，默認值為NULL，必須是有效的固定服務(wù)器角色名。 【例9.8】 從sysadmin固定服務(wù)器角色中刪除SQL Server登錄名david。 EXEC sp_dropsrvrolemember david,

14、sysadmin,9.3.2 固定數(shù)據(jù)庫角色,1使用對象資源管理器添加固定數(shù)據(jù)庫角色成員 第1步：以系統(tǒng)管理員身份登錄到SQL Server服務(wù)器，在對象資源管理器中展開“數(shù)據(jù)庫PXSCJ安全性用戶”，選擇一個數(shù)據(jù)庫用戶，例如“david”，雙擊或單擊右鍵選擇“屬性”菜單項，打開“數(shù)據(jù)庫用戶”窗口。 第2步：在打開的窗口中，在“常規(guī)”選項卡中的“數(shù)據(jù)庫角色成員身份”欄，用戶可以根據(jù)需要，在數(shù)據(jù)庫角色前的復選框中打勾，來為數(shù)據(jù)庫用戶添加相應的數(shù)據(jù)庫角色，如圖9.8所示，單擊“確定”按鈕完成添加,9.3.2 固定數(shù)據(jù)庫角色,9.3.2 固定數(shù)據(jù)庫角色,第3步：查看固定數(shù)據(jù)庫角色的成員。在對象資源管

15、理器中，在PXSCJ數(shù)據(jù)庫下的“安全性角色數(shù)據(jù)庫角色”目錄下，選擇數(shù)據(jù)庫角色，如db_owner，右擊選擇“屬性”菜單項，在屬性窗口中的“角色成員”欄下可以看到該數(shù)據(jù)庫角色的成員列表，如圖9.9所示,9.3.2 固定數(shù)據(jù)庫角色,2使用系統(tǒng)存儲過程添加固定數(shù)據(jù)庫角色成員 利用系統(tǒng)存儲過程sp_addrolemember可以將一個數(shù)據(jù)庫用戶添加到某一固定數(shù)據(jù)庫角色中，使其成為該固定數(shù)據(jù)庫角色的成員。語法格式： sp_addrolemember rolename = role, membername = security_account 【例9.9】 將PXSCJ數(shù)據(jù)庫上的數(shù)據(jù)庫用戶david（假設(shè)

16、已經(jīng)創(chuàng)建）添加為固定數(shù)據(jù)庫角色db_owner的成員。 USE PXSCJ GO EXEC sp_addrolemember db_owner, david,9.3.2 固定數(shù)據(jù)庫角色,3使用系統(tǒng)存儲過程刪除固定數(shù)據(jù)庫角色成員 利用系統(tǒng)存儲過程sp_droprolemember可以將某一成員從固定數(shù)據(jù)庫角色中去除。 語法格式： sp_droprolemember rolename = role , membername = security_account 【例9.10】 將數(shù)據(jù)庫用戶david從db_owner中去除。 USE PXSCJ GO EXEC sp_droprolemember

17、db_owner, david,9.3.3 自定義數(shù)據(jù)庫角色,1通過對象資源管理器創(chuàng)建數(shù)據(jù)庫角色 第1步：創(chuàng)建數(shù)據(jù)庫角色。以Windows系統(tǒng)管理員身份連接SQL Server，在對象資源管理器中展開“數(shù)據(jù)庫”，選擇要創(chuàng)建角色的數(shù)據(jù)庫（如PXSCJ）“安全性”“角色”，右擊鼠標，在彈出的快捷菜單中選擇“新建”菜單項，在彈出的子菜單中選擇“新建數(shù)據(jù)庫角色”菜單項，如圖9.10所示。進入“數(shù)據(jù)庫角色-新建”窗口,9.3.3 自定義數(shù)據(jù)庫角色,第2步：將數(shù)據(jù)庫用戶加入數(shù)據(jù)庫角色。 將用戶加入自定義數(shù)據(jù)庫角色的方法與9.3.2小節(jié)中將用戶加入固定數(shù)據(jù)庫角色的方法類似，這里不再重復。如圖9.11所示是將

18、PXSCJ數(shù)據(jù)庫的用戶david加入ROLE1角色,9.3.3 自定義數(shù)據(jù)庫角色,2通過SQL命令創(chuàng)建數(shù)據(jù)庫角色 （1）定義數(shù)據(jù)庫角色。創(chuàng)建用戶自定義數(shù)據(jù)庫角色可以使用CREATE ROLE語句。 語法格式： CREATE ROLE role_name AUTHORIZATION owner_name 【例9.11】 如下示例在當前數(shù)據(jù)庫中創(chuàng)建名為ROLE2的新角色，并指定dbo為該角色的所有者。 USE PXSCJ GO CREATE ROLE ROLE2 AUTHORIZATION dbo,9.3.3 自定義數(shù)據(jù)庫角色,2）給數(shù)據(jù)庫角色添加成員。向用戶定義數(shù)據(jù)庫角色添加成員也使用存儲過程s

