SQL Server的安全性管理課件

SQLServer的安全性管理

11.1

SQLServer2000的身份驗(yàn)證模式

用戶(hù)想操作SQLServer中某一數(shù)據(jù)庫(kù)中的數(shù)據(jù)，必須滿(mǎn)足以下3個(gè)條件：首先，登錄SQLServer服務(wù)器時(shí)必須通過(guò)身份驗(yàn)證；其次，必須是該數(shù)據(jù)庫(kù)的用戶(hù)或者是某一數(shù)據(jù)庫(kù)角色的成員；最后，必須有執(zhí)行該操作的權(quán)限。從上面三個(gè)條件可以看出SQLServer數(shù)據(jù)庫(kù)的安全性檢查是通過(guò)登錄名、用戶(hù)、權(quán)限來(lái)完成的。

11.1.1Windows身份驗(yàn)證模式

當(dāng)用戶(hù)通過(guò)WindowsNT/2000用戶(hù)帳戶(hù)進(jìn)行連接時(shí)，SQLServer通過(guò)回叫WindowsNT/2000以獲得信息，重新驗(yàn)證帳戶(hù)名和密碼，并在syslogins表中查找該帳戶(hù)，以確定該帳戶(hù)是否有權(quán)限登錄。在這種方式下，用戶(hù)不必提供密碼或登錄名讓SQLserver驗(yàn)證。

11.1.2混合驗(yàn)證模式

混合模式使用戶(hù)能夠通過(guò)Windows身份驗(yàn)證或SQLServer身份驗(yàn)證與SQLServer實(shí)例連接。

在SQLServer驗(yàn)證模式下，SQLServer在syslogins表中檢測(cè)輸入的登錄名和密碼。如果在syslogins表中存在該登錄名，并且密碼也是匹配的，那么該登錄名可以登錄到SQLServer。否則，登錄失敗。在這種方式下，用戶(hù)必須提供登錄名和密碼,讓SQLserver驗(yàn)證。

11.1.3設(shè)置驗(yàn)證模式可以使用SQLServer企業(yè)管理器來(lái)設(shè)置或改變驗(yàn)證模式。（1）打開(kāi)企業(yè)管理器，展開(kāi)服務(wù)器組，右擊需要修改驗(yàn)證模式的服務(wù)器，再單擊"屬性"選項(xiàng)，出現(xiàn)SQLServer屬性對(duì)話(huà)框。如圖11-1所示。

圖11-1

SQLServer屬性對(duì)話(huà)框

（2）在SQLServer屬性對(duì)話(huà)框單擊“安全性”選項(xiàng)卡，如圖11-2所示。

圖11-2安全性選項(xiàng)卡

（3）如果要使用Windows身份驗(yàn)證，選擇“僅Windows”,如圖11-2所示；如果想使用混合認(rèn)證模式，選擇“SQLServer和Windows”。（4）在“審核級(jí)別”中選擇在SQLServer錯(cuò)誤日志中記錄的用戶(hù)訪(fǎng)問(wèn)SQLServer的級(jí)別。如果選擇該選項(xiàng)，則必須停止并重新啟動(dòng)服務(wù)器審核才生效。SQLServer2000默認(rèn)的是“僅Windows”即Windows身份驗(yàn)證，身份驗(yàn)證模式的修改后需要重新啟動(dòng)SQLServer服務(wù)才能生效。11.2登錄管理

11.2.1系統(tǒng)安裝時(shí)創(chuàng)建的登錄賬戶(hù)

SQLServer2000安裝好之后，系統(tǒng)會(huì)自動(dòng)產(chǎn)生兩個(gè)登錄賬戶(hù)。

本地管理員組（BUILT\Administrators）默認(rèn)屬于sysadmin角色中的成員，因此具有管理員權(quán)限。系統(tǒng)管理員(sa)

默認(rèn)情況下，它指派給固定服務(wù)器角色

sysadmin，并不能進(jìn)行更改。

11.2.2

添加Windows登錄

在WindowsNT/2000的用戶(hù)或組可以訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)之前，必須給其授予連接到

SQLServer

實(shí)例的權(quán)限。1．使用企業(yè)管理器添加Windows登錄賬戶(hù)

