免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

SQL-Server數(shù)據(jù)庫(kù)安全管理 文章分類:數(shù)據(jù)庫(kù)轉(zhuǎn)自:http://blog.chinaunix.net/u3/112561/showart_2218234.html以SQL-Server2005為例來(lái)說(shuō)一下關(guān)于數(shù)據(jù)庫(kù)安全管理方面的知識(shí)（因?yàn)槲覍W(xué)的就是SQL-Server2005）。SQL Server 2005主要從以下幾個(gè)方面來(lái)保證數(shù)據(jù)庫(kù)安全管理的：1.SQL Server 2005的安全機(jī)制。2.設(shè)置數(shù)據(jù)庫(kù)權(quán)限。3.數(shù)據(jù)庫(kù)訪問(wèn)審核。4.屏蔽SQL Server常見的漏洞。下面我們了解一下以上各個(gè)方面的詳細(xì)信息：一、SQL Server 2005 的安全機(jī)制：SQL Server 2550的安全機(jī)制主要包括以下五個(gè)方面：1.客戶機(jī)的安全機(jī)制：客戶機(jī)的安全機(jī)制是指：用戶必須能夠登錄到客戶機(jī)，然后才能使用SQL Server 2005應(yīng)用系統(tǒng)或客戶機(jī)管理工具來(lái)訪問(wèn)數(shù)據(jù)庫(kù)。對(duì)于使用Windows系統(tǒng)的客戶來(lái)說(shuō)，它主要涉及的是操作系統(tǒng)的安全，主要是Windows賬號(hào)的安全（這個(gè)意思就是保證你的電腦系統(tǒng)的安全，也就保證了SQL Server 2005的第一道防線）。2.網(wǎng)絡(luò)傳輸?shù)陌踩珯C(jī)制：網(wǎng)絡(luò)傳輸?shù)陌踩话悴捎脭?shù)據(jù)的加密和解密技術(shù)來(lái)實(shí)現(xiàn)，但加密的SQL Server會(huì)使網(wǎng)絡(luò)速度變慢，所以對(duì)安全性要求不高的網(wǎng)絡(luò)一般都不采用加密技術(shù)。3.服務(wù)器安全機(jī)制：服務(wù)器安全機(jī)制是指：當(dāng)用戶登錄服務(wù)器時(shí)，必須使用一個(gè)賬號(hào)（也稱為登錄賬號(hào)）和密碼，這個(gè)賬號(hào)和密碼是服務(wù)器上的賬號(hào)和密碼，服務(wù)器會(huì)按照不同的身份驗(yàn)證方式來(lái)判斷這個(gè)賬號(hào)和密碼的正確性。4.數(shù)據(jù)庫(kù)的安全機(jī)制：任何能夠登錄到服務(wù)器的賬號(hào)和密碼都對(duì)應(yīng)著一個(gè)默認(rèn)的工作數(shù)據(jù)庫(kù)。SQL Server對(duì)數(shù)據(jù)庫(kù)級(jí)的權(quán)限管理采用的是“數(shù)據(jù)庫(kù)用戶”的概念。5.數(shù)據(jù)庫(kù)對(duì)象的安全機(jī)制：用戶通過(guò)前面四道防線后才能訪問(wèn)數(shù)據(jù)庫(kù)中的數(shù)據(jù)對(duì)象，對(duì)數(shù)據(jù)對(duì)象能夠做什么樣的訪問(wèn)稱為訪問(wèn)權(quán)限。常見的訪問(wèn)權(quán)限包括數(shù)據(jù)的查詢、更新、插入和刪除。二、設(shè)置數(shù)據(jù)庫(kù)服務(wù)器的訪問(wèn)權(quán)限SQL Server的安全性是建立在認(rèn)證和訪問(wèn)許可兩種安全機(jī)制上的。其中認(rèn)證是指用來(lái)確定登錄SQL Server的用戶的登錄賬戶是否正確，以此來(lái)驗(yàn)證其是否有連接SQL Server的權(quán)限。用戶登錄數(shù)據(jù)庫(kù)的合法身份有兩種：Windows的用戶或組、SQL Server登錄用戶。1.SQL Server的驗(yàn)證模式：SQL server有兩種身份驗(yàn)證模式：Windows身份驗(yàn)證模式和混合驗(yàn)證模式（就是WINDOWS和SQL SERVER驗(yàn)證模式）。(1).Windows身份驗(yàn)證模式：Windows身份驗(yàn)證模式是通過(guò)Windows用戶賬號(hào)直接連接SQL Server服務(wù)器，Windows用戶或組被映射到SQL Server的登錄用戶。