SLServer资料的安全存取.ppt

Microsoft TechNet 技術講座--資料庫技術升級系列三 SQL Server 2005 資料的安全存取 精誠公司恆逸資訊 楊先民 上次回家作業解答 Q1: 在資料庫鏡像中，鏡像伺服器可否用來擔任報表的資料來源？ 需搭配資料庫快照 Q2: 如何增加備份媒體的可靠度？ 利用鏡像備份，同時儲存多個備份 大綱 帳號密碼安全性原則 使用者與結構定義分開 不同權限檢視不同的中繼資料 Execution Context SQL Injection Replication安全性設定 Agent、Database Mail安全性設定 大綱—續 Application Role安全設定 利用 Stored Procrdure、View增進安全 Audit審核的機制 利用 DDL Trigger審核 SQL事件 SQL Server自訂帳號對應到 Windows帳號 支援憑證的對稱，非對稱加密 預設關閉各選項功能 限制 .NET程式碼執行 帳號密碼安全性原則 安全性的基本 驗證(authentication) 檢查是否為正確的使用者 有 Windows驗證與 SQL驗證 授權(authorization) 給與使用者權力 利用 Fixed Role來設定 owner所建立的物件，該 owner有完全的權力 2驗證(authentication) Windows驗證 需要有 Windows帳號或 AD帳號 SQL Server要允許登入(Grant) 適用在區域網路 SQL 驗證 只需 SQL Server允許登入即可 適用在前端非 Windows環境 程式撰寫連線資料庫 資料庫使用者(Database User) 使用資料庫前的使用者驗證 設定帳號密碼的 policy SQL 驗證的密碼可設定 policy SQL Server 2005新增功能 需搭配 Windows 2003 Server 設定密碼的強度 密碼內容長度 密碼的複雜度 密碼過期的週期 Demo 2授權(authorization) 給予權力 可設定在 login帳號與 database user Server等級權力 建立DDL權力 修改 Database權力 Database等級權力 Schema等級權力 Object等級權力 管理權限 如何管理 Server的權限 如何管理 Server-Scope 的權限 如何管理 Database的權限 如何管理 Database-Scope的權限 如何管理 Schema-Scope的權限 如何管理 Server的權限 如何管理Server-Scope權限 Server-scope 安全 HTTP endpoints Certificates 如何管理 Database權限 如何管理Database-Scope 權限 如何管理Schema-Scope 權限 Demo 授權給 login id，讓它可以登入 SQL Server 授權給資料庫使用者，讓它對 create table有權力(設定database權力) 使用者與 Schema 的分離 SQL Server 2000 只有 dbo.object名稱 不支援Schema Server.database.dbo.object SQL Server 2005 支援 schema 原本的 dbo，置換成 schema 用來解決物件使用的問題 刪除使用者 = 應用程式重寫 解決方法Schema與 User分離 可以利用 Default Schema解決問題 Demo 設定 schema 設定 default schema 利用 schema完成資料存取 不同權限檢視不同的中繼資料 查詢靜態的中繼資料 資料庫名稱\Views\System Views目錄 SELECT * FROM sys.tables 查詢動態的中繼資料 資料庫名稱\Views\System Views目錄 SELECT * FROM sys.db_tran_locks 使用者不可直接存取系統資料表 不同權限的使用者所得到的Metadata結果不同 可設定不能讀取 store procedure的定義 Demo 不同權限檢視的 Metadata也有所不同 SELECT * FROM sys.tables 故意刪除沒有權力刪除的資料表 會出現資料表不存在或是沒有權限 可以設定 deny看 store procedure定義的權力 Execution Context 與 Broken Ownership Chaining 中斷 Ownership Chains View裡面的 table，owner name不同，權限設定會 發生問題 範例: Maria 執行: Tom 執行: