第8章管理SQLServer2005安全

1、1第第8章章 管理管理SQL Server 2005安全安全作為數(shù)據(jù)庫管理員，如何更好地管理數(shù)據(jù)庫系統(tǒng)的安全，保護(hù)數(shù)據(jù)不受內(nèi)部和外部侵害是一項(xiàng)非常重要的工作。SQL Server 2005為維護(hù)數(shù)據(jù)庫系統(tǒng)的安全性提供了完善的管理機(jī)制和簡單而豐富的操作手段，可以通過創(chuàng)建用戶登錄、配置登錄權(quán)限和分配角色完成目標(biāo)。使用分配的權(quán)限和角色既能確定用戶所擁有的操作，也能確定他們可以訪問的數(shù)據(jù)類型。2本章知識(shí)要點(diǎn)：本章知識(shí)要點(diǎn)： 了解SQL Server 2005的安全機(jī)制 掌握SQL Server 2005身份驗(yàn)證模式及配置方法 了解內(nèi)置登錄名和數(shù)據(jù)庫用戶 掌握創(chuàng)建登錄名和數(shù)據(jù)庫用戶的方式 了解角色在SQ

2、L Server 2005中的概念 熟悉常見的角色類型 掌握角色的使用 了解使用架構(gòu)和權(quán)限管理安全的方式38.1 SQL Server 2005安全安全 SQL Server 2005除繼承了SQL Server 2000可靠性、可用性、可編程性、易用性等方面的特點(diǎn)外，還在安全性方面做了很大改進(jìn)。通過本節(jié)讀者不僅可以對SQL Server 2005的安全機(jī)制有一定了解，還可以掌握SQL Server 2005提供的身份驗(yàn)證模式。8.1.1 SQL Server 2005安全簡介安全簡介 SQL Server 2005中廣泛使用安全主體和安全對象管理安全。一個(gè)請求服務(wù)器、數(shù)據(jù)庫或架構(gòu)資源的實(shí)體稱

3、為安全主體。每一個(gè)安全主體都有惟一的安全標(biāo)識(shí)符（Security Identifier，SID）。安全主體在3個(gè)級別上管理：Windows、SQL Server和數(shù)據(jù)庫。安全主體的級別決定了安全主體的影響范圍。48.1.2 SQL Server 2005安全機(jī)制安全機(jī)制 SQL Server 2005的安全性機(jī)制可以分為4個(gè)等級，包括：操作系統(tǒng)的安全性、SQL Server 2005的登錄安全性、數(shù)據(jù)庫的使用安全性及數(shù)據(jù)庫對象的使用安全性。其中的每個(gè)等級就好像一道門，如果門沒有上鎖，或者用戶擁有開門的鑰匙，則用戶可以通過這道門達(dá)到下一個(gè)安全等級。如果通過了所有的門，則用戶就可以實(shí)現(xiàn)對數(shù)據(jù)的訪問

4、了。58.1.3 SQL Server 2005驗(yàn)證模式驗(yàn)證模式 如果在服務(wù)器級別配置上述這些安全模式，它們會(huì)應(yīng)用到服務(wù)器上的所有數(shù)據(jù)庫。但是，還需要注意每一個(gè)數(shù)據(jù)庫服務(wù)器實(shí)例有獨(dú)立的安全體系結(jié)構(gòu)。這意味著不同的數(shù)據(jù)庫服務(wù)器實(shí)例可能有不同的安全模式。68.2 登錄名登錄名 用戶是配置SQL Server服務(wù)器安全中的最小單位，通過使用不同用戶的登錄名可以配置為不同的訪問級別。本節(jié)詳細(xì)介紹SQL Server 2005服務(wù)器內(nèi)置的系統(tǒng)登錄名，還將介紹如何配置登錄名。78.2.1 系統(tǒng)登錄名系統(tǒng)登錄名 像有兩種驗(yàn)證模式一樣，服務(wù)器登錄也有兩種情況?？梢允褂糜蛸~戶創(chuàng)建域登錄，域賬戶可以是域或本地用戶

