《SQLServer數(shù)據(jù)庫應(yīng)用基礎(chǔ)教程》第十二章安全管理

第十二章安全管理

112.1SQLServer的系統(tǒng)安全機制

以信息資源及其用戶為主要管理對象數(shù)據(jù)庫的安全應(yīng)用程序的安全指定某數(shù)據(jù)庫或其中的某個對象只能由某些特征的應(yīng)用程序訪問安全性2權(quán)限管理連接權(quán)訪問權(quán)確定是否允許訪問SQL

Server服務(wù)器確定否可以在數(shù)據(jù)庫上執(zhí)行操作3當(dāng)對某個數(shù)據(jù)庫的對象執(zhí)行操作時，SQLServer的安全系統(tǒng)將根據(jù)該賬號的權(quán)限決定是否允許用戶執(zhí)行它所請求的操作各用戶都有一個賬號登錄時系統(tǒng)要確認該用戶是否合法412.1.1與Winxp集成的登錄驗證模式

SQL

Server支持兩種登錄驗證模式：SQLServer驗證和Winxp

驗證使用Winxp驗證時，被授權(quán)連接

SQLServer的Winxp賬號或組在連接SQLServer時不需提供登錄賬號和口令，

SQLServer認為Winxp已對該用戶作了身份驗證5一般情況下，推薦使用Winxp驗證模式，這樣可以把

Win2xp的一個組映射成SQLServer中的一個用戶，同時Winxp用戶在登錄時

SQLServer不需再次驗證口令實現(xiàn)高效管理加快登錄速度

612.1.2基于角色的安全性

當(dāng)幾個用戶共同完成一個公共活動時，管理員可以將他們集中到一個稱為“角色”的單元中。并給該角色分配一次權(quán)限即可，這樣也可以實現(xiàn)安全性管理，而且從某種意義上來說更加方便

712.2管理服務(wù)器的安全性

12.2.1服務(wù)器登錄賬號

當(dāng)前服務(wù)器所有的登錄賬號

8賬號類別NTUser:對應(yīng)WinNT/2k用戶NTGroup:WinNT/2k組賬號

Standard:SQLServer賬號912.2.2設(shè)置安全驗證模式

1012.2.3管理服務(wù)器賬號1.添加Windowsxp

賬號

“安全性”->“登錄”->“新建登錄名”->

操作方法11使用系統(tǒng)存儲過程sp_addlogin創(chuàng)建賬號，如：sp_addlogin'hello','password','master','SimplifiedChinese'創(chuàng)建一個賬號為hello、密碼為password、默認數(shù)據(jù)庫為master、默認語言為Simplified

Chinese的賬號

123.

修改登錄賬號的屬性

134.

拒絕登錄賬號

145.

刪除登錄賬號

也可使用sp_revokelogin系統(tǒng)存儲過程

通過“圖形化界面”操作，只要用鼠標(biāo)右鍵單擊要刪除的賬號，在彈出的快捷菜單中選擇“刪除”命令即可

1512.2.4服務(wù)器角色

服務(wù)器角色是一些系統(tǒng)定義好操作權(quán)限的用戶組，其中的成員是登錄賬號。服務(wù)器角色不能增加或刪除，只能對其中的成員進行修改

16一個登錄賬號可以不屬于任何角色，也可以同時屬于多個角色

17固定服務(wù)器角色固定數(shù)據(jù)庫角色18有幾個系統(tǒng)存儲過程與服務(wù)角色的管理有關(guān):sp_dropsrvrolemember將一個賬號從服務(wù)器角色中刪除sp_helpsrvrole返回服務(wù)器角色的列表19sp_helpsrvrolemember：返回指定的服務(wù)器角色的信息，包括角色名、成員以及每個成員的WindowsNT安全標(biāo)志(SID)sp_srvrolepermission：返回應(yīng)用于一個服務(wù)器角色的權(quán)限2012.2.5管理數(shù)據(jù)庫的用戶

前面所介紹的都是服務(wù)器賬號的管理，若一個用戶登錄到SQLServer服務(wù)器，還不能對數(shù)據(jù)庫進行操作，因為sa還沒有為他在數(shù)據(jù)庫中建立一個用戶名21每一臺服務(wù)器除了有一套服務(wù)器登錄賬號列表，每個數(shù)據(jù)庫中都有一套相互獨立的數(shù)據(jù)庫用戶列表。數(shù)據(jù)庫用戶與服務(wù)器登錄賬號之間存在著一種映射關(guān)系可將服務(wù)器登錄賬號映射到用戶需要訪問的每個數(shù)據(jù)庫中的一個用戶賬號或角色上22一個登錄賬號在不同的數(shù)據(jù)庫中可以映射成不同的用戶，從而可以具有不同的權(quán)限23每個數(shù)據(jù)庫中都有兩個默認的用戶：dbo和guest

guest用戶若使用不當(dāng)有可能成為安全的隱患241.

