《數(shù)據(jù)庫應用基礎（SQL Server 2016）》項目9 系統(tǒng)安全管理

項目9系統(tǒng)安全管理掌握設置身份驗證模式的方法掌握創(chuàng)建和管理用戶賬戶的方法掌握角色管理的方法掌握數(shù)據(jù)庫權限管理的方法掌握創(chuàng)建和使用架構的方法項目目標9.1.1理解身份驗證模式1.Windows身份驗證模式當用戶通過MicrosoftWindows用戶賬戶連接時，SQLServer使用Windows操作系統(tǒng)中的信息驗證賬戶名和密碼。Windows身份驗證使用Kerberos安全協(xié)議，通過強密碼的復雜性驗證提供密碼策略強制，提供賬戶鎖定支持，并且支持密碼過期。2.混合模式混合模式是指允許用戶使用Windows身份驗證或SQLServer身份驗證進行連接。通過Windows用戶賬戶連接的用戶可以使用Windows驗證的受信任連接。如果必須選擇混合模式身份驗證并要求使用SQLServer登錄以適應舊式應用程序，則必須為所有SQLServer賬戶設置強密碼。這對于屬于sysadmin角色的賬戶（特別是sa賬戶）尤其重要。提供SQLServer身份驗證只是為了向后兼容。建議盡可能使用Windows身份驗證。任務9.1設置身份驗證模式9.1.2設置服務器身份驗證模式1.使用SSMS設置身份驗證模式：在對象資源管理器中右鍵單擊SQLServer數(shù)據(jù)庫引擎實例，擇“屬性”。在“服務器屬性-<實例名>”對話框中選擇“安全性”頁，選擇下列模式之一：若要使用Windows身份驗證對所嘗試的連接進行驗證，則選擇“Windows身份驗證模式”選項。若要使用混合模式的身份驗證對所嘗試的連接進行驗證，則選擇“SQLServer和Windows身份驗證模式”選項。2.使用擴展存儲過程xp_instance_regwrite來設置服務器身份驗證模式：xp_instance_regwriteN'HKEY_LOCAL_MACHINE',N'SOFTWARE\Microsoft\MSSQLServer\MSSQLServer','LoginMode',N'REG_DWORD',mode;任務9.1設置身份驗證模式9.1.3SQLServer安全機制1.服務器級別在服務器級別上，安全對象主要包括登錄名和固定服務器角色等，其中登錄名用于連接和登錄數(shù)據(jù)庫服務器，固定服務器角色則用于對登錄名賦予所需的服務器權限。2.數(shù)據(jù)庫級別在數(shù)據(jù)庫級別上，安全對象主要包括用戶、角色、證書、對稱密鑰、非對稱密鑰、程序集、全文目錄、DDL事件以及架構等。3.架構級別在架構級別上，安全對象主要包括表、視圖、函數(shù)、存儲過程以及數(shù)據(jù)類型等。創(chuàng)建這些對象時可以設置架構。如果未設置，則默認架構為dbo。dbo架構是所有用戶的默認架構，除非指定了其他某個架構。dbo架構是無法刪除的。數(shù)據(jù)庫用戶只能對屬于其架構中的對象執(zhí)行操作，具體的操作權限則由數(shù)據(jù)庫角色決定。任務9.1設置身份驗證模式9.2.1創(chuàng)建登錄賬戶1.使用SSMS創(chuàng)建登錄賬戶在對象資源管理中依次展開數(shù)據(jù)庫引擎實例實例和“安全性”，右鍵單擊“登錄名”，選擇“新建登錄名”。在“登錄名-新建”對話框中，對相關選項進行設置。單擊“確定”按鈕。2.使用SQL語句創(chuàng)建登錄賬戶要基于Windows主體創(chuàng)建登錄賬戶：CREATELOGIN[域名\用戶名]FROMWINDOWSWITHDEFAULT_DATABASE=默認數(shù)據(jù)庫;創(chuàng)建保存在SQLServer數(shù)據(jù)庫中的登錄名：CREATELOGIN登錄名WITHPASSWORD='密碼'DEFAULT_DATABASE=默認數(shù)據(jù)庫;任務9.2登錄賬戶管理9.2.3刪除登錄賬戶使用SSMS刪除登錄賬戶：（1）在對象資源管理器中展開數(shù)據(jù)庫引擎實例，依次展開“安全性”和“登錄名”。（2）右鍵單擊要刪除的登錄賬戶，選擇“刪除”。（3）在“刪除對象”對話框中，單擊“確定”。使用DROPLOGIN語句刪除登錄名：DROPLOGIN登錄名任務9.2登錄賬戶管理9.3.1創(chuàng)建數(shù)據(jù)庫用戶使用SSMS創(chuàng)建數(shù)據(jù)庫用戶（1）在對象資源管理器中展開SQLServer數(shù)據(jù)庫引擎實例該實例，展開“數(shù)據(jù)庫”，展開要在其中創(chuàng)建用戶的數(shù)據(jù)庫。（2）展開“安全性”，右鍵單擊“用戶”，然后選擇“新建用戶”。（3）在“數(shù)據(jù)庫用戶-新建”對話框中，選擇用戶類型，填寫用戶名、登錄名和默認架構。（4）單擊“確定”按鈕。2.使用Transact-SQL語句創(chuàng)建數(shù)據(jù)庫用戶CREATEUSER用戶名[{FOR|FROM}{LOGIN登錄名}

