SQL Server 安全篇——安全元数据(1)——安全主体(Principal)元数据

最新推荐文章于 2023-12-04 09:59:19 发布
置顶 最新推荐文章于 2023-12-04 09:59:19 发布
阅读量1.5k 收藏
点赞数
分类专栏: 数据库管理 DBA 安全 SQL Server Security 文章标签: SQL Server DBA 安全 元数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dba_huangzj/article/details/79163082
版权
数据库管理 同时被 3 个专栏收录
277 篇文章 41 订阅
订阅专栏
DBA
186 篇文章 6 订阅
订阅专栏
安全
65 篇文章 0 订阅
订阅专栏

本文属于SQL Server安全专题系列


 虽然大量的安全元数据(security metadata)可以从SSMS中查询(指鼠标操作),但是有些元数据仅能通过T-SQL来查看。完整的安全元数据足以单独成书,这里仅介绍一些有用的或者可能会用到的内容。

安全主体元数据:

 当在实例上实施安全策略时,很有可能就要收集很多安全实体或者安全对象的信息。比如一个策略是所有数据库必须属于sa。那么为了验证这个情况,必须找到每个库的当前拥有者,然后进行对应修改。如果一个实例有200个库,那么GUI操作恐怕会很惨。
 对于使用GUI,更应该借用元数据来实现,每个数据库的拥有者可以通过sp_MShasdbaccess存储过程或者从sys.databases目录视图来获取。
 sp_MShasdbaccess存储过程不接受参数,直接返回库名及其拥有者,如下图,但是注意这个存储过程只返回有权限访问的库的信息:


 如果需要更详细的信息,可以从sys.databases中获得。如果只是上面的需求,可以从该视图中获取sid(安全ID),然后使用SUSER_SNAME()系统函数翻译成名字:




 对于SUSER_SNAME()和SUSER_NAME(),两者都可以返回登录名,但是前者参数为SID而后者是一个登录ID(安全主体ID)。

查找用户实际权限:


 当服务器角色和数据库角色的曾经比较复杂的时候,如果权限也直接授权到用户,那么权限识别工作将非常痛苦,而此时可以使用sys.fn_my_permissions()系统函数来协助,其参数如下表:

参数描述
securable用户权限所属的安全对象名字
securable_class需要查找的安全对象类型,如SERVER、DATABASE或对象
 函数返回的结果描述如下表:

描述
entity_name安全对象的名字
subentity_name如果安全对象有列,那么这列就包含列名,否则为NULL
permission_name由安全主体分配的权限名。
 这个函数用于返回关于调用函数的用户信息,但是也可以通过EXECUTE AS 来指定检查的用户信息,如下面脚本: 

USE master 
GO 
--创建一个演示登录
CREATE LOGIN DemoLogin WITH PASSWORD=N'Pa$$w0rd', CHECK_EXPIRATION=OFF, 
CHECK_POLICY=OFF 
--添加到sysadmin角色
ALTER SERVER ROLE sysadmin ADD MEMBER DemoLogin 
GO
USE AdventureWorks2016
GO 
--返回登录名
SELECT SUSER_SNAME() ; 
EXECUTE AS LOGIN = 'DemoLogin' ; 
SELECT SUSER_SNAME() ; 
REVERT ; 
SELECT SUSER_SNAME() ;
 本机结果如下:


 然后在演示使用sys.fn_my_permissions函数组合EXECUTE AS子句来查找用户权限。 

EXECUTE AS LOGIN = 'DemoLogin' 
   SELECT o.name 
        , a.entity_name 
        , a.subentity_name 
        , a.permission_name 
   FROM sys.objects o 
   CROSS APPLY sys.fn_my_permissions(CONCAT( 
                                        QUOTENAME( 
                                                SCHEMA_NAME(schema_id)) 
                                     , '.' 
                                     , QUOTENAME(o.name)) 
                                     , 'OBJECT') a   
   UNION ALL 
   SELECT d.name 
        , a.entity_name 
        , a.subentity_name 
        , a.permission_name 
   FROM sys.databases d 
   CROSS APPLY fn_my_permissions(QUOTENAME(d.name), 'DATABASE') a 
   UNION ALL 
   SELECT @@SERVERNAME COLLATE Latin1_General_CI_AS 
          , a.entity_name 
          , a.subentity_name 
          , a.permission_name 
   FROM fn_my_permissions(NULL, 'SERVER') a 
   ORDER BY 1 
REVERT
 结果太多,这里只能截取一小部分,读者可以自行测试:


 结果包含了实例、库、对象(当前库,包含索引等)层级的实际权限。语句包含三个独立部分并用UNION 连接起来。第一部分从sys.objects中返回对象名及架构名,传入sys.fn_my_permissions()函数中。第二部分把sys.objects的行为变成sys.databases,及把对象上升到库层面。最后一部分是实例层面的权限信息。