在該模式下用戶只需要通過(guò)Windows身份驗(yàn)證就可以直接連接到SQL Server服務(wù)器，而不用考慮SQL Server服務(wù)器本身。這種身份驗(yàn)證模式適用于域環(huán)境下。(2).SQL Server和Windows混合身份驗(yàn)證模式：在這種混合模式下，既可以用Windows用戶賬號(hào)直接登錄SQL Server服務(wù)器，也可以使用SQL Server用戶賬號(hào)來(lái)登錄SQL Server服務(wù)器。當(dāng)然使用SQL Server身份驗(yàn)證模式時(shí)必須先創(chuàng)建SQL Server用戶。這種模式適用于工作組環(huán)境下。注意：因?yàn)閃indows98不支持Windows身份驗(yàn)證，所以當(dāng)SQL Server運(yùn)行在Windows 98環(huán)境下時(shí)，就只能使用混合模式。還有就是當(dāng)我們改變了SQL Server的驗(yàn)證模式時(shí)，就必須重新啟動(dòng)SQL Server服務(wù)。Windows身份驗(yàn)證模式與SQL Server身份驗(yàn)證模式相比有以下優(yōu)勢(shì)：》用戶訪問(wèn)SQL Server時(shí)速度更快，不用輸入用戶名和密碼。》可以利用Windows賬戶策略來(lái)直接進(jìn)行管理，在安全方面比SQL Server身份驗(yàn)證模式更加安全。》提供了更多的功能，比如：口令復(fù)雜度、口令最小長(zhǎng)度、賬戶鎖定等。我們可以通過(guò)打開“SQL Server Management Studio”連入數(shù)據(jù)庫(kù)后選擇系統(tǒng)默認(rèn)有的那個(gè)綜合選項(xiàng)右擊“屬性”——“安全性”選項(xiàng)中來(lái)設(shè)置SQL Server的身份驗(yàn)證模式。當(dāng)我們修改了身份驗(yàn)證模式后一定要重啟服務(wù)（當(dāng)然系統(tǒng)會(huì)也會(huì)提示你重新啟動(dòng)服務(wù)）。選種默認(rèn)數(shù)據(jù)庫(kù)右擊選擇“重新啟動(dòng)”后，SQL Server的身份驗(yàn)證模式就修改了！然后斷開連接重新連接時(shí)有兩個(gè)選項(xiàng)“Windows身份驗(yàn)證模式”與“SQL Server身份驗(yàn)證模式”。2.設(shè)置登錄賬戶：可以通過(guò)“SQL Server Management Studio”來(lái)創(chuàng)建和管理登錄賬戶，默認(rèn)的QL Server是用Windows身份驗(yàn)證模式，SQL Server的登錄賬戶無(wú)法登錄。只能建立SQL Server登錄賬戶后才能使用SQL Server賬戶登錄。當(dāng)然要使用SQL Server賬戶登錄，就必須把身份驗(yàn)證模式改為混合模式。下面介紹一下SQL Server中創(chuàng)建登錄賬戶的方法：其實(shí)在SQL Server中創(chuàng)建登錄賬戶的方法有兩種：一是Windows身份驗(yàn)證模式的登錄名，另一種是SQL Server身份驗(yàn)證模式的登錄名。Windows身份驗(yàn)證模式的登錄名首先得在系統(tǒng)中存在這個(gè)賬戶才行，不然的話不可以創(chuàng)建。假如系統(tǒng)中存在這個(gè)賬戶，那么直接輸入“NETBIOS名稱/用戶賬號(hào)”或點(diǎn)擊“搜索”來(lái)建立。SQL Server身份驗(yàn)證模式的登錄名就得自己建立一個(gè)用戶名，并且輸入密碼及設(shè)置相應(yīng)的策略來(lái)創(chuàng)建 。在建立的過(guò)程中會(huì)有些別的選項(xiàng)，比如：服務(wù)器角色、用戶映射、安全對(duì)象、狀態(tài)等。后面我們會(huì)一一介紹各個(gè)選項(xiàng)的意義。建立登錄賬戶的操作是：選擇默認(rèn)數(shù)據(jù)庫(kù)下面的“安全性”右擊選擇“新建”——“登錄”來(lái)創(chuàng)建。3.服務(wù)器角色的概念：服務(wù)器角色（也稱做固定服務(wù)器角色）是執(zhí)行服務(wù)器級(jí)管理操作的權(quán)限的集合。