第十章安全管理.ppt
《第十章安全管理.ppt》由会员分享,可在线阅读,更多相关《第十章安全管理.ppt(55页珍藏版)》请在三一文库上搜索。
1、第十章 SQL Server的安全管理,9. 1 SQL Server 2000的验证模式 9. 2 登录管理 9. 3 用户管理 9. 4 角色管理 9. 5 许可管理,数据的安全性是指保护数据以防止因不合法的使用而造成数据的泄密和破坏.这就要采取一定的安全保护措施. 在数据库中,系统用检查口令等手段来检查用户身份,合法的用户才能进入数据库系统.当用户对数据库执行操作时,系统自动检查用户是否有权限执行这些操作.,SQL Server 2000提供4层安全防线: 1、操作系统的安全防线 2、SQL Server的运行安全防线 3、SQL Server的数据库安全防线 4、SQL Server的
2、数据库对象安全防线,SQL Server2000的安全性管理是建立在认证和访问许可两者机制上的。 认证是指来登录SQL Server的登录帐号和密码是否正确,以此来验证其是否具有连接SQL Server的权限。 用户只能在获取访问数据库的权限之后,才能对服务器上的数据库进行权限许可下的各种操作。这种用户访问数据库权限的设置是通过用户帐号来实现的。 同时在SQL Server中,角色作为用户组的替代物大大简化了安全性管理。 SQL Server的安全模式中包括以下部分:SQL Server的登录、数据库用户、权限、角色,9. 1 SQL Server 2000的验证模式,9.1.1 Window
3、s验证模式 9.1.2 混合安全模式 9.1.3 设置验证模式 9.1.4 SQL Server 系统登录验证过程,验证阶段(Authentication),SQL Server和Windows NT/2000是结合在一起的,因此就产生了两种验证模式。,验证模式指的是安全方面的问题,每一个用户要使用SQL Server,都必须经过验证。,在安装过程中,系统会提示选择验证模式,Windows身份验证模式,混合验证模式,9.1.1 Windows 验证模式(NT验证模式),Windows验证模式是指要登录到SQL Server系统的用户身份由NT系统来进行验证。在Windows登录验证模式下,SQ
4、L Server回叫Windows NT以获得相应的登录信息,并在syslogins表中查找该帐户,以确定该帐户是否有权登录。在这种方式下,用户不必提供登录名或密码让SQL server验证。,Windows身份验证模式使用Windows操作系统本身提供的安全机制验证用户的身份。只要用户能够通过Windows NT或Windows 2000的用户帐户验证,就可连接到SQL Server。,Windows验证模式对SQL Server的影响,在 Windows NT/2000的注册表内,保存了SQL Server验证模式的相关信息及启动SQL Server的必须信息.,在注册表中,我的电脑KHE
5、Y_LOCAL_MACHINESoftwareMicrosoftMSSQLServerMSSQLServer中的LoginMode的值决定采用哪种验证模式.每次启动SQL Server时,都将检索该键的值,以决定使用哪种验证模式.,使用Windows NT验证有如下特点:,1、NT验证模式下由Windows NT管理用户帐户,数据库管理员的工作是管理数据库;,2、Windows NT有功能很强的工具去管理用户帐户,如安全验证和密码加密、审核、密码过期、最短密码长度以及在多次登录请求失败后锁定帐户;,3、可以在SQL Server增加用户组;,9.1.2 混合模式,混合验证模式是指用户登录SQL
6、 Server系统时,其身份验证由Windows NT和 SQL Server共同进行。,SQL Server验证模式处理登录的过程为:,用户在输入登录名和密码,SQL Server在系统注册表中检测,若输入的登录名存在,而且密码也正确,成功登录SQL Server,混合验证模式有如下特点:,混合模式允许非Windows客户、Internet客户和混合的客户组连接到SQL Server中,增加了安全性方面的选择,9.1.3 设置验证模式,设置验证模式的工作只能由系统管理员来完成。,使用SQL Server企业管理器时,设置或改变验证模式的步骤如下:, 运行SQL Server 企业管理器。,
7、右键单击“SQL Server 服务器组”的要设置验证模式服务器,然后选择“属性”,系统将弹出 “SQL Server 属性(配置)”窗口,单击“安全性”选项卡,可从中选择一种登录模式,审核失败登录,有助于查登录失败的原因,审核成功登录,帮助调试,但却影响登录的速度。,重新启动SQL Server才可以使修改的值生效。,SQL Server的登录访问确认,验证 SQL Server 验证信任连接,SQL Server 验证账户名和密码,或,SQL Server,Windows 2000 组或用户,Windows 2000,SQL Server 登录账户,9.2 登录管理,9.2.1 系统管理员