 如有相关脚本会尽量同步更新到本文。








發糞塗牆
关注
专栏目录
数据治理实战——元数据管理
爱吃辣条的博客
04-17 2834
数据治理实战——元数据管理
SQL Server 安全——安全元数据(5)——元数据自身安全
MVP黄钊吉(發糞塗牆)
02-11 690
本文属于SQL Server安全专题系列    随着元数据的使用频率越来越高,安全性也越来越凸显,因为从元数据中可以得到很多不应该随意暴露的系统信息。所以,绝大部分的元数据并不能随意被查看,通常都需要授权。    比如当一个用户A被授权查询B表,那么这个用户A就自动获得了在sys.tables和sys.objects中关于B表的信息。否则他无法真正使用这个B表。    如果需要查看那些没有权限访问...
SQL Server 安全——安全元数据(2)——安全对象(Securable)元数据
MVP黄钊吉(發糞塗牆)
02-02 1192
本文属于SQL Server安全专题系列  在某些日常工作中,安全配置文件可能会成为需要保护的对象。下面对这些可能进行简介, 并演示元数据如何帮助你验证或实施策略。 Code Signing:  代码签名,代码注入攻击明显是违反了安全策略,可以使用代码签名来防御这类工具,假设安全策略上要求所有程序集和存储过程必须使用代码签名来最小化安全威胁。  下面的代码返回在数据库中
SQL Server 安全——安全元数据(4)——加密(Ecryption)元数据
MVP黄钊吉(發糞塗牆)
02-09 919
本文属于SQL Server安全专题系列     这里需要注意,加密不是动词,而是指关于加密功能的元数据SQL Server作为成熟的数据库管理系统,必须有加密功能,而加密功能又需要有一定的元数据作为协助,不然对于用户或者DBA来说会很难使用。本文重点介绍在SQL Server 2016出现的Always Encrypted(始终加密)和2008开始出现的TDE功能的元数据。Always Enc...
SQL Server 安全——安全元数据(3)——审核元数据
MVP黄钊吉(發糞塗牆)
02-05 1005
本文属于SQL Server安全专题系列  审核除了应对用户行为之外,还能进行“审核审核”以避免别人对自己的怀疑。比如一个恶意的 DBA关闭了审核, 然后执行的是一个危险的行为, 则该操作本身将不会被审核, 但 由于DBA已经关闭了审计, 然后再次将其重新打开的时候,这个打开操作将被审核。  SQL Server提供了很多元数据对象来实现审核增强,其中一个最常用的就是sys.fn_ge
SQL Server 安全——SQL Server 安全模型(1)——安全主体层级
MVP黄钊吉(發糞塗牆)
01-22 3985
本文属于SQL Server安全专题系列 前言:  随着数据安全性的越来越重要,很有必要介绍一下数据库的安全方面的内容。本文兼容SQL Server 2016,但是由于安全这个范围太大,不可能完全说清楚,所以以重点介绍常用功能,同时兼顾新特性。系列中以SQL Server 演示库AdventureWorks2016CTP3为演示,下载地址:AdventureWorks sa
信息安全工程师第二版考试总结+笔记
热门推荐
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
SqlServer2008实例51存储过程基础
复行数十步
08-11 321
目录 1.创建基本的存储过程 2.创建带参数的存储过程 3.使用OUTPUT参数 4.修改存储过程 5.删除存储过程 6.在SQL Server启动时自动执行存储过程 7.报告存储过程元数据 8.为存储过程建立文档 用存储过程有以下一些好处。 存储过程帮助在数据层聚集T-SQL代码。嵌入即席SQL的网站或应用程序在应用环境下很难修改,当即席SQL嵌入在应用程序内的时候,你可能会花费太多时间试图找到和调试嵌入的SQL。一旦找到了bug,你可能就需要重新编译可执行程序,引起不必要的应用程序临
Java零基础——SpringSecurity
最新发布
m0_47946173的博客
12-04 2143
Spring Security是一个能够为基于Spring的企业应用系统提供声明式(注解)的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
狂神说——SpringBoot学习
weixin_44543307的博客
12-06 5281
Springboot 学习笔记Springboot简介什么是微服务?ThymeleafDuridSpringboot整合mybatisSpringSecurity安全Shiroswagger定时任务springboot 整合分布式 dubbo+ zookeeper+ springbootDubboRPC(两大核心:通讯,序列化)Zookeeper总结 学习源码 spring官网 springboot官网 spring-security版本下载 狂神官网学习 也可以搜索B站 (狂神说) Springboot简
探索SQL Server元数据(二)
weixin_34250434的博客
07-17 122