我們可以簡(jiǎn)單的把它理解成“Windows系統(tǒng)中的組”。它跟“Windows系統(tǒng)中的組”是一樣的作用。只不過(guò)稱呼不同罷了！-_-!固定服務(wù)器角色及其描述如下表：（或者你可以到“安全性”下的“服務(wù)器角色”選項(xiàng)中查看）。 服務(wù)器角色描述Sysadmin 可以執(zhí)行SQL Server上的任何活動(dòng)，任何具有這種角色成員身份的人都是服務(wù)器上的SA。值得注意的是，Windows的Adminsitrators組被自動(dòng)映射到該角色中，為提高安全性，建議把Administrators組Sysadmin角色中刪除。Dbcreator 可以創(chuàng)建和更改數(shù)據(jù)庫(kù)。Serveradmin  可以更改服務(wù)器范圍的配置選項(xiàng)和關(guān)閉服務(wù)器，該角色成員所控制的功能對(duì)于服務(wù)器的性能會(huì)產(chǎn)生較大的影響。Securityadmin 管理和審核登錄賬戶（例如：管理登錄名，讀取錯(cuò)誤日志以及創(chuàng)建數(shù)據(jù)庫(kù)許可權(quán)限的登錄名等）。Processadmin  可以終止SQL Server長(zhǎng)時(shí)間運(yùn)行的進(jìn)程。Setupadmin  配置復(fù)制和鏈接服務(wù)器。Diskadmin  用于管理磁盤文件。Bulkadmin  可以運(yùn)行Bulk Insert語(yǔ)句注意：鏈接服務(wù)器可以使SQL Server對(duì)遠(yuǎn)程服務(wù)器上的數(shù)據(jù)源執(zhí)行命令。Bulk Insert語(yǔ)句主要是用來(lái)實(shí)現(xiàn)SQL Server的大數(shù)據(jù)量文本文件的批量導(dǎo)入。我們?cè)趯?shí)際生活中，可以根據(jù)自己工作的實(shí)際情況來(lái)運(yùn)用這些個(gè)角色來(lái)為用戶分配數(shù)據(jù)庫(kù)服務(wù)器權(quán)限。打開服務(wù)器角色配置頁(yè)的方法是：默認(rèn)數(shù)據(jù)庫(kù)下的“安全性”選項(xiàng)中的“登錄名”。然后選擇你要為哪個(gè)用戶配置服務(wù)器角色，然后選擇用戶右擊“屬性”來(lái)打開。打開后選擇第二項(xiàng)“服務(wù)器角色”來(lái)為用戶配置服務(wù)器角色權(quán)限。二、新建數(shù)據(jù)庫(kù)用戶：在建立了SQL Server登錄賬戶以后，需要授予用戶或組許可，使他們能夠在數(shù)據(jù)庫(kù)中執(zhí)行任務(wù)。登錄賬戶用于訪問(wèn)SQL Server實(shí)例，數(shù)據(jù)庫(kù)用戶則用于訪問(wèn)數(shù)據(jù)庫(kù)。要想訪問(wèn)某個(gè)數(shù)據(jù)庫(kù)，就必須在這個(gè)數(shù)據(jù)庫(kù)上建立相對(duì)應(yīng)的數(shù)據(jù)庫(kù)用戶。實(shí)際上數(shù)據(jù)庫(kù)用戶是映射到登錄賬戶上的。也就是當(dāng)我們新建一個(gè)登錄名時(shí)，就可以把它映射到一個(gè)數(shù)據(jù)庫(kù)里，成為這個(gè)數(shù)據(jù)庫(kù)的數(shù)據(jù)庫(kù)用戶。建立一個(gè)數(shù)據(jù)庫(kù)用戶的具體步驟如下：首先建立一個(gè)登錄名——然后把這個(gè)登錄名映射到你想要建立數(shù)據(jù)庫(kù)用戶的數(shù)據(jù)庫(kù)中（當(dāng)然你首先得有你自己的數(shù)據(jù)庫(kù)）。下面是建立一個(gè)數(shù)據(jù)庫(kù)DB上的一個(gè)數(shù)據(jù)庫(kù)用戶的步驟：1.首先建立自己的數(shù)據(jù)庫(kù)：2.然后新建登錄名（我這里是使用的Windows用戶，直接搜索找到用戶就OK了）：3.把登錄賬戶映射到數(shù)據(jù)庫(kù)DB讓其成為數(shù)據(jù)庫(kù)DB的數(shù)據(jù)庫(kù)用戶：4.然后就可以到DB數(shù)據(jù)庫(kù)下面的“安全性”——“用戶”里面就可以找到你映射的數(shù)據(jù)庫(kù)用戶了！