Escolar Documentos
Profissional Documentos
Cultura Documentos
Redes de Computadores
Anlise e Desenvolvimento de
Sistemas
SEGURANA NO
MICROSOFT SQL
SERVER 2008
OFERECENDO SEGURANA
Polticas de senhas no login de SQL Server
Hierarquia dos escopos
Separao de usurios do schema
Limite de visualizao dos metadados
Execuo pelo contexto
SAC
para
habilitar/desabilitar as features
Upgrade preserva as
configuraes
MODELOS DE
SEGURANA NO
MICROSOFT SQL
SERVER 2008
MECANISMOS DE
SEGURANA
Autenticao
Usurio e senha
Certificados
Autorizao
Permisses
Criptografia
Chaves Simtricas
Chaves Assimtricas
COMPONENTES DE
SEGURANA
Principals
Windows
Groups
Domain account
Local account
SQL Server
SQL account
Server role
Database
User
Database role
Application role
Group
Permissions
Grant/Revoke/Deny
Create
Alter
Drop
Control
Connect
Select
Execute
Update
Delete
Insert
Securables
Server Scope
Logins
Endpoints
Databases
Database Scope
Users
Assemblies
Schemas
Schema Scope
Tables
Procedures
Views
Processo de Acesso
Seguro
Pedido de conexo pela rede / pre-login handshake
Estabelecer login
Acesso ao database
POLTICA DE SENHAS
Requer Windows Server 2003.
Autenticao Windows:
Login de usurios Windows
Respeita a poltica de senhas do Windows
CRIANDO LOGINS
Configurao
da Politica de
Senhas
CRIANDO LOGINS
CREATE LOGIN login_name { WITH < option_list1 > | FROM < sources > }
< sources >::=
WINDOWS [ WITH windows_options [,...] ]
Configurao
| CERTIFICATE certname
da Politica de
| ASYMMETRIC KEY asym_key_name
< option_list1 >::=
Senhas
PASSWORD = ' password ' [ HASHED ] [ MUST_CHANGE ]
[ , option_list2 [ ,... ] ]
< option_list2 >::=
SID = sid
| DEFAULT_DATABASE = database
| DEFAULT_LANGUAGE = language
| CHECK_EXPIRATION = { ON | OFF}
| CHECK_POLICY = { ON | OFF}
[ CREDENTIAL = credential_name ]
< windows_options >::=
DEFAULT_DATABASE = database
| DEFAULT_LANGUAGE = language
OPES DE LOGIN
Opo
HASHED
Descrio
Especifica que a senha j est criptografada
MUST_CHANGE
CHECK_EXPIRATION
CHECK_POLICY
GERENCIANDO LOGINS
Removendo um Login
DROP LOGIN <Login_name>
Alterando um Login
ALTER LOGIN <login_name> WITH
PASSWORD = '3948wJ698FFF7'
CREDENCIAIS
Alternativa aos logins.
Permitem conexo a recursos fora do SQL Server.
SCHEMAS DE
SEGURANA
DEFAULT SCHEMA
Um schema default pode ser atribuido quando o usurio do banco
de dados criado.
Especifica o schema
default
GERENCIANDO
SCHEMAS
CREATE SCHEMA
Cria um schema
Atribui um ownership para o schema
Cria objetos de database como membros do schema
ALTER SCHEMA
Altera o ownership do schema
Move objetos de database entre schemas
DROP SCHEMA
Remove um schema
OBJECT NAMESPACE
Sales
Customer
LON-SQL-01
AdventureWorks
Servidor.BancoDados.Schema.Objeto
ATRIBUINDO DATABASE
OBJECTS
Sales
SELECT * FROM Customer
SELECT * FROM
dbo.JobCandidate
Customer
dbo
JobCandidate
APPLICATION
COMPATIBILITY
Propriedade de Celia
Sales
App
Customer
Sales
App
Customer
USURIOS
USURIOS
Acesso ao Banco de dados;
Pode ser mapeado para um login individual ou para um
grupo Windows; e
Pode ser criado pelo SSMS ou por T-SQL.
CREATE USER user_name
[{{ FOR | FROM }
{ LOGIN login_name | CERTIFICATE cert_name | ASYMMETRIC KEY
asym_key_name } | WITHOUT LOGIN ]
[ WITH DEFAULT_SCHEMA = schema_name ]
GERENCIANDO
USURIOS
Apagando um usurio:
DROP USER <user_name>
Permisso
CONTROL
ALTER
ALTER ANY
IMPERSONATE
TAKE OWNERSHIP
Componentes de
Segurana
Descrio
e Permisses
Atribui permisses de proprietrio e garante todas as
permisses ao principal no objeto
Atribui permisses de alterar, criar ou excluir a
qualquer
securable, menos trocar o proprietrio
Atribui permisso de alterao de qualquer securable
do tipo especificado.
Permisso de trocar o contexto de execuo para o
contexto de execuo de outro usurio
Atribui permisso ao usurio para assumir a
propriedade do securable
MDULOS DE
EXECUO PELO
CONTEXTO
INTRODUO
Configura a execuo pelo contexto de mdulos;
EXECUTE AS:
Caller (Default)
Username (requer permisso Impersonate)
Self
Owner
PROCESSO DE EXECUO
PELO CONTEXTO
DENY SELECT ON
sales.customer TO
Bill
Bill
GRANT SELECT ON
sales.customer TO
Jane
Jane
sales.customer
(Owner:John)
PERMISSO GRANULAR
Securables organizados em uma hierarquia:
Herana de permisses.
ESCOPOS DE
PERMISSES
Servidor:
O banco de dados Master dever ter permisses Grant; e
Permisses especfias para cada securable.
Database:
Pode atribuir permisses especficas para roles customizadas;
Permitir principals de executar tarefas no banco; e
Permisses Grant devero ser atribuidas ao banco que contm
o securable que quer aplicar a permisso.
Schema:
Usado para agrupar objetos de database; e
Atribuir permisses para o schema afeta os membros do
Schema.
ESCOPO SERVER
GRANT CONTROL ON
LOGIN::Tom TO Fred
Control permission on
individual login
ESCOPO BANCO DE
Sales
DADOS
Sales.AddOrder
Accounts
Accounts.AddAcct
GRANT EXECUTE
TO Jim
HR
Permisses herdadas
no banco de dados
sys.database_permissions catalog view
HR.ViewEmps
ESCOPO SCHEMA
sales.customers
Sales
sales.accounts
GRANT SELECT ON
SCHEMA::Sales TO Mary
Permisses herdadas no
schema
sales.figures
OBJETOS INDIVIDUAIS
sales.customers
sales.accounts
Sales.accounts
GRANT SELECT ON
sales.accounts TO Joe
sales.figures