在保密你的服务器和数据,防备当前复杂的攻击,sql server有你需要的一切。但在你能有效使用这些安全功能前,你需要理解你面对的威胁和一些基本的安全概念。这篇文章提供了基础,因此你可以对sql server里的安全功能充分利用,不用在面对特定威胁,不能保护你数据的功能上浪费时间。
身份验证是验证主体(需要访问sql server数据库的用户或进程,是声称是的人或物)的过程。主体需要唯一的身份,这样的话sql server可以决定主体有哪个许可。在提供安全访问数据库对象中,正确的身份验证是必须的第一步。
sql server支持身份验证的两个途径:windows集成身份验证和sql server身份验证。你使用的途径取决于网络环境,应用程序访问数据库的类型和这些应用程序的用户类型。
- windows身份验证:这个身份验证方式依赖于windows来担当重任——当用户登录到windows是验证身份。访问sql server对象的许可然后会分配给windows登录。只有当sql server运行在支持windows nt或kerberos身份验证的windows版本上才可以使用,这个自windows 2000起已经几乎是标准。
- sql server身份验证:sql server可以完全自主完成身份验证。在这个情况下,你可以创建唯一的用户名——在sql server调用登录——和密码。连接到sql server的用户或应用程序提供这些凭证来访问。许可然后直接分配到那个登录或通过角色里的资格。
在sql server里在这2个类型之间配置身份验证不是一个非此即彼的选择(可以混合使用)。你可以在任何两个方式里配置身份验证:
- 混合身份验证模式:服务器同时支持sql server和windows身份验证。
- windows身份验证模式:服务器只支持windows身份验证。
只要可能的话,微软强烈推荐使用windows身份验证。windows拥有可靠的验证选项,包括密码策略,但正真正的应用程序里,windows身份验证并不总是可行的。sql server身份验证可以嵌入windows验证的一些功能,但它不太安全。
windows身份验证
如果你配置你的sql server在windows身份验证里操作,sql server认为与windows服务器有信任关系。当它们登录到windows里时,sql server认为windows已经验证用户。然后sql server检查用户账号,任何windows组和任何sql server角色,看用户是否是其成员之一来决定用户是否允许与各个sql server对象打交道。
与sql server身份验证比,windows身份验证有很多优势,包括:
用户一次登录即可,因此她不需要单独登录到sql server审计功能简单化登录管理密码策略(在windows server 2003及后续版本)
winows身份验证的另一个大优势是你对windows用户和组的任何修改会自动在sql server里生效,因此你不需要单独管理它们。然后,如果你对windows用户做出的修改,它们此时刚好连接到sql server,这些修改不会生效,直到下次用户连接到sql server才会生效。
配置sql server安全设置
当你安装sql server时,你可以选择sql实例允许的验证模式。安装完成后你可以在ssms里的服务器属性对话框里修改这个设置。这些设置适用于sql server实例里的所有数据库和其它对象。因此如果你需要为任何数据库使用sql server身份验证,你需要为服务器设置为混合模式。
插图2.1显示了在ssms里选择了【安全性】页的【服务器属性】对话框。为了打开这个对话框,在对象浏览器里右击服务器实例名,从弹出的菜单里选择【属性】,然后点击【安全性】页。通过点击对应的单选框和点击【确定】提交修改,就可以修改验证模式。
插图2.1:为sql server实例配置验证模式
添加一个windows登录
使用windows身份验证,你的用户在能访问sql server前需要验证windows登录账号。然后你可以授予一个windows组连接到sql server,或者你可以授予许可给单独的windows用户,如果你不想授予集体许可。
使用ssms管理安全的一个好处是你可以同时配置登录和数据库访问。启用windows登录到访问sql server和adventureworks2012数据库。使用下列步骤,并假定本地机器已经定义了woodytu用户。
1.打开ssms,确保对象浏览器窗体可见,并且你已经连接到sql server实例
2.展开服务器对象的树状视图,然后展开【安全性】节点。你会看到如插图2.2所示的多个子节点。
插图2.2:服务器对象浏览器的安全性部分,你定义的登录的地方
3.右击【登录名】节点,从弹出的菜单里选择【新建登录名】来打开【登录名】——新的对话框
4.确保【windows身份验证】单选框已经选择
5.你可以用任何2种方式选择windows登录。第一种方式是直接输入域名或机器名,然后一个\和所使用的windows登录名。第二个方式,通常更简单的方式点击【搜索】按钮来打开【选择用户或组】对话框。输入用户名,点击【检查名称】来查找具体的名称。如果找到用户,完整的名字在对话框里出现,如插图2.3里所示。点击【确定】选择那个用户。
插图2.3:找到一个window登录来添加到sql server
6.回到【登录名-新建】对话框,设置adventureworks2012数据库作为登录的默认数据库。当用户连接到服务器且不指定数据库时,这是用户使用的数据库。这不限制用户只访问那个数据库。插图2.4展示对于在win10的机器上windows的登录用户woodytu,设置默认数据库为示例数据库adventureworks2012的登录配置。
