第12章管理SQLServer2005的安全性.pptx

数 据 库 原 理 及 应 用（SQL Server 2005）;第12章 管理SQL Server 2005的安全性;12.1 SQL Server 的安全体系;在用户使用客户计算机通过网络实现对SQL Server服务器的访问时，用户首先要获得客户计算机操作系统的使用权。 一般来说，在能够实现网络互连的前提下，用户没有必要向SQL Server服务器的主机进行登录，除非SQL Server服务器就运行在本地计算机上。SQL Server可以直接访问网络端口，所以可以实现对Windows NT或Windows 2000 Server安全体系以外的服务器及其数据库的访问。操作系统的安全性是操作系统管理员或网络管理员的任务。;SQL Server服务器的安全性是建立在控制服务器登录帐号和口令的基础上的。SQL Server采用了标准的SQL Server 登录和集成Windows登录两种方法。无论是哪种登录方式，用户在登录时提供的登录帐号和口令决定了用户能否获得对SQL Server 服务器的访问权，以及在获得访问权后用户可以利用的资源。设计和管理合理的登录方式是SQL Server数据库管理员（DBA）的重要任务，在SQL Server的安全体系中，DBA是发挥主动性的第一道防线。 SQL Server事先设计了许多固定的服务器角色，可供具有服务器管理员资格的用户分配和使用，拥有固定服务器角色的用户可以拥有服务器级的管理权限。 ;在用户通过SQL Server服务器的安全性检查以后，将直接面对不同的数据库入口。这是用户接受的第三次安全性检查。默认情况下，只有数据库的所有者才可以访问该数据库内的对象，数据库的所有者可以给其他用户分配访问权限，以便让其他用户也拥有针对该数据库的访问权。一个用户在取得合法的登录帐号，只表明该帐号可以通过Windows认证或SQL Server认证，其在当前服务器上可以访问哪些数据库，以及对数据库内的数据及数据对象进行哪些操作，与该帐号对应的数据库用户所有的权限有关。 SQL Server提供了许多固定的数据库角色，可以用来在当前数据库内向用户分配部分权限。同时，还可以创建用户自定义的角色，来实现特定权限的授予。 ;数据库对象的安全性是核查用户权限的最后一个安全等级。在创建数据库对象时，SQL Server自动将该数据库对象的所有权赋予该对象的创建者。对象的所有者可以实现以该对象的完全控制。 默认情况下，只有数据库的所有者可以在该数据库下进行操作。当一个普通用户想访问数据库内的对象时，必须事先由数据库的所有者赋予该用户关于某指定对象的指定操作权限。例如，一个用户想访问某数据库表的信息，则他必须在成为数据库的合法用户的前提下，获得由数据库所有者分配的针对该表的访问许可。 ;SQL Server 2005提供了两种确认用户的验证模式：即“Windows身份验证模式”和“SQL Server和Windows身份验证模式”。 1．Windows身份验证 Windows身份验证模式是指只允许使用Microsoft Windows登录账户连接SQL Server服务器。这是默认的身份验证模式。它要求用户登录到Windows，当用户访问SQL Server数据库时，不必再次等进行登录验证，这就表明服务器将客户机的身份验证任务完全交给了Windows操作系统。Windows身份验证通过强密码的复杂性验证提供密码策略强制，提供帐户锁定支持，并且支持密码过期。;2．SQL Server和Windows身份验证模式（混合模式） 混合模式是指允许用户使用Windows身份验证或SQL Server身份验证进行连接SQL Server服务器。用户使用Windows身份验证与上面相同。用户使用SQL Server身份验证时，用户登录到Windows，当用户再访问SQL Server数据库时，它要求必须提供一个已存在的SQL Server登录帐户和密码，这些登录信息存储在系统表syslogins中，与Windows登录帐户无关。SQL Server自己执行认证处理，如果输入的登录信息与系统表syslogins中的某条记录相匹配，则表明登录成功。 如果必须选择“混合模式身份验证”并要求使用SQL Server登录，则应该为所有SQL Server帐户设置强密码。这样密码不容易被人猜出，也不容易受到恶意程序的攻击，从而提高了数据库服务器的安全性。;任务12-1 更改身份验证模式。 任务分析：SQL Server 2005安装时，默认的身份验证模式是“Windows身份验证模式”，若在安装时未更改身份验证模式，可以通过在SSMS做相应地设置来更改身份验证模式。此时用户必须使用系统管理员帐号，登录SSMS来做如下操作。 ;1）打开S