翻译:Stairway to SQL Server Security Level 3: Principals and Securables


该系列

 

本文是阶梯系列的一部分:SQL Server Security的阶梯

SQL Server提供了保护服务器和数据免受当今复杂攻击所需的一切但是在您能够有效地使用这些安全特性之前您需要了解您所面临的威胁和一些基本的安全概念第一个阶梯级别提供了一个基础这样您就可以充分利用SQL Server中的安全特性而不必将时间浪费在无法保护数据免受特定威胁的特性上

 

通常通过将对象的权限分配给主体可以在SQL Server中实现用户和对象的安全性但是什么是SQL Server主体呢?它得到了什么许可?在这个阶梯级别中您将了解可以通过权限授权的各种主体以执行操作并访问SQL Server实例中的可保护对象。SQL Server中一组重要的主体是角色您将了解角色如何使管理安全性比将单个用户作为唯一类型的主体更容易您还将了解SQL Server中可安全使用的对象并将其设置为了解下一层的权限

 

授权

 

级别2的身份验证只是访问数据库服务器中的所有优点的一部分身份验证有点像护照可以证明你是谁但没有签证——你需要签证才能进入这个国家在这个国家四处走动在这个级别中您将了解授权以及它如何作为提供对数据库对象访问的签证

 

主体是可以访问SQL服务器或其数据库中的一个或多个可保护对象的用户或进程可使用的对象(或仅可实现的)是受保护的资源只有特定的人员或进程可以查看或更改例如表中的数据权限使主体能够获得可获得的特定类型的访问权限

 

继续这个护照类比校长是护照的持有者护照上有照片的人最安全的是校长想要访问的国家而许可则是跨越国家边境并享受访问的签证

 

主体

 

在安全性上下文中主体是任何用户(人类类型)、用户组(SQL Server中称为角色)或运行在进程中的代码该进程可以请求对可保护对象的访问并授予或拒绝对该对象的访问权所有WindowsSQL Server登录都是主体以及它们在数据库中映射到的用户下面的列表显示了SQL Server中大多数更重要的主体的层次结构从服务器范围的主体到SQL Server实例的权限再到数据库级的主体:

 

windows级别主体

²   Windows域登录

²   Windows

²   Windows本地登录

SQL服务器级主体

² SQL Server登录

² SQL Server登录映射到证书

² SQL Server登录映射到Windows登录

² SQL Server登录映射到非对称密钥

数据库级的主体

² 应用程序角色

² 数据库的作用

² 数据库用户

² 数据库用户映射到证书

² 数据库用户映射到Windows登录

² 数据库用户映射到非对称密钥

² 公共角色

 

理解这个层次结构很重要因为主体的范围部分地决定了授予它的权限的范围例如数据库用户只能在该数据库的上下文中授予其权限。SQL server级主体可以在整个服务器上具有权限Windows级主体可以具有超出SQL server范围的权限可以扩展到Windows的本地实例和整个网络

 

请注意在前面的列表中主体可以是登录(或用户)和角色。SQL Server中的角色类似于Windows拥有角色成员资格的用户继承分配给角色的权限角色使安全管理更容易因为您不需要为单个用户管理复杂的权限集。SQL Server支持以下几种角色:

 

² 固定服务器角色:用于执行服务器级任务的SQL server内置角色

² 用户定义的服务器角色:您创建的自定义服务器角色分配服务器级别的权限并分配登录以便它们继承服务器对象的权限

² 固定数据库角色:用于执行数据库任务和分配基本权限的内置角色

² 用户定义的数据库角色:您创建的自定义数据库角色为其分配权限然后向其添加用户以便用户继承数据库对象上的权限

 

您可以将用户分配到多个角色角色也可以是嵌套的但是不要太过分——如果你的嵌套方案太复杂了你就会受到性能的惩罚而且它会使维护和故障排除成为一场噩梦

 

固定服务器角色

 

固定服务器角色是SQL server中的内置角色您不能以任何方式更改它们——您只能向它们添加登录它们只存在于服务器级用于执行管理任务这里列出了SQL server中的固定服务器角色括号中列出了实际的角色名:

 

² 系统管理员(sysadmin):SQL Server实例中执行任何活动这个角色包含所有其他的角色一旦用户是sysadmin的成员他们就不需要任何其他角色。sysadmin的成员可以做任何他们想做的事情所以最好将成员限制在那些需要的人并且可以信任他们拥有无限制的访问权限

