SQL数据库安全性.docx

1、SQL数据库安全性、实验目的掌握Windows认证模式下数据库用户帐号的建立与取消方法;二、实验环境SQL Server 企业版 三、实验学时2学时四、实验原理：1.Microsoft? SQL Server? 可以在两种安全(身份验证)模式:(1)Windows身份验证模式(Windows身份验证)Windows身份验证模式使用户得以通过 Microsoft Windows NT? 4.0或 Windows? 2000用户帐户进行连接。(2)混合模式(Windows身份验证和SQL Server 身份验证)混合模式使用户得以使用 Windows身份验证或 SQL Server身份验证与 SQ

2、L Server实例连接。在 Windows身份验证模式或混合模式下， 通过 Windows NT4.0 或 Windows 2000用户帐户连接的用户可以使用信任连接。SQL Sarver安全性决縈树戶应用程序SQL Serwara2.SQL S erver的安全机制SQLServer(1)服务器级别所包含的安全对象主要有登录名、固定服务器角色等。其中登录名用 于登录数据库服务器，而固定服务器角色用于给登录名赋予相应的服务器权限。中的登录名主要有两种：第一种是 Windows登录名，第二种是 SQLServer登录名。Windows登录名对应 Windows验证模式，该验证模式所涉及的账户类

3、型主要有 Windows本地用户账户、 Windows域用户账户、 Windows组。SQL Server登录名对应 SQL Server验证模式，在该验 证模式下，能够使用的账户类型主要是 SQL Server账户。（2） 数据库级别所包含的安全对象主要有用户、角色、应用程序角色、证书、对称密钥、非对称密钥、程序集、全文目录、 DDL事件、架构等。用户安全对象是用来访问数据库则该的。如果某人只拥有登录名， 而没有在相应的数据库中为其创建登录名所对应的用户，用户只能登录数据库服务器，而不能访问相应的数据库。（3） 架构级别所包含的安全对象主要有表、视图、函数、存储过程、类型、同义词、聚合函数等

4、。架构的作用简单地说是将数据库中的所有对象分成不同的集合， 这些集合没有这个默交集，每一个集合就称为一个架构。 数据库中的每一个用户都会有自己的默认架构。认架构可以在创建数据库用户时由创建者设定，若不设定则系统默认架构为 dbo。数据库用户只能对属于自己架构中的数据库对象执行相应的数据操作。 至于操作的权限则由数据库角色所决定。一个数据库使用者，想要登录服务器上的 SQL Server数据库，并对数据库中的表执行数据更新操作，则该使用者必须经过如下图所示的安全验证。3.数据库的存取控制：授权和撤销权限（1）GRANT在安全系统中创建项目，使当前数据库中的用户得以处理当前数据库中的数据或执行特定

5、的Transact-SQL 语句语法:1）语句权限:GRANT ALL | stateme nt ，n TO security_acco unt ，n 2)对象权限：GRANT ALL P RIVILEGES | p ermissio n ，n (colu mn ，n ) ON table | view | ON table | view ( column ,.n ) | ON stored_procedure | extended_procedure | ON user_defined_function TO security_account ,.n WITH GRANT OPTION AS

6、 group | role （2）REVOKE 删除以前在当前数据库内的用户上授予或拒绝的权限。语法 语句权限：REVOKE ALL | statement ,.n FROM security_account ,.n 对象权限：REVOKE GRANT OPTION FOR ALL PRIVILEGES | permission ,.n ( column ,.n ) ON table | view | ON table | view ( column ,.n ) | ON stored_procedure | extended_procedure | ON user_defined_funct

7、ion TO | FROM security_account ,.n CASCADE AS group | role 五、实验内容及步骤以系统管理员身份登录到 SQLServer 服务器，在 SQLServer2005 界面中实现以下操作，并独立写出 68 题的程序代码；3.录密码为 secret ，默认登录数据库为 stu ；4.将帐号 zhang 添加为数据库 stu 的用户，用户名为 zhang ；在数据库 stu 中创建用户 stu1 、stu2 和 stu3 ，登录帐号分别为 stu1 、stu2 和 stu3 ；给数据库用户 stu1 赋予对 sc 表进行插入、修改、删除操作权限；

