Microsoft建立了一种既灵活又强大的安全管理机制,它能够对用户访问SQL Server服务器系统和数据库的安全进行全面地管理。按照本文介绍的步骤,你可以为SQL Server 7.0(或2000)构造出一个灵活的、可管理的安全策略,而且它的安全性经得起考验。
|
|
|||
一、验证方法选择
本文对验证(authentication)和授权(authorization)这两个概念作不同的解释。验证是指检验用户的身份标识;授权是指允许用户做些什么。在本文的讨论中,验证过程在用户登录SQL Server的时候出现,授权过程在用户试图访问数据或执行命令的时候出现。
构造安全策略的第一个步骤是确定SQL Server用哪种方式验证用户。SQL Server的验证是把一组帐户、密码与Master数据库Sysxlogins表中的一个清单进行匹配。Windows NT/2000的验证是请求域控制器检查用户身份的合法性。一般地,如果服务器可以访问域控制器,我们应该使用Windows NT/2000验证。域控制器可以是Win2K服务器,也可以是NT服务器。无论在哪种情况下,SQL Server都接收到一个访问标记(Access Token)。访问标记是在验证过程中构造出来的一个特殊列表,其中包含了用户的SID(安全标识号)以及一系列用户所在组的SID。正如本文后面所介绍的,SQL Server以这些SID为基础授予访问权限。注意,操作系统如何构造访问标记并不重要,SQL Server只使用访问标记中的SID。也就是说,不论你使用SQL Server 2000、SQL Server 7.0、Win2K还是NT进行验证都无关紧要,结果都一样。
如果使用SQL Server验证的登录,它最大的好处是很容易通过Enterprise Manager实现,最大的缺点在于SQL Server验证的登录只对特定的服务器有效,也就是说,在一个多服务器的环境中管理比较困难。使用SQL Server进行验证的第二个重要的缺点是,对于每一个数据库,我们必须分别地为它管理权限。如果某个用户对两个数据库有相同的权限要求,我们必须手工设置两个数据库的权限,或者编写脚本设置权限。如果用户数量较少,比如25个以下,而且这些用户的权限变化不是很频繁,SQL Server验证的登录或许适用。但是,在几乎所有的其他情况下(有一些例外情况,例如直接管理安全问题的应用),这种登录方式的管理负担将超过它的优点。
二、Web环境中的验证
即使最好的安全策略也常常在一种情形前屈服,这种情形就是在Web应用中使用SQL Server的数据。在这种情形下,进行验证的典型方法是把一组SQL Server登录名称和密码嵌入到Web服务器上运行的程序,比如ASP页面或者CGI脚本;然后,由Web服务器负责验证用户,应用程序则使用它自己的登录帐户(或者是系统管理员sa帐户,或者为了方便起见,使用Sysadmin服务器角色中的登录帐户)为用户访问数据。
这种安排有几个缺点,其中最重要的包括:它不具备对用户在服务器上的活动进行审核的能力,完全依赖于Web应用程序实现用户验证,当SQL Server需要限定用户权限时不同的用户之间不易区别。如果你使用的是IIS 5.0或者IIS 4.0,你可以用四种方法验证用户。第一种方法是为每一个网站和每一个虚拟目录创建一个匿名用户的NT帐户。此后,所有应用程序登录SQL Server时都使用该安全环境。我们可以通过授予NT匿名帐户合适的权限,改进审核和验证功能。
第二种方法是让所有网站使用Basic验证。此时,只有当用户在对话框中输入了合法的帐户和密码,IIS才会允许他们访问页面。IIS依靠一个NT安全数据库实现登录身份验证,NT安全数据库既可以在本地服务器上,也可以在域控制器上。当用户运行一个访问SQL Server数据库的程序或者脚本时,IIS把用户为了浏览页面而提供的身份信息发送给服务器。如果你使用这种方法,应该记住:在通常情况下,浏览器与服务器之间的密码传送一般是不加密的,对于那些使用Basic验证而安全又很重要的网站,你必须实现SSL(Secure Sockets Layer,安全套接字层)。
在客户端只使用IE 5.0、IE 4.0、IE 3.0浏览器的情况下,你可以使用第三种验证方法。你可以在Web网站上和虚拟目录上都启用NT验证。IE会把用户登录计算机的身份信息发送给IIS,当该用户试图登录SQL Server时IIS就使用这些登录信息。使用这种简化的方法时,我们可以在一个远程网站的域上对用户身份进行验证(该远程网站登录到一个与运行着Web服务器的域有着信任关系的域)。 
更多内容请看FreeBSD系统安全管理 Linux服务器的安全性能 MySQL安全专题,或进入讨论组讨论。
·系统安全设置 (18434篇文章)
