SQL2008安全及權(quán)限

1、第第1章章 安全與權(quán)限安全與權(quán)限第第1章章 安全與權(quán)限安全與權(quán)限 1.1 安全與權(quán)限的基礎(chǔ)知識安全與權(quán)限的基礎(chǔ)知識1.1.1 SQL server 2008安全機制的總體策略遠程網(wǎng)絡(luò)主機通過Internet訪問SQL server 2008服務(wù)器所在的網(wǎng)絡(luò)，這由網(wǎng)絡(luò)環(huán)境提供某種保護機制。(2) 網(wǎng)絡(luò)中的主機訪問SQL server 2008服務(wù)器，這首先要求對SQL Server進行正確配置，其內(nèi)容將要在下一節(jié)中介紹；其次是要求擁有對SQL server 2008實例的訪問權(quán) 登錄名。(3) 訪問SQL server 2008數(shù)據(jù)庫，這要求擁有對SQL server 2008數(shù)據(jù)庫的訪問權(quán)數(shù)據(jù)

2、庫用戶。(4) 訪問SQL server 2008數(shù)據(jù)庫中的表和列，這要求擁有對表和列的訪問權(quán) 權(quán)限。安全對象Server 角色SQL Server 登錄Windows 組域用戶賬戶本地用戶賬戶用戶數(shù)據(jù)庫角色應(yīng)用程序角色組SQL Server數(shù)據(jù)庫數(shù)據(jù)庫Windows文件密鑰服務(wù)器架構(gòu)數(shù)據(jù)庫安全對象權(quán)限主體主體1.1.2 安全對象安全對象SQL Server2008的安全機制的安全機制nSQL Server2008的安全機制可以分為四個級的安全機制可以分為四個級別：別：q操作系統(tǒng)的安全性操作系統(tǒng)的安全性qSQL Server2008的登錄安全性的登錄安全性q數(shù)據(jù)庫的使用安全性數(shù)據(jù)庫的使用安全性

3、q數(shù)據(jù)庫對象的使用安全性數(shù)據(jù)庫對象的使用安全性SQL Server 2008 權(quán)限Server 角色SQL Server 登錄Windows 組域用戶賬戶本地用戶賬戶用戶數(shù)據(jù)庫角色應(yīng)用程序角色組SQL Server數(shù)據(jù)庫數(shù)據(jù)庫Windows文件密鑰CREATEALTERDROPCONTROLCONNECTSELECTEXECUTEUPDATEDELETEINSERTTAKE OWNERSHIPVIEW DEFINITIONBACKUP授予授予/撤銷撤銷/拒絕拒絕ACL服務(wù)器架構(gòu)數(shù)據(jù)庫安全對象權(quán)限主體主體1.1.3 SQL Server 2008 權(quán)限權(quán)限nWindows 身份驗證模式 q用戶由

4、 Windows 授權(quán)，適用于當數(shù)據(jù)庫僅在組織內(nèi)部訪問時。 q通過登錄而被授予 SQL Server 的訪問權(quán) n混合身份驗證模式 q用戶通過一個受信任連接連接到 SQL Server 并使用 Windows 身份驗證來訪問 SQL Server q適用于當外界的用戶需要訪問數(shù)據(jù)庫時或當用戶不能使用WINDOWS域時。SQL Server 身份驗證模式1.2.1 SQL Server 2008的身份認證模式的身份認證模式 1Windows 身份驗證模式身份驗證模式 當使用Windows身份驗證連接到SQL Server時， Microsoft Windows將完全負責(zé)對客戶端進行身份驗證。在這