8、的操作权限，并允许再授权给其他用户;10.将登录帐号Cheng同时拥有服务器角色 serveradmin 和securityadmin 的权限;11.删除服务器角色sysadmin的成员stu2和stu3 ;六、样例模板一、用户的创建服务器用户和数据库用户u1、u2Windows，打开“控制面板” （Win7）中的“用户账户”，创建用户包括操作系统用户、1.创建操作系统用户 以管理员的身份登录到操作系统用户u1、u2。2.创建数据服务器用户（1） GUI 方式（SQL Server2008 为例）：以 DBA 的身份登录到 SQL Server ManagementStudio,在对象资源管理

9、器中选择 “安全性”，右击“登录名”，在弹出的快捷菜单中选择 “新建登录名”菜单选项，在“新建登录名”窗口中单击“搜索”按钮添加 Windows用户u1,选择“ Windows身份验证模式”，单击“确定”按钮完成。（2） 命令方式：use mastercreate logi n P SYCHEu1 from wi ndows 0 a数据库 Aa耒统站ij ReportServerj ReportServerTempDBLJ stU-37B N安全性曰N登录名SERVICEMSSQLSERVER SERVICEXSQLSERVEKAGE FSYCHEul FSVCHEu2 PSYCHEu3 Ps

10、ycheZangse53歯# #M&_PoircyEventProce55rnc 易 PolicyTsqlEKecutimLc A NT AUTHORJTVNETWORK * A NT AUTHOR1P/SYSTEM 圍NT 爭ntAA A 岛上制5上 扩馬属性rEiEHEVda连曲服箝器:户”匚：总二七|；-此用户用育的飆枸g: BMs恂I I j db_*jcc*ssadiiii 方Jb_b-icL7upnper at or4b_dilvt4j4rdb a*lvrbtAFdb_ddli4ii:n Jb_iiyiil*r*aJcr 部打nW祇ifi W数 la岸ft e成 01）：甬邑两员；

11、 ? db ojcccsEAjindb_t ickupoptri-tor db_d-iliwf s t At*db ddl-fediiindb_djenyiit*readcr ter 皿亠ydbo（3） 同样的方式将操作系统用户 u2、u3加入到数据服务器。3.创建数据库用户以系统管理员身份登录到数据库服务器，分别以 GUI方式和命令方式创建数据库用户（1） GUI方式（SQL Server2008为例）：选中stu_37数据库，单击“安全性”，在其“用 节点下右击，在弹出的快捷菜单中选择输入要新建的数据库用户名和登录名，单击（2） 命令方式：use stu 37“新建用户”菜单项，在“数据库

12、用户”窗口中 “确定”按钮。gocreate user stu_37_log in03for log in P SYCHEu3go(3)查看 stu_37_login03的属性，此用户除了拥有默认架构外，没有分配相应权限。上制5上 扩馬属性rEiEHEVda连曲服箝器:匚：总二七|；-此用户用育的飆枸g: BMs恂I I j db_*jcc*ssadiiii方Jb_b-icL7upnper at or4b_dilvt4j4rdb a*lvrbtAFdb_ddli4ii:n Jb_iiyiil*r*aJcr 部打nW祇ifi W数 la岸ft e成 01)：dbo甬邑两员； ? db ojccc

13、sEAjindb_t ickupoptri-tor db_d-iliwf s t At* db ddl-fediiin db_djenyiit*readcr ter 皿亠y(4)切换到操作系统用户 u1,以u1的身份登录到 SQL Server Management Studio ,这时可以使用命令打开数据库 stu 37。如下图：/tQLQueryl.iql - (lo7 (Psycheu1 (53)*! use 3C- 37gouse stu 37 gosp _addrolememberdb own er,stu_37_login01z SQLQueryl-sql - Clo7 fPsyc

14、heu1 (55)*use 3tu 57gosp_addroleiEeiEi:er * db_owner * . s tLi_37_logi:01能消息 命令已成功完成0A,查谊已咸(local) (10.0 RTM) PsycheLl 53, stu_37 00:00:00 0 行此时，可以访问数据库的数据库对象，如下图:曰 活 (SQL Server 10.0.1600 - PiychetJl) a 曰ea轴库回3篆畑娠韋E二歡握库挟黑HJJ Reportserver(3 Rep ortServerTerr pD60 stu,37i) 口城库烁0回魏表国S1+)Q0dbo.Qdbo.s d

