当前位置:文档之家 › 第十一讲 SQL Server安全管理

第十一讲 SQL Server安全管理

  • 格式:ppt
  • 大小:289.00 KB
  • 文档页数:20

下载文档原格式

  / 20

合集下载

第十一章 SQL的安全管理

第十一章 SQL的安全管理
11.1 11.2 11.3 11.4 11.5 11.6 11.7
20112011-2-25
SQL Server的安全控制 Server的安全控制 管理SQL Server登录账户 管理SQL Server登录账户 管理数据库用户 管理权限 角色 架构 安全管理
主讲:王颂华 1
第11章 SQL的安全管理 11章 SQL的安全管理
主讲:王颂华
20112011-2-25
3
11.2 管理SQL Server登录账户 管理SQL Server登录账户
不管使用哪种认证方式,用户都必须拥有有效的 Windows 用户登录账号。SQL Server 2005至少有两 用户登录账号。SQL 2005至少有两 个默认的用户账号:sa和BUILTIN\Administrator。其 个默认的用户账号:sa和BUILTIN\Administrator。其 他的账号如“计算机名\ASPNET” 他的账号如“计算机名\ASPNET”等也可能存在多个。
11.3 管理数据库用户
用户和登录不同,登录仅允许访问SQL Server系统, 而用户是访问某个特定的数据库的主体。数据库用户可以 和已有的登录进行映射。用户是对数据库而言的,而登录 是针对SQL Server而言的。一个登录可以映射多个数据库 用户,而一个数据库用户只能与一个登录相映射。 一个用户登录SQL Server服务器后,还不能对数据库 进行操作,在其可以访问数据库之前,管理员必须在数据 库中为其建立一个用户名。
11.2.1 建立登录账号
1. 建立Windows认证模式的登录账号 建立Windows认证模式的登录账号 建立Windows认证模式的登录账号可以通过SQL 建立Windows认证模式的登录账号可以通过SQL Server管理平台建立也可以 通过SQL命令来建立。 Server管理平台建立也可以 通过SQL命令来建立。 通过SQL命令来建立的方法是在建立Windows 通过SQL命令来建立的方法是在建立Windows NT/ Windows Server 2003的用户或组后,使用系统存 2003的用户或组后,使用系统存 储过程sp_grantlogin可将一个Windows 储过程sp_grantlogin可将一个Windows NT/ Windows Server 2003的用户或组的登录账号添加到 4 2003的用户或组的登录账号添加到 20112011-2-25 主讲:王颂华 SQL Server 2005中,以便通过Windows身份验证连接 2005中,以便通过Windows身份验证连接 SQL Server 2005

管理安全性SQL_Serve讲义r_2008

管理安全性SQL_Serve讲义r_2008

图9-3 登录名对话框
3)选择“选择页” 中的“服务器角 色”项,出现服 务器角色设定页 面,如图9-4所 示,用户可以为 此用户添加服务 器角色。
图9-4登录名对话框的服务器角色页”
项,进入映射设置页面,
可以为这个新建的登录
添加映射到此登录名的
用户,并添加数据库角
图9-1数据库对象、架构和用户之间的关系
9.1.2 安全性机制
SQL Server的安全性管理可分为3个等级:
❖1. 操作系统级的安全性 ❖2. SQL Server 级的安全性
❖3. 数据库级的安全性。
9.2 管理登录和用户
❖ 用户连接到SQL Server 账户都称SQL Server 的登录。用户可以防止数据库被未授权的用户故 意或无意地修改。SQL Server为每一用户分配了 唯一的用户名和密码。同时,可以为不同账号授 予不同的安全级别。数据库用户是数据库级的主 体,是登录名在数据库中的映射,是在数据库中 执行操作和活动的执行者。
身份验证模式是Microsoft SQL Server 2008 R2系统验证客户端和服 务器之间连接的方式。Microsoft SQL Server 2008 R2系统提供了两种 身份验证模式,Windows身份验证模式和混合模式
安全身份验证
两种确认用户的验证模式。
Windows验证模式:利用了Windows本身具备的管理登录、
第二个安全性问题是:当用户登录到系统中,可以执行哪些操作, 使用哪些对象和资源呢?这也是一个非常基本的安全问题,在 Microsoft SQL Server 2008 R2系统中,这个问题是通过安全对象 和权限设置来实现的。
第三个安全性问题是:数据库中的对 象由谁所有?如果由用户所有,那么 当用户被删除时,其所拥有的对象怎 么办呢?数据库对象可以成为没有所 有者的"孤儿"吗?在Microsoft SQL Server 2008 R2系统中,这个问题是 通过用户和架构分离来解决的。在该 系统中,用户并不拥有数据库对象, 架构可以拥有数据库对象。用户通过 架构来使用数据库对象。这种机制使 得删除用户时不必修改数据库对象的 所有者,提高了数据库对象的可管理 性。数据库对象、架构和用户之间的 这种关系如图9-1所示。

