Замятие 1 Обзо опасности SQL Server 2000 393

Рекомендации рованию системы безопасности

Существует ряд правил реализации системы безопасности в SQL Server. Сетевая среда оказывает влияние на место учетных записей системы безопасности (пользователей,

групп и ролей) в структуре системы безопасности БД. Существующие разрещения nojBO-

ляют создать эффективную систему безопасности. Пользователи, группы и роли

Кому следует назначать разрешения: группам, ролям или отдельным пользователям - зависит от кто нуждается в этих разрешениях. если единственному пользователю необходимо уникальное разрешение, следует назначить соответствующие разрешения отдельному учетному имени. Тип серверной среды, в которой работает SQL Server,

также влияет на выбор учетных имен, которым надо назначать разрешения (группам, ролям или Например, если сервер входит в домен и доступен через аутенти-средствами Windows, то стоит назначить разрешения пользователям домена Windows. По возможности следует включать пользователей в предопределенные а не назначать им отдельные разрешения. Если с помощью группы Windows нельзя но представить труппу пользователей, в разрешениях на работу с БД, если

компьютер с SQL Server не входит в домен Windows или аутентификация доступа к SQL

Server осуществляется не средствами Windows, а также если нет прав на модификацию членства в группе, следует использовать роли. Допустим, группа Windows 2000

под названием developers, куда входят все разработчики компании. Но из членов этой

пы только разработчикам баз данных необходим полный доступ к SQL Server. Поэтому следует создать роль dbDev и включить в нее всех разработчиков баз данных. Если есть группа Windows, включающая подходящий набор пользователей, подключающихся к БД посредством аутентификации средствами Windows, следует назначать разрешения для

боты с БД именно этой группе. Разрешения

Для назначения разрешений на работу с объектами и выполнение SQL-операторов лучше использовать предопределенные роли и фиксированные роли на уровне БД и сер-

вера, избегая непосредственного назначения разрешения ролям, группам и пользователям. У фиксированных ролей имеются разрешения, которые нельзя изменить. Поэтому

следует соблюдать осторожность, приписывая пользователей к фиксированным ролям. Сначала следует назначать разрешения группам и ролям и только потом - отдельным пользователям.

Наверху иерархии системы безопасности надо располагать разрешения, которые можно применять ко всем пользователям, а ниже - разрешения для более ограниченного круга пользователей. Соблюдайте согласование владельцев при создании объектов, чтобы обеспечить возможность формирования цепочек владения. Следуем давап. представления и хранимые процедуры, цепочки и в этом случае назначать разре-

шения хранимой процедуре или представлению.

В разрешения, назначаемые учетному имени, можно включить право предоставлять работу с объектами другим пользователям. Делегирование этой возможности другим пользователям означает, что вам не придется назначать все разрешения самостоятельно.

Соблюдайте осторожность при назначении состояния Deny, Это состояние действительно любого пользователя, получившего это состояние явно или унаследовавшего его через членство в группе или роли, независимо от разрешений, полученных им другими путями.

394 еяетема бёзолаоноспи SQmer 2000 Гкэва 13

Упражнение! Проектирование системы безопасности для БД BookShopDB

В этом упражнении вы выделите требования к безопасности из системных требований для БД BookShopDB. описанных в глав, а затем расширите их список. После этого вы создадите ишсок сскттетстпий иользонатель - действие , чтобы подготовится к реализации системы безопасности, чем и займетесь в упражнении 2 занятия 3. Чтобы выполнить упражнение, необходимы бумага и карандаш или текстовый процессор.

► Определение требований к flejonacHOCTff

1. Вернитесь к главе 3 и повторите трнал упражнения 2.

2. Составьте список требований к безопасности на основе системных требований.

3. Определите и запишите два требования, не вошедшие в список требований к системе . безопасности, следующих из системных требований.

► Определение пользователей, групп и ролей списка соответствий пользователь - действие

1. Исходя из предположения, чт Server работает в домена mdows под названием BOOKSHOP, создайте списокуникш1ьных пользователей, ролей и групп в соответствии с требованиями к система сносп и Укажите в списке только тех пользователей, роли или группы, которые, по вашему мнению, являются

2. Создайте список соответствий пользователь - действие , связывающий требования к системе безопасности с уникальными пользователями, ролями и группами, определенными выше.

