實(shí)驗(yàn)六 數(shù)據(jù)庫安全管理系別：計(jì)算機(jī)科學(xué)與技術(shù)系姓名：實(shí)驗(yàn)日期：2013年11月29日

專業(yè)班級：計(jì)算機(jī)科學(xué)與技術(shù)學(xué)號：驗(yàn)報告日期：2013年12月

5班1日實(shí)驗(yàn)?zāi)康模豪斫釹QLServer2005安全檢查的三個層次：登錄名、用戶和權(quán)限；理解SQLServer2005中固定角色與自定義角色并掌握通過角色進(jìn)行授權(quán)的方法；掌握使用Grant/Revoke語句進(jìn)行權(quán)限管理實(shí)驗(yàn)環(huán)境及學(xué)時安排：1．SQLSERVER20052．學(xué)時：2學(xué)時實(shí)驗(yàn)準(zhǔn)備：SQLServer2005的安全檢查分三個層次– 登陸名：登陸服務(wù)器時進(jìn)行身份驗(yàn)證；– 用戶：訪問數(shù)據(jù)庫須是數(shù)據(jù)庫的用戶或者是某一數(shù)據(jù)庫角色的成員；– 權(quán)限:執(zhí)行語句時須有執(zhí)行權(quán)限因此如果要一個用戶在一個數(shù)據(jù)庫中執(zhí)行某條 SQL語句必須首先為其創(chuàng)建登陸名 （登錄名可以選擇Windows認(rèn)證也可以選擇SQLServer認(rèn)證。如果選擇前者則要求該賬號必須是Windows賬號）。接著在數(shù)據(jù)庫中創(chuàng)建數(shù)據(jù)庫用戶，并讓該用戶映射已創(chuàng)建的登錄名。最后通過GRANT命令或成為某個角色成員獲得該用戶執(zhí)行操作的權(quán)限。實(shí)驗(yàn)內(nèi)容：1、創(chuàng)建示例數(shù)據(jù)庫 /表創(chuàng)建jiaoxue 數(shù)據(jù)庫，并在該數(shù)據(jù)庫下創(chuàng)建 Student、Course、SC三個基本表，分別在三個表中輸入必要的數(shù)據(jù)（該操作使用前面實(shí)驗(yàn)的成果）。本次實(shí)驗(yàn)的所有操作均在該數(shù)據(jù)庫下完成。略。。。2、創(chuàng)建登陸名用戶可以通過企業(yè)管理器或系統(tǒng)提供的存儲過程來進(jìn)行登錄帳戶的創(chuàng)建。首先在Windows中創(chuàng)建用戶 John，然后在 ManagementStudio 中創(chuàng)建登錄名 John，選擇Windows身份驗(yàn)證。完成后點(diǎn)擊工具欄上的“數(shù)據(jù)庫引擎查詢”按鈕， 在彈出的“連接到數(shù)據(jù)庫引擎”窗口中選擇 Windows驗(yàn)證，使用剛創(chuàng)建的 John賬號登陸。檢驗(yàn)剛創(chuàng)建的登錄名是否成功。 。使用ManagementStudio創(chuàng)建登錄名xs,密碼是123456，選擇SQLServer驗(yàn)證方式，默認(rèn)數(shù)據(jù)庫為master。點(diǎn)擊右鍵新建登錄名使用CreateLogin方式，默認(rèn)數(shù)據(jù)庫為

創(chuàng)建登陸賬戶 DB_user，密碼是master的帳戶。

zhimakaimen，SQLServer

認(rèn)證SQL語句為：create

login

DB_userwith

password

='zhimakaimen'