｜WITHOUTLOGIN][WITHDEFAULT_SCHEMA=架構名]任務9.3數(shù)據(jù)庫用戶管理9.3.2刪除數(shù)據(jù)庫用戶使用SSMS刪除數(shù)據(jù)庫用戶：（1）在對象資源管理器中依次展開用戶所在的數(shù)據(jù)庫、“安全性”和“用戶”。（2）右鍵單擊要刪除的用戶，然后選擇“刪除”。（3）在“刪除對象”對話框中，單擊“確定”按鈕。使用DROPUSER語句可以從當前數(shù)據(jù)庫中刪除用戶：DROPUSER[IFEXISTS]用戶名任務9.3數(shù)據(jù)庫用戶管理9.4.1管理固定服務器角色1.固定服務器角色的權限任務9.4角色管理9.4.1管理固定服務器角色2.添加固定服務器角色成員使用SSMS添加固定服務器角色成員：（1）在對象資源管理器中，右鍵單擊登錄賬戶并選擇“屬性”。（2）在“登錄屬性”對話框中選擇“服務器角色”頁，在“服務器角色”列表中勾選相應的復選框。（3）單擊“確定”按鈕。使用ALTERSERVERROLE語句向固定服務器角色添加登錄賬戶：ALTERSERVERROLE服務器角色名ADDMEMBER服務器主體3.刪除固定服務器角色成員使用SSMS刪除固定服務器成員：（1）在對象資源管理器中展開數(shù)據(jù)庫引擎實例，展開“安全性”和“服務器角色”。（2）右鍵單擊要從中刪除成員的服務器角色，選擇“屬性”。（3）在“服務器角色屬性”對話框中單擊要刪除的成員，然后單擊“刪除”按鈕。使用ALTERSERVERROLE語句從固定服務器角色刪除成員：ALTERSERVERROLE服務器角色名DROPMEMBER服務器主體任務9.4角色管理9.4.2管理固定數(shù)據(jù)庫角色1.固定數(shù)據(jù)庫角色的權限任務9.4角色管理9.4.2管理固定數(shù)據(jù)庫角色2.添加固定數(shù)據(jù)庫角色成員使用SSMS添加固定數(shù)據(jù)庫角色：（1）在對象資源管理器中展開數(shù)據(jù)庫，展開“安全性”和“用戶”。（2）右鍵單擊數(shù)據(jù)庫用戶，然后選擇“屬性”命令。（3）在如圖9.8所示的“數(shù)據(jù)庫用戶”對話框中，選擇“成員身份”頁，然后在“角色成員”列表框中勾選一個或多個固定數(shù)據(jù)庫角色。（4）單擊“確定”按鈕。使用sp_addrolemember系統(tǒng)存儲過程添加固定數(shù)據(jù)庫角色成員：sp_addrolemember'角色名','安全賬戶'任務9.4角色管理9.4.3管理自定義數(shù)據(jù)庫角色1.使用SSMS創(chuàng)建數(shù)據(jù)庫角色（1）在對象資源管理器中展開要在其中創(chuàng)建數(shù)據(jù)庫角色的數(shù)據(jù)庫，依次展開“安全性”和“角色”。（2）右鍵單擊“數(shù)據(jù)庫角色”，然后選擇“新建數(shù)據(jù)庫角色”。（3）在“數(shù)據(jù)庫角色-新建”對話框的“常規(guī)”頁中，指定數(shù)據(jù)庫角色名稱和所有者。（4）單擊“添加”按鈕。（5）單擊“確定”按鈕。2.使用Transact-SQL語句創(chuàng)建數(shù)據(jù)庫角色CREATEROLE角色名稱[AUTHORIZATION所有者名稱]任務9.4角色管理9.4.3管理自定義數(shù)據(jù)庫角色1.使用SSMS創(chuàng)建數(shù)據(jù)庫角色（1）在對象資源管理器中展開要在其中創(chuàng)建數(shù)據(jù)庫角色的數(shù)據(jù)庫，依次展開“安全性”和“角色”。（2）右鍵單擊“數(shù)據(jù)庫角色”，然后選擇“新建數(shù)據(jù)庫角色”。（3）在“數(shù)據(jù)庫角色-新建”對話框的“常規(guī)”頁中，指定數(shù)據(jù)庫角色名稱和所有者。（4）單擊“添加”按鈕。（5）單擊“確定”按鈕。2.使用Transact-SQL語句創(chuàng)建數(shù)據(jù)庫角色CREATEROLE角色名稱[AUTHORIZATION所有者名稱]任務9.4角色管理3.