- 1、本文档共9页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
SQL Server的用户权限管理 实际应用中,我们经常法是否正确?是否对登陆用呢?如果划分不当,您知道
会在数据库中建立自己需要的登户的权限进行过详细的划分?划它带来的后果吗?
陆用户,但是您建立登陆用户的方分前是否已经整理好该用户的权限
请参考下面方法:
目的:
实际应用中,我们经常会在数据库中建立自己需要的登陆用户,但是您建立
登陆用户的方法是否正确?是否对登陆用户的权限进行过详细的划分?划分前
是否已经整理好该用户的权限呢?如果划分不当,您知道它带来的后果吗?
一、建立用户前先分析该用户的用途
在应用中我们经常会建立很多SQL Server的登陆用户,每个用户都有不同的
用途,完成的功能也不相同,如果您是一个数据库的管理员,面对这么多数据库
的登陆用户是否对这些登陆用户有很详细的了解,这里所说的了解是指具体的用
途,比如:user_a只能
读某个数据库的某个表;user_b
可以读、写某个数据库的
某些表等。有些管理员为了偷懒省事,直接复给它个db_owner更有甚者给它
System Administrator
s权限,这样暂时虽然给您的操作
带来了方便,但同时也给
hacker们带来了方便。:)。因此这里有一个建议:“在建立登陆用户时,把它
的详细用途用笔记下,然后整理,同时也为下次核查数据库的安全做了参考”
例如:
二、正确的建立SQL Server用户
1、打开SQL Server Enterprise Man
ager,在登陆中建立一个新的用户,在
General栏中,输入名字-选择登陆方式-输入密码-选择默认的数据库,如图(一):
图(一)
选择第二栏Server Roles,里面可以选择该用户的权限,需要注意的是,如
果您选择了System Administrators
,那么后面的Database Access栏就不用选
择了,因为此时你的权限最大可以做任何事,这里我们不选,如图(二):
图(二)
选择第三栏Database A
ccess选择要访问的数据库,为
该数据库选择相应的
权限public,如果您还选择了db_owne
r,那么该用户就有了:添加、删除、修改
该数据库的权限,这里我们不选,目的是为了对数据库中的表单独设置具体的权
限。如图(三):
图(三)
点击确定。
2、打开刚才选择的数据库展开它-选择Users,在右边出现了我们刚才建立
的用户-属性(右键),如图(四):
图(四)
在Database role memb
ership:中,你可以继续为它划
分权限,我们选择
public-Permissions… (右上角),然后出现针对具体表的权限设置,如图(五):
图(五)
选择详细的规划后,点确定,到此有关权限的设置已经完成。
三、权限划分不当的危害
在新安装的SQL Server
后,如果sa帐户,密码就为空
,而且这个密码是SQL
Server安全模块成员,享有最高的管理控制权,那么我们就可以用查询器或者
OSQL登陆到对方的计算机上,前提是对方的数据库中
xp_cmdshell stored p
rocedure“扩展存储过程” 存
在,默认是有的,(能让
你这么容易的登陆上估计也不可能删除的)然后运行下面的命令:
Xp_cmdshell net user hacker 123
456 /ADD
(增加一个名字为hacker密码为123456的用户)
然后在:
Xp_cmdshell net localgroup Admi
nistrators hacker /ADD
(给刚才增加的hacker用户,添加到Administrators组中)
这样攻击者就成功的在
SQL SERVER上增加了一个window
s用户,而且有最高权限,
然后做什么呢?这个问题自己想吧,有了最高权限,想做什么就做什么吧。
您可能关注的文档
- 《C++程序设计基础教程与上机指导》第8课:预处理指令.ppt
- 《单片机基础及应用》第4章_80C51单片机指令系统.ppt
- 《电子商务理论与实务》.doc
- 《管理系统中计算机应用》00051-200607.doc
- 《管理系统中计算机应用》00051-200804.doc
- 《计量地理与地理信息系统》授课复习提纲(第2版).doc
- 《数据结构与算法》第四章 串.ppt
- 【计算机网络】复习提纲2009.doc
- 1-2 linux快速入门(基础指令上).ppt
- 1 下面程序的功能是从键盘输入1个大于100的整数m.doc
- 执业药师之《药事管理与法规》检测卷讲解含答案详解(最新).docx
- 执业药师之《药事管理与法规》全真模拟模拟题及答案详解(全国通用).docx
- 2025年执业药师之《西药学综合知识与技能》模拟试题附参考答案详解(突破训练).docx
- 2025年执业药师之《西药学综合知识与技能》考前冲刺模拟题库含答案详解(培优a卷).docx
- 2025年执业药师之《西药学综合知识与技能》真题精选附答案详解(名师推荐).docx
- 执业药师之《药事管理与法规》强化训练模考卷带答案详解.docx
- 2025年执业药师之《西药学综合知识与技能》考前冲刺测试卷包附参考答案详解(b卷).docx
- 2025年执业药师之《西药学综合知识与技能》模考模拟试题及参考答案详解(夺分金卷).docx
- 2025年执业药师之《西药学综合知识与技能》真题含答案详解【b卷】.docx
- 2025年执业药师之《西药学综合知识与技能》考前冲刺模拟题库带答案详解(b卷).docx
文档评论(0)