Polticas de acesso de segurana ao Banco de Dados SQL SERVER BCGTA
A maioria dos bancos de dados SQL Server tm um nmero de utilizadores que
visualizam e acesso dados, o que torna a segurana uma das principais preocupaes para o administrador. O administrador inteligente vai aproveitar ao mximo as funes de segurana do SQL Server, que concedem e negar permisses para grupos de utilizadores, reduzindo a carga de trabalho de segurana.
O primeiro passo para proteger os dados do seu cliente determinar quais utilizadores precisam ver que os dados e, em seguida, permitindo o acesso somente aos usurios. Por exemplo, um funcionrio da folha de pagamento, provavelmente, v figuras de salrio para todos em sua companhia enquanto gerentes de equipa tm acesso a salrios para os membros da equipe. Os funcionrios individuais no tm necessidade de ver os salrios em tudo.
Tambm deve decidir quais os utilizadores podem alterar os dados. Por exemplo, embora algum em cumprimento pode precisar verificar o endereo do cliente, voc pode querer apenas um executivo de conta ou um funcionrio de entrada de dados especialmente treinado para alterar o endereo que conta.
Acomodando um nmero de utilizadores pode ser uma tarefa enorme, se no fosse para o modelo de segurana do Windows, que pode facilmente acomodar muitos utilizadores com um papel. Um papel define o que um usurio pode e no pode fazer dentro de um banco de dados, e vrios utilizadores podem compartilhar o mesmo papel. Eu vou discutir papis e sua relao com grupos do Windows e mostrar-lhe como uma regra pode conceder ou negar acesso a mltiplos utilizadores ao mesmo tempo.
Os benefcios do uso de regras As regras(roles) so uma parte do modelo de segurana em camadas: Login security - Conexo com o servidor Database security - Acesso para o banco de dados Database objects - acesso a objetos de banco de dados individuais e dados
Primeiro, o utilizador deve fazer login para o servidor, digitando uma senha. Uma vez conectado ao servidor, o acesso aos bancos de dados armazenados determinada por contas de usurio. Depois de ganhar acesso a um banco de dados real, o utilizador restrito para os dados que ele ou ela pode ver e modificar.
O principal benefcio de Regra uma gesto eficiente. Imagine um grupo de 1.000 utilizadores de repente a necessidade de exibir ou modificar dados novos. Usando a segurana do Windows, basta selecionar um grupo do Windows existentes e atribu-la a uma funo de SQL Server em vez de modificar contas de 1000 utilizadores. Para esclarecer, grupos do Windows consistem de utilizadores com acesso rede do Windows, mas funes do SQL Server pertence estritamente ao SQL Server. Est simplesmente a concesso de permisses de dados do SQL Server e objectos para os utilizadores do Windows vlido
Tipos de regras
As Regras de servidor so mantidas pelo administrador de banco de dados (DBA) e aplicam-se a todo o servidor, e no um arquivo de banco de dados individual. O papel pblico define as permisses padro bsicas para todos os usurios. Cada usurio que adicionado ao SQL Server automaticamente atribudo ao pblico role-voc no precisa fazer nada. Funes da base de dados so aplicadas a um banco de dados individual.
Regras pr-definidas de banco de dados -Predefined database roles
Pode precisar de criar o seu prprio, mas voc tem acesso a vrias regras no banco de dados pr-definidos: Db_owner: Os membros tm acesso total ao banco de dados. db_accessadmin: Membros podem gerir grupos do Windows e logins do SQL Server. db_datareader: Os membros podem ler todos os dados. db_datawriter: Os membros podem adicionar, excluir ou modificar dados nas tabelas. db_ddladmin: Os membros podem executar biblioteca de vnculo dinmico (DLL) declaraes. db_securityadmin: Os membros podem modificar a associao de funo e gerirpermisses. db_bckupoperator: Os membros podem fazer o backup do banco de dados. db_denydatareader: Os membros no podem visualizar os dados no banco de dados. db_denydatawriter: Membros no podem alterar ou excluir dados em tabelas ou exibies.
Regras fixas Fixed Roles
As funes de servidor fixas so aplicada param servidores amplos, e h vrias funes de servidor pr-definidas: SysAdmin: Qualquer membro pode executar qualquer aco no servidor. ServerAdmin: Qualquer membro pode definir opes de configurao no servidor. Setupadmin: Qualquer membro pode gerir servidores vinculados e opes de inicializao do SQL Server e tarefas. Administrador de Segurana: Qualquer membro pode gerir a segurana do servidor. ProcessAdmin: Qualquer membro pode matar processos em execuo no SQL Server. DBCreator: Qualquer membro pode criar, alterar, apagar e restaurar bancos de dados. Diskadmin: Qualquer membro pode gerir arquivos de disco do SQL Server. Bulkadmin: Qualquer membro pode executar o comando de insero em massa.
Atribuio de Regras
Para atribuio de regras no SQL Server o BCGTA classificou os utilizadores por dois tipos: Utilizador de Gesto do Banco de Dado Utilizador Funcional do Banco de dado ou seja aplicacional.
Utilizador de Gesto do Banco de Dado BCGTA
utilizador que tem permisso completa sobre o banco de dado em causa, e o mesmo deve ter as seguintes permisses.
SERVER ROLES Permitido BCGTA BULKADMIN DBCREATOR DISKADMIN PROCESSADMIN PUBLIC Sim, obrigatrio SECURITYADMIN SERVERADMIN SETUPADMIN SYSADMIN
Database Roles member Permitido BCGTA db_acessadmin db_backupoperator db_datareader db_datawriter db_ddladmin db_denydatareader db_denydatawriter db_owner Sim, obrigatrio db_securtyadmin public Sim, obrigatrio
Utilizador Funcional do Banco de dado ou seja aplicacional.
utilizador que tem permisso somente de leitura e escrita sobre o banco de dado em causa, e o mesmo deve ter as seguintes permisses.
SERVER ROLES Permitido BCGTA BULKADMIN DBCREATOR DISKADMIN PROCESSADMIN PUBLIC Sim, obrigatrio SECURITYADMIN SERVERADMIN SETUPADMIN SYSADMIN
Database Roles member Permitido BCGTA db_acessadmin db_backupoperator db_datareader Sim db_datawriter Sim db_ddladmin db_denydatareader db_denydatawriter db_owner db_securtyadmin public