如果有多個(gè)人對(duì)某個(gè)數(shù)據(jù)庫(kù)具有相同的權(quán)限的時(shí)候，我們可以直接在AD中新建一個(gè)組，然后把這些個(gè)用戶加入到組里，最后到SQL Server服務(wù)器上新建一個(gè)登錄名，新建時(shí)候輸入“域名中"."前面的部分\組名”（例如：域名是abc.com的話，那么輸入時(shí)候就輸入“abc\組名”）。新建好后，這個(gè)組中的用戶就都可以登錄SQL Server數(shù)據(jù)庫(kù)了。三、數(shù)據(jù)庫(kù)角色：數(shù)據(jù)庫(kù)角色的作用是為數(shù)據(jù)庫(kù)用戶設(shè)置對(duì)某個(gè)數(shù)據(jù)庫(kù)的權(quán)限，而數(shù)據(jù)庫(kù)角色又分為固定數(shù)據(jù)庫(kù)角色和用戶定義數(shù)據(jù)庫(kù)角色。固定數(shù)據(jù)庫(kù)是一組SQL Server 預(yù)定義的數(shù)據(jù)庫(kù)角色，具有數(shù)據(jù)庫(kù)級(jí)別的管理權(quán)力，用來(lái)完成常用的數(shù)據(jù)庫(kù)任務(wù)。1.固定數(shù)據(jù)庫(kù)角色有以下幾種：固定數(shù)據(jù)庫(kù)角色   說(shuō)明db_owner  可以執(zhí)行所有配置和維護(hù)活動(dòng)，還可以刪除數(shù)據(jù)庫(kù)db_securutyadmin  可以修改角色成員身份和管理權(quán)限db_accessadmin   可以為Windows登錄名、組和SQL Server登錄名添加或刪除數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限db_backupoperator  可以備份數(shù)據(jù)庫(kù)db_datareader     可以從所有用戶表中讀取所有數(shù)據(jù)db_datawriter      可以在所有用戶表中添加、刪除或更改數(shù)據(jù)db_ddladmin      可以在數(shù)據(jù)庫(kù)中運(yùn)行任何數(shù)據(jù)定義的語(yǔ)言命令db_denydatareader   不能讀取數(shù)據(jù)庫(kù)內(nèi)用戶表中的任何數(shù)據(jù)db_denydatawriter    不能添加、修改或刪除數(shù)據(jù)庫(kù)內(nèi)用戶表中的任何數(shù)據(jù)public  維護(hù)默認(rèn)的權(quán)限注意：PUBLIC角色是特殊的固定數(shù)據(jù)庫(kù)角色，特點(diǎn)是：捕獲數(shù)據(jù)庫(kù)中用戶的所有默認(rèn)權(quán)限、所有用戶和角色或組默認(rèn)屬于public角色、無(wú)法將用戶和組或角色指派給它，因?yàn)槟J(rèn)情況下它們即屬于該角色、不能被刪除。為public角色授予權(quán)限時(shí)必須非常小心，因?yàn)橐粋€(gè)小小的錯(cuò)誤可能導(dǎo)致用戶非法訪問(wèn)數(shù)據(jù)庫(kù)。2.用戶自定義數(shù)據(jù)庫(kù)角色：當(dāng)固定服務(wù)器角色不能滿足要求時(shí)，就可以自己創(chuàng)建數(shù)據(jù)庫(kù)角色，定義一組用戶具有相同的權(quán)限?？梢允褂肧QL Server Management Studio的對(duì)象資源管理器創(chuàng)建用戶定義數(shù)據(jù)庫(kù)角色。為數(shù)據(jù)庫(kù)設(shè)置權(quán)限的步驟如下：(1).打開你新建的數(shù)據(jù)庫(kù)下面的“安全性”選項(xiàng)下的“角色”里的“數(shù)據(jù)庫(kù)角色”來(lái)設(shè)置數(shù)據(jù)庫(kù)權(quán)限。然后你想讓你的用戶擁有什么權(quán)限就把他加入到哪個(gè)數(shù)據(jù)庫(kù)角色中。然后這個(gè)用戶就擁有了相應(yīng)的權(quán)限。比如把個(gè)用戶加入到db_owner角色中。四、數(shù)據(jù)庫(kù)訪問(wèn)審核：審核可以幫助跟蹤并阻止系統(tǒng)中未經(jīng)授權(quán)的用戶行為。對(duì)那些具有高特權(quán)但卻干壞事的管理員或者用戶進(jìn)行審核，對(duì)保護(hù)系統(tǒng)十分有用。