在改进SQL Server 7.0系列所实现安全机制过程中Microsoft建立了种既灵活又强大安全管理机制它能够对用户访问SQL Server服务器系统和数据库安全进行全面地管理按照本文介绍步骤你可以为SQL Server 7.0(或2000)构造出个灵活、可管理安全策略而且它安全性经得起考验

　　、验证思路方法选择

本文对验证(authentication)和授权(authorization)这两个概念作区别解释验证是指检验用户身份标识；授权是指允许用户做些什么在本文讨论中验证过程在用户登录SQL Server时候出现授权过程在用户试图访问数据或执行命令时候出现

构造安全策略第个步骤是确定SQL Server用哪种方式验证用户SQL Server验证是把组帐户、密码和Master数据库Sysxlogins表中个清单进行匹配Windows NT/2000验证是请求域控制器检查用户身份合法性般地如果服务器可以访问域控制器我们应该使用Windows NT/2000验证域控制器可以是Win2K服务器也可以是NT服务器无论在哪种情况下SQL Server都接收到个访问标记(Access Token)访问标记是在验证过程中构造出来个特殊列表其中包含了用户SID(安全标识号)以及系列用户所在组SID正如本文后面所介绍SQL Server以这些SID为基础授予访问权限注意操作系统如何构造访问标记并不重要SQL Server只使用访问标记中SID也就是说不论你使用SQL Server 2000、SQL Server 7.0、Win2K还是NT进行验证都无关紧要结果都样

如果使用SQL Server验证登录它最大好处是很容易通过Enterprise Manager实现最大缺点在于SQL Server验证登录只对特定服务器有效也就是说在个多服务器环境中管理比较困难使用SQL Server进行验证第 2个重要缺点是对于每个数据库我们必须分别地为它管理权限如果某个用户对两个数据库有相同权限要求我们必须手工设置两个数据库权限或者编写脚本设置权限如果用户数量较少比如25个以下而且这些用户权限变化不是很频繁SQL Server验证登录或许适用但是在几乎所有其他情况下(有些例外情况例如直接管理安全问题应用)这种登录方式管理负担将超过它优点

　　 2、Web环境中验证

即使最好安全策略也常常在种情形前屈服这种情形就是在Web应用中使用SQL Server数据在这种情形下进行验证典型思路方法是把组SQL Server登录名称和密码嵌入到Web服务器上运行比如ASP页面或者CGI脚本；然后由Web服务器负责验证用户应用则使用它自己登录帐户(或者是系统管理员sa帐户或者为了方便起见使用Sysadmin服务器角色中登录帐户)为用户访问数据

这种安排有几个缺点其中最重要包括:它不具备对用户在服务器上活动进行审核能力完全依赖于Web应用实现用户验证当SQL Server需要限定用户权限时区别用户的间不易区别如果你使用是IIS 5.0或者IIS 4.0你可以用 4种思路方法验证用户第种思路方法是为每个网站WebSite和每个虚拟目录创建个匿名用户NT帐户此后所有应用登录SQL Server时都使用该安全环境我们可以通过授予NT匿名帐户合适权限改进审核和验证功能

第 2种思路方法是让所有网站WebSite使用Basic验证此时只有当用户在对话框中输入了合法帐户和密码IIS才会允许他们访问页面IIS依靠个NT安全数据库实现登录身份验证NT安全数据库既可以在本地服务器上也可以在域控制器上当用户运行个访问SQL Server数据库或者脚本时IIS把用户为了浏览页面而提供身份信息发送给服务器如果你使用这种思路方法应该记住:在通常情况下浏览器和服务器的间密码传送般是不加密对于那些使用Basic验证而安全又很重要网站WebSite你必须实现SSL(Secure Sockets Layer安全套接字层)

在客户端只使用IE 5.0、IE 4.0、IE 3.0浏览器情况下你可以使用第 3种验证思路方法你可以在Web网站WebSite上和虚拟目录上都启用NT验证IE会把用户登录计算机身份信息发送给IIS当该用户试图登录SQL Server时IIS就使用这些登录信息使用这种简化思路方法时我们可以在个远程网站WebSite域上对用户身份进行验证(该远程网站WebSite登录到个和运行着Web服务器域有着信任关系域)