,default_database

=master ;3、修改和刪除登陸名已建立的登陸賬戶信息可以使用系統(tǒng)存儲過程來修改默認(rèn)數(shù)據(jù)庫、默認(rèn)語言、密碼或刪除用戶。使用Alterlogin 將帳戶DB_user登錄名的默認(rèn)數(shù)據(jù)庫改為 jiaoxue 。使用Alterlogin 將帳戶DB_user的密碼改為自己的學(xué)號。alter login DB_userwith default_database =jiaoxue ,password ='200741402216' ;使用DropLogin 刪除用戶lvhao。drop login lvhao ;lvhao 從欄目中消失注意：在SQLServer中刪除登陸名時，有很多限制。主要有以下幾種情況：系統(tǒng)帳戶sa不能被刪除；已經(jīng)映射到數(shù)據(jù)庫用戶上的登陸名不能被刪除；正在使用或連接的登陸名不能被刪除；擁有數(shù)據(jù)庫的登陸名不能被刪除4、創(chuàng)建數(shù)據(jù)庫用戶通過將服務(wù)器角色賦予不同的服務(wù)器登陸名， 可以使之獲得服務(wù)器級別的權(quán)限。 服務(wù)器角色主要是控制服務(wù)器端對請求數(shù)據(jù)庫資源的訪問權(quán)限， 他允許或拒絕服務(wù)器登陸名的訪問操作，但是在設(shè)置具體數(shù)據(jù)庫的管理和操作權(quán)限方面， 服務(wù)器對象的權(quán)限設(shè)置粒度過大。 因此為了實(shí)現(xiàn)更細(xì)粒度的權(quán)限管理， sqlserver還提供了數(shù)據(jù)庫級別的對象： 數(shù)據(jù)庫用戶（User）、數(shù)據(jù) 角色（Role）、數(shù)據(jù)庫架構(gòu)（ Schema）。這三個對象是針對每一個數(shù)據(jù)庫實(shí)例的，因此可以對單個數(shù)據(jù)庫實(shí)例進(jìn)行細(xì)化權(quán)限劃分。對于擁有服務(wù)器角色 sysadmin的登陸名對象，它可以SQLServer2005中做任何操作（由此可見服務(wù)器角色權(quán)限粒度之大） 。但對那些沒有 sysadmin角色的登陸名對象，它需要擁有一個能訪問特定數(shù)據(jù)庫實(shí)例的數(shù)據(jù)庫用戶名（ User）以實(shí)現(xiàn)對該數(shù)據(jù)庫的操作。比如說為登陸名Kelvin想要訪問 AdventureWorks數(shù)據(jù)庫，但不具備 sysadmin的服務(wù)器角色。那么則在AdventureWorks 數(shù)據(jù)庫中中創(chuàng)建一個名為 user_Kelvin 的數(shù)據(jù)庫用戶。 TSQL：USEAdventureWorks;GO;createuseruser_KelvinforloginKelvin; 執(zhí)行之后，用錄的用戶與 AdventureWorks下的user_Kelvin用戶建立起了關(guān)聯(lián)。

