SQL Server не должен работать в режиме полного доступа всех пользователей ко всем его ресурсам. Доступ любой учетной записи к информации, хранящейся в базах данных, должен быть ограничен рамками должностной инструкции ее обладателя. Ограничения должны касаться всех - пользователей, администраторов, руководящего состава.

SQL Server, безопасность SQL Server, защита данных, база данных

Если ограничения не установить, рано или поздно можно потерять информацию или обнаружить ее в руках злоумышленника. И повреждение, и потеря конфиденциальности могут произойти как случайно, так и умышленно. Опасность представляет как человек, так и приложение.

SQL Server имеет свою собственную архитектуру безопасности, которую следует знать и руководителю, и администратору баз данных.

Уровни доступа к SQLServer

Система безопасности в SQL Server двухступенчатая. Она состоит из двух уровней:

  • уровень сервера;
  • уровень базы данных.

Административными единицами системы безопасности SQL Server являются:

  • учетная запись – для подключения к серверу;
  • пользователь базы данных – для выполнения действий над базами данных.

Уровень SQL Server

Чтобы работать с ресурсами сервера, любой пользователь сначала должен авторизоваться в SQL Server. Для этого ему необходимо иметь учетную запись.

SQL Server, учетная запись SQL Server, безопасность SQL Server

Авторизацию в SQL Server можно проходить с помощью учетной записи, созданной средствами:

  • Windows;
  • SQL Server + Windows.

Чистой аутентификации SQL Server не существует.

Все учетные записи, которым разрешено работать с Sql Server, помещаются в таблицу sysxlogins базы данных master.

Аутентификация средствами Windows предполагает, что после регистрации в домене (входа в систему) пользователю сразу предоставляется доступ к SQL Server.

Смешанный вид аутентификации используется в том случае, когда пользователь не может зарегистрироваться в домене. Поскольку он не член домена, то должен обратиться к SQL Server напрямую.

Какой из этих двух способов выбрать, решает администратор. Более защищенной является Windows-аутентификация – в этом случае все правила политики безопасности, которые установлены в домене, передаются SQL Server.

Специальные учетные записи SQL Server

  • sa (system administrator) – учетная запись, которая наделена абсолютными правами управления SQL Server. По умолчанию ей устанавливается пустой пароль, поэтому сразу после инсталляции SQL Server пароль следует изменить. Учетная запись sa используется для совместимости с более ранними версиями SQL Server. Ее можно удалить;
  • BUILTINAdministrators – учетная запись, через которую доступ к серверу получают члены группы Администраторы домена. При этом они получают права на управление SQL Server. Если такими правами администраторов домена наделять не планируется, учетную запись BUILTINAdministrators надо исключить из роли sysadmin.

Уровень базы данных

Даже если подключение первого уровня прошло успешно, владелец учетной записи еще не может манипулировать базами данных.

Выполнять определенные действия над объектами базы данных может другая административная единица системы безопасности - пользователь базы данных. Разные пользователи базы данных имеют разные наборы прав. Информация о пользователях базы данных хранится в системной таблице sysusers.

SQL Server, базы данных SQL Server, пользователи баз данных

Чтобы владелец учетной записи тоже получил право работать с базой данных, его учетную запись надо связать с соответствующим пользователем базы данных. Это делает администратор путем настройки свойств учетной записи.

Специальные пользователи базы данных

Есть два пользователя, которые имеются в любой базе данных. Их создает SQL Server в момент создания базы данных:

  • dbo – владелец базы данных. Он имеет абсолютные права по управлению базой данных. Этого пользователя нельзя удалить. По умолчанию в пользователя dbo отображается учетная запись sa;
  • guest – гостевой пользователь с минимальными правами доступа к базе данных. Права пользователя guest предоставляются всем учетным записям в SQL Server.
(0 голосов)
0 5 0


Марк Сергей Иванович (marcus)

Познавательный материал.

5 июля в 10:07