添加數(shù)據(jù)庫用戶

252.

修改數(shù)據(jù)庫用戶

為了更高效地管理數(shù)據(jù)庫用戶的權(quán)限，數(shù)據(jù)庫中也設(shè)計了角色的概念。與服務(wù)器角色不同的是，在數(shù)據(jù)庫中，除了有固定角色外，還可以自定義角色26固定數(shù)據(jù)庫角色是在每個數(shù)據(jù)庫中都存在的預(yù)定義組管理員可以將一個用戶加入一個或多個數(shù)據(jù)庫角色中不能被添加、修改或刪除有權(quán)限執(zhí)行一些特殊的數(shù)據(jù)庫級管理活動27創(chuàng)建用戶自定義數(shù)據(jù)庫角色的方法比較簡單，如用戶已經(jīng)創(chuàng)建了數(shù)據(jù)庫my_database，然后創(chuàng)建數(shù)據(jù)庫角色如to_my_database，只要在該數(shù)據(jù)庫下面的“角色”中單擊鼠標(biāo)右鍵，在彈出的對話框中填入to_my_database就可以了

283.

刪除用戶自定義角色

可在圖形化界面中刪除也可以通過T-SQL語句刪除，使用系統(tǒng)存儲過程sp_droprole

2912.3管理權(quán)限

權(quán)限用來控制用戶如何訪問數(shù)據(jù)庫對象。一個用戶可以同時屬于具有不同權(quán)限的多個角色，這些不同的權(quán)限提供了對同一數(shù)據(jù)庫對象的不同的訪問級別3012.3.1SQL

Server

2005的權(quán)限

SQLServer2005中的權(quán)限分為三種：對象權(quán)限語句權(quán)限隱含權(quán)限

31

對象權(quán)限是指用戶對數(shù)據(jù)庫中的表、存儲過程、視圖等對象的操作權(quán)限。具體包括：·對表和視圖,是否可執(zhí)行SELECT、INSERT、UPDATE、DELETE·對表和視圖的列，是否可執(zhí)行SELECT、UPDATE·對存儲過程，是否可執(zhí)行EXEC32語句權(quán)限是指是否可以執(zhí)行一些數(shù)據(jù)定義語句

隱含權(quán)限是指系統(tǒng)預(yù)定義的服務(wù)器角色或dbo和數(shù)據(jù)庫對象擁有者所擁有的權(quán)限3312.3.2權(quán)限設(shè)置

一個用戶或角色的權(quán)限可以有以下三種存在形式：授權(quán)(Granted)拒絕(Denied)取消(Revoked)

關(guān)于權(quán)限的信息存在在sysprotects系統(tǒng)表中

3412.3.3權(quán)限和系統(tǒng)表

數(shù)據(jù)庫用戶的權(quán)限信息都記錄在sysprotects系統(tǒng)表中usemy_databasegoselect*fromsysprotects35教材中的11-2詳細列出了sysprotects系統(tǒng)表信息，請仔細閱讀3612.4應(yīng)用程序的安全性有時，要求對數(shù)據(jù)庫的某些操作不允許用戶用任何工具來進行操作，而只能用特定的應(yīng)用程序來處理

37有些復(fù)雜的數(shù)據(jù)庫，表間的數(shù)據(jù)關(guān)系可能很難直接用外鍵、規(guī)則等功能來維護，為保證數(shù)據(jù)完整性和一致性，應(yīng)使用應(yīng)用程序進行操作，以避免用戶對數(shù)據(jù)庫的錯誤操作

38應(yīng)用程序角色的特點：它的角色不包含成員用戶不能加入應(yīng)用程序角色角色的權(quán)限在角色被激活時生效角色在激活時需要口令在激活角色以后，當(dāng)前用戶的使用權(quán)限從標(biāo)準(zhǔn)的用戶權(quán)限控制轉(zhuǎn)到應(yīng)用程序角色的權(quán)限控制39修改應(yīng)用程序角色的口令

使用系統(tǒng)存儲過程sp_approlepassword修改應(yīng)用程序角色的口令40sp_approlepassword

‘password’‘my_password’例如，下面的語句將password