8、登录账户 9.2.2 用T-SQL语句创建、查看、删除SQL Server 登录账户 9.2.3 用企业管理器创建、查看、删除SQL Server 登录账户,9.2.1 系统管理员登录账户,SQL Server有两个默认的系统管理员登录帐户: sa 和 BUILTINAdministrators。,这两个登录帐户具有SQL Server系统和所有数据库的全部权限。sa是一个特殊的登录名,它是混合验证机制下SQL Server的系统管理员,sa始终关联dbo用户。BUILTINAdministrators是NT系统的系统管理员组。,具体地说,系统管理员负责下面的工作: 创建登录名 配置服务器 创
9、建、删除数据库 无须考虑所有权和权限,可以操作各种数据库对象 停止、启动服务器 停止在服务器上运行的无效过程 某些权限只能被系统管理员拥有并且不能被授予其他用户。这些功能是管理存储空间,管理用户进程及改变数据库选项。,9.2.2用T-SQL语句创建、查看、删除SQL Server登录帐户, SQL Server登录帐户的创建,使用系统存储过程 sp_addlogin 可以创建一个登录帐户。sp_addlogin存储过程的语法形式如下:,sp_addlogin login ,password ,default_database,login:要被创建的登录帐户。它是唯一必须给定值的参数,而且必须是
10、有效的SQL Server对象名。,password:新登录帐户的密码。,default_database:新登录帐户访问的默认数据库。,例1:创建一个登录帐户为abc,密码为123、使用的默认数据库为Student,EXEC sp_addlogin abc,123,Student,例2:创建登录名为”user01”,没有密码和默认数据库的用户,EXEC sp_addlogin user01, SQL Server登录帐户的查看,sp_helplogins, 登录帐户的删除,删除登录帐户时需要在数据库中做较为复杂的检查,以确保不会在数据库中留下孤儿型的用户。,sp_droplogin logi
11、n,login:要被删除的登录帐户。,9.2.3 用企业管理器创建、查看、删除SQL Server登录帐户, 启动SQL Server企业管理器。展开服务器后,展开“安全性”文件夹。,用右键单击登录(login)图标,从快捷菜单中选择新建登录(new login)选项,则出现SQL Server登录属性新建登录对话框。,在名称编辑框中输入登录名,在身份验证选项栏中选择新建的用户帐号是Windows NT认证模式,还是SQL Server认证模式。,选择服务器角色页框,选择数据库访问页框,列出了系统的固定服务器角色,列出了该帐号可以访问的数据库,2. 查看及删除登录帐户,一个新的登录帐户增加后,
12、可以在企业管理器中查看其详细信息。查看一个帐户的步骤如下:, 启动SQL服务器企业管理器,并展开到“安全性”。 点击“登录”,右边窗格显示的是登录帐户的列表。 右击该窗口中的某一登录帐户,在系统弹出的菜单上点击“属性”可进入“SQL登录属性”窗口查看该登录帐户的信息;点击“删除”可以删除该登录帐户。,9.3 用户管理,9.3.1 数据库用户名和登录名的关系 9.3.2 用T-SQL语句创建、查看、删除数据库用户 9.3.3 使用企业管理器创建、查看、删除数据库用户 9.3.4 改变数据库所有权,9.3.1 数据库用户名和登录名的关系,登录名、数据库用户名是SQL服务器中两个容易混淆的概念。,在
13、数据库中,一个用户或工作组取得合法的登录帐号,只表明该帐号通过了Windows NT认证或者SQL Server认证,但不能表明其可以对数据库数据和数据库对象进行某种或者某些操作,只有当他同时拥有了用户帐号后,才能够访问数据库。,登录名是访问SQL服务器的通行证。每个登录名的定义存放在master数据库的表syslogins中。登录名本身并不能让用户访问服务器中的数据库资源。,要访问特定的数据库,还必须有数据库用户名。新的登录创建以后,才能创建用户,用户在特定的数据库内创建,必须和一个登录名相关联。,用户的定义信息存放在与其相关的数据库的sysusers表中。这个表包含了该数据库的所有用户对象
14、以及和它们相对应的登录名的标识。用户名没有密码和它相关联。,大多数情况下,登录名和用户名使用相同的名称。,登录帐户和数据库用户是SQL服务器进行权限管理的两种不同的对象。,一个登录帐户可以映射到不同的数据库,产生多个数据库用户,一个数据库用户只能映射到一个登录帐户,允许数据库为每个用户对象分配不同的权限,这一特点为在组内分配权限提供了最大的自由度。,9.3.2 用T-SQL语句创建、查看、删除数据库用户,为一个登录帐户授权,最常使用的方法是创建一个新的数据库用户,然后将其与一个登录帐户对应起来。,1. 用T-SQL语句创建数据库用户,使用系统存储过程sp_grantdbaccess可以在当前数
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第十 安全管理
链接地址:https://www.31doc.com/p-2918214.html