刪除自定義數(shù)據(jù)庫角色使用SSMS刪除自定義數(shù)據(jù)庫角色：（1）在對象資源管理器中展開數(shù)據(jù)庫，展開“安全性”、“角色”和“數(shù)據(jù)庫角色”。（2）右鍵單擊要刪除的數(shù)據(jù)庫角色，然后選擇“刪除”。（3）在“刪除對象”對話框中，單擊“確定”按鈕。使用DROPROLE語句從數(shù)據(jù)庫中刪除角色：DROPROLE[IFEXISTS]角色名稱任務9.4角色管理9.5.1授予權限任務9.5數(shù)據(jù)庫權限管理9.5.1授予權限1.使用SSMS授予權限使用SSMS授予數(shù)據(jù)庫權限：（1）在對象資源管理器中右鍵單擊要設置權限的數(shù)據(jù)庫，選擇“屬性”。（2）在“數(shù)據(jù)庫屬性”對話框中，選擇“權限”頁，選擇要授予權限的用戶或角色，在權限列表中勾選相應的“授予”復選框。（3）單擊“確定”按鈕。使用SSMS授予數(shù)據(jù)庫對象權限：（1）在對象資源管理器中右鍵單擊要設置權限的數(shù)據(jù)庫對象，然后選擇“屬性”。（2）在數(shù)據(jù)庫對象屬性對話框中選擇“權限”頁，選擇要授予權限的用戶或角色，在權限列表中勾選相應“授予”復選框。（3）單擊“確定”按鈕。任務9.5數(shù)據(jù)庫權限管理9.5.1授予權限2.使用SQL語句授予權限使用GRANT語句將安全對象的權限授予主體：GRANT{ALL[PRIVILEGES]}|權限[(列[,...])][,...][ON安全對象]TO主體[,...][WITHGRANTOPTION][AS主體]其中ALL指定授予所有可用的權限。包含PRIVILEGES參數(shù)可以符合SQL-92標準。權限指定權限的名稱。列指定表、視圖或表值函數(shù)中將授予其權限的列的名稱。安全對象指定將授予其權限的安全對象。安全對象為數(shù)據(jù)庫時，無需使用ON子句。主體指定主體的名稱?？蔀槠涫谟璋踩珜ο髾嘞薜闹黧w隨安全對象而異。GRANTOPTION指示被授權者在獲得指定權限的同時還可以將指定權限授予其他主體。AS主體指定在當前數(shù)據(jù)庫中執(zhí)行GRANT語句的主體所屬的角色或組名。任務9.5數(shù)據(jù)庫權限管理9.5.2拒絕權限要拒絕給主體授予的權限并防止主體通過其組或角色成員身份繼承權限，可以使用SSMS圖形界面或Transact-SQL語句來實現(xiàn)。若要使用SSMS拒絕權限，可在數(shù)據(jù)庫或數(shù)據(jù)庫對象屬性對話框中選擇用戶或角色，勾選相應的“拒絕”復選框，然后單擊“確定”按鈕。在Transact-SQL中，可以使用DENY語句拒絕授予主體的權限，語法格式如下。DENY{ALL[PRIVILEGES]}|權限[(列[,...])][,...][ON安全對象]TO主體[,...][CASCADE][AS主體]其中CASCADE指示拒絕授予指定主體該權限，同時，對該主體授予了該權限的所有其他主體，也拒絕授予該權限。當主體具有帶GRANTOPTION的權限時，這是必選項。其他子句和參數(shù)與GRANT語句中的相同。如果使用DENY語句禁止用戶獲得某個權限，則將其添加到具有該權限的角色或組時，該用戶仍然不能使用這個權限。任務9.5數(shù)據(jù)庫權限管理9.5.3撤銷權限若要使用SSMS撤銷以前授予或拒絕的權限，可在數(shù)據(jù)庫或數(shù)據(jù)庫對象屬性對話框中選擇用戶或角色，勾選相應的“授予”或“拒絕”復選框，然后單擊“確定”按鈕。使用REVOKE語句可以撤銷以前授予或拒絕了的權限：REVOKE[GRANTOPTIONFOR]{[ALL[PRIVILEGES]]|權限[(列[,...])][,...]}[ON安全對象]{TO|FROM}主體[,...][CASCADE][AS主體]任務9.5數(shù)據(jù)庫權限管理9.6.1創(chuàng)建架構1.使用SSMS創(chuàng)建架構使用SSMS創(chuàng)建架構的操作方法如下。（1）在對象資源管理器中展開“數(shù)據(jù)庫”文件夾，展開要在其中創(chuàng)建架構的數(shù)據(jù)庫。（2）展開“安全性”文件夾，右鍵單擊“構架”，選擇“新建架構”。（3）在“架構-新建”對話框中選擇“常規(guī)”頁，在“架構名稱”框中輸入新架構的名稱；在“架構所有者”框中輸入要擁有該架構的數(shù)據(jù)庫用戶或角色的名稱，或者單擊“搜索”按鈕以選擇用戶或角色。（4）單擊“確定”按鈕。任務9.6架構管理9.6.1創(chuàng)建架構2.使用SQL語句創(chuàng)建架構CREATESCHEMA<架構名稱子句>[<架構元素>