SQL Server 安全篇——数据层面安全性(3)——模拟(Impersonation)

最新推荐文章于 2020-09-10 19:57:09 发布
置顶 最新推荐文章于 2020-09-10 19:57:09 发布
阅读量880 收藏
点赞数
分类专栏: 数据库管理 DBA 安全 SQL Server Security 文章标签: SQL Server DBA 安全 数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DBA_Huangzj/article/details/79092896
版权
数据库管理 同时被 3 个专栏收录
277 篇文章 38 订阅
订阅专栏
DBA
186 篇文章 6 订阅
订阅专栏
安全
65 篇文章 0 订阅
订阅专栏

本文属于SQL Server安全专题系列



接上文:SQL Server 安全篇——数据层面安全性(2)——所有权链接( Ownership Chaining)


 模拟是指在不同安全主体的上下文下执行T-SQL语句或代码模块的做法。用来最小化权限授予和授予权限的用户数,但是不影响执行时提升到所需的权限。实际上,在会话或模块的执行期间,模拟起到了用户或登录名切换的过程。也可以不严谨地认为,发起模拟的用户A借用B的身份执行了B有权限但A没权限做的事。

 在SQL Server中,可以使用EXECUTE AS子句来实现模拟功能。EXECUTE AS可以位于存储过、函数、DML触发器的头部。也可以用于会话过程切换安全上下文。下表是EXECUTE AS可用场景:

用处上下文规范(Context Specification)
Session(会话)
  • LOGING
  • USER
存储过程、函数、DML触发器
  • CALLER
  • SELF
  • OWNER
  • USER
库级别DDL触发器
  • CALLER
  • SELF
  • USER
服务器级别DDL触发器
  • CALLER
  • SELF
  • LOGIN
Queues(队列)
  • CALLER
  • SELF
  • USER

上下文规范(Context Specification)说明

  • CALLER:意味着代码运行在原始上下文,是除队列之外的默认行为。
  • SELF:代码在创建或最后更改模块的主体的上下文下执行。
  • OWNER:代码运行在安全主体的拥有者上下文。
  • USER:以数据库特定用户运行代码。
  • LOGIN:以特定登录名来运行代码。

下面来演示一下,首先创建一个登录名George: 
USE master 
GO 
CREATE LOGIN George 
WITH PASSWORD='强密码', 
DEFAULT_DATABASE=master, CHECK_EXPIRATION=OFF, CHECK_POLICY=ON ; 
GO
然后在演示库创建一个用户,关联这个登录名: 
USE AdventureWorks2016 
GO 
CREATE USER George FOR LOGIN George
然后调用不带参数的SUSER_SNAME()函数返回当前安全上下文的登录名(注意这里不能是“组”或者“绝色”,必须是单一账号): 
USE AdventureWorks2016
GO
--以当前上下文运行
SELECT SUSER_SNAME() ; 
--转换当前上下文为George用户 
EXECUTE AS USER = 'George' ; 
--再次查询
SELECT SUSER_NAME() ;
结果如图:



 第一个查询运行在我自己的登录名的安全上下文中,当执行完EXECUTE AS语句之后,上下文切换成George,但是注意除非你关掉这个界面,不然需要使用REVERT命令来恢复上下文,否则将一直以George的上下文来运行。
 准确来说,在下面情况发生之前,切换后的上下文一直有效:
  1. 运行另一个Execute AS语句
  2. 运行REVERT语句
  3. 删除会话(比如SSMS关闭查询窗口)
  4. 存储过程或触发器中的命令执行了退出操作。
 注意:对于即席查询(ad hoc SQL)的EXECUTE AS子句,必须在安全上下文中具有模拟权限,否则使用EXECUTE AS也会报错。另外,非包含数据库或SQL DB(Azure上)之外的模拟,其执行返回限制于服务器级别。

最佳实践:


 首先当然还是要维持最低所需权限。比如只需要DB级别的就不要给Server级别的权限。当需要在一个过程中切换多次登录时(不建议),要保持原始登录的识别,以免后续忘记切回去,这个原始登录可以通过ORIGINAL_LOGIN函数来获取。