² 批量插入管理员(bulkadmin):执行批量插入语句以快速将数据导入数据库

² 数据库创建者(dbcreator):创建和修改数据库

² 磁盘管理员(diskadmin):管理存储数据库的各种磁盘文件

² 流程管理员(processadmin):管理在SQL Server中运行的进程

² 服务器管理员(服务器管理员):配置服务器范围的设置尽管名称与系统管理员相似serveradmin是一个非常不同的非常有限的角色

² 安装管理员(setupadmin):安装复制和管理扩展过程

² 安全管理员(securityadmin):管理服务器的登录

 

固定服务器角色提供了灵活性和安全性允许您将服务器任务划分为多个部分换句话说如果某人只需要创建数据库那么您不必让他成为系统管理员相反让它们成为dbcreator的成员它们拥有所需的所有权限

 

您可以使用Management StudioTransact-SQL将登录名分配给一个固定的服务器角色要使用Management Studio,请执行以下步骤:

 

提示:

这段楼梯第2层的代码创建了Topaz登录如果您没有创建登录可以运行该代码来创建它或者使用第2级中讨论的技术创建您自己的登录如果您执行后者请根据需要调整使用该登录的步骤

 

1. 展开Management Studio中的Object Explorer的安全性部分以显示登录的列表

2. 右键单击Topaz登录并从弹出菜单中选择Properties。

3. 登录属性对话框中选择服务器角色页面这将列出所有可用的服务器角色并使用一个复选框来添加登录注意,Topaz和所有登录者一样已经是公共角色的成员

4. dbcreatordiskadmin角色分配登录3.1显示了登录Topaz的对话框

    5.单击OK保存更改

 

或者您可以使用对象资源管理器中的安全节点下的服务器角色节点添加登录到角色Topaz添加到securityadmin服务器角色:

    1.在对象资源管理器的安全节点下展开服务器角色节点

    2.右键单击Object Explorer中的securityadmin服务器角色并选择Properties。这将打开服务器角色属性对话框

    3.单击对话框右下方的Add按钮将打开Select Logins对话框您可以输入Topaz并单击 Names,或者单击Browse按钮以获取登录列表输入黄玉后对话框如图3.2所示

    4.单击OKTopaz添加到服务器角色服务器角色属性对话框如图3.3所示

    5.单击OK保存更改

 

另一种向服务器角色添加登录的方法是使用Transact-SQL,方法是使用sp_addsrvrolemember系统存储过程以下代码将现有的登录Topaz添加到sysadmin角色:

 

清单3.1:向服务器角色添加登录的代码

 

通过运行两个存储过程,sp_helpsrvrolesp_helpsrvrolemember,您可以找到关于固定服务器角色的信息如果您将服务器角色的有效名称传递给sp_helpsrvrole,它将显示该角色的描述;否则它将显示所有服务器角色3.4显示了在Management Studio中执行的两个系统存储过程以显示securityadmin角色及其当前成员的描述

 

用户定义的服务器角色

 

SQL Server 2012中等待已久的安全特性是用户定义的服务器角色。SQL Server长期以来都有灵活的用户定义数据库角色用于数据库级别的权限(您将在稍后的级别中了解这一点),但是使用自定义服务器角色您最终可以通过服务器级别的权限获得粒度化的数据库角色

 

在旧版本的SQL Server向用户授予某种权限的唯一方法是将它们分配到一个内置的固定服务器角色这个角色通常有太多的权限让每个人都成为系统管理员是一种可怕但又常见的实践尤其是有问题的因为您无法否认系统管理员的任何事情这在很大程度上违背了特权最小的原则但通常是一种实际的需要。SQL Server 2005和后来的SQL Server都更细粒度了允许您为用户分配任何特定的服务器级权限但缺乏将这些权限分组到服务器角色的能力

 

SQL Server 2012通过支持用户定义的服务器角色解决了这个问题创建一个新的服务器角色就像使用CREATE server角色语句一样简单:

 

清单3.2:创建新服务器角色的代码

 

然后您可以授予和拒绝角色任何您想要的服务器级权限下面的代码将控制服务器权限授予新的角色——类似于授予sysadmin特权——然后拒绝一些权限来限制服务器角色成员的特权这是一种非常灵活的方式可以授予属于组特定权限的用户