5、賬戶、本地組賬戶或通用的和全局的域組賬戶。還可以通過指定惟一的登錄ID和密碼來創(chuàng)建SQL Server 2005登錄，默認(rèn)的登錄包括本地管理員組、本地管理員、sa、Network Service和SYSTEM。88.2.2 創(chuàng)建登錄名創(chuàng)建登錄名 在上節(jié)中列出了安裝SQL Server 2005完成后一些內(nèi)置的登錄名，由于他們都具有特殊的含義和作用，因此通常不應(yīng)該將他們分配給普通用戶使用，而是創(chuàng)建一些適用于用戶權(quán)限的登錄名。98.3 數(shù)據(jù)庫用戶數(shù)據(jù)庫用戶 數(shù)據(jù)庫用戶是數(shù)據(jù)庫級的主體，是登錄名在數(shù)據(jù)庫中的映射，是在數(shù)據(jù)庫中執(zhí)行操作和活動(dòng)的行動(dòng)者。在SQL Server 2005系統(tǒng)中，數(shù)據(jù)庫用戶不

6、能直接擁有表、視圖等數(shù)據(jù)庫對象，而是通過架構(gòu)擁有這些對象。10118.3.1 數(shù)據(jù)庫用戶數(shù)據(jù)庫用戶 使用數(shù)據(jù)庫用戶賬戶可限制訪問數(shù)據(jù)庫的范圍，默認(rèn)的數(shù)據(jù)庫用戶有：dbo用戶、guest用戶和sys用戶等。128.3.2 創(chuàng)建數(shù)據(jù)庫用戶創(chuàng)建數(shù)據(jù)庫用戶 創(chuàng)建數(shù)據(jù)庫用戶可分為兩個(gè)過程，首先創(chuàng)建數(shù)據(jù)庫用戶使用的SQL Server 2005登錄名，如果使用內(nèi)置的登錄名則可省略這一步。然后，再為數(shù)據(jù)庫創(chuàng)建用戶，指定到創(chuàng)建的登錄名。8.4 管理角色管理角色 在向SQL Server 2005中添加登錄名并設(shè)置用戶后，就可以將它們映射到用戶需要訪問的每個(gè)數(shù)據(jù)庫中的用戶賬戶或者角色中。角色是SQL Serve

7、r 2005用來集中管理數(shù)據(jù)庫或服務(wù)器的權(quán)限。數(shù)據(jù)庫管理員將操作數(shù)據(jù)庫的權(quán)限賦予角色。然后，數(shù)據(jù)庫管理員再將角色賦給數(shù)據(jù)庫用戶或登錄賬戶，從而使數(shù)據(jù)庫用戶或登錄賬戶擁有了相應(yīng)的權(quán)限。138.4.1 服務(wù)器角色服務(wù)器角色 服務(wù)器角色應(yīng)用于服務(wù)器級別，并且需要預(yù)定義他們。這意味著，這些權(quán)限影響整個(gè)服務(wù)器，并且不能更改權(quán)限集。在SQL Server 2005中的服務(wù)器角色具有授予服務(wù)器管理的能力。例如，sysadmin角色的成員在SQL Server上有最高級別的權(quán)限，并且能執(zhí)行任何類型的任務(wù)。14158.4.2 數(shù)據(jù)庫角色數(shù)據(jù)庫角色 數(shù)據(jù)庫角色分為內(nèi)置數(shù)據(jù)庫角色、應(yīng)用程序角色和用戶定義角色，本節(jié)將

8、介紹的內(nèi)置（系統(tǒng)固定）數(shù)據(jù)庫角色。SQL Server 2005在數(shù)據(jù)庫級設(shè)置了固定數(shù)據(jù)庫角色來提供最基本的數(shù)據(jù)庫權(quán)限的綜合管理。固定數(shù)據(jù)庫角色擁有已經(jīng)應(yīng)用的權(quán)限；也就是說，只需要將用戶加進(jìn)這些角色中，他們即可繼承全部相關(guān)的權(quán)限。168.4.3 應(yīng)用程序角色應(yīng)用程序角色 應(yīng)用程序角色是一個(gè)數(shù)據(jù)庫主體，它使應(yīng)用程序能夠用其自身的、類似用戶的特權(quán)來運(yùn)行。使用應(yīng)用程序角色，可以只允許通過特定應(yīng)用程序連接的用戶訪問特定數(shù)據(jù)。與數(shù)據(jù)庫角色不同的是，應(yīng)用程序角色默認(rèn)情況下不包含任何成員，而且是非活動(dòng)的。應(yīng)用程序角色使用兩種身份驗(yàn)證模式，但需要使用sp_setapprole來激活并且需要密碼。8.4.4 為