В занятии 3 мы займемся реализацией системы безопасности для БД BookShopDB с созданного в этом плана структуры безопасности. Имейте в виду,

что структура системы безопасности реальной БД, скорее всего, будет существенно отличаться.

Резюме

Для планирования системы безопасности необходимо понимать архитектуру системы

безопасности SQL Server и уметь определять требование к системе безопасности из списка системных требований. Однако в последний могут не войти все требования к системе

например меры администрирования системы безопасности. Поэтому дополнительные требования тем.; безопасности следует определить отдельно. Затем необходимо определить пользователей, группы и роли, которым назначаются В завершение надо связать к системе безопасности с определенными

группами и создав список соответствий пользователь - действие . Что-

бы улучшить структуру системы стоит учесть разрешения, которые необхо-

димо назначить в сетевой среде SQL Server. Например, если два пользователя нуждаются в одинаковых разрешениях ду11 использовать группу или роль. Кроме того, попробуйте использовать доменные группы Windows и роли, прежде чем создавать новые группы и роли. По возможности оптимизируйте структуру системы с помощью вложенных групп и ролей, а также цепочек владения. Следует строить иерархию безопасности с помощью вложенных групп и а также кон центрировать разрешения на немногочисленных объектах БД путем построения цепочек владения.

Замятие 3 Реаяизация йстемы безопасности 395

Занятие Реализация и администрирование системы безопасности

Для реализации и администрирования системы БД служат такие

ты. как Enterprise Manager и Query Analyzer. Созданную систему безопасности следует испытать, подключаясь к БД различными учетными именами, проверяя работу разрешений и выполняя аудит с SQL Profiler. В этом занятии вы узнаете, как настраивать -

и с помощью различных инструментов БД. Вы также

уггравлять разрешениями после предоставления учетному имени доступа к БД. Управление разрешениями включает такие действия, как an.iemfc. снятие и отказ в их предо-стяилении. Кроме того, вы узнаете, ка влять ролями: создавать и удалять роли в БД. а также управлять членством в и предопределенных ролях.

Изучив материал этого занятия, вы сможете:

настраивать аутентификацию и авторизацию для БД SQL : 2000; управлять разрешениями и ролями. Продолжительность занятия - около 35 минут.

Управление аутентификацией

Чтобы пользователь смог подключиться к SQL Server, для него необходимо создать на сервере учетное имя и открыть доступ к SQL Server. Эту задачу позволяет решить Enterprise Manager или язык i ransacl-SQL.

Настройка аутентификации в Enterprise Manager.

Раскройте узел Security в консоли Enterprise Manager и щелкните Logins. Щелкните правой кнопкой панель Details, затем New Login. В поле диалогового окна SQL Server Login

Properties - New Login введите имя учетной записи Windows. Доменная учетная запись

пользователя иди включает имя. Учетная запись рабочей группы

dows, пользователя или пользовательской группы включает имя компьютера. В имя пре-донределенной локальной группы Windows входит слово BU1LTIN. Например, чтобы добавить пользователя из домена локального пользователя экземпляра SQL Server с именем SQLSERVER01 и локальную предопределенную группу Windows PowerLJsers, необходимо указать следующие имена, (соответственно): DOMAJNOIVUserOi. SQLSERVER01 \UserflI и BLILTIN\PowerUsers.

Чтобы создать идентификатор средствами диалогового окна SQL Server Login Properties - New Login, щелкните SQL Server Authentication и введите имя идентификатора. При этом в БД ..-!:,;,етс;! идснтификатор и получает доступ к этой БД.

Удаляют учетные имена на панели Details в Enterprise Manager, кроме того, можно выбирать их свойства и отказывать им пканпп на сервере.

Настройка аутентификации с помощью Transact-SQL

Для управления аутентификацией SQL Server предназначены системные хранимые про-ieлvp!.i Процедуры spgrantlogin, spdcnylogin и sp revoivclogin управляют аутентификацией учетных записей Windows, а системные хранимые процедуры и logit! - идентификаторов SQL Server.