Kelvin

登陸名登使用ManagementStudio

在

Jiaoxue

數(shù)據(jù)庫中創(chuàng)建數(shù)據(jù)庫用戶

John，該用戶映射登陸帳號 John。右鍵—>新建用戶名點(diǎn)擊確定就完成了出現(xiàn)了新建的數(shù)據(jù)庫用戶名 john使用

CreateUser

在

Jiaoxue

數(shù)據(jù)庫中創(chuàng)建數(shù)據(jù)庫用戶

DB_user,

該用戶映射登陸用戶

DB_user。usejiaoxuegocreate user DB_userfrom login DB_usergo創(chuàng)建了數(shù)據(jù)庫用戶 DB_user5、創(chuàng)建架構(gòu)（ SCHEMA）使用CREATESCHEMA/ManagementStudio創(chuàng)建架構(gòu)demo。create schema demo authorization DB_user6、修改/刪除數(shù)據(jù)庫用戶使用AlterUser將用戶名DB_user改為自己的isme。（由此可見登陸名和用戶名可以不一致，兩者是一種映射關(guān)系，并且這種映射關(guān)系是可以改變的）usejiaoxuealter user DB_userwith name=zhangjt ;使用ManagementStudio 修改用戶isme，使其擁有架構(gòu) demo。6、角色管理角色可以看作一組操作權(quán)限的集合。 對一個角色授予、拒絕或廢除的權(quán)限也適用于該角色的任何成員。可以建立一個角色來代表單位中一類工作人員所執(zhí)行的工作， 然后給這個角色授予適當(dāng)?shù)臋?quán)限。 當(dāng)工作人員開始工作時， 只須將他們添加為該角色成員， 當(dāng)他們離開工作時，將他們從該角色中刪除。 而不必在每個人接受或離開工作時，反復(fù)授予、拒絕和廢除其權(quán)限。權(quán)限在用戶成為角色成員時自動生效。 用戶與角色的關(guān)系為： 一個角色可以包含多個用戶；一個用戶可賦予多個角色，從而擁有多個角色的權(quán)限。SQLServer2005 提供了服務(wù)器級別的角色和數(shù)據(jù)庫級別的角色。期中服務(wù)器級別的角色不允許用戶創(chuàng)建與修改， 稱為固定服務(wù)器角色。而數(shù)據(jù)庫級別的角色包括固定數(shù)據(jù)庫角色、用戶自定義角色和應(yīng)用程序角色。（1）固定服務(wù)器角色使用系統(tǒng)存儲過程

sp_helpsrvrole

查看所有固定服務(wù)器角色，將發(fā)現(xiàn)包含以下角色：exec

sp_helpsrvrole

;固定服務(wù)器角色服務(wù)器級權(quán)限bulkadmin已授予：ADMINISTERBULKOPERATIONSdbcreator已授予：CREATEDATABASEdiskadmin已授予：ALTERRESOURCESprocessadmin已授予：ALTERANYCONNECTION、ALTERSERVERSTATEsecurityadmin已授予：ALTERANYLOGINserveradmin已授予：ALTERANYENDPOINT、ALTERRESOURCES、ALTERSERVERSTATE、ALTERSETTINGS、SHUTDOWN、VIEWSERVERSTATEsetupadmin已授予：ALTERANYLINKEDSERVERsysadmin 已使用GRANT選項(xiàng)授予：CONTROLSERVER先使用createlogin創(chuàng)建SQLServer驗(yàn)證登錄名newlogin，然后使用系統(tǒng)存儲過程sp_addsrvrolemember將登錄帳號添加為服務(wù)器角色dbcreator的成員，從而使其具有創(chuàng)建數(shù)據(jù)庫的權(quán)利。點(diǎn)擊“數(shù)據(jù)庫引擎查詢”按鈕，在彈出的連接到數(shù)據(jù)庫引擎窗口中使用新創(chuàng)建的newlogin賬號登陸服務(wù)器，在該服務(wù)器下創(chuàng)建數(shù)據(jù)庫，驗(yàn)證新創(chuàng)建的登錄名在加入固定服務(wù)器角色dbcreator前后權(quán)限的變化。createloginnewloginwithpassword='123';execsp_addsrvrolemember'newlogin','dbcreator';使用存儲過程sp_dropsrvrolemember收回分配給newlogin登錄帳戶的指定固定服務(wù)器角色dbcreator。execsp_dropsrvrolemember'newlogin','dbcreator';回收分配給newlogin的服務(wù)器角色dbcreator,就不能創(chuàng)建數(shù)據(jù)庫了,會出現(xiàn)錯誤使用managementstudio 完成以上操作。略..2）固定數(shù)據(jù)庫角色每個數(shù)據(jù)庫中都有幾個由系統(tǒng)創(chuàng)建的數(shù)據(jù)庫角色-固定數(shù)據(jù)庫角色，這些角色的權(quán)限也由系統(tǒng)預(yù)先分配。與固定服務(wù)器角色不同，這些角色的權(quán)限可以修改，它們也能被刪除。固定數(shù)據(jù)庫角色的名稱及權(quán)限見下表：固定數(shù)據(jù)庫角色數(shù)據(jù)庫級權(quán)限服務(wù)器級權(quán)限db_accessadmin已授予：VIEWANY已授予：ALTERANYUSER、CREATESCHEMADATABASEdb_accessadmin已使用GRANT選項(xiàng)授予：CONNECTdb_backupoperato已授予：VIEWANYr已授予：BACKUPDATABASE、BACKUPLOG、CHECKPOINTDATABASEdb_datareader已授予：SELECT已授予：VIEWANYDATABASEdb_datawriter已授予：VIEWANY已授予：DELETE、INSERT、UPDATEDATABASE已授予：ALTERANYASSEMBLY、ALTERANYASYMMETRICKEY、ALTERANYCERTIFICATE、ALTERANYCONTRACT、ALTERANYDATABASEDDLTRIGGER、ALTERANYDATABASEEVENT、NOTIFICATION、ALTERANYDATASPACE、ALTERANYFULLTEXTCATALOG、ALTERANYMESSAGETYPE、ALTERANY已授予：VIEWANYdb_ddladminREMOTESERVICEBINDING、ALTERANYROUTE、ALTERANYDATABASESCHEMA、ALTERANYSERVICE、ALTERANYSYMMETRICKEY、CHECKPOINT、CREATEAGGREGATE、CREATEDEFAULT、CREATEFUNCTION、CREATEPROCEDURE、CREATEQUEUE、CREATERULE、CREATESYNONYM、CREATETABLE、CREATETYPE、CREATEVIEW、CREATEXMLSCHEMACOLLECTION、REFERENCESdb_denydatareade已拒絕：SELECT已授予：VIEWANYrDATABASEdb_denydatawrite已拒絕：DELETE、INSERT、UPDATErdb_owner已使用GRANT選項(xiàng)授予：CONTROL已授予：VIEWANYDATABASEdb_securityadmin已授予：ALTERANYAPPLICATIONROLE、ALTERANYROLE、已授予：VIEWANYCREATESCHEMA、VIEWDEFINITIONDATABASE使用系統(tǒng)存儲過程 sp_helpdbfixedrole 瀏覽所有的固定數(shù)據(jù)庫角色的相關(guān)內(nèi)容。exec sp_helpdbfixedrole ;使用ManagementStudio 將用戶isme添加到db_datareader 固定數(shù)據(jù)庫角色中，使用