·配置安全的操作系统 (7963篇文章)
·打造安全服务器 (10969篇文章)
·SQL Server 数据处理专题 (1451篇文章)
·SQL Server 索引和查询专题 (2641篇文章)
·SQL Server (1414篇文章)
·MySQL安全 (8201篇文章)
·电子邮件安全 (6852篇文章)
·SSH安全技术 (6758篇文章)
·利用标准SQL语句实现查询记录分页 (46次浏览)
·比较SQL Server约束和DML触发器 (27次浏览)
·初探 SQL Server 2008 “Katmai ” (25次浏览)
·如何对SQL Server数据表和数据库进行迭代操作 (23次浏览)
·如何在SQL中解决松散关系 (10次浏览)
·SQL Server的怪辟:异常与孤立事务 (10次浏览)
·在SQL Server中如何用通配符搜索TEXT栏 (8次浏览)
·在SQL Server中使用CLR调用.NET方法 (5次浏览)
·SQL Server怪辟:异常与孤立事务 (0次浏览)
·SQL Server开发者Oracle快速入门 (117次浏览)
·精细分析SQL server服务器的内存配置 (110次浏览)
·SQL Server 查询分析器快捷键集合 (101次浏览)
·数据库性能之数据库集群概念 (62次浏览)
·如何优化数据库的数据查询 (59次浏览)
·利用标准SQL语句实现查询记录分页 (46次浏览)
·SQL Server根据访问历史日志自动分析并提供优 (31次浏览)
·如何应用SQL Server DBCC避免堵塞 (30次浏览)
·比较SQL Server约束和DML触发器 (27次浏览)
·SQL Server如何访问sybase数据库的表 (344次浏览)
·MS-SQL开发常用汇总和t-sql技巧集锦 (343次浏览)
·轻松维护SQL Server 2005数据库 (131次浏览)
·教你如何在SQL Server计算列和平均值 (122次浏览)
·SQL Server开发者Oracle快速入门 (117次浏览)
·精细分析SQL server服务器的内存配置 (110次浏览)
·解析SQL Server数据在不同数据库中的应用 (109次浏览)
·SQL Server 查询分析器快捷键集合 (101次浏览)
·SQL Server 2005 - 实作CLR存储过程 (92次浏览)
·打造SQL Server2000的安全策略 07-10
·SQL Server怪辟:异常与孤立事务 07-10
·两种SQL Server灾难恢复方法 07-10
·初探 SQL Server 2008 “Katmai ” 07-03
·SQL Server的怪辟:异常与孤立事务 07-03
·在SQL Server中使用CLR调用.NET方法 07-03
·在SQL Server中如何用通配符搜索TEXT栏 07-03
·比较SQL Server约束和DML触发器 06-30
·如何在SQL中解决松散关系 06-30
|
|||
| ·ACDSEE专题教程-下载使用 ·迅雷专题教程-下载使用 ·Windows XP频道 ·Windows Vista频道 ·Windows 2000频道 ·win2003频道 ·Freebsd频道 ·Oracle频道 |
·Linux频道 ·Windows频道 ·邮件服务器专题 ·协议大全 ·数据恢复指南教程 ·FreeBSD使用教程 ·Linux数据库宝典 ·Linux基础知识 |
||
 新闻资讯 |
电脑技巧 |
| · 秘密:Vista隐蔽的动态屏保 · 腾讯开发新电子宠物--QQ熊 · 惠普否认2999元PC有价无货 |
· 驱逐Win系统“流氓”文件 · WinXP中获取未使用的IP地址 · 尝试format C:格式化硬盘? |
| 操作系统 |
常用软件 |
| · 在DOS下恢复回收站中的文件 · 拯救WinXP崩溃的救命稻草 · Linux系统中超级权限的应用 |
· 搜狗PK谷歌:谁能代言拼... · 昨日重现,一键GHOST轻松.. · 实现Web迅雷在空闲时杀毒 |
| 桌面开发 |
网络编程 |
| · AVIFile函数制做AVI文件 · VC中链接动态链接库的方法 · 熊猫烧香核心源码(Delphi) |
· DateDiff函数祥解 · JavaScript去除空格的三种 · js效果 图片加载进度实时.. |
| 数据库 |
图像处理 |
| · SQL Server数据库优化方案 · Oracle的初学者入门心得 · JSP连接Mysql数据库 |
· Photoshop为美女做艺术处理 · 用Freehand创建发光字特效 · 设计自己的个性QQ动态表情 |