SQLServer2008安全概述(二)重难点.pdfVIP

4. 授权 在验证之后，该考虑验证过的登陆可以做些什么了。在这个领域， SQL Server 2008 和 SQL Server 2005比之前的版本更加灵活。现在的权限更加细粒度了，因此 你可以授予所要求的专门的权限，而不是授权给具有一个固定角色的成员，这很可 能会承载比它所需的权限更多的权限。你现在具有更多的要保护的实体，你可以对 它们分配更细粒度的权限。 除了加强用户数据的保护，关于一个细粒度的要保护的结构信息和元数据现在 只可用于具有权限访问这要保护的信息的主体。 此完，还可以使用一个机制创建定制权限集合，这个机制允许一个人定义安全 上下文，存储过程可以运行在这个上下文之下。 此外， SQL Agent 使用灵活的代理 scheme来允许工作步骤运行和访问所要求 的资源。所有这些特性使得 SQL Server 更加复杂但是更加安全。 4.1 细粒度权限 SQL Server 2008和 SQL Server 2005在许多方面比之前的版本更加安全，其中 之一就是改进的细粒度权限。之前，一个管理员需要给一个在固定的服务器角色或 固定的数据库角色中的用户成员授予权限，以执行特定的操作，但是通常情况是， 这些角色具有比执行这些简单工作所需的权限多很多的权限。这个最小权限的原则 要求一个用户只有要做这个工作的最少的权限，所以分配给用户广泛的角色以执行 很少的工作违反了这个原则。 固定服务器和数据库角色的集合从 SQL Server 2000 以来没有怎么改变，所以 你仍然可以在用户或应用程序要求所有或大部分定义的权限时利用这些预定义的权 限集。可能最大的改变就是添加了一个 public 服务器角色。然而，最小权限的原则 要求你不使用一个不是正好适用于这个原则做这个工作所需要的角色。尽管它要求 更多的工作来发现和指派某原则所需的权限，但是它可以生成一个更加安全的数据 库环境。 4.2 主体和可得到的 在 SQL Server 2008中，一个主体是任何单独的、可以要求访问受保护的资源 并可被授予权限来访问它的个体、组或过程。在 SQL Server 的之前版本中，你可 以定义一个 Windows 中的主体或者你将它基于一个 SQL Server登陆而不和 Windows 主体关联。下面的列表显示了 SQL Server 2008主体的层次，不包括固定 服务器和数据库角色，以及你可以怎样匹配登陆和数据库用户来保护对象。这个主 体的影响范围取决于它的定义的范围，因此一个 Windows 级别的主体比一个 SQL Server级别的主体范围更广。每一个数据库用户会自动地属于固定的公共 (public) 角 色。 Windows 级别主体 Windows· 域登陆 Windows· 本地登陆 Windows· 组 SQL Server 级别主体 SQL Server· 登陆 ·与一个 Windows 登陆相匹配的 SQL Server 登陆 ·与一个证书相匹配的 SQL Server登陆 ·与一个非对称密钥相匹配的 SQL Server登陆 数据库级别的主体 ·数据库用户 ·与一个 SQL Server登陆相匹配的数据库用户 ·与一个 Windows 登陆相匹配的数据库用户 ·与一个证书相匹配的数据库用户 ·与一个非对称密钥相匹配的数据库用户 ·数据库角色 ·应用程序角色 ·公共角色 授权的另一个部分是你可以通过授予或拒绝授予权限来保护的对象。图 4 列出 了 SQL Server 2008中可保护的对象的层次。在服务器级别，你可以保护网络终端 来控制通信路线进出服务器，还有数据库、绑定和角色以及登陆。在数据库和