 

清单3.3:添加和拒绝服务器角色权限的代码

 

为了测试这个角色清单3-4中的代码创建了一个与Windows,dba,在名为Marathon的机器上的登录并将新的登录添加到有限dba角色中

 

提示:

在运行此代码之前,dba组必须在Windows的本地实例上存在您可以进入控制面板的计算机管理applet创建它扩展系统工具和本地用户和组节点并将其添加到组节点同时将机器名从Marathon更改为本地机器

 

清单3.4:创建登录并将其添加到服务器角色的代码

 

然后清单3.5中的代码创建一个SQL服务器登录卡罗尔SQL Server实例中没有任何权限然后代码在carol的安全上下文中尝试各种需要服务器级权限的操作:创建另一个登录查看系统信息并创建另一个服务器角色所有这些操作都失败了您可以在图3.5中看到因为carol principal没有执行这些操作的权限

 

清单3.5:创建一个登录和测试的代码看看它是否具有特定的权限

 

提示:

此代码不检查SQL Server实例中是否存在现有的carol登录如果存在则创建登录语句将失败在这种情况下跳过这个语句

 

接下来代码将carol添加到新的LimitedDBA用户定义的服务器角色中并再次尝试执行相同的操作如图3.6所示这一次carol能够获得系统信息(SELECT action),因为该权限是通过CONTROL SERVER权限授予的但是carol仍然不能创建登录或服务器角色因为这些权限被LimitedDBA角色显式地拒绝

 

清单3.6:代码再次测试服务器角色的成员是否具有特定的权限

 

为了查看可以授予和拒绝服务器角色的所有可用服务器级权限执行以下代码3.7显示了结果

 

清单3.7:查看所有可用服务器级权限的代码

 

您可以创建用户定义的服务器角色来授予用户和组一组非常特定的权限这些权限是他们需要完成工作的而不是更多这要比SQL Server的早期版本灵活得多使用SQL Server 2012,安全管理要容易得多更容易的管理必然意味着更安全的服务器

 

固定数据库角色

 

固定的数据库角色存在于数据库级别而不是服务器级别并且仅在该数据库中控制授权每个数据库都有自己的固定数据库角色集合因此可以分别配置每个数据库中的角色固定的数据库角色类似于固定的服务器角色因为它们不能被删除修改或更改但是您可以将数据库用户和用户定义的角色添加为成员固定的数据库角色是:

 

² db_accessadmin:可以在数据库中添加或删除Windows登录和组和SQL Server登录

² db_backupoperator:可以备份数据库

² db_datareader:可以从数据库中的所有用户表中查看任何数据

² db_datawriter:可以在数据库中的所有用户表中添加更改或删除数据

² db_ddladmin:可以在数据库中添加修改或删除对象。(DDL表示数据定义语言即对数据库进行结构性更改的Transact-SQL命令的集合。)

² db_denydatareader:无法查看数据库中的任何数据

² db_denydatawriter:不能更改数据库中的任何数据

² db_owner:可以执行所有数据库角色的活动以及维护和配置活动这个角色包含所有其他角色因此它本质上是这个数据库的管理员

² db_securityadmin:可以管理数据库中的角色成员关系语句和对象权限

 

固定的数据库角色可以简化数据库中的权限分配例如假设您希望允许用户访问一个特定的数据库但只支持它您不希望用户能够读取数据只需备份数据即可通过使用户成为db_backupoperatordb_denydatareader角色的成员您可以轻松地实现这一点使用sp_helprolesp_helprolemember系统存储过程来查看关于数据库角色的信息

 

公共角色和来宾用户

 

有几个特殊的原则需要提及您不太可能以任何有意义的方式使用这些主体但它们确实会影响安全性因此您需要知道它们是什么

 

公共角色是一个特殊的服务器角色不能被删除每个数据库用户都属于这个公共角色所以不需要为它分配用户组或角色每个SQL Server数据库都包含公共角色包括master、msdb、tempdbmodel。但是您可以根据安全需要授予或限制公共角色的权限关于public角色需要记住的重要一点是您授予给public的权限可以应用到所有数据库用户

 

提示:

通常您希望限制您授予公共角色的权限因为向每个人授予权限很少导致安全数据库

 

guest用户存在于每个数据库中包括像mastermodel这样的系统数据库作为用户它继承公共角色的权限当没有将服务器登录映射到特定数据库中的用户时它将发挥作用默认情况下来宾用户没有权限但是您可以授予访问数据库对象和在数据库中执行操作的权限正如您可能期望的那样这是一件非常危险的事情在为数据库服务器设计良好的安全方案中很少需要这样做您应该避免为该用户分配权限虽然不能删除该用户但是应该使用清单3.8中的代码撤销其连接权限从而在用户数据库中禁用该用户

 

清单3.8:在用户数据库中通过撤销其连接权限来禁用来宾用户的代码

 

提示:

不要禁用系统数据库中的来宾用户这会导致您不想处理的问题!这些数据库需要客户用户提供各种功能

 

dbo用户和模式

 

dbo是每个数据库中映射到sysadmin固定服务器角色的特殊用户帐户这意味着如果您是sysadmin角色的成员并在任何数据库中创建对象那么该对象的所有者将是dbo,而不是您您不能删除dbo用户它只映射到sysadmin,而不是数据库所有者(db_owner)。这可能令人困惑因为dbo用户实际上与db_owner角色没有任何关系

 

每个数据库都有一个dbo用户拥有的dbo模式并且是dbo用户的默认模式因此当您以sysadmin访问数据库并创建对象而不指定模式时它的两部分名称将是dbo.objectname。如果没有指定模式名那么dbo模式也是任何其他用户访问数据时的辅助默认模式如果用户joe试图访问一个名为sales的表,SQL Server将首先检查用户joe的默认模式中是否有一个sales如果没有它将检查dbo模式中是否有一个sales只有当两种模式中都不存在sales才会产生无法找到对象的错误最佳实践是始终为访问的每个对象指定模式名

 

用户定义的数据库角色

数据库角色并不局限于预定义的滚动您可以创建自己的角色用户可以定义两种类型的数据库角色:

² 标准角色:使用此角色简化对用户组的权限分配您可以嵌套固定的数据库角色或其他用户定义的角色并将用户分配给角色在这种情况下他们继承角色的权限

² 应用程序角色:应用程序使用这个角色来允许应用程序或连接登录到数据库并通过提供角色名和密码来激活应用程序角色您不能向应用程序角色添加您对其他角色的处理方式并且一旦激活应用程序角色的权限将应用于连接的持续时间用户可能拥有的任何单独权限都将被挂起并且只检查应用程序角色的权限

提示:

您可以向一个固定的数据库角色添加用户定义的角色就像向一个固定的数据库角色添加用户一样:通过固定的数据库角色的属性对话框

 

可获得的对象

 

可保护对象是可以控制访问的受保护资源通常它是一个物理的东西或者至少像一个数字对象一样是物理的东西!但是安全也可以是操作即对数据库或SQL Server实例进行某种更改的能力例如管理员可以授予主体获取对象所有权的能力授予此权限不会立即改变对象的所有权;它只是让校长有能力在将来的某个时候做这件事

 

3.8显示了SQL Server实例中的大多数可保护对象服务器级安全对象具有最广泛的范围包括所有SQL Server,包括影响主体对所有数据库进行更改的能力的权限数据库范围包含特定数据库中的所有对象比如用于管理用户和创建加密密钥的对象模式作用域包括模式中的所有对象——本质上是数据库的数据结构包括表及其数据数据库可以包含许多模式每个模式都可以包含完整的数据库对象集的子集使模式强大的是您可以在模式上分配和拒绝权限并且这些权限适用于模式所包含的所有对象

 

重要的是要理解在服务器级授予权限通常意味着在更小的范围内授予权限例如授予数据库级权限可能意味着主体对一个或所有数据库模式中的对象具有隐含的权限

 

总结

 

SQL Server安全性的阶梯中您了解了授权的第一部分、SQL Server及其数据库实例中可用的主体和可保护对象在下一个级别中您将了解权限当授予可保护对象上的主体时该权限会授予或剥夺主体对该对象进行某些操作的能力有了这种理解您将能够有效地利用SQL Server中的身份验证和授权的粒度特性在允许授权用户和流程完成其工作的同时对数据库资产保持严格的控制

 


  • 0
    点赞
  • 0
    评论
  • 0
    收藏
  • 扫一扫,分享海报

参与评论 您还未登录,请先 登录 后发表或查看评论
©️2022 CSDN 皮肤主题:大白 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值