程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 數據庫知識 >> SqlServer數據庫 >> 關於SqlServer >> SQL Server安全(2/11):身份驗證(Authentication)

SQL Server安全(2/11):身份驗證(Authentication)

編輯:關於SqlServer

在保密你的服務器和數據,防備當前復雜的攻擊,SQL Server有你需要的一切。但在你能有效使用這些安全功能前,你需要理解你面對的威脅和一些基本的安全概念。這篇文章提供了基礎,因此你可以對SQL Server裡的安全功能充分利用,不用在面對特定威脅,不能保護你數據的功能上浪費時間。


身份驗證是驗證主體(需要訪問SQL Server數據庫的用戶或進程,是聲稱是的人或物)的過程。主體需要唯一的身份,這樣的話SQL Server可以決定主體有哪個許可。在提供安全訪問數據庫對象中,正確的身份驗證是必須的第一步。

SQL Server支持身份驗證的兩個途徑:Windows集成身份驗證和SQL Server身份驗證。你使用的途徑取決於網絡環境,應用程序訪問數據庫的類型和這些應用程序的用戶類型。

  • Windows身份驗證:這個身份驗證方式依賴於Windows來擔當重任——當用戶登錄到Windows是驗證身份。訪問SQL Server對象的許可然後會分配給Windows登錄。只有當SQL Server運行在支持Windows NT或Kerberos身份驗證的Windows版本上才可以使用,這個自Windows 2000起已經幾乎是標准。
  • SQL Server身份驗證:SQL Server可以完全自主完成身份驗證。在這個情況下,你可以創建唯一的用戶名——在SQL Server調用登錄——和密碼。連接到SQL Server的用戶或應用程序提供這些憑證來訪問。許可然後直接分配到那個登錄或通過角色裡的資格。

在SQL Server裡在這2個類型之間配置身份驗證不是一個非此即彼的選擇(可以混合使用)。你可以在任何兩個方式裡配置身份驗證:

  • 混合身份驗證模式:服務器同時支持SQL Server和Windows身份驗證。
  • Windows身份驗證模式:服務器只支持Windows身份驗證。

只要可能的話,微軟強烈推薦使用Windows身份驗證。Windows擁有可靠的驗證選項,包括密碼策略,但正真正的應用程序裡,Windows身份驗證並不總是可行的。SQL Server身份驗證可以嵌入Windows驗證的一些功能,但它不太安全。

Windows身份驗證

如果你配置你的SQL Server在Windows身份驗證裡操作,SQL Server認為與Windows服務器有信任關系。當它們登錄到Windows裡時,SQL Server認為Windows已經驗證用戶。然後SQL Server檢查用戶賬號,任何Windows組和任何SQL Server角色,看用戶是否是其成員之一來決定用戶是否允許與各個SQL Server對象打交道。

與SQL Server身份驗證比,Windows身份驗證有很多優勢,包括:

  • 用戶一次登錄即可,因此她不需要單獨登錄到SQL Server
  • 審計功能
  • 簡單化登錄管理
  • 密碼策略(在Windows Server 2003及後續版本)

Winows身份驗證的另一個大優勢是你對Windows用戶和組的任何修改會自動在SQL Server裡生效,因此你不需要單獨管理它們。然後,如果你對Windows用戶做出的修改,它們此時剛好連接到SQL Server,這些修改不會生效,直到下次用戶連接到SQL Server才會生效。

配置SQL Server安全設置

當你安裝SQL Server時,你可以選擇SQL實例允許的驗證模式。安裝完成後你可以在SSMS裡的服務器屬性對話框裡修改這個設置。這些設置適用於SQL Server實例裡的所有數據庫和其它對象。因此如果你需要為任何數據庫使用SQL Server身份驗證,你需要為服務器設置為混合模式。

插圖2.1顯示了在SSMS裡選擇了【安全性】頁的【服務器屬性】對話框。為了打開這個對話框,在對象浏覽器裡右擊服務器實例名,從彈出的菜單裡選擇【屬性】,然後點擊【安全性】頁。通過點擊對應的單選框和點擊【確定】提交修改,就可以修改驗證模式。