背景   上一中,我介绍了SQL Server 允许访问数据库的元数据,为什么有元数据,如何使用元数据。这一中我会介绍如何进一步找到各种有价值的信息。以触发器为例,因为它们往往一起很多问题。   那么如何找到触发器的数据?   以sys.system_viewsis表开始。让我们查询出数据库中使用触发器的信息。可以告知你当前SQL Server版本中有什么触发器。 SELECT schem...
SQL Server元数据查询
weixin_30807779的博客
01-04 177
1、查询触发器的信息 --查询触发器的信息 select name, --触发器名称 (select name from sys.objects where object_id = t.parent_id)as tb_name --表的名称 from sys.triggers t --查询触发器的代码 sel...
SQL总结之数据库元数据(MSSQL
gezhonglei2007的专栏
09-17 8694
数据库元数据就是指定义数据库各类对象结构的数据。 常见的数据库对象,包括:数据库表、触发器,索引,视图,存储过程,函数。 掌握数据库元数据,就需要深入地理解数据库的结构组成。 那么掌握数据库元数据有什么用呢?一方面,在应用设计时能够充分地利用数据库元数据。另一方面,深入理解了数据库组织结构,再去理解数据访问相关框架的实现原理会更加容易。
数据安全元数据管理分步指南
ksy_com的博客
06-15 538
组织中有效的元数据管理为数据提供正确的上下文和描述。此外,为了理解和信任数据,需要了解其背景——数据是如何产生的,以及是如何使用的。此外,需要知道基于这些数据做出的决策是什么,以及如何利用它来获得更好的竞争优势。为了在这个新的数字时代取得成功,组织需要创建细致的数据产品。数据产品不仅仅是报告或分析,而是一个全面的解决方案。在正确的时间和正确的设备上向正确的人提供分析、比较、富有洞察力的信息。如果没有完整的元数据管理解决方案,就很难创建这些数据产品。随着数据量的增长和大数据技术的爆炸式增长,CDO(首席数据官
元数据管理
secretWHD的博客
09-26 174
定义: 通过计划、实施和控制活动确保访问到高质量的、整合的元数据 目标: 1. 提供企业可理解的业务术语并使用它 2. 从不同来源采集和整合元数据 3. 提供访问元数据的标准方法 4. 确保元数据质量与安全 元数据最常见的定义是“关于数据的数据”,它描述了数据本身(如数据库,数据元素,数据模型),数据表示的概念(如业务流程,应用系统,软件代码,技术基础设施),数据与概念之间的联系 ...
大数据,小细节:元数据如何带来安全风险
挨踢小石头
08-26 769
  大数据,小细节:元数据如何带来安全风险   随着大数据的兴起,元数据突然变得有价值。如果一张图片胜过千言万语,则元数据表达的信息将无限多。现在它可能会带来安全风险。      元数据中有什么?   照片元数据中包含许多种信息。但是,其中一个主要信息是Exif文件中的GPS位置。每当人们使用手机拍照时,它都会将其位置数据嵌入到文件中。如果立即上传该照片,或者定期从私有场所(例如家中)上传...
HDFS--图解元数据安全--SecondaryNameNode
qq_46893497的博客
11-30 306
1、数据安全 副本机制 每个块有多个副本,存储在不同的机器和机架中 某台机器宕机,其他机器上依旧可读这份数据 安全模式 会检查数据块是否完整,如果数据块丢失,会通过副本恢复 2、元数据安全 问题1:元数据怎么来的? 1.格式化时,会初始化生成一个元数据文件,NameNode那台机器的目录中:fsimage【磁盘中】 2.当NameNode启动时,会读取这个文件,将这个文件中的内容加载到内存中 3.当客户端提交读写请求时,NameNode会对内存中的元数据进行读写【内存中元数据会发生更改,最新】
​浅谈云上攻防之——元数据服务带来的安全挑战
YDclub的博客
06-09 452
原创作者:腾讯云鼎实验室 ruiqiang 前言 在针对云上业务的的攻击事件中,很多攻击者将攻击脆弱的元数据服务作为攻击流程中重要的一个环节并最终造成了严重的危害。 以2019年的美国第一资本投资国际集团(CapitalOne)信息泄露事件举例,根据《ACase Study of the Capital One Data Breach》报告指出,攻击者利用CapitalOne部署在AWS云上实例中的SSRF漏洞向元数据服务发送请求并获取角色的临时凭证,在获取角色临时凭据后将该角色权限下...
云上攻防:深入探讨Web应用托管服务中的元数据安全隐患
TechSavant的博客
09-17 56
通过审查默认配置、强化访问控制和定期审计与监控,我们可以降低元数据泄露和攻击的风险。通过采取这些措施,我们可以提高Web应用程序的安全性,并保护敏感的元数据信息。上述代码中,我们使用Flask框架创建了一个简单的Web应用程序,并通过日志记录记录了对主页的访问。审查默认配置:在使用Web应用托管服务时,务必仔细审查默认配置,并确保使用安全的配置选项。定期审计和监控:定期审计和监控元数据的访问和使用情况可以帮助及早发现潜在的安全问题。限制对元数据的访问权限,并为不同的用户和角色分配适当的权限级别。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值