插图2.4:【登录名—新建】对话框启用windows登录到访问sql server实例。
提示:
绝不保持默认数据库为master数据库。这个是惨痛的教训:连接到服务器,太容易忘记修改数据库了。到时候如果你运行脚本在master数据库上创建上百个数据库对象,你会花大量的精力来人为删除这些对象,清理master数据库。
7.接下来,给用户访问一个数据库。从对话框的左边清单里选择【用户映射】页。通过选择数据库名旁的选择框授予用户访问adventureworks2012数据库。sql server自动映射用户用同样的用户名到数据库里的用户,如你在表里的第3列所见,如果你想要的话,可以修改用户名。分配sales作为用户在数据库里默认的架构,可以在【默认架构】列里输入,或者点击【…】按钮从列表里选择。对话框应该如插图2.5所示。
插图2.5:授予windows登录访问adventureworks2012数据库
提示:
为登录设置默认数据库和授予访问到数据库之间是有区别的。当用户登录没有指定数据库时,默认数据库指的是sql server尝试修改上下文到那个数据库。但这不授予在数据库里做任何事的任何许可,或者甚至允许访问到数据库。这就是说分配用户完全不能访问的数据库是可能的。一旦数据库被访问了,为了让用户可以进行一些操作,你需要授权用户许可。
8.默认情况下,新的windows登录可以访问到服务器。但是如果你想禁止登录访问服务器,从【登录名—新建】的左边列表选择【状态】,勾选【拒绝】单选框。你也可以通过选择【禁止】按钮临时禁用登录。插图2.6显示了这些选项。
插图2.6:授予和拒绝连接到数据库和临时禁用登录账号选项点击【确定】创建用户。
你也可以在同样的方式里添加windows组到sql server,组的任何成员也可以访问数据库服务器,包括你给组的数据库里的任何对象 。
sql server身份验证
当你使用sql server登录作为验证时,客户端应用程序需要提供有效的用户名和密码来连接到数据库。这些sql server登录在sql server里保存,与windows无关。当在登录时,如果没有匹配的用户名和密码,sql server抛出错误,用户不能访问数据库。
尽管windows身份验证更加安全,在一些情况或许你只能选择sql server登录来代替。对于简单没有广泛安全需求的应用程序,sql server身份验证更容易管理,它允许你避免windows安全的复杂。而且如果客户端运行在更老版本的windows(比windows 2000还老)或非windows的操作系统,你必须使用sql server登录。
创建sql server登录,使用和windows登录同样的【登录名-新建】对话框。但不是选择windows登录,输入没有域名或机器名的用户名,并提供密码。例如,插图2.7显示了如何创建一个新的sql server登录user,把adventureworks2012作为他的默认数据库。
插图2.7:创建sql server登录
对于用户映射和状态的所有其它选项的sql server登录和windows登录是一样的。
通过t-sql的sql server登录
你也可以用t-sql代码来进行同样的操作。在代码2.1里的create login代码创建一个有强劲密码的sql server登录tudou。
create login tudou with password = 'ybqyzipt8}b]b[{5al0v';
go
代码2.1:使用t-sql创建新的sql server登录的代码
然后,授予tudou访问adventureworks2012数据库,使用create user语句并分配默认的架构,如代码2.2所示。
use adventureworks2012; go create user tudou for login tudou with default_schema = humanresources; go
代码2.2:用sql server登录关联创建数据库用户的代码
提示:
如第一篇,如果你想在本地sql server实例运行它们的话,很可能你需要对代码做些改动。在代码2.2里假定你已经安装了adventureworks2012数据库。
像windows登录,你可以映射服务器登录tudou到数据库里其它一些名称。代码2.3里在adventureworks2012数据库里映射tudouz到tudou用户。
drop user tudou; go create user tudouz for login tudou with default_schema = humanresources; go
代码2.3:删除现存用户增加用不同登录名的数据库用户名的代码
谨防sa登录
如果你配置你的sql server支持sql server登录,有一个sql server内建的sql server登录需要留意——sa登录——在对象浏览器里的【安全性】节点,【登录名】里可以看到。sa或系统管理员,登录是为了sql server的早期版本的向后兼容性。sa登录映射到sysadmin服务器角色,任何以sa登录到sql server的任何人有完全的系统管理员权限,在整个sql server实例和所有里面的数据库都有不可撤销的权利。这的确是个强大的登录。
你不能修改或删除sa登录。当你安装sql server的时候,如果你选择了混合验证模式,你会提示为sa用户输入密码。没有密码的话,任何人可以不输密码直接以sa登录,玩弄起“我来管理服务器”。不用说,这是你让你的用户最后做的事。如果没有其他系统管理员或忘记了它们的windows密码,使用sa登录只是个后门。如果那个发生的话,你需要新的管理员!