SQLServer的安全性专题知识讲座

SQLServer的安全性专题知识讲座

8. 4 管理数据库旳角色
固定数据库角色旳权限。 见P262
8. 4 管理数据库旳角色
8. 4. 2 创建顾客自定义角色 使用企业管理器创建顾客自定义角色
8. 4 管理数据库旳角色
8. 4. 3 删除顾客自定义角色 在企业管理器中,右击待删除角色,从弹
出旳快捷菜单中选择“删除”选项,并在 随即弹出确实认对话框中选择“是”就能 够删除一种顾客自定义角色。但需注意, 首先,系统固定旳数据库角色不能被删除; 其次,不能删除一种有组员旳角色,即必 须首先删除该角色旳组员,不然系统将提 醒应先删除其组员。
登录帐户到一种数据库中旳映射。 在企业管理器中删除一种数据库顾客
能够用鼠标右击欲删除旳顾客,从弹 出旳快捷菜单中选择“删除”选项。
8. 4 管理数据库旳角色
8. 4. 1 固定旳数据库角色 固定数据库角色是在每个数据库中都存在
旳预定义组。管理员能够将一种顾客加入 到一种或多种数据库角色中。固定数据库 角色不能被添加、修改或删除。SQL Server 在数据库级设置了固定数据库角色来提供 最基本旳数据库权限旳基本管理。 SQL Server提供了十种常用旳固定数据库角 色,这些固定数据库角色信息存储在系统 表sysusers中。
8. 2 管理服务器旳安全性
8. 2. 3 添加SQL Server身份验证登录 帐户 使用企业管理器添加登录帐户
8. 2 管理服务器旳安全性
8. 2. 4 添加Windows身份验证登录帐户 使用企业管理器添加登录帐户
8. 2 管理服务器旳安全性
8. 2. 5 修改登录帐户属性 能够在添加了新旳登录帐户后修改其属
8. 5 权限管理
1、使用企业管理器管理数据库顾客旳权限 2、使用企业管理器管理数据库角色权限 3、使用企业管理器管理数据库对象权限

第11章 SQL Server的安全性管理

第11章 SQL Server的安全性管理
<windows_options> [ ,... ] ] ▪ <option_list1> ::= PASSWORD =
'password' [ HASHED ] [ MUST_CHANGE ] [ , <option_list2> [ ,... ] ]
16
11.2.2 添加登录帐户
▪ <option_list2> ::= DEFAULT_DATABASE = database | DEFAULT_LANGUAGE = language | CHECK_EXPIRATION = { ON | OFF} | CHECK_POLICY = { ON | OFF}
14
11.2.2 添加登录帐户
▪ 1.使用SQL Server管理控制台添加登录帐 户
▪ ( 1 ) 在 SQL Server管理控制台中,展开 SQL Server服务器组中相应服务器。
▪ (2)右击“安全性|登录名”,选择“新建 登录名”,会打开“登录名 - 新建”对话框。
▪ (3)根据所要创建的登录帐户的类型选择相 应的身份验证类型单选按钮。
▪ <windows_options> ::=DEFAULT_DAT ABASE = database|DEFAULT_LANGUAGE = language
17
11.2.2 添加登录帐户
▪ 其中的参数说明如下: ▪ login_name:指定创建的登录名。 ▪ WINDOWS:指定将登录名映射到 Windows 登录
名。 ▪ PASSWORD = 'password':仅适用于 SQL
Server 登录名。指定正在创建的登录名的密码。 ▪ HASHED:仅适用于 SQL Server 登录名。指定在

