Система безопасности сервера баз данных

информации
Случайное повреждение информации

– пользователь СУБД называет себя
Пароль – пользователь подтверждает, что он

тот, за кого себя выдает

Режимы аутентификации MS SQL Server:
Смешанный (mixed) – SQL Server и Windows
Только Windows

login identifier = login ID =
Security Identification = SID

Список прав

доступа к ресурсу = Access Control List = ACL

Средства аутентификации Windows

/ type {Windows User | Windows Group | Standard}
Доступ к

серверу / Server Access
БД по умолчанию / Default Database
Язык по умолчанию / Default Language
Пароль / Password

При установке: SA без пароля и BUILT IN\Administrators

server roles)
sysadmin – все права
setupadmin – конфигурирование хранимых процедур для

запуска
serveradmin – конфигурирование и выключение сервера
securityadmin – создание и удаление учетных записей
processadmin – управление процессами на сервере
diskadmin – управление файлами баз данных
dbocreator – создание новых БД

через которую осуществляется доступ учетной записи к объектам данных

name
Роль в БД / role

По умолчанию создаются пользователи БД:
Dbo –

соответствует учетная запись под которой создавалась БД. Удалить невозможно
Guest – любая учетная запись отображается в этого пользователя, если нет доступа к БД

/ fixed database roles
Пользовательские роли / user database roles
Роль приложения

/ application role

любые права, т.к. имеются права владельца
Db_denydatawriter – запрещение изменения данных
Db_denydatareader

– запрещение чтения данных
Db_ddladmin – создавать и управлять объектами
Db_datawrite – может изменять данные
Db_datareader – не может изменять данные
Db_backupoperator – выполнение резервного копирования
Db_accessadmin – управление пользователями БД


Роль Public – автоматически присваивается вновь созданным пользователям

'b', 'bbbbbb1'
select * from exemplars
print user

прав – команда REVOKE
Минимальные права у пользователя БД после создания

– Public.
Права выдаются администратором БД, владельцем БД или владельцем объектов БД. Набор прав определяется ролями (фиксированными или пользовательскими).

команд Transact-SQL

[ ,...n ] }     {         [ ( column [ ,...n

] ) ] ON { table | view }         | ON { table | view } [ ( column [ ,...n ] ) ]         | ON { stored_procedure | extended_procedure }         | ON { user_defined_function }     } TO security_account [ ,...n ] [ WITH GRANT OPTION ] [ AS { group | role } ]

возможные разрения
INSERT – вставка в таблицу или представление
UPDATE – изменение

данных таблиц и представлений, а также столбца
DELETE – для таблицы и представления
SELECT – выборка из таблицы, представления, столбца
EXECUTE – разрешение запуска хранимой процедуры. Право на изменение хранимой процедуры принадлежит ее владельцу и не может быть предоставлено

роль, пользователь Windows, группа Windows
WITH GRANT OPTION – пользователь, которому

выдаются права, тоже может предоставлять права
AS { group | role } – группа Windows или роль БД, которой выдано разрешение предоставлять разрешения и которой принадлежит пользователь, выдающий разрешение

,...n ] } TO security_account [ ,...n ]

Значения statement

:
ALL – все права
CREATE DATABASE
CREATE DEFAULT
CREATE FUNCTION
CREATE PROCEDURE
CREATE RULE
CREATE TABLE
CREATE VIEW
BACKUP DATABASE – резервное копирование БД
BACKUP LOG – резервное копирование журнала транзакций

выдает разрешение
GRANT SELECT, INSERT ON Materials TO Engineer WITH GRANT

OPTION

-- Valentin – имеет роль Engineer,
-- Liss – не имеет роль Engineer.
-- Valentin выдает разрешение
GRANT SELECT, INSERT ON Materials TO Liss AS Engineer

-- Mary, John – пользователи БД,
-- [Corporate\BobJ] – член группы Windows
GRANT CREATE DATABASE, CREATE TABLE
TO Mary, John, [Corporate\BobJ]

от других пользователей БД

уровня, на котором выдано разрешение

PRIVILEGES ] | permission [ ,...n ] }     {         [

( column [ ,...n ] ) ] ON { table | view }         | ON { table | view } [ ( column [ ,...n ] ) ]         | ON { stored_procedure | extended_procedure }         | ON { user_defined_function }     } TO security_account [ ,...n ] [ CASCADE ]

Запрещение права выполнения команд Transact-SQL
DENY { ALL | statement [ ,...n ] } TO security_account [ ,...n ]

CASCADE – права отнимаются еще и у других пользователей,
которым данный дал права

у пользователя и тех пользователей,
-- которым он выдал разрешение
DENY CREATE

TABLE TO Petrov
CASCADE

на котором оно определено.

FOR ]     { ALL [ PRIVILEGES ] | permission [

,...n ] }     {         [ ( column [ ,...n ] ) ] ON { table | view }         | ON { table | view } [ ( column [ ,...n ] ) ]         | ON { stored_procedure | extended_procedure }         | ON { user_defined_function }     } { TO | FROM }     security_account [ ,...n ] [ CASCADE ] [ AS { group | role } ]

Отклонение права выполнения команд Transact-SQL
REVOKE { ALL | statement [ ,...n ] } FROM security_account [ ,...n ]

отклонить права, выданные при помощи WITH GRANT OPTION в команде

DENY
FROM – при отклонении разрешения, TO – при отклонении запрещения

TABLE, CREATE DEFAULT FROM Mary, John

-- Отклонение запрещения (здесь

TO, а не FROM)
REVOKE SELECT ON Budget_Data TO Mary

самый высокий