19、p_ addrolemember，用法與之前介紹的基本相同。 【例9.12】 使用Windows身份驗證模式的登錄名（如0BD7E57C949A420liu）創(chuàng)建PXSCJ數(shù)據(jù)庫的用戶（如0BD7E57C949A420liu），并將該數(shù)據(jù)庫用戶添加到ROLE1數(shù)據(jù)庫角色中。 USE PXSCJ GO CREATE USER 0BD7E57C949A420liu FROM LOGIN 0BD7E57C949A420liu GO EXEC sp_addrolemember ROLE1, 0BD7E57C949A420liu,9.3.3 自定義數(shù)據(jù)庫角色,例9.13】 將SQL Server登錄名創(chuàng)

20、建的PXSCJ的數(shù)據(jù)庫用戶wang（假設(shè)已經(jīng)創(chuàng)建）添加到數(shù)據(jù)庫角色ROLE1中。 USE PXSCJ GO EXEC sp_addrolemember ROLE1,wang 【例9.14】 將數(shù)據(jù)庫角色ROLE2（假設(shè)已經(jīng)創(chuàng)建）添加到ROLE1中。 EXEC sp_addrolemember ROLE1,ROLE2,9.3.3 自定義數(shù)據(jù)庫角色,3通過SQL命令刪除數(shù)據(jù)庫角色 要刪除數(shù)據(jù)庫角色可以使用DROP ROLE語句。語法格式： DROP ROLE role_name 【例9.15】 刪除數(shù)據(jù)庫角色ROLE2。 在刪除ROLE2之前首先需要將ROLE2中的成員刪除，可以使用界面方式，也可

21、以使用命令方式。若使用界面方式，只需在ROLE2的屬性頁中操作即可。命令方式在刪除固定數(shù)據(jù)庫成員時已經(jīng)介紹，請參見前面內(nèi)容。確認ROLE2可以刪除后，使用以下命令刪除ROLE2： DROP ROLE ROLE2,9.4 數(shù)據(jù)庫權(quán)限的管理,9.4.1 授予權(quán)限 （1）使用命令方式授予權(quán)限。利用GRANT語句可以給數(shù)據(jù)庫用戶或數(shù)據(jù)庫角色授予數(shù)據(jù)庫級別或?qū)ο蠹墑e的權(quán)限。 語法格式： GRANT ALL PRIVILEGES | permission ( column ,.n ) ,.n ON securable TO principal ,.n WITH GRANT OPTION AS princi

22、pal 【例9.16】 給PXSCJ數(shù)據(jù)庫上的用戶david和wang授予創(chuàng)建表的權(quán)限。 以系統(tǒng)管理員身份登錄SQL Server，新建一個查詢，輸入以下語句： USE PXSCJ GO GRANT CREATE TABLE TO david, wang GO,9.4.1 授予權(quán)限,例9.17】 首先在數(shù)據(jù)庫PXSCJ中給public角色授予表XSB的SELECT權(quán)限。然后，將其他一些權(quán)限授予用戶david和wang，使用戶有對XSB表的所有操作權(quán)限。 以系統(tǒng)管理員身份登錄SQL Server，新建一個查詢，輸入以下語句： USE PXSCJ GO GRANT SELECT ON XSB TO

23、 public GO GRANT INSERT, UPDATE, DELETE, REFERENCES ON XSB TO david, wang GO,9.4.1 授予權(quán)限,例9.18】 將CREATE TABLE權(quán)限授予數(shù)據(jù)庫角色ROLE1的所有成員。 以系統(tǒng)管理員身份登錄SQL Server，新建一個查詢，輸入以下語句： GRANT CREATE TABLE TO ROLE1 【例9.19】 以系統(tǒng)管理員身份登錄SQL Server，將表XSB的SELECT權(quán)限授予ROLE2角色（指定WITH GRANT OPTION子句）。用戶li是ROLE2的成員（創(chuàng)建過程略），在li用戶上將表XS

24、B上的SELECT權(quán)限授予用戶huang（創(chuàng)建過程略），huang不是ROLE2的成員。 首先以Windows系統(tǒng)管理員身份連接SQL Server，授予角色ROLE2在XSB表上的SELECT權(quán)限： USE PXSCJ GO GRANT SELECT ON XSB TO ROLE2 WITH GRANT OPTION,9.4.1 授予權(quán)限,在“SQL Server Management Studio”窗口上單擊“新建查詢”按鈕旁邊的數(shù)據(jù)庫引擎查詢按鈕“ ”，在彈出的連接窗口中以li用戶的登錄名登錄，如圖9.12所示,9.4.1 授予權(quán)限,在“查詢分析器”窗口中使用如下語句將用戶li在XSB表

25、上的SELECT權(quán)限授予huang： USE PXSCJ GO GRANT SELECT ON XSB TO huang AS ROLE2 【例9.20】 在當前數(shù)據(jù)庫PXSCJ中給public角色賦予對表XSB中“學號”、“姓名”字段的SELECT權(quán)限。 以系統(tǒng)管理員身份登錄SQL Server，新建一個查詢，輸入以下語句： USE PXSCJ GO GRANT SELECT (學號,姓名) ON XSB TO public GO,9.4.1 授予權(quán)限,2）使用界面方式授予語句權(quán)限。 授予數(shù)據(jù)庫上的權(quán)限,9.4.1 授予權(quán)限,授予數(shù)據(jù)庫對象上的權(quán)限,9.4.2 拒絕權(quán)限,語法格式： DENY

26、 ALL PRIVILEGES | permission ( column ,.n ) ,.n ON securable TO principal ,.n CASCADE AS principal 【例9.21】 對多個用戶不允許使用CREATE VIEW和CREATE TABLE語句。 DENY CREATE VIEW, CREATE TABLE TO li, huang GO,9.4.2 拒絕權(quán)限,例9.22】 拒絕用戶li、huang、0BD7E57C949A420liu對表XSB的一些權(quán)限，這樣，這些用戶就沒有對XSB表的操作權(quán)限了。 USE PXSCJ GO DENY SELECT,

27、 INSERT, UPDATE, DELETE ON XSB TO li, huang, 0BD7E57C949A420liu GO 【例9.23】 對所有ROLE2角色成員拒絕CREATE TABLE權(quán)限。 DENY CREATE TABLE TO ROLE2 GO,9.4.3 撤銷權(quán)限,語法格式： REVOKE GRANT OPTION FOR ALL PRIVILEGES | permission ( column ,.n ) ,.n ON securable TO | FROM principal ,.n CASCADE AS principal 【例9.24】 取消已授予用戶wang

28、的CREATE TABLE 權(quán)限。 REVOKE CREATE TABLE FROM wang,9.4.3 撤銷權(quán)限,例9.25】 取消授予多個用戶的多個語句權(quán)限。 REVOKE CREATE TABLE, CREATE DEFAULT FROM wang, li GO 【例9.26】 取消以前對wang授予或拒絕的在XSB表上的SELECT權(quán)限。 REVOKE SELECT ON XSB FROM wang,9.4.3 撤銷權(quán)限,例9.27】 角色ROLE2在XSB表上擁有SELECT權(quán)限，用戶li是ROLE2的成員，li使用WITH GRANT OPTION子句將SELECT權(quán)限轉(zhuǎn)移給了用

29、戶huang，用戶huang不是ROLE2的成員?，F(xiàn)要以用戶li的身份撤銷用戶huang的SELECT權(quán)限。 以用戶“l(fā)i”的身份登錄SQL Server服務(wù)器，新建一個查詢，使用如下語句撤銷huang的SELECT權(quán)限： USE PXSCJ GO REVOKE SELECT ON XSB TO huang AS ROLE2,9.5 數(shù)據(jù)庫架構(gòu)定義和使用,9.5.1 使用界面方式創(chuàng)建架構(gòu) 第1步：以系統(tǒng)管理員身份登錄SQL Server，在對象資源管理器中展開“數(shù)據(jù)庫PXSCJ安全性”，選擇“架構(gòu)”，右擊鼠標，在彈出的快捷菜單中選擇“新建架構(gòu)”菜單項。 第2步：在打開的“架構(gòu)-新建”窗口中選擇

30、“常規(guī)”選項卡，在窗口右邊“架構(gòu)名稱”下面的文本框中輸入架構(gòu)名稱（如test）。單擊“搜索”按鈕，在打開的“搜索角色和用戶”對話框中單擊“瀏覽”按鈕。如圖9.15所示,9.5.1 使用界面方式創(chuàng)建架構(gòu),9.5.1 使用界面方式創(chuàng)建架構(gòu),第3步：架構(gòu)創(chuàng)建完后可以新建一個測試表來測試如何訪問架構(gòu)中的對象。在PXSCJ數(shù)據(jù)庫中新建一個名為table_1的表，表的結(jié)構(gòu)如圖9.16所示,9.5.1 使用界面方式創(chuàng)建架構(gòu),在創(chuàng)建表時，表的默認架構(gòu)為dbo，要將其架構(gòu)修改為test。在進行表結(jié)構(gòu)設(shè)計時，表設(shè)計窗口右邊有一個表table_1的屬性窗口，在創(chuàng)建表時，應在表的屬性窗口中將該表的架構(gòu)設(shè)置成test，如圖9.17所示。如果沒有找到屬性