一個(gè)好的審核系統(tǒng)允許只對(duì)那些重要的事件進(jìn)行過(guò)濾，因此用戶不會(huì)淹沒(méi)在海量的信息中。所有數(shù)據(jù)平臺(tái)均在不同程度上提供審查功能。下面來(lái)說(shuō)一下SQL Server安全審核的設(shè)置：首先打開數(shù)據(jù)庫(kù)服務(wù)器的“屬性”——“安全性”里的“登錄審核”選項(xiàng)來(lái)設(shè)置數(shù)據(jù)庫(kù)訪問(wèn)審核。根據(jù)自己的實(shí)際情況來(lái)設(shè)置那些選項(xiàng)。比如你是要審核“登錄失敗”的還是“登錄成功”的或者是“登錄失敗和成功”都進(jìn)行審核的。當(dāng)這些設(shè)置好后，你就可以用一個(gè)錯(cuò)誤的登錄名或正確的登錄名來(lái)登錄一下試試審核啟動(dòng)沒(méi)有。你可以在Windows系統(tǒng)中的“事件查看器”里面找到審核的內(nèi)容。五、屏蔽SQL Server常見漏洞：1.修改SA密碼。因?yàn)镾A是SQL Server默認(rèn)的超級(jí)管理員，所以一定要確保SA密碼的安全性。最好是把SA密碼設(shè)的復(fù)雜點(diǎn)，如果有必要可以把SA的用戶名也修改了。2.刪除或禁用不必要的用戶：系統(tǒng)中包含的默認(rèn)用戶，往往因?yàn)橛脩裘墓_，成為黑客攻擊的目標(biāo)。所以安全的做法是應(yīng)該將這些公開的用戶刪除或禁用后重建。比如說(shuō)：默認(rèn)的Administrators組就可以直接刪了或禁用。3.刪除危險(xiǎn)的存儲(chǔ)過(guò)程：為什么要?jiǎng)h除不必要的存儲(chǔ)過(guò)程呢？因?yàn)橛行┐鎯?chǔ)過(guò)程很容易被人利用，用來(lái)提升權(quán)限或進(jìn)行破壞。主要有以下幾種存儲(chǔ)過(guò)程：（1）.執(zhí)行操作系統(tǒng)命令的存儲(chǔ)過(guò)程xp_cmdshell。（2）.操縱OLE自動(dòng)化對(duì)象的存儲(chǔ)過(guò)程。（3）.注冊(cè)表訪問(wèn)的存儲(chǔ)過(guò)程。（4）.文件操作類存儲(chǔ)過(guò)程。（5）.進(jìn)程管理類存儲(chǔ)過(guò)程。（6）.任務(wù)管理類存儲(chǔ)過(guò)程。上面這幾種存儲(chǔ)過(guò)程因?yàn)槲乙膊辉趺炊栽谶@里不詳細(xì)介紹了，你們可以看我另一篇文章“SQL高級(jí)注入使用之存儲(chǔ)過(guò)程”（http://blog.chinaunix.net/u3/112561/showart_2223533.html）這是我從我們老師那里轉(zhuǎn)的^_^。有興趣的可以去看看。4.關(guān)閉不必要的網(wǎng)絡(luò)連接功能。SQL Server 提供外圍應(yīng)用配置器單一的界面，減少外圍應(yīng)用，停止或禁用不必要的服務(wù)或連接。外圍應(yīng)用的減少使得對(duì)系統(tǒng)的攻擊途徑減少，有助于提高安全性。使用“外圍應(yīng)用配置器”可以啟用、禁用、開始或停止SQL Server2005安裝的一些功能服務(wù)和遠(yuǎn)程連接。打開“外圍應(yīng)用配置器”的步驟是：“開始”——“程序”——“Microsoft SQL Server 2005”——“配置工具”——“SQL Server外圍應(yīng)用配置器”來(lái)打開“SQL Server外圍應(yīng)用配置器”。打開后自己就可以配置了。5.配合防火墻過(guò)濾指定端口訪問(wèn)：默認(rèn)情況下，SQL Server2005會(huì)偵聽TCP1433端口，并將1433UDP端口用于客戶端與服務(wù)器間的協(xié)議。因此，也為攻擊者提供了大量入侵機(jī)會(huì)，所以應(yīng)該結(jié)合防火墻來(lái)限制對(duì)端口的訪問(wèn)。使用SQL Server配置管理器可以通過(guò)更改默認(rèn)端口、配置命名實(shí)例來(lái)偵聽同一端口，也可以隱藏端口。6.禁用不必要的協(xié)議。7.加密數(shù)據(jù)（也就是通過(guò)證書等加密方法來(lái)加密數(shù)據(jù)來(lái)保證數(shù)據(jù)安全）。8.定期安裝補(bǔ)丁。好了，這一節(jié)就完了。。。真累-_-！。