5、種情況下，將按其Windows用戶賬戶來識別客戶端。當用戶通過Windows用戶賬戶進行連接時，SQL Server使用Windows操作系統(tǒng)中的信息驗證賬戶名和密碼，這是SQL Server默認的身份驗證模式，比混合模式安全的多。 1.2.1 SQL Server 2008的身份認證模的身份認證模式式2混合身份驗證模式混合身份驗證模式n混合驗證模式允許以SQL Server身份驗證模式或者Windows身份驗證模式來進行驗證。n使用哪個模式取決于在最初的通信時使用的網(wǎng)絡(luò)庫。n如果一個用戶使用TCP/IP Sockets進行登錄驗證，則使用SQL Server身份驗證模式；如果用戶使用命名管道

6、，則登錄時將使用Windows驗證模式。n這種模式能更好地適應(yīng)用戶的各種環(huán)境。 1. 設(shè)置身份驗證模式 通過圖形化界面設(shè)置身份驗證模式通過圖形化界面設(shè)置身份驗證模式 第步第步 ：打開：打開SQL Server Management studio,SQL Server Management studio,使用使用WINDOWSWINDOWS或或SQL SERVERSQL SERVER身份驗證建立連接。身份驗證建立連接。 第第2 2步步：對象資源管理器：對象資源管理器- -服務(wù)器右擊服務(wù)器右擊- -屬性屬性- -服服務(wù)器屬性務(wù)器屬性 第第3 3步步： 選擇安全性選擇安全性- -在此設(shè)置身份驗證模式

7、在此設(shè)置身份驗證模式1.3 數(shù)據(jù)庫賬戶 在SQL Server中，賬號有兩種：一種是登錄服務(wù)器的登錄賬號，另外一種就是使用數(shù)據(jù)庫的用戶賬號。登錄賬號只是讓用戶登錄到SQL Server中，登錄名本身并不能讓用戶訪問服務(wù)器中的數(shù)據(jù)庫。 要訪問特定的數(shù)據(jù)庫，還必須具有用戶名。用戶名在特定的數(shù)據(jù)庫內(nèi)創(chuàng)建，并關(guān)聯(lián)一個登錄名（當一個用戶創(chuàng)建時，必須關(guān)聯(lián)一個登錄名）。通過授權(quán)給用戶來指定用戶可以訪問的數(shù)據(jù)庫對象的權(quán)限。 1.3.1 服務(wù)器的登錄賬號 創(chuàng)建登錄賬號時需要指出該賬號使用的是Windows身份驗證還是使用的SQL Server身份驗證。 1使用使用Windows身份驗證的登錄身份驗證的登錄2使用

8、使用SQL Server身份驗證的登錄身份驗證的登錄1.3.2 數(shù)據(jù)庫用戶賬戶 一般情況下，用戶登錄SQL Server實例后，還不具備訪問數(shù)據(jù)庫的條件。在用戶可以訪問數(shù)據(jù)庫之前，管理員必須為該用戶在數(shù)據(jù)庫中建立一個數(shù)據(jù)庫賬號作為訪問該數(shù)據(jù)庫的ID。這個過程就是將SQL Server登錄賬號映射到需要訪問的每個數(shù)據(jù)庫中，這樣才能夠訪問數(shù)據(jù)庫。如果數(shù)據(jù)庫中沒有用戶賬戶，則即使用戶能夠連接到SQL Server實例也無法訪問到該數(shù)據(jù)庫。 1默認的數(shù)據(jù)庫用戶默認的數(shù)據(jù)庫用戶2添加數(shù)據(jù)庫用戶添加數(shù)據(jù)庫用戶3刪除數(shù)據(jù)庫用戶刪除數(shù)據(jù)庫用戶創(chuàng)建數(shù)據(jù)庫用戶的方法n創(chuàng)建數(shù)據(jù)庫用戶可分為兩個過程：創(chuàng)建數(shù)據(jù)庫用戶可