（1）打開(kāi)企業(yè)管理器，展開(kāi)服務(wù)器組，然后展開(kāi)服務(wù)器。（2）展開(kāi)“安全性”，右擊“登錄”，然后單擊“新建登錄”選項(xiàng)。（3）在“名稱(chēng)”框中，輸入要被授權(quán)訪(fǎng)問(wèn)SQLServer的WindowsNT/2000帳戶(hù)（以計(jì)算機(jī)名（域名）\用戶(hù)名（組名）的形式），如圖11-4所示。

圖11-4添加Windows登錄對(duì)話(huà)框

（4）在“身份驗(yàn)證”下，單擊“Windows身份驗(yàn)證”。（5）在“數(shù)據(jù)庫(kù)”中，單擊用戶(hù)在登錄到SQLServer實(shí)例后所連接的默認(rèn)數(shù)據(jù)庫(kù)。在“語(yǔ)言”中，單擊顯示給用戶(hù)的信息所用的默認(rèn)語(yǔ)言。（6）單擊“確定”按鈕。

注意：授權(quán)一個(gè)Windows用戶(hù)或組訪(fǎng)問(wèn)SQLServer，必須以這個(gè)用戶(hù)登錄到Windows后才能驗(yàn)證這個(gè)用戶(hù)能否聯(lián)接到SQLServer。授權(quán)用戶(hù)或組訪(fǎng)問(wèn)SQLServer時(shí)，此Windows用戶(hù)和組必須事先存在。

2．使用系統(tǒng)存儲(chǔ)過(guò)程sp_grantlogin

添加Windows登錄。

sp_grantlogin’login’登錄名必須以“計(jì)算機(jī)名稱(chēng)（或域名）\用戶(hù)名（或組名）”的形式。例11-1下面的示例使Windows2000用戶(hù)HBSI\ZhangSan得以連接到SQLServer。EXECsp_grantlogin'HBSI\ZhangSan'11.2.3添加SQLServer登錄

如果用戶(hù)沒(méi)有Windows賬號(hào)，

SQLServer配置為在混合模式下運(yùn)行，或SQLServer實(shí)例正在

Windows98上運(yùn)行，則可以創(chuàng)建SQLServer登錄賬戶(hù)。

1．使用企業(yè)管理器添加SQLServer登錄賬戶(hù)

（1）打開(kāi)企業(yè)管理器，展開(kāi)服務(wù)器組，然后展開(kāi)服務(wù)器。（2）展開(kāi)“安全性”，右擊“登錄”，然后單擊“新建登錄”選項(xiàng)。（3）在“身份驗(yàn)證”下，選擇“SQLServer身份驗(yàn)證”。（4）在“名稱(chēng)”框中，輸入SQLServer登錄的名稱(chēng)，在“密碼”框中輸入密碼（可選）。如圖11-5。圖11-5添加SQLServer登錄對(duì)話(huà)框

2．用系統(tǒng)存儲(chǔ)過(guò)程sp_addlogin添加SQLServer登錄。sp_addlogin'login'[,'password'][,'database'][,['language']

例11-2下面的示例創(chuàng)建一個(gè)SQLServer登錄，登錄名為lisi并指定密碼abcd

。

sp_addlogin'lisi','abcd'11.3數(shù)據(jù)庫(kù)用戶(hù)管理

11.3.1默認(rèn)數(shù)據(jù)庫(kù)用戶(hù)

1．?dāng)?shù)據(jù)庫(kù)所有者

(DataBaseOwmer,dbo)

dbo

是數(shù)據(jù)庫(kù)的擁有者，擁有數(shù)據(jù)庫(kù)中的所有對(duì)象，每個(gè)數(shù)據(jù)庫(kù)都有dbo,sysadmin服務(wù)器角色的成員自動(dòng)映射成dbo,無(wú)法刪除

dbo用戶(hù)，且此用戶(hù)始終出現(xiàn)在每個(gè)數(shù)據(jù)庫(kù)中。

通常，登錄名sa映射為庫(kù)中的用戶(hù)dbo。另外，由固定服務(wù)器角色sysadmin的任何成員創(chuàng)建的任何對(duì)象都自動(dòng)屬于dbo。2．Guest用戶(hù)