第八章SQLServer安全性管理

第八章SQLServer安全性管理
权限:权限规定了用户在指定数据库中所能进行的操作。
第11章 SQL Server的安全性管理
11. 1 安全性管理概述 11. 2 登录身份验证管理 11. 3 角色管理 11. 4 数据库用户管理 11. 5 权限管理
登录身份验证模式
SQL Server 2000身份验证 Windows身份验证
Windows身份验证
单击“是”按钮,则系统会停止当前服 务并重新启动SQL Server 2000服务器, 使修改后的设置开始生效。
SQL Server 2000的登录账户
与SQL Server 2000提供的两种确认用户 的验证模式相对应,在SQL Server 2000 中存在两类登录账户: SQL Server账户 和Windows账户。其中Windows账户又 包含“Windows用户”账户和“Windows组” 账户两种类型。
修改登录账户属性
修改SQL Server登录账户属性 修改Windows登录账户属性
修改SQL Server登录账户属性
(1)企业管理器: 双击需要修改属性的 SQL Server登录账户, 这里双击newlogin2, 打开“SQL Server登 录属性”对话框,在 里面可以修改密码、 默认数据库和默认语 言。
Windows身份验证
在安装SQL Server 2000的过程中,系统 会让用户选择在登录SQL Server 2000时 使用哪种身份验证模式。在SQL Server 2000安装成功后,用户也可以根据需要 随时修改身份验证模式,修改的方法如 下:
Windows身份验证
Windows身份验证
删除登录账户
使用企业管理器删除(以newlogin1为例) 使用系统存储过程删除登录账户时,要

11-SQLServer安全性管理概述.

11-SQLServer安全性管理概述.

第11章SQL Server安全性管理大型、网络数据库管理系统都提供安全性管理,以确保数据的安全。

SQL Server的安全性管理通过①登录账户管理、②数据库用户管理、③角色管理、④权限管理维护数据的安全。

一、身份验证模式1、SQL Server安全检查的3个层次(用户访问数据库数据需要具备3个条件)●能通过身份验证登录服务器~登录名(master数据库系统表:syslogins)。

●是数据库用户或者是某角色成员~与登录名关联的用户(用户数据库系统表:syusers)。

●具有相应操作权限~权限。

2、身份验证模式从用户访问数据库具备的条件看,登录服务器是首先需要满足的条件,SQL Server登录时身份验证有2种模式:①WINDOWS身份验证模式、②混合身份验证模式。

表:SQL Server身份验证模式3、设置身份验证模式(使用企业管理器)●服务器-右键-属性-“安全性”选择页-修改身份验证模式-确定。

●修改后重启SQL Server服务有效。

警告:修改为Windows身份验证模式后,sa也无法登录。

二、登录账户(登录名)管理1、系统安装时创建的登录账户企业管理器--服务器--“安全性”--“登录名”,查看已经创建的登录账户。

典型的登录账户:(1)sa~系统管理员。

(2)<计算机名>\<安装SQL Server的用户名>---安装SQL Server时指定的SQL Server 管理员(安装时选择“当前用户”即安装SQL Server的Windows用户,作为SQL Server管理员)。

这2个登录账户都是sysadmin固定服务器角色成员(系统管理员),拥有管理整个SQL Server的权限。

2、创建登录账户从身份验证模式看,SQL Server身份验证方式有2种(Windows身份验证、SQL Server 身份验证),登录账户也有2种:●Windows登录账户●SQL Server登录账户(1)使用企业管理器创建Windows登录账户例11-1:使用企业管理器,创建一个Windows登录名ZhangSan(先创建Windows用户,然后再创建Windows登录账户)。