9、分為兩個過程：q首先創(chuàng)建數(shù)據(jù)庫用戶使用的首先創(chuàng)建數(shù)據(jù)庫用戶使用的SQL Server2008登登錄名，如果使用內(nèi)置的登錄名則可省略這一步。錄名，如果使用內(nèi)置的登錄名則可省略這一步。q其次為數(shù)據(jù)庫創(chuàng)建用戶，指定到創(chuàng)建的登錄名。其次為數(shù)據(jù)庫創(chuàng)建用戶，指定到創(chuàng)建的登錄名。n用用 SQL Server Management Studio 或或 CREATE USER 語句創(chuàng)建用戶語句創(chuàng)建用戶1.3.1 管理用戶的方法管理用戶的方法n下面通過SQL Server Management studio工具來創(chuàng)建數(shù)據(jù)庫用戶帳戶，然后給用戶授予訪問【教務(wù)管理系統(tǒng)】數(shù)據(jù)庫的權(quán)限。1、展開【服務(wù)器】|【數(shù)據(jù)庫】|【

10、教務(wù)管理系統(tǒng)】節(jié)點。2、再展開【安全性】|【用戶】節(jié)點并右擊，選擇【新建用戶】，打開【數(shù)據(jù)庫用戶-新建】3、在【用戶名】文本框中輸入dur_suna來指定要創(chuàng)建的數(shù)據(jù)庫用戶名稱4、單擊【登錄名】文本框旁邊的【選項】，打開【選擇登錄名】窗口，然后單擊【瀏覽】按鈕，彈出【查找對象】對話框。5、啟用suna旁邊的復(fù)選框，單擊確定按鈕，返回【選擇登錄名】窗口，單擊確定，返回【數(shù)據(jù)庫用戶-新建】窗口6、用同樣的方式，選擇【默認架構(gòu)】為dbo7、單擊確定按鈕8、為了驗證是否創(chuàng)建成功，可以展開用戶節(jié)點1.4 固定服務(wù)器角色 服務(wù)器角色獨立于各個數(shù)據(jù)庫。如果我們在SQL Server中創(chuàng)建一個登錄賬號后，要賦

11、予該登錄者具有管理服務(wù)器的權(quán)限，此時可設(shè)置該登錄賬號為服務(wù)器角色的成員。SQL Server提供了以下固定服務(wù)器角色： 內(nèi)置服務(wù)器角色1.4.2 服務(wù)器角色管理服務(wù)器角色管理 通過圖形化界面實現(xiàn)服務(wù)器角色管理通過圖形化界面實現(xiàn)服務(wù)器角色管理 第第1步步 以系統(tǒng)管理員身份登錄到SQL Server服務(wù)器，在登錄圖標對應(yīng)的列表項中，選擇登錄賬號“zhou”的項目雙擊； 第第2步步 選擇“服務(wù)器角色” 選項卡，如圖8.9所示，選項卡中列出了SQL Server所有的固定服務(wù)器角色，將“System administrators”服務(wù)器角色前的復(fù)選框選中。圖圖8.9 SQL Server服務(wù)器角色設(shè)置

12、窗口服務(wù)器角色設(shè)置窗口1.4.2 服務(wù)器角色管理服務(wù)器角色管理 2. 利用系統(tǒng)存儲過程實現(xiàn)服務(wù)器角色管理利用系統(tǒng)存儲過程實現(xiàn)服務(wù)器角色管理 利用系統(tǒng)存儲過程sp_addsrvrolemember可將一登錄賬號添加到某一固定服務(wù)器角色中，使其成為固定服務(wù)器角色的成員。語法格式語法格式： sp_addsrvrolemember login，role 參數(shù)含義： login：添加到固定服務(wù)器角色role的登錄賬號名， 【例例8.6】 將 Windows NT 用戶 dreamzhouym 添加到 sysadmin 固定服務(wù)器角色中。EXEC sp_addsrvrolemember dreamzhou

