小议MSSQL Server 2000的安全及管理[MSSQL防范]

??????? 那么,到底什么是安全管理呢?简而言之,安全管理是指对需求登入服务器的人员举行管理.在利用程序中,我们会对资料库的各类利用者设置资料操作权限,普通是直接在利用程序中做账号与密码的管理,但这种做法需求撰写程序掌握.而SQL Server具有密切、易操作的图形利用界面,可以便利地管理利用者对SQL Server的存取权限.

??????? SQL Server 安全管理可分为3个层次,即登入账户、资料库的管理与衔接特定资料库的权限和利用者对所衔接资料库部份的操作权限.下面,我们将针对这3个层次做具体阐明.

1、登入账户
??????? 任何需求存取 SQL Server的利用者皆需求有一组服务器承认的账户和密码.SQL Server支持2种登入方法,一种为Windows考证,另一种为SQL Server考证.前者只要在SQL Server中成立与Windwos NT/2000对应的登入账户,让利用者登入Windows NT/2000时所用的账户能与在SQL Server中的账户彼此对应,便可顺利连上SQL Server,由此,我们完成了对Windows NT/2000安全管理机制的整合.

??????? 接下来,资料库管理者在Windows NT上登入账号,可直接将Windows NT中的群组加到SQL Server中,从而成为一个登入账户.

??????? 通过上述操作,Windows NT登入群组中的成员皆可衔接SQL Server.假如该群组中某一成员不答应其登入SQL Server,可在SQL Server中将该成员的个人账户设为回绝存取.假如把SQL Server安装在 Windows 95、Windows 98或Windows Me中,则无法利用Windows考证方法.

??????? 假如利用SQL Server考证,必须在SQL Server中为要衔接SQL Server的利用者成立登入的账号名称和密码,这些账号和密码与Windows NT/2000的账户无关.

2、管理与衔接特定资料库的权限
??????? 在成立登入账户后,利用者便能进入SQL Server中,但并不代表利用者有衔接SQL Server特定资料库的权限,必须对利用者或群组设置对SQL Server的操作权限.SQL Server中对资料库的操作权限可分为服务器自身的操作权限与资料库的存取权限.对SQL Server的操作权限可由服务器角色来设置,资料库的存取权限则可由角色与利用者对个体表格的存取权限来设置.那么,服务器角色与角色之间有什么差别呢?

??????? 1.?服务器角色
??????? SQL Server系统内建8种服务器角色(可把角色想像成Windows NT账号中的群组),它不能更改或新增.当对某一利用者或群组设置好服务器角色后,其便拥有该服务器角色所拥有的权限.服务器角色是将SQL Server的各项管理工作加以分类,如成立账号和资料库备份等,它与资料库角色不一样,后者为对个体资料库的操作权限.

??????? 我们简单列出8种服务器角色所拥有的权限.
??????? system administrators?表示系统管理员可履行任何行动.
??????? security administrators?表示管理登入账户.
??????? server administrators?表示设置SQL Server的各项参数.
??????? setup administrators ?表示有关replication(复制)的设置与管理扩大预存程序.
??????? process administrators?表示管理SQL Server全部履行中的程序.
??????? disk administrators??表示管理资料库文件.
??????? database administrators?表示成立和更改资料库属性.
??????? bulk insert administrators?表示对可履行bulk insert操作的管理.

??????? 2.?角色
??????? SQL Server内建10种资料库角色,它不能更改或删除,但可对个体资料库增添角色.若赐与利用者有内建角色中的资料库拥有者权限,它便拥有该资料库的完好操作权.别的各角色的具体权限阐明可参考SQL Server的bol(即SQL Server books online),通过查询关键字roles,进入标题为roles的项目,此中有包含内建服务器角色与资料库角色的完好阐明,在此不多赘述.需求注意的是,在对利用者辨别设置了各种角色(每一利用者或群组可具有多种角色)后,它便拥有全部角色联集的权限,但假如此中有某一角色对某一操作权(如对某一表格的select权)设置了回绝,它将失去了该项权限,换句话说,回绝权限优于授与权限.

3、资料库中部件的存取权限
??????? 关于SQL Server的管理与可衔接特定资料库的权限,由SQL Server所供应的服务器角色与资料库角色基本上可以符合我们大部份需求.别的,可直接对利用者或群组设置对资料库中部件的个体存取权限,这些个别的存取权限有select、insert、update、delete、exec和dri,此中exec与dri辨别表示对预存程序的履行权限和对表格有效性的考证权限.在做直接的权限设置时,我们也可针对特别的利用者(如内建资料库角色不能满意时),当然,假如利用相同权限方法的用户对比多时,可以增添一个符合需求的资料库角色,或将这些利用者在Windows NT/2000上先归于某群组,再对该群组设置权限,这样做对比便利于管理与保护.

??????? 除上述内容之外,在实际运行时,笔者关于资料库安全的把关总结出以下几点倡议.
??????? 1. 除非必要,不然尽大概以Windows考证来管理可衔接SQL Server的利用者,以整合Windows NT/2000的安全机制.
??????? 2. 善用SQL Server的服务器角色与资料库角色功效.
??????? 3. 善用SQL Server的加密功效.

??????? SQL Server供应了登入账号、网络传输、虚拟表和预存程序的加密功效.此中账号的密码加密是预设的,而网络间传输资料则可用SSL方法举行加密,要启动此功效必须启动net-library的加密功效,同时要配合Windows 2000的CA功效,并在服务器端与用户端设置完成,从而双方在传输资料前,便会在SSL加密后再举行传输.由于虚拟表和预存程序的定义是以明码保存在系统资料表中,若要将虚拟表和预存程序加密,可在其成立时在eNTerprise manager中设置加密选项或以 alter 论述来设置加密.

??????? 4. 系统安装完毕后,务必更改预设的sa密码,免得有其他利用者"义务"管理您的SQL Server.