Guest用戶(hù)帳戶(hù)允許沒(méi)有用戶(hù)帳戶(hù)的登錄訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)。當(dāng)?shù)卿浢麤](méi)有被映射到一個(gè)用戶(hù)名上時(shí)，如果在數(shù)據(jù)庫(kù)中存在Guest用戶(hù)，登錄名將自動(dòng)映射成Guest，并獲得對(duì)應(yīng)的數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)權(quán)限。Guest用戶(hù)可以和其他用戶(hù)一樣設(shè)置權(quán)限，以可以增加和刪除，但master和tempdb數(shù)據(jù)庫(kù)中的Guest不能被刪除。默認(rèn)情況下，新建的數(shù)據(jù)庫(kù)中沒(méi)有

Guest用戶(hù)帳戶(hù)。11.3.2創(chuàng)建數(shù)據(jù)庫(kù)用戶(hù)

1．使用企業(yè)管理器添加數(shù)據(jù)庫(kù)用戶(hù)

（1）打開(kāi)企業(yè)管理器，展開(kāi)服務(wù)器組，然后展開(kāi)服務(wù)器。（2）展開(kāi)“數(shù)據(jù)庫(kù)”文件夾，然后展開(kāi)將授權(quán)用戶(hù)或組訪(fǎng)問(wèn)的數(shù)據(jù)庫(kù)。（3）右擊“用戶(hù)”，然后單擊“新建數(shù)據(jù)庫(kù)用戶(hù)”命令。彈出“數(shù)據(jù)庫(kù)用戶(hù)屬性”對(duì)話(huà)框，如圖11-6所示。

圖11-6數(shù)據(jù)庫(kù)用戶(hù)屬性對(duì)話(huà)框（4）在“數(shù)據(jù)庫(kù)用戶(hù)屬性”對(duì)話(huà)框的“登錄名”框中鍵入或選擇將被授權(quán)訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)的Windows或SQLServer登錄名。在“用戶(hù)名”中，輸入在數(shù)據(jù)庫(kù)中識(shí)別登錄所用的用戶(hù)名。在默認(rèn)的情況下，它設(shè)置為登錄名。（5）單擊“確定”按鈕，完成數(shù)據(jù)庫(kù)用戶(hù)的創(chuàng)建。2．用系統(tǒng)存儲(chǔ)過(guò)程sp_grantdbaccess添加數(shù)據(jù)庫(kù)用戶(hù)。sp_grantdbaccess'login'

[,'name_in_db']11.4角色管理

角色是為了易于管理而按相似的工作屬性對(duì)用戶(hù)進(jìn)行分組的一種方式。SQLServer中組是通過(guò)角色來(lái)實(shí)現(xiàn)的。在SQLServer中角色分為服務(wù)器角色和數(shù)據(jù)庫(kù)角色兩種。服務(wù)器角色是服務(wù)器級(jí)的一個(gè)對(duì)象，只能包含登錄名。數(shù)據(jù)庫(kù)角色是數(shù)據(jù)庫(kù)級(jí)的一個(gè)對(duì)象，只能包含數(shù)據(jù)庫(kù)用戶(hù)名。11.4.1固定服務(wù)器角色

固定服務(wù)器角色描述Sysadmin

在SQLServer中執(zhí)行任何活動(dòng)。Serveradmin配置服務(wù)器范圍的設(shè)置。Setupadmin添加和刪除鏈接服務(wù)器，并執(zhí)行某些系統(tǒng)存儲(chǔ)過(guò)程（如sp_serveroption）。Securityadmin管理服務(wù)器登錄。Processadmin管理在SQLServer實(shí)例中運(yùn)行的進(jìn)程。Dbcreator創(chuàng)建和改變數(shù)據(jù)庫(kù)。Diskadmin

管理磁盤(pán)文件。bulkadmin

執(zhí)行

BULKINSERT（大容量插入）語(yǔ)句。1．使用企業(yè)管理器將登錄賬戶(hù)添加到固定服務(wù)器角色。

（1）打開(kāi)企業(yè)管理器，展開(kāi)服務(wù)器組，然后展開(kāi)服務(wù)（2）展開(kāi)“安全性”，然后單擊“服務(wù)器角色”。如圖11-7所示。圖11-7服務(wù)器角色對(duì)話(huà)框