插圖2.1:為SQL Server實例配置驗證模式

添加一個Windows登錄

使用Windows身份驗證,你的用戶在能訪問SQL Server前需要驗證Windows登錄賬號。然後你可以授予一個Windows組連接到SQL Server,或者你可以授予許可給單獨的Windows用戶,如果你不想授予集體許可。

使用SSMS管理安全的一個好處是你可以同時配置登錄和數據庫訪問。啟用Windows登錄到訪問SQL Server和AdventureWorks2012數據庫。使用下列步驟,並假定本地機器已經定義了woodytu用戶。

  1. 打開SSMS,確保對象浏覽器窗體可見,並且你已經連接到SQL Server實例
  2. 展開服務器對象的樹狀視圖,然後展開【安全性】節點。你會看到如插圖2.2所示的多個子節點。

    插圖2.2:服務器對象浏覽器的安全性部分,你定義的登錄的地方
  3. 右擊【登錄名】節點,從彈出的菜單裡選擇【新建登錄名】來打開【登錄名】——新的對話框
  4. 確保【Windows身份驗證】單選框已經選擇
  5. 你可以用任何2種方式選擇Windows登錄。第一種方式是直接輸入域名或機器名,然後一個\和所使用的Windows登錄名。第二個方式,通常更簡單的方式點擊【搜索】按鈕來打開【選擇用戶或組】對話框。輸入用戶名,點擊【檢查名稱】來查找具體的名稱。如果找到用戶,完整的名字在對話框裡出現,如插圖2.3裡所示。點擊【確定】選擇那個用戶。

    插圖2.3:找到一個Window登錄來添加到SQL Server
  6. 回到【登錄名-新建】對話框,設置AdventureWorks2012數據庫作為登錄的默認數據庫。當用戶連接到服務器且不指定數據庫時,這是用戶使用的數據庫。這不限制用戶只訪問那個數據庫。插圖2.4展示對於在WIN10的機器上Windows的登錄用戶woodytu,設置默認數據庫為示例數據庫AdventureWorks2012的登錄配置。

    插圖2.4:【登錄名—新建】對話框啟用Windows登錄到訪問SQL Server實例。
    提示:
    絕不保持默認數據庫為master數據庫。這個是慘痛的教訓:連接到服務器,太容易忘記修改數據庫了。到時候如果你運行腳本在master數據庫上創建上百個數據庫對象,你會花大量的精力來人為刪除這些對象,清理master數據庫。
  7. 接下來,給用戶訪問一個數據庫。從對話框的左邊清單裡選擇【用戶映射】頁。通過選擇數據庫名旁的選擇框授予用戶訪問AdventureWorks2012數據庫。SQL Server自動映射用戶用同樣的用戶名到數據庫裡的用戶,如你在表裡的第3列所見,如果你想要的話,可以修改用戶名。分配Sales作為用戶在數據庫裡默認的架構,可以在【默認架構】列裡輸入,或者點擊【...】按鈕從列表裡選擇。對話框應該如插圖2.5所示。

    插圖2.5:授予Windows登錄訪問AdventureWorks2012數據庫
    提示:
    為登錄設置默認數據庫和授予訪問到數據庫之間是有區別的。當用戶登錄沒有指定數據庫時,默認數據庫指的是SQL Server嘗試修改上下文到那個數據庫。但這不授予在數據庫裡做任何事的任何許可,或者甚至允許訪問到數據庫。這就是說分配用戶完全不能訪問的數據庫是可能的。一旦數據庫被訪問了,為了讓用戶可以進行一些操作,你需要授權用戶許可。
  8. 默認情況下,新的Windows登錄可以訪問到服務器。但是如果你想禁止登錄訪問服務器,從【登錄名—新建】的左邊列表選擇【狀態】,勾選【拒絕】單選框。你也可以通過選擇【禁止】按鈕臨時禁用登錄。插圖2.6顯示了這些選項。