15、bo.sc dbo.icll d Im .437回二i视圏0匸同义词E二可躺牝11 LJ Service Broker 0 =荐犒二. -h- 4 1SQLQueryl.sql - (lo.7 fP&ycheu1 (SS*flclect - from jsnsmesseKsagesdept 41j 10M330001i刘炼B232106033000?丁女22310M33000S畀2441DM350004215IDMiiOOOS胡海熱22信管61DM330007伺强2371DM3J0003何荊捕文229iDMiaooro李晓飞1 h H n JI.23信管 ”直仮已-1 (local) (10-

16、0 RTM)PsycheXul (53) | stuj? | OOjOOiOO | 14G ij结果亠肖慝切换到DBA，取消stu_37_loginO1的所有的角色，此时只能打开数据库，而不能访问 数据库对象三、数据库的权限管理/QLQueryl.tql - (lor (Psychcu2 (SS)* use 3CV 37go4涓讯消息*,级别11,状态H雪1行服务器主怵-PSYCHZXu2无法在当前安全上下文下访问数抿库”*J3严。I (Id Cai) (10.0 RTM) | P sycheu2 (55) | ma iter | 00:00:00 0 行此用 RSWiSSffl)：Iffl有

17、吊踝恂iBBUBL.Qj dl_Atc*=tidfvnI dljbBcLnip 口 pgrltorIt ll d/ilu* 沁dj4rdl 亠 ddf d. bl At A fe dr Ib.djUid.Lt uri lur埶库曲色战贯se)w)：rsyclwZaiiCsriD1 dljHcLnip 口 purlerid.b_d.-il-uf Ai.d4rLl_d.*l wjT： Wrll_ddl6dfiiidl_d4血Fd.bt ur i-tdjorIbdjUiTd.bt uri lurmHl.3.SQLQuerylsql - Clo7 (Psycheul tSJ)* i iiae sm 3

18、，gogrnt select,delate on 孚 to Fty_3字】QffinOi为结果I命警已咸功完成*切换到用户u1,为用户u2分配访问权限E u 岸税蔭田 IJ ReportSerwer0 ij ReportServerTtmpDB0 3 stij_37E 库矢盂圏B La表m Lj 祝 sB 口同Ji词回可謔世E N Service BrokerBEJ啓gR宝全性u 3用户 A dba 应 guest 盛 IN FORM 冉 no 忆 HUE a stu_37_lo9irt(l L氐 stu_37_logiti02 L巻 stu_37_lDgirtO3ffl a角色W 一 J果构

19、4.切换到用户u2,可以看到学生表s对用户u2可见曰 0 - (SQL Server 1 O0.15Q0 - Psycheu2) ala Q泵咖据库IB匸i琳库快照Q ReportServerij R亡portServerTempDBQ stu_37ffi 口数居库芫矣图Q m表aB 3 dbo.sB 口列 a 凝 国口釣耒 a ca脏发器IS Ea索弓3 i：J统计信息c f iM El5.执行访问的权限/LQueryrsql - (Io.J (Psycheu2 (SS)*E结果Jj消息Ie g a3管管管 V 管管管管管 V 管 信信信値信信信信信値信snosnameW5flS3iH011

20、刘炼WM33WW2TS10旳3泗1陈勇1Q&03300W余ffl曲&03测5胡海讨强W50SSDDDE何楠楠李晓飞1OW33W11蔡盼盼10&0330013谕四超1O&O33MH陈昌钦26731011男女男女女男女女宏舅男a查询已成功执行。local 10.0 RTM) P5ycheu2 55 5tu_37 00:00:00 149 行6.执行未授权的权限up date s set sage =30 where sn ame = 丁蕾go /LQueryl.iql - tlo.7 (Psychcu2 (SS)*update 3 set 鹘鏗=30 where 宓屈鵰=丁蕾goSj消息消息仝可级别14,状烹瓦-第=行拒垂了对对衾擞提阵Stu 37,架构 3啲咤4权限。