（3）雙擊需要添加登錄賬戶(hù)的服務(wù)器角色，彈出“屬性”對(duì)話(huà)框，如圖11-8所示。

圖11-8服務(wù)器角色屬性對(duì)話(huà)框

（4）在“常規(guī)”選項(xiàng)卡中單擊“添加”按鈕,然后單擊要添加的登錄。（5）單擊“確定”按鈕，完成操作。2．使用存儲(chǔ)過(guò)程sp_addsrvrolemember

存儲(chǔ)過(guò)程sp_addsrvrolemember用來(lái)添加登錄，使其成為服務(wù)器角色的成員。sp_addsrvrolemember'login','role'11.4.2固定數(shù)據(jù)庫(kù)角色

固定數(shù)據(jù)庫(kù)角色描述db_owner

數(shù)據(jù)庫(kù)擁有者，可以執(zhí)行所有數(shù)據(jù)庫(kù)角色的活動(dòng)，以及數(shù)據(jù)庫(kù)中的其它維護(hù)和配置活動(dòng)。db_accessadmin在數(shù)據(jù)庫(kù)中添加或刪除WindowsNT4.0或Windows2000

組和用戶(hù)以及SQLServer用戶(hù)。db_datareader查看來(lái)自數(shù)據(jù)庫(kù)中所有用戶(hù)表的全部數(shù)據(jù)。db_datawriter添加、更改或刪除來(lái)自數(shù)據(jù)庫(kù)中所有用戶(hù)表的數(shù)據(jù)。db_ddladmin添加、修改或除去數(shù)據(jù)庫(kù)中的對(duì)象（運(yùn)行所有DDL）。db_securityadmin管理

SQLServer2000數(shù)據(jù)庫(kù)角色的角色和成員，并管理數(shù)據(jù)庫(kù)中的語(yǔ)句和對(duì)象權(quán)限。db_backupoperator有備份數(shù)據(jù)庫(kù)的權(quán)限。db_denydatareader不允許查看數(shù)據(jù)庫(kù)數(shù)據(jù)的權(quán)限。db_denydatawriter不允許更改數(shù)據(jù)庫(kù)數(shù)據(jù)的權(quán)限。Public

數(shù)據(jù)庫(kù)中用戶(hù)的所有默認(rèn)權(quán)限。1．使用企業(yè)管理器將用戶(hù)添加到固定數(shù)據(jù)庫(kù)角色。

（1）打開(kāi)企業(yè)管理器，展開(kāi)服務(wù)器組，然后展開(kāi)服務(wù)器。（2）展開(kāi)“數(shù)據(jù)庫(kù)”文件夾，然后展開(kāi)角色所在的數(shù)據(jù)庫(kù)。（3）單擊“角色”，如圖11-9所示。(4）雙擊需要添加用戶(hù)的數(shù)據(jù)庫(kù)角色，彈出“屬性”對(duì)話(huà)框，如圖11-10所示。（5）在“常規(guī)”選項(xiàng)卡中單擊“添加”按鈕，然后單擊要添加的用戶(hù)。（6）單擊“確定”按鈕，完成操作。圖11-9數(shù)據(jù)庫(kù)角色對(duì)話(huà)框

圖11-10數(shù)據(jù)庫(kù)角色屬性對(duì)話(huà)框2．使用存儲(chǔ)過(guò)程sp_addrolemember存儲(chǔ)過(guò)程sp_addrolemember用來(lái)添加用戶(hù)，使其成為數(shù)據(jù)庫(kù)角色的成員。sp_addrolemember'role',

'security_account'11.4.3自定義數(shù)據(jù)庫(kù)角色

當(dāng)一組用戶(hù)需要在SQLServer中執(zhí)行一組指定的活動(dòng)時(shí)，為了方便管理，可以創(chuàng)建數(shù)據(jù)庫(kù)角色。用戶(hù)自定義數(shù)據(jù)庫(kù)角色有兩種：標(biāo)準(zhǔn)角色和應(yīng)用程序角色。1．使用企業(yè)管理器創(chuàng)建用戶(hù)自定義數(shù)據(jù)庫(kù)角色。

（1）打開(kāi)企業(yè)管理器，展開(kāi)服務(wù)器組，然后展開(kāi)服務(wù)器。（2）展開(kāi)“數(shù)據(jù)庫(kù)”文件夾，然后展開(kāi)要在其中創(chuàng)建角色的數(shù)據(jù)庫(kù)。（3）右擊“角色”，單擊“新建數(shù)據(jù)庫(kù)角色”命令，彈出“數(shù)據(jù)庫(kù)角色屬性”對(duì)話(huà)框。