發糞塗牆
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IIS中ASP.NET连接SQL Server出错的解决方法
01-02
为了使ASPNET帐户可以访问ASP.NET应用程序的数据库,需要完成以下步骤: 1)启动SQL Server Management Studio,指定SQL Server实例名,以Windows验证模式登录。 2)用grantlogin存储过程把Windows的用户添加到SQL ...
数据库保密性配置及验证方式
qq_38313984的博客
03-09 2200
SQL Server 2008数据库的安全性和完整性管理
SAPP
01-21 3568
https://wenku.baidu.com/view/6f88e0e883d049649a665803.html
网络攻击术语(Technical terms of the attacks)
MonRain7026
09-10 4966
网络攻击术语(Technical terms of the attacks) 一、spoofing or impersonation attack 欺诈或模拟(冒充)攻击 一般表现为窃取身份认证凭据(authentication credentials)来实现非法服务接入(unauthorized service access) 窃取authentication credentials一般通过窃听(eavesdropping)信道或伪装(phishing) 这类攻击可以分类为 IP地址欺诈:伪造源IP头头
Win2008 server + IIS7 设置身份模拟(ASP.NET impersonation)
10-28
IIS7 与 IIS 6 相比有了很大的改动,原来在 IIS 6 下可以的...身份模拟的配置上,IIS7 和 IIS6有很大不同,网上IIS6的身份模拟的文章比较多,但介绍IIS7的比较少,我把的一些折腾的经验在这博客中写下来,以供参考
信息安全_全球高峰会.Richard.Rushing.pptx
08-14
Definition of Bypass Items covered Network controls--...File Impersonation Browsers – Loading Files Sandbox Endpoint Proxy/VPN Bypassing Endpoints Hooking Issues Security Logging Tools Take Away
pytmipe:Python库和客户端,用于令牌操作和模拟,用于在Windows上进行特权升级
03-21
PYTMIPE (用于令牌操作的PYthon库和用于特权升级的模拟)是一个Python 3库,用于处理Windows令牌和管理模拟,以便在Windows上获得更多特权。 TMIPE是使用pytmipe库的python 3客户端。 内容 一个python客户端: ...
SQL server 数据加密
心若静,风奈何
08-18 8020
简介 加密是指通过使用密钥或密码对数据进行模糊处理的过程。在SQL Server中,加密并不能替代其他的安全设置,可以当数据库破解或是备份被盗取后的最后一道防线,通过加密,未经授权的人在没有密匙或密码的情况下所窃取的数据变成毫无意义。 ...
SQL Server数据库的安全性控制策略
wyaspnet的专栏
06-22 2086
SQL Server数据库的安全性控制策略2007-01-29 下午 06:57 数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露、更改或破坏。系统安全保护措施是否有效是数据库系统的主要指标之一。数据库的安全性和计算机系统的安全性,包括操作系统、网络系统的安全性是紧密联系、相互支持的。   数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄露
SQL Server数据服务器的安全性
weixin_33859844的博客
06-18 173
数据库是为了方便存储大量的数据,那么怎么样才能合理的维护数据库,保证数据库不被受***,保证数据库的正常工作与安全性呢?今天我就来给大家介绍一下SQL Server数据服务器的安全性,也是基本的常用的一些方法。 SQL Server服务器本身的配置有载体安全配置性和相关安全配置。 载体安全性: 1、 及时的下载相应补丁,对数据库进行更新 2、 安装正版的杀毒软件 3...
SQL Server安全专题
MVP黄钊吉(發糞塗牆)
01-26 5233
      随着大数据、云计算的兴起跟数据量的几乎全量存储,使得安全性越来越受重视。所以这里根据工作经历、多本专家书籍跟官方文档整理出一个安全系列专题,但是毕竟安全这个东西,很广、很深,而且涉及从行政手段、技术手段,从网络到硬件到操作系统最后到数据库甚至行列的内容,无法真正写一个完完全全的专题,更多地是希望起到抛砖引玉的作用。     另外由于某种目的(应该在2018年就会揭开答案),有某些部分应...
Kubernetes API 分析 ( Kube-apiserver )
weixin_33709609的博客
12-14 744
kubernetes 概览 以下是 k8s 的整体架构,在 master 节点上主要是 kube-apiserver(整合了 kube-aggregator),还有 kube-scheduler,以及 kube-controller-manager,包括后端存储 etcd。 其中 kube-apiserver 是一个比较关键的部分,而且前期写得坑很多,导...
多线程使用同一个数据源的安全问题解决 三种方法:
weixin_43308935的博客
02-26 1778
package day08; //第一种,使用synchronized代码块解决同步锁问题 public class StaticTongbuDemo implements Runnable { private int taick = 100; @Override public void run() { synchronized (this) { while (true) { if (taick ...
linux命令
weixin_30673715的博客
08-29 906
1.sudo:暂时切换到超级用户模式以执行超级用户权限,提示输入密码时该密码为当前用户的密码,而不是超级账户的密码。不过有时间限制,Ubuntu默认为一次时长15分钟。su:切换到某某用户模式,提示输入密码时该密码为切换后账户的密码,用法为“su账户名称”。如果后面不加账户时系统默认为root账户,密码也为超级账户的密码。没有时间限制。sudo-i:为了频繁的执行某些只有超级用户...
sudo -i 也可以登录到root吗?
weixin_34220963的博客
12-09 637
sudo : 暂时切换到超级用户模式以执行超级用户权限,提示输入密码时该密码为当前用户的密码,而不是超级账户的密码。不过有时间限制,Ubuntu默认为一次时长15分钟。su : 切换到某某用户模式,提示输入密码时该密码为切换后账户的密码,用法为“su 账户名称”。如果后面不加账户时系统默认为root账户,密码也为超级账户的密码。没有时间限制。sudo -i: 为了频繁的执行某...
hadoop集群安装hive
最新发布
05-19
3. 修改 Hive 配置文件 hive-site.xml: ``` cd $HIVE_HOME/conf cp hive-default.xml.template hive-site.xml vi hive-site.xml ``` 在 hive-site.xml 文件中添加以下配置信息: ``` <name>javax.jdo.option....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值