SQL Server数据库的安全性管理与加密技术

SQL Server数据库的安全性管理与加密技术在当今的信息时代,保护数据的安全性成为了企业和组织亟需解决的重要问题。

作为一种广泛应用于企业级数据库系统的关系型数据库管理系统,SQL Server数据库的安全性管理与加密技术对于保护敏感数据的安全性至关重要。

SQL Server数据库提供了多种安全性管理和加密技术,以确保数据的机密性、完整性和可用性。

下面将分别就用户访问和权限管理、数据传输加密和数据加密进行详细讲解。

首先,用户访问和权限管理是确保数据库安全的关键措施之一。

SQL Server提供了基于角色的访问控制机制,管理员可以通过定义角色、赋予角色相应的权限,然后将用户分配到角色中来管理用户的访问权限。

此外,SQL Server还支持基于主体的权限管理,主体可以是用户、Windows域用户、应用程序或自定义角色等。

通过强大的权限管理功能,可以精确控制用户对数据库的访问权限,减少未经授权的访问风险。

其次,数据传输加密是保护数据安全的重要手段之一。

SQL Server支持使用SSL(Secure Sockets Layer)协议对数据传输进行加密。

管理员可以通过配置SQL Server证书和SSL协议来确保数据在传输过程中的机密性。

使用SSL加密数据传输可以有效防止数据被窃取、篡改或劫持,保护数据的安全性。

最后,数据加密是最重要和最直接的保护数据安全的技术。

SQL Server提供了多种数据加密功能,包括透明数据加密(TDE)、动态数据掩码(DDM)和始终加密列(Always Encrypted)等。

透明数据加密(TDE)是一种将整个数据库进行加密的技术。

TDE通过在存储层面上对数据库进行加密,从而保证了数据在磁盘上的存储是加密的状态。

只有在查询数据时,才能将数据解密并返回给用户。

这种方法不需要对应用程序进行任何修改,提供了更高级别的安全性。

动态数据掩码(DDM)是一种在应用程序查询数据时对敏感数据进行动态加密和掩码的技术。

《SQL Server数据库基础教程》第11课:SQL Server的安全管理


/webnew/
SQL Server管理的安全登录模式 Server管理的安全登录模式
1、创建账户 2、修改和删除账户
/webnew/
小结
1、介绍创建账户的方法 2、介绍修改和删除账户的方法
/webnew/
/webnew/
怎样使用企业管理器建立登录 账户
展开要创建登录账户的服务器节点,选中树型 结构上的【安全性】节点
/webnew/
小结
介绍用企业管理器创建登录账户的方法
/webnew/
第11课 SQL Server的安 11课 Server的安 全管理
(时间:1学时)
/webnew/
概述
本课内容
1、SQL Server数据库的 安全性层次 2、SQL Server管理的安全 登录模式 3、SQL Server集成的安全 登录模 3 SQL Server 4、怎样使用企业管理器建立 登录账户 5、SQL Server数据库安全性 6、角色 7、权限
角色
1、SQL Server的固定服务器角色 2、SQL Server的固定数据库角色 3、创建角色
/webnew/
小结
1、介绍SQL Server的固定服务器角色的管理方 法 2、介绍SQL Server的固定数据库角色的管理方 法 3、介绍创建角色的方法
SQL Server数据库安全性 Server数据库安全性
1、添加数据库用户 2、删除数据库用户 3、特殊数据库用户
http://www.wenyuan.coHale Waihona Puke /webnew/
小结
1、介绍添加数据库用户的方法 2、介绍删除数据库用户的方法 3、介绍特殊数据库用户的作用
/webnew/

Chapter11 SQL Server的安全性管理

打开SQL Server配置管理器进行设置。
11.1 SQL Server2005的安全机制
11.1.3 SQL Server数据库的安全性
▪ 用户成功登录SQL Server服务器后,并不自动拥 有对所有数据库的访问权限。
▪ 用户必须在想要访问的数据库中也有一个与登录 帐户相对应的数据库帐户。
▪ 当需要访问某个数据库时,SQL Server的安全系 统会根据这个数据库帐户的权限决定是否允许用 户访问该数据库。。
数据库入口 默认数据库
数据库对象安全性——数据库对象访问 数据库1(表、视图、过程、函数…)
……
数据库n
数据对象 拥有者
非拥有者 需具有权 限
11.1 SQL Server2005的安全机制
11.1.2 登录身份验证模式
▪ 登录身份验证 用来确认登录SQL Server的用户的登录帐号
和密码的正确性,由此来验证其是否具有连接SQL Server的权限。 ▪ (一)身份验证模式分类 ▪ 1、Windows身份验证 ▪ 2、SQL Server和Windows身份验证(混合模式)
并授权该用户登录SQL Server服务器。 ▪ 方法:通过搜索按钮来查找要添加的用户 ▪ QS:所添加的登录账户是否能操作所有的数据库?
11.2 管理服务器的安全性
11.2.2 添加登录账户
▪ (一)使用SSMS来添加登录账户 ▪ 2、添加SQL Server验证的登录账户 ▪ 例11-2 在当前系统中创建一个SQL Server登录账
▪ ▪
(二)使用T-SQL语句来修改登录账户 语PhAa法sSh格SeW式dO_:pRaDss=w'opradssHwAoSrHdE' D|