13、ym , sysadmin 1.4.2 服務(wù)器角色管理服務(wù)器角色管理利用sp_dropsrvrolemember系統(tǒng)存儲過程可從固定服務(wù)器角色中刪除SQL Server 登錄賬號或Windows NT用戶或組?！纠?.7】從 sysadmin 固定服務(wù)器角色中刪除登錄 zhou。 EXEC sp_dropsrvrolemember zhou, sysadmin 利用sp_srvrolepermission系統(tǒng)存儲過程可以瀏覽固定服務(wù)器角色的權(quán)限。1.5 數(shù)據(jù)庫角色固定數(shù)據(jù)庫角色固定數(shù)據(jù)庫角色 授予了管理公共數(shù)據(jù)庫任務(wù)的權(quán)限 用戶定義的數(shù)據(jù)庫角色用戶定義的數(shù)據(jù)庫角色相同數(shù)據(jù)庫權(quán)限的多個用戶 應(yīng)

14、用程序角色應(yīng)用程序角色包含數(shù)據(jù)庫中所有用戶5.3.3 數(shù)據(jù)庫角色數(shù)據(jù)庫角色1.5.1 固定的數(shù)據(jù)庫角色固定的數(shù)據(jù)庫角色 1通過管理器工具瀏覽固定的數(shù)據(jù)庫角色通過管理器工具瀏覽固定的數(shù)據(jù)庫角色 第步第步 打開對象資源管理器，選擇任意一個數(shù)據(jù)庫名。打開對象資源管理器，選擇任意一個數(shù)據(jù)庫名。 第第2 2步步 展開數(shù)據(jù)庫的節(jié)點，選擇展開數(shù)據(jù)庫的節(jié)點，選擇【安全性安全性】 第第3 3步步 在在【安全性安全性】下選擇下選擇【角色角色】，展開節(jié)點，然后選擇，展開節(jié)點，然后選擇【數(shù)數(shù)據(jù)庫角色據(jù)庫角色】，就可以看到系統(tǒng)默認的固定數(shù)據(jù)庫角色了，就可以看到系統(tǒng)默認的固定數(shù)據(jù)庫角色了 2.使用系統(tǒng)存儲過程瀏覽固定的數(shù)

15、據(jù)庫角色瀏覽固定的數(shù)據(jù)庫角色 EXEC SP_HELPdbfixedrole go1.5.1 固定的數(shù)據(jù)庫角色固定的數(shù)據(jù)庫角色n1. 固定數(shù)據(jù)庫角色固定數(shù)據(jù)庫角色n 固定數(shù)據(jù)庫角色定義在數(shù)據(jù)庫級別上，并且有權(quán)進行特定數(shù)據(jù)庫的管理及操作。SQL Server提供了以下固定數(shù)據(jù)庫角色：n （1）db_owner：數(shù)據(jù)庫所有者，可執(zhí)行數(shù)據(jù)庫的所有管理操作。n SQL Server 數(shù)據(jù)庫中的每個對象都有所有者，通常創(chuàng)建該對象的用戶即為其所有者。其他用戶只有在相應(yīng)所有者對其授權(quán)后，方可訪問該對象。n （2）db_accessadmin：數(shù)據(jù)庫訪問權(quán)限管理者，具有添加、刪除數(shù)據(jù)庫使用者、數(shù)據(jù)庫角色和組的

16、權(quán)限。n 1.5.1 固定的數(shù)據(jù)庫角色固定的數(shù)據(jù)庫角色n（3）db_securityadmin：數(shù)據(jù)庫安全管理員，可管理數(shù)據(jù)庫中的權(quán)限，如設(shè)置數(shù)據(jù)庫表的增、刪、修改和查詢等存取權(quán)限。n （4）db_ddladmin：數(shù)據(jù)庫DDL管理員，可增加、修改或刪除數(shù)據(jù)庫中的對象。n （5）db_backupoperator：數(shù)據(jù)庫備份操作員，具有執(zhí)行數(shù)據(jù)庫備份的權(quán)限。n （6）db_datareader：數(shù)據(jù)庫數(shù)據(jù)讀取者。n （7）db_datawriter：數(shù)據(jù)庫數(shù)據(jù)寫入者，具有對表進行增、刪修改的權(quán)限。n （8）db_denydatareader：數(shù)據(jù)庫拒絕數(shù)據(jù)讀取者，不能讀取數(shù)據(jù)庫中任何表的內(nèi)容n