從而使該用戶可以查詢 jiaoxue 數(shù)據(jù)庫中的數(shù)據(jù)（注： db_datareader 角色已被賦予Select 權(quán)限）。該操作也可使用存儲過程 sp_addrolemember實(shí)現(xiàn)。ManagementStudio 操作右鍵—>屬性勾住db_datareader 選項(xiàng),完成SQL語句完成usejiaoxueexec

sp_addrolemember

'db_datareader'

,'zhangjt'

;使用ManagementStudio 從db_datareader而收回對 jiaoxue 數(shù)據(jù)庫的 SELECTsp_droprolemember 實(shí)現(xiàn)。

固定數(shù)據(jù)庫角色中刪除isme用戶，從權(quán)限。該操作也可使用存儲過程使用ManagementStudio

完成略......使用SQL語句完成usejiaoxueexec

sp_droprolemember

'db_datareader'

,'zhangjt'

;（3）自定義數(shù)據(jù)庫角色使用ManagementStudio

創(chuàng)建數(shù)據(jù)庫角色

Teacher，并使其擁有架構(gòu)

demo。右鍵->新建數(shù)據(jù)庫角色完成7.用戶的權(quán)限管理在數(shù)據(jù)庫中使用 grant/revoke/deny 實(shí)現(xiàn)用戶權(quán)限的管理，使其具有數(shù)據(jù)庫中的數(shù)據(jù)或執(zhí)行特定的 Transact-SQL語句權(quán)利。

/不具有處理當(dāng)前通過

grant

授予

Teacher

角色對

student

表的

SELECT權(quán)限以及對

SC表的全部權(quán)限usejiaoxuegrantselect

onstudent

to

Teacher

;gran