（4）在“名稱(chēng)”框中輸入新角色的名稱(chēng)，選擇“標(biāo)準(zhǔn)角色”。單擊“添加”按鈕將成員添加到“標(biāo)準(zhǔn)角色”列表中，然后單擊要添加的一個(gè)或多個(gè)用戶(hù)。（也可以選擇“應(yīng)用程序角色”，在“密碼”框中輸入密碼。注意：應(yīng)用程序角色不包含成員）。（5）單擊“確定”按鈕，完成操作。2．使用存儲(chǔ)過(guò)程創(chuàng)建角色

sp_addrole

創(chuàng)建標(biāo)準(zhǔn)角色；

sp_addapprole

創(chuàng)建應(yīng)用程序角色；

sp_setapprole

激活應(yīng)用程序角色。3．應(yīng)用程序角色當(dāng)要求對(duì)數(shù)據(jù)庫(kù)的某些操作不允許用戶(hù)用任何工具來(lái)進(jìn)行操作，而只能用特定的應(yīng)用程序來(lái)處理，這時(shí)就可以建立應(yīng)用程序角色。應(yīng)用程序角色不包含成員；默認(rèn)情況下，應(yīng)用程序角色是非活動(dòng)的，需要用密碼激活。在激活應(yīng)用程序角色以后，當(dāng)前用戶(hù)的原來(lái)的所有權(quán)限會(huì)自動(dòng)消失，而獲得了該應(yīng)用程序角色的權(quán)限。

11.5權(quán)限管理

11.5.1權(quán)限類(lèi)型

權(quán)限用來(lái)控制用戶(hù)如何訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)對(duì)象。一個(gè)用戶(hù)可以直接分配到權(quán)限，以可以作為一個(gè)角色的成員來(lái)間接的得到權(quán)限。一個(gè)用戶(hù)可以同時(shí)屬于具有不同權(quán)限的多個(gè)角色。權(quán)限分為：

對(duì)象權(quán)限、語(yǔ)句權(quán)限、暗示性權(quán)限。

1．對(duì)象權(quán)限對(duì)象權(quán)限是指用戶(hù)訪(fǎng)問(wèn)和操作數(shù)據(jù)庫(kù)中表、視圖、存儲(chǔ)過(guò)程等對(duì)象的權(quán)限。有五個(gè)不同的權(quán)限：查詢(xún)（select）插入（insert）更新（update）刪除（delete）執(zhí)行（execute）前四個(gè)權(quán)限用于表和視圖，執(zhí)行只用于存儲(chǔ)過(guò)程。2．語(yǔ)句權(quán)限

語(yǔ)句權(quán)限是指用戶(hù)創(chuàng)建數(shù)據(jù)庫(kù)或在數(shù)據(jù)庫(kù)中創(chuàng)建或修改對(duì)象、執(zhí)行數(shù)據(jù)庫(kù)或事務(wù)日志備份的權(quán)限。語(yǔ)句權(quán)限有：

BACKUPDATABASE

BACKUPLOG

CREATE

DATABASE

DEFAULT

CREATE

FUNCTION

CREATEPROCEDURE

CREATERULE

CREATETABLE

CREATEVIEW3．暗示性權(quán)限暗示性權(quán)限是指系統(tǒng)預(yù)定義角色的成員或數(shù)據(jù)庫(kù)對(duì)象所有者所擁有的權(quán)限。例如，sysadmin固定服務(wù)器角色成員自動(dòng)繼承在

SQLServer安裝中進(jìn)行操作或查看的全部權(quán)限。

數(shù)據(jù)庫(kù)對(duì)象所有者還有暗示性權(quán)限，可以對(duì)所擁有的對(duì)象執(zhí)行一切活動(dòng)。

11.5權(quán)限管理11.5.2權(quán)限管理操作

一個(gè)用戶(hù)或角色的權(quán)限可以有三種存在的形式：

授予（granted）

拒絕（denied）

廢除（revoked）

授予是賦予用戶(hù)某權(quán)限；拒絕是禁止用戶(hù)