17、9）db_denydatawriter：數(shù)據(jù)庫拒絕數(shù)據(jù)寫入者，不能對任何表進行增、刪修改操作。n （10）public：是一個特殊的數(shù)據(jù)庫角色，每個數(shù)據(jù)庫用戶都是public 角色的成員，因此，不能將用戶、組或角色指派為public角色的成員，也不能刪除public角色的成員。通常將一些公共的權(quán)限賦給public角色。5.5.2 用戶自定義數(shù)據(jù)庫角色用戶自定義數(shù)據(jù)庫角色n1通過通過SQL命令創(chuàng)建數(shù)據(jù)庫角色命令創(chuàng)建數(shù)據(jù)庫角色n 1）定義數(shù)據(jù)庫角色）定義數(shù)據(jù)庫角色n 語法格式語法格式：n 其中語法中的參數(shù)介紹如下：nrole_name 將要創(chuàng)建的角色的名稱nowner_name 該角色擁有者的名字

18、，默認為dbo。其中owner_name必須是當前數(shù)據(jù)庫里的用戶或角色1.5.2 用戶自定義數(shù)據(jù)庫角色用戶自定義數(shù)據(jù)庫角色2通過管理器創(chuàng)建數(shù)據(jù)庫角色通過管理器創(chuàng)建數(shù)據(jù)庫角色 第步：第步： 展開指定的數(shù)據(jù)庫節(jié)點。 第第2步步: 選擇【安全性】選項，展開【安全性】節(jié)點，選擇【角色】選項； 第第3步步: 展開【角色】選項下的節(jié)點，選擇【數(shù)據(jù)庫角色】選項，鼠標右鍵單擊，選擇【新建數(shù)據(jù)庫角色】； 第第4步步: 輸入數(shù)據(jù)庫角色的名字，也可以單擊【添加】按鈕添加數(shù)據(jù)庫成員。 第第5步步: 單擊【確定】按鈕1.5.3 應(yīng)用程序角色 應(yīng)用程序角色是用戶定義數(shù)據(jù)庫角色的一種形式，與固定數(shù)據(jù)庫角色不同。它規(guī)定了某個

19、應(yīng)用程序的安全性，用來控制通過某個應(yīng)用程序?qū)?shù)據(jù)的間接訪問。例如，管理員允許雇員使用雇員處理程序錄入新員工、離職員工和打印統(tǒng)計報表等。 1.6 數(shù)據(jù)庫權(quán)限 權(quán)限提供了一種方法來對特權(quán)進行分組，并控制實例、數(shù)據(jù)庫和數(shù)據(jù)庫對象的維護和實用程序的操作。用戶可以具有授予一組數(shù)據(jù)庫對象的全部特權(quán)的管理權(quán)限，也可以具有授予管理系統(tǒng)的全部特權(quán)但不允許存取數(shù)據(jù)的系統(tǒng)權(quán)限。1.6.1 權(quán)限概述權(quán)限概述n權(quán)限類型：q對象權(quán)限q語句權(quán)限q隱式權(quán)限 對于表和視圖，擁有者可以授予數(shù)據(jù)庫用戶INSERT、UPDATE、DELETE、SELECT和REFERENCES五種權(quán)限。1.6.2 管理權(quán)限 對于用戶或角色權(quán)限的操作