9、角色添加成員為角色添加成員 角色是指一組具有固定權(quán)限的描述，例如如果用戶創(chuàng)建了一個(gè)角色成員的登錄，用戶用這個(gè)登錄能執(zhí)行這個(gè)角色許可的任何任務(wù)。在前面對SQL Server 2005中服務(wù)器角色、數(shù)據(jù)庫角色和應(yīng)用程序角色進(jìn)行了介紹，本節(jié)將介紹如何向角色中添加成員，即將用戶指派到某一角色中，這里以服務(wù)器角色為例。178.5 使用架構(gòu)使用架構(gòu) 架構(gòu)是對象的容器，用于在數(shù)據(jù)庫內(nèi)定義對象的命名空間。它們用于簡化管理和創(chuàng)建可以共同管理的對象子集。架構(gòu)與用戶相互分離。用戶擁有架構(gòu)，并且當(dāng)服務(wù)器在查詢中解析非限定對象時(shí)，總是有一個(gè)默認(rèn)架構(gòu)供服務(wù)器使用。這意味著訪問默認(rèn)架構(gòu)中的對象時(shí)，不需要指定架構(gòu)名稱。188

10、.5.1 創(chuàng)建架構(gòu)創(chuàng)建架構(gòu) 在創(chuàng)建架構(gòu)之前，首先應(yīng)該考慮為架構(gòu)定義一個(gè)有意義的名稱。架構(gòu)名稱可以長達(dá)128個(gè)字符，而且必須以英文字母開頭，其中可以包括下劃線_、符號(hào)、#符號(hào)和數(shù)字。由于架構(gòu)存儲(chǔ)于數(shù)據(jù)庫中，因此要?jiǎng)?chuàng)建架構(gòu)的名稱在數(shù)據(jù)庫必須是惟一的，但是在不同的數(shù)據(jù)庫中可以由相同名稱的架構(gòu)。198.5.2 修改架構(gòu)修改架構(gòu) 創(chuàng)建架構(gòu)之后，有時(shí)候可能需要修改架構(gòu)的所有權(quán)或者權(quán)限。修改架構(gòu)所有者的一個(gè)主要原因是因?yàn)樗姓卟荒苁褂眉軜?gòu)作為默認(rèn)的架構(gòu)，也可能想允許或拒絕基于在每個(gè)用戶或每個(gè)角色上指定的權(quán)限。但是，在架構(gòu)創(chuàng)建之后，就不能修改架構(gòu)的名稱；必須刪除架構(gòu)，再并且使用新名稱創(chuàng)建一個(gè)新的架構(gòu)。208.

11、5.3 刪除架構(gòu)刪除架構(gòu) 如果不再需要一個(gè)架構(gòu)，可以刪除它，以此來從數(shù)據(jù)庫中移除它。要?jiǎng)h除一個(gè)架構(gòu)，必須在架構(gòu)上具有CONTROL的權(quán)限，而且在刪除之前必須首先移動(dòng)或刪除它所包含的所有對象。否則在嘗試刪除包含有其他對象的架構(gòu)時(shí)，刪除操作將會(huì)失敗。218.6 權(quán)限權(quán)限 SQL Server 2005使用權(quán)限作為訪問權(quán)限設(shè)置的最后一道安全設(shè)施。在SQL Server 2005數(shù)據(jù)庫里的每一個(gè)數(shù)據(jù)庫對象都由一個(gè)該數(shù)據(jù)庫的用戶所擁有，擁有者以數(shù)據(jù)庫賦予的ID作為標(biāo)識(shí)。228.6.1 權(quán)限類型權(quán)限類型 權(quán)限確定了用戶能在SQL Server 2005或數(shù)據(jù)庫中執(zhí)行的操作。根據(jù)登錄ID、組成員關(guān)系和角色成員關(guān)系授予相應(yīng)權(quán)限。在用戶執(zhí)行更改