- •• Управление доступом. Общие сведения
- •Схемы, не имеющие отношения к пользователям
- •Управление доступом в службах отчетов
- •Управление доступом в службах уведомлений
- •Управление доступом для sql Server Agent
- •Управление контекстом выполнения кода
- •Уровни безопасности выполнения кода
- •Некоторые рекомендации
- •Шифрование данных на уровне колонок
- •Шифрование данных в интеграционных службах
- •Шифрование данных в службах отчетов
- •Шифрование данных, доступных с помощью протокола http
- •Шифрование кода хранимых процедур и представлений
- •Отключение ненужных служб
- •Использование представлений
- •Использование хранимых процедур
- •Проверка пользовательского ввода
- •Средства обеспечения безопасности в sql Server 2005 и других субд
- •Средства обеспечения безопасности Oracle и sql Server
Безопасность в Microsoft SQL Server 2005
Cодержание
-
• Управление доступом. Общие сведения
-
Авторизация и аутентификация
-
Схемы, не имеющие отношения к пользователям
-
Роли
• Рекомендации по управлению доступом
-
Применение схем и ролей. Общие принцпы
-
Управление доступом в службах отчётов
-
Управление доступом в службах уведомлений
-
Управление доступом в интеграционных службах
-
Управление доступом в службах репликаций
-
Управление доступом для SQL Server Agent
-
Управление доступом для Database Mail
-
Управление доступом к базе данных с помощью протокола HTTP
• Выполнение кода с минимальными привилегиями
-
Установки по умолчанию
-
Управление контекстом выполнения кода
-
Уровни безопасности выполнения кода
-
Некоторые рекомендации
• Шифрование трафика и данных
-
Встроенные средства шифрования и поддерживаемые алгоритмы
-
Шифрование данных на уровне колонок
-
Шифрование данных в интеграционных службах
-
Шифрование данных в службах отчетов
-
Шифрование данных, доступных с помощью протокола HTTP
-
Шифрование кода хранимых процедур и представлений
• Аудит и защита метаданных
-
Аудит данных и метаданных
-
Скрытие метаданных
• Некоторые рекомендации для администраторов
-
Отключение ненужных служб
-
Применение брандмауэра при HTTP-доступе к серверу
-
Обеспечение безопасности файлов и папок
-
Защита данных, реплицируемых через Интернет
-
Обновления средств безопасности
• Некоторые рекомендации для разработчиков приложений
-
Использование представлений
-
Использование хранимых процедур
-
Проверка пользовательского ввода
• Средства обеспечения безопасности в SQL Server 2005 и других СУБД
Управление доступом. Общие сведения
Авторизация и аутентификация
Аутентификация — это процесс проверки права пользователя на доступ к тому или иному ресурсу. Чаще всего аутентификация осуществляется с помощью ввода имени и пароля.
SQL Server 2005 поддерживает два режима аутентификации: с помощью Windows и с помощью SQL Server. Первый режим позволяет реализовать решение, основанное на однократной регистрации пользователя и едином пароле при доступе к различным приложениям (Single SignOn solution, SSO). Подобное решение упрощает работу пользователей, избавляя их от необходимости запоминания множества паролей и тем самым снижая риск их небезопасного хранения (вспомним стикеры с паролями, наклеенные на мониторы). Кроме того, данный режим позволяет использовать средства безопасности, предоставляемые операционной системой, такие как применение групповых и доменных политик безопасности, правил формирования и смены паролей, блокировка учетных записей, применение защищенных протоколов аутентификации с помощью шифрования паролей (Kerberos или NTLM).
Аутентификация с помощью SQL Server предназначена главным образом для клиентских приложений, функционирующих на платформах, отличных от Windows. Этот способ считается менее безопасным, но в SQL Server 2005 он поддерживает шифрование всех сообщений, которыми обмениваются клиент и сервер, в том числе с помощью сертификатов, сгенерированных сервером. Шифрование также повышает надежность этого способа аутентификации. Для учетной записи SQL Server можно указать такой параметр, как необходимость сменить пароль при первом соединении с сервером. Если SQL Server 2005 работает под управлением Windows Server 2003, можно воспользоваться такими параметрами учетной записи, как проверка срока действия пароля и локальная парольная политика Windows (рис. 1).
Рис. 1. Установка правил для пароля пользователя
Отметим такую мелочь, как обязательное требование непустого пароля пользователя sa — как ни странно, пустой пароль данной учетной записи является весьма распространенным проявлением беспечности администраторов баз данных (и самой любимой лазейкой для похитителей корпоративных данных).