20、有以下3種狀態(tài)：授予、廢除和拒絕。用戶和角色的權(quán)限以記錄的形式存儲在各個數(shù)據(jù)庫的sysprotects系統(tǒng)表中。1授予權(quán)限授予權(quán)限 GRANT2撤銷權(quán)限撤銷權(quán)限 REVOKE3拒絕權(quán)限拒絕權(quán)限 DENY1.6.2 管理權(quán)限管理權(quán)限n1 授予權(quán)限授予權(quán)限n 利用GRANT語句可以給數(shù)據(jù)庫用戶或數(shù)據(jù)庫角色賦予執(zhí)行T-SQL語句的權(quán)限及對數(shù)據(jù)庫對象進行操作的權(quán)限。n 授予執(zhí)行T-SQL語句的權(quán)限。1.6.2 管理權(quán)限 語法格式語法格式： GRANT ALL | statement ,.n TO security_account ,.n 授予對數(shù)據(jù)庫對象操作的權(quán)限。 語法格式語法格式： GRANT A

21、LL PRIVILEGES | permission ,.n ( column ,.n ) ON table | view | ON table | view ( column ,.n ) | ON stored_procedure | extended_procedure | ON user_defined_function TO security_account ,.n WITH GRANT OPTION AS group | role 1.6.2 管理權(quán)限n例如：在下面的例子中使用GRANT語句，授予角色guest對“教務(wù)管理系統(tǒng)”數(shù)據(jù)庫中“學(xué)生信息”表的INSERT、UPDATE、DE

22、LETE權(quán)限n use 教務(wù)管理系統(tǒng)n gon grant select,update,deleten on 學(xué)生信息n to guestn go1.6.2 管理權(quán)限n2. 拒絕權(quán)限拒絕權(quán)限n 使用DENY命令可以拒絕給當前數(shù)據(jù)庫內(nèi)的用戶授予的權(quán)限，并防止數(shù)據(jù)庫用戶通過其組或角色成員資格繼承權(quán)限。n 拒絕語句權(quán)限。n 語法格式語法格式：n DENY ALL | statement ,.n TO security_account ,.n n 拒絕對象權(quán)限。n 語法格式語法格式：n DENY ALL PRIVILEGES | permission ,.n n n ( column ,.n ) ON

23、 table | view n | ON table | view ( column ,.n ) n | ON stored_procedure | extended_procedure n | ON user_defined_function n TO security_account ,.n n CASCADE 1.6.2 管理權(quán)限【例例8.18】 首先給 public 角色授予 對于表XS的SELECT 權(quán)限，然后，拒絕用戶 zhang, wang, Nanjingliu 的特定權(quán)限，這樣，這些用戶就沒有對XS表的操作權(quán)限了。 USE XSCJ GO GRANT SELECT ON XS

24、 TO public GO DENY SELECT, INSERT, UPDATE, DELETE ON XS TO zhang, wang, dreamzhou GO【例8.19】首先將在“教務(wù)管理系統(tǒng)”數(shù)據(jù)庫的“學(xué)生信息”表中執(zhí)行INSERT操作的權(quán)限授予PUBLIC角色，這樣所有的數(shù)據(jù)庫用戶都擁有了該項權(quán)限。然后，又拒絕了用戶guest擁有該項權(quán)限 use 教務(wù)管理系統(tǒng) GO GRANT INSERT ON 學(xué)生信息 TO PUBLIC GO DENY INSERT ON 學(xué)生信息 TO GUEST1.6.2 管理權(quán)限n3. 撤消權(quán)限撤消權(quán)限n 利用REVOKE命令可取消以前給當前數(shù)據(jù)庫用戶授予或拒絕的權(quán)限。n 取消以前授予或拒絕的語句權(quán)限。n 語法格式語法格式：n REVOKE ALL | statement ,.n FROM security_account ,.n n 取消以前授予或拒絕的對象權(quán)限。n 語法格式語法格式：n REVOKE GRANT OPTION FOR ALL PRIVILEGES | permission ,.n n ( column ,.n ) ON table | view n | ON table | view ( column ,.n ) n | ON stored_procedure