SQL Server系统安全管理资料


10.2.1 以界面方式管理用户账户
在登录名中就会显示完整名称。选择默认数据库为“pxscj”,如图10.4所示。
10.2.1 以界面方式管理用户账户
2.建立SQL Server验证模式的登录名 (1)将验证模式设为混合模式。 以系统管理员身份登录“SSMS”,在“对象资源管理器”中选择要登录的 SQL Server服务器图标,右击鼠标,在弹出的快捷菜单中选择“属性”菜单项,打 开“服务器属性”窗口。选择“安全性”选项页。选择服务器身份验证为“SQL Server和Windows身份验证模式”,如图10.5所示。
句用于创建SQL Server登录名*/
| FROM /*FROM子句用于创建其他登录名*/
{ WINDOWS [ WITH <Windows选项> [ , ... ] ] | CERTIFICATE证书名 | ASYMMETRIC KEY 非对称密钥名
}
}
/*WITH子
10.2.2 以命令方式管理用户账户:
【例10.2】 创建SQL Server登录名SQL_tao,密码为123456,默认数据库设 为pxscj。
CREATE LOGIN SQL_tao WITH PASSWORD='123456', DEFAULT_DATABASE=pxscj
10.2.2 以命令方式管理用户账户: CREATE LOGIN/USER
SID:指定新SQL Server登录名的全局唯一标识符。如果未选择此选项,则自动指派。 DEFAULT_DATABASE:指定默认数据库。如果未指定此选项,则默认数据库将设置 为master。 DEFAULT_LANGUAGE:指定默认语言。如果未指定此选项,则默认语言将设置为 服务器的当前默认语言。 CHECK_EXPIRATION:指定是否对此登录名强制实施密码过期策略,默认值为OFF。 CHECK_POLICY:指定应对此登录名强制实施运行SQL Server的计算机的Windows 密码策略,默认值为ON。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
sp_addlogin ‘logteac1’, ’01’ sp_addlogin ‘logteac2’, ’02’
步骤4:创建各登录对应的用户
sp_grantdbaccess ‘logteac1', 'dbuser1'
步骤5:使用户成为角色成员
解 决 问 题
sp_addrolemember ‘m_role’,’dbuser1’ sp_addrolemember ‘m_role’,’dbuser2’
登 录 管 理
【例】为新老师创建登录账号
EXEC sp_addlogin ‘logzhao’, ’01’
验证登录帐号能否对数据库进行访问。 验证登录帐号能否对数据库进行访问。
数 据 库 用 户 管 理
有了登录帐号后,还要对应数据 库用户才能连接数据库 【例】在数据库中创建用户
dbuserzhao,对应的登录帐号是 logtzhao。 exec sp_grantdbaccess ‘logzhao', 'dbuserzhao‘ 验证与数据库的连接和访问
步骤2.把访问该视图的权限 授予赵老师
解 决 问 题
步骤3.验证赵老师能否访问 视图
赵老师能了解本班某课程的选课情能查询本班指定课程选 课信息的存储过程
create proc c_cou @kc char(10) As Select stuno,couname,willorder from csel,course Where csel.couno=course.couno and Couname=@kc
解决赵老师能查询本班学生的选 课信息
解 决 问 题
步骤1.创建00电子商务班的选课
信息视图
Create view csel as Select stucou.stuno,couno,willorder from stucou,student,class Where stucou.stuno=student.stuno and student.classno=class.classno and classname=’00电子商务’
步骤2.把执行该存储过程的权限 授予赵老师
解 决 问 题
grant exec on c_cou to dbuserzhao
步骤3.验证赵老师能否执行存 储过程
【例】撤消赵老师执行上面存储 过程的权限
撤 消 权 限
问 题
假如学校新增10个班主任,他 们都要在student表中添加、修 改和删除学生,要个个设置权 限,方便吗?
库服务器
本 章 小 结
用户管理——使得可以连到数据

对用户授权 角色管理——权限的集合
步骤6:
验证插入权限
应 用 程 序 角 色
创建应用程序角色 sp_addapprole 角色名,密码
激活应用程序角色 sp_setapprole 角色名,密码
删 除
删除登录、用户、角色 sp_droplogin sp_dropuser sp_droprole
企业管理器用法
登录管理——使得可以连到数据
授 予 权 限
权限分为: 1. 语句权限:create table, view, trigger etc… 2. 对象权限: select, insert, exec, update, delete,exec 【例】授予用户权限 grant select on course to dbuserzhao 【例】验证登录账号logzhao能否访 问course表
安 全 管 理
房子 (SQL Server) 验证 授权
大门
SQL Server两种验证模式 1. 仅Windows 验证 2. SQL Server和Windows的混合 验证 证模式
SQL Server SQL Server SQL Server SQL Server 验 证 模 式
必须有合法的登录账号才能建立 与SQL Server的连接
角色 角色是一组权限的命名集合 。
角 色
SQL Server中角色分为:服务器角色 和数据库角色。 数据库角色 标准角色:有角色成员。 应用程序角色:无角色成员,需 要激活才能使用。
步骤1:创建班主任角色
use xk EXEC sp_addrole ‘m_role’
解 决 问 题
步骤2:对角色授权 步骤3:创建各班主任登录
第11讲 11讲
SQL Server安全管理 Server安全管理
问 题
赵老师当了00电子商务班的班 主任,他要能查到全校的课程 信息以及本班学生的选课信息, 如何让他有权查到这些信息。
一个用户要对某一个数据库进行操 作 ,必须同时满足两个条件:
安 全 管 理
1.
2.
能连接到SQL Server服务器(连 接权) 有执行该操作的权限(访问权)