最后如果用户都有个人数字证书你可以把那些证书映射到本地域NT帐户上个人数字证书和服务器数字证书以同样技术为基础它证明用户身份标识合法性所以可以取代NTChallenge/Response(质询/回应)验证算法Netscape和IE都自动在每个页面请求中把证书信息发送给IISIIS提供了个让管理员把证书映射到NT帐户工具因此我们可以用数字证书取代通常提供帐户名字和密码登录过程

由此可见通过NT帐户验证用户时我们可以使用多种实现思路方法即使当用户通过IIS跨越Internet连接SQL Server时选择仍旧存在因此你应该把NT验证作为首选用户身份验证办法

　　 3、设置全局组

构造安全策略下个步骤是确定用户应该属于什么组通常每个组织或应用用户都可以按照他们对数据特定访问要求分成许多类别例如会计应用软件Software用户般包括:数据输入操作员数据输入管理员报表编写员会计师审计员财务经理等每组用户都有区别数据库访问要求

控制数据访问权限最简单思路方法是对于每组用户分别地为它创建个满足该组用户权限要求、域内全局有效组我们既可以为每个应用分别创建组也可以创建适用于整个企业、涵盖广泛用户类别组然而如果你想要能够精确地了解组成员可以做些什么为每个应用分别创建组是种较好选择例如在前面会计系统中我们应该创建Data Entry Operators、Accounting Data Entry Managers等组请记住为了简化管理最好为组取个能够明确表示出作用名字

除了面向特定应用组的外我们还需要几个基本组基本组成员负责管理服务器按照习惯我们可以创建下面这些基本组:SQL Server AdministratorsSQL Server UsersSQL Server Denied UsersSQL Server DB CreatorsSQL Server Security OperatorsSQL Server Database Security OperatorsSQL Server Developers以及 DB_Name Users(其中DB_Name是服务器上个数据库名字)当然如果必要话你还可以创建其他组

创建了全局组的后接下来我们可以授予它们访问SQL Server权限首先为SQL Server Users创建个NT验证登录并授予它登录权限把Master数据库设置为它默认数据库但不要授予它访问任何其他数据库权限也不要把这个登录帐户设置为任何服务器角色成员接着再为SQL Server Denied Users重复这个过程但这次要拒绝登录访问在SQL Server中拒绝权限始终优先创建了这两个组的后我们就有了种允许或拒绝用户访问服务器便捷思路方法

为那些没有直接在Sysxlogins系统表里面登记组授权时我们不能使用Enterpris ManagrEnterprise Manager只允许我们从现有登录名字列表选择而不是域内所有组列表要访问所有组请打开Query Analyzer然后用系统存储过程sp_addsrvrolemember以及sp_addrolemember进行授权

对于操作服务器各个组我们可以用sp_addsrvrolemember存储过程把各个登录加入到合适服务器角色:SQL Server Administrators成为Sysadmins角色成员SQL Server DB Creators成为Dbcreator角色成员SQL Server Security Operators成为Securityadmin角色成员注意sp_addsrvrolemember存储过程第个参数要求是帐户完整路径例如BigCo域JoeS应该是bigco\joes(如果你想用本地帐户则路径应该是server_name\joes)

要创建在所有新数据库中都存在用户你可以修改Model数据库为了简化工作SQL Server自动把所有对Model数据库改动复制到新数据库只要正确运用Model数据库我们无需定制每个新创建数据库另外我们可以用sp_addrolemember存储过程把SQL Server Security Operators加入到db_securityadmin把SQL Server Developers加入到db_owner角色

注意我们仍然没有授权任何组或帐户访问数据库事实上我们不能通过Enterprise Manager授权数据库访问Enterprise Manager用户界面只允许我们把数据库访问权限授予合法登录帐户SQL Server不要求NT帐户在我们把它设置为数据库角色成员或分配对象权限的前能够访问数据库但Enterprise Manager有这种限制尽管如此只要我们使用是sp_addrolemember存储过程而不是Enterprise Manager就可以在不授予域内NT帐户数据库访问权限情况下为任意NT帐户分配权限

到这里为止对Model数据库设置已经完成但是如果你用户群体对企业范围内各个应用数据库有着类似访问要求你可以把下面这些操作移到Model数据库上进行而不是在面向特定应用数据库上进行  