绝不要在应用程序里使用sa登录来访问数据库。如果黑客拿到应用程序的控制权,这样做的话会给黑客真个数据库服务器的管理权限。在早期,这是黑入服务器的最简单方法,是个可怕的实例。相反,为应用程序设置一个自定义的windows或sql server登录来使用,给这个登录来运行程序的绝对最小的必须许可(实现最小权限原则)。
提示:
事实上,你应该考虑使用刚才看到的登录属性对话框的【状态】页完全禁用sa登录。那样的话攻击者不能使用这个全能登录来控制你的服务器实例,不管你是否设置了强悍的sa密码。
密码策略与执行
在sql server 2005之前的版本,对于可以让系统更安全,对系统管理员的强制密码策略,没有一个简单的方法。例如,sql server米有办法强制用户创建最短长度、数字和其它字符混合的强壮密码。如果有人要用一个字母创建登录的密码,你不能配置sql server来阻止它。同样,密码也没方法设置它定期过期,例如每三个月。一些人刚好看到了这个主要原因,不使用sql server登录。
sql server的最近版本可以嵌入windows server 2003及后续版本的密码策略。密码还是保存在sql server里,但sql server调用了netvalidatepasswordpolicy() windows api方法,这个是在windows server 2003首次引入的。这个api函数应用windows密码策略到server登录,返回一个值表示密码是否有效。当用户创建,设置或重置密码时,sql server调用这个函数。
你可以通过windows控制面板管理工具里的本地密码策略来定义windows密码策略。默认密码策略部分如插图2.8所示。这个小程序有独立的账号锁定策略,如插图2.9所示,当用户尝试太多的失败登录时生效。默认情况下,新安装的windows锁定策略是禁用的。
插图2.8:windows本地安全策略小程序,显示默认的密码策略。
插图2.9:windows本地安全策略小程序,显示默认的账号锁定策略。
下表列出默认值的密码策略和它们如何运作的说明。
类别 策略名 默认值 说明
密码策略 强制密码历史 0个记住的密码 阻止用处重用旧密码,例如在2个密码之间修改
密码长度最小值 0个字符 使用这个要求密码长度,让它们很难破解
密码必须符合复杂性要求 已禁用 至少6个字母或数字和其它字符,不包含用户名
密码过期 密码最长使用期限 42天 在用户修改密码前的天数
密码最短使用期限 0天 在允许用户可以修改密码前的天数
账户锁定策略 账户锁定时间 不适用 如果锁定阈值启用的话则锁定
账户锁定阈值 0次无效登录 账户锁定前失败登录次数
重置账户锁定计数器 不适用 重置失败登录次数;
当锁定阈值启用的时候启用
表2.1:windows密码策略设置
当你创建登录的时候,你可以启用或禁用执行密码策略。【登录名-新建】对话框在登录名下,在你创建sql server登录的时候,有个启用部分,如插图2.10所示。
插图2.10:对于新的登录执行密码策略
当你使用t-sql创建登录的时候,也可以应用密码策略。例如,如果你在windows 2003 server后后续版本上运行sql server并启用了密码策略,代码2.4会运行失败。
use master; go create login simplepwd with password = 'simplepwd'; go
代码2.4:尝试创建违反密码策略的登录
这个代码运行失败的原因是密码不能和用户名一样。
当你创建或修改登录时,你可以控制策略。代码2.5关闭了过期检查和策略。
alter login tudou with password = 'ybqyzipt8}b]b[{5al0v',
check_expiration = off, check_policy = off;
代码2.5:只对修改登录来禁止密码策略的代码(只对这次登录)
check_expiration选项控制sql server检查密码的策略里年龄,check_policy应用到其他策略。must_change选项执行用户下次登录必须修改密码。
如果用户有太多次数的失败登录,超过了账号锁定策略的设置数,管理员可以使用unlock来重置,如代码2.6所示。
复制代码 代码如下: alter login tudou with password = ‘ybqyzipt8}b]b[{5al0v’ unlock
代码2.6:由于太多失败登录而锁定登录,解锁的代码。
当你在windows server 2003之前的版本上运行sql server,你可以启用强制密码策略。但sql server默认使用至少6个字符的密码,密码里不能包含你的用户名,而且是大小写字母,数字和其他字符的混合体。你不能修改这些默认设置。但希望你不要这么老的版本上运行sql server,因为自那以后有了大的安全改进。
小结
在这篇sql server安全文章里,你学习了sql server里的多个验证选项。windows集成身份验证是最安全的,但并不是都是可行的,微软多年来已经让sql server验证更加安全。但是如果你使用混合验证模式,不要忘记给sa足够强悍的密码,甚至停用它。同样大多数对象,你都可以使用ssms里的图形界面或t-sql来创建或修改它们。如果你在当下的windows版本上运行sql server,你可以将本地安全策略嵌入密码策略。
感谢关注!
原文链接:
http://www.sqlservercentral.com/articles/stairway+series/109975/