　　 4、允许数据库访问

在数据库内部和迄今为止我们对登录验证处理方式区别我们可以把权限分配给角色而不是直接把它们分配给全局组这种能力使得我们能够轻松地在安全策略中使用SQL Server验证登录即使你从来没有想要使用SQL Server登录帐户本文仍旧建议分配权限给角色这样你能够为未来可能出现变化做好准备

创建了数据库的后我们可以用sp_grantdbaccess存储过程授权DB_Name Users组访问它但应该注意是和sp_grantdbaccess对应sp_denydbaccess存储过程并不存在也就是说你不能按照拒绝对服务器访问思路方法拒绝对数据库访问如果要拒绝数据库访问我们可以创建另外个名为DB_Name Denied Users全局组授权它访问数据库然后把它设置为db_denydatareader以及db_denydatawriter角色成员注意SQL语句权限分配这里角色只限制对对象访问但不限制对DDL(Data Definition Language数据定义语言)命令访问

正如对登录过程处理如果访问标记中任意SID已经在Sysusers系统表登记SQL将允许用户访问数据库因此我们既可以通过用户个人NT帐户SID授权用户访问数据库也可以通过用户所在个(或者多个)组SID授权为了简化管理我们可以创建个名为DB_Name Users拥有数据库访问权限全局组同时不把访问权授予所有其他组这样我们只需简单地在个全局组中添加或者删除成员就可以增加或者减少数据库用户

　　 5、分配权限

实施安全策略最后个步骤是创建用户定义数据库角色然后分配权限完成这个步骤最简单思路方法是创建些名字和全局组名字配套角色例如对于前面例子中会计系统我们可以创建Accounting Data Entry Operators、Accounting Data Entry Managers的类角色由于会计数据库中角色和帐务处理任务有关你可能想要缩短这些角色名字然而如果角色名字和全局组名字配套你可以减少混乱能够更方便地判断出哪些组属于特定角色

创建好角色的后就可以分配权限在这个过程中我们只需用到标准GRANT、REVOKE和DENY命令但应该注意DENY权限这个权限优先于所有其他权限如果用户是任意具有DENY权限角色或者组成员SQL Server将拒绝用户访问对象

接下来我们就可以加入所有SQL Server验证登录用户定义数据库角色可以包含SQL Server登录以及NT全局组、本地组、个人帐户这是它最宝贵特点的用户定义数据库角色可以作为各种登录通用容器我们使用用户定义角色而不是直接把权限分配给全局组主要原因就在于此

由于内建角色般适用于整个数据库而不是单独对象因此这里建议你只使用两个内建数据库角色,即db_securityadmin和db_owner其他内建数据库角色例如db_datareader它授予对数据库里面所有对象SELECT权限虽然你可以用db_datareader角色授予SELECT权限然后有选择地对个别用户或组拒绝SELECT权限但使用这种思路方法时你可能忘记为某些用户或者对象设置权限种更简单、更直接而且不容易出现思路方法是为这些特殊用户创建个用户定义角色然后只把那些用户访问对象所需要权限授予这个用户定义角色

　　 6、简化安全管理

SQL Server验证登录不仅能够方便地实现而且和NT验证登录相比它更容易编写到应用里但是如果用户数量超过25或者服务器数量在个以上或者每个用户都可以访问个以上数据库或者数据库有多个管理员SQL Server验证登录不容易管理由于SQL Server没有显示用户有效权限工具要记忆每个用户具有哪些权限以及他们为何要得到这些权限就更加困难即使对于个数据库管理员还要担负其他责任小型系统简化安全策略也有助于减轻问题复杂程度因此首选思路方法应该是使用NT验证登录然后通过些精心选择全局组和数据库角色管理数据库访问

下面是些简化安全策略经验规则:

　　·用户通过SQL Server Users组获得服务器访问通过DB_Name Users组获得数据库访问

　　·用户通过加入全局组获得权限而全局组通过加入角色获得权限角色直接拥有数据库里权限

　　·需要多种权限用户通过加入多个全局组方式获得权限

只要规划得恰当你能够在域控制器上完成所有访问和权限维护工作使得服务器反映出你在域控制器上进行各种设置调整虽然实际应用中情况可能有所变化但本文介绍基本措施仍旧适用它们能够帮助你构造出很容易管理安全策略