    插圖2.6:授予和拒絕連接到數據庫和臨時禁用登錄賬號選項
  9. 點擊【確定】創建用戶。

你也可以在同樣的方式裡添加Windows組到SQL Server,組的任何成員也可以訪問數據庫服務器,包括你給組的數據庫裡的任何對象 。

SQL Server身份驗證

當你使用SQL Server登錄作為驗證時,客戶端應用程序需要提供有效的用戶名和密碼來連接到數據庫。這些SQL Server登錄在SQL Server裡保存,與Windows無關。當在登錄時,如果沒有匹配的用戶名和密碼,SQL Server拋出錯誤,用戶不能訪問數據庫。

盡管Windows身份驗證更加安全,在一些情況或許你只能選擇SQL Server登錄來代替。對於簡單沒有廣泛安全需求的應用程序,SQL Server身份驗證更容易管理,它允許你避免Windows安全的復雜。而且如果客戶端運行在更老版本的Windows(比Windows 2000還老)或非Windows的操作系統,你必須使用SQL Server登錄。

創建SQL Server登錄,使用和Windows登錄同樣的【登錄名-新建】對話框。但不是選擇Windows登錄,輸入沒有域名或機器名的用戶名,並提供密碼。例如,插圖2.7顯示了如何創建一個新的SQL Server登錄user,把AdventureWorks2012作為他的默認數據庫。

插圖2.7:創建SQL Server登錄

對於用戶映射和狀態的所有其它選項的SQL Server登錄和Windows登錄是一樣的。

通過T-SQL的SQL Server登錄

你也可以用T-SQL代碼來進行同樣的操作。在代碼2.1裡的Create Login代碼創建一個有強勁密碼的SQL Server登錄Tudou。

 CREATE LOGIN Tudou WITH PASSWORD = 'yBqyZIPT8}b]b[{5al0v';
 GO

代碼2.1:使用T-SQL創建新的SQL Server登錄的代碼

然後,授予Tudou訪問AdventureWorks2012數據庫,使用CREATE USER語句並分配默認的架構,如代碼2.2所示。

 USE AdventureWorks2012;
 GO
 
 CREATE USER Tudou FOR LOGIN Tudou
     WITH DEFAULT_SCHEMA = HumanResources;
 GO

代碼2.2:用SQL Server登錄關聯創建數據庫用戶的代碼

提示:

如第一篇,如果你想在本地SQL Server實例運行它們的話,很可能你需要對代碼做些改動。在代碼2.2裡假定你已經安裝了AdventureWorks2012數據庫。

像Windows登錄,你可以映射服務器登錄Tudou到數據庫裡其它一些名稱。代碼2.3裡在AdventureWorks2012數據庫裡映射TudouZ到Tudou用戶。

 DROP USER Tudou;
 GO
 CREATE USER TudouZ FOR LOGIN Tudou WITH DEFAULT_SCHEMA = HumanResources;
 GO

代碼2.3:刪除現存用戶增加用不同登錄名的數據庫用戶名的代碼

謹防sa登錄

如果你配置你的SQL Server支持SQL Server登錄,有一個SQL Server內建的SQL Server登錄需要留意——sa登錄——在對象浏覽器裡的【安全性】節點,【登錄名】裡可以看到。sa或系統管理員,登錄是為了SQL Server的早期版本的向後兼容性。sa登錄映射到sysadmin服務器角色,任何以sa登錄到SQL Server的任何人有完全的系統管理員權限,在整個SQL Server實例和所有裡面的數據庫都有不可撤銷的權利。這的確是個強大的登錄。

你不能修改或刪除sa登錄。當你安裝SQL Server的時候,如果你選擇了混合驗證模式,你會提示為sa用戶輸入密碼。沒有密碼的話,任何人可以不輸密碼直接以sa登錄,玩弄起“我來管理服務器”。不用說,這是你讓你的用戶最後做的事。如果沒有其他系統管理員或忘記了它們的Windows密碼,使用sa登錄只是個後門。如果那個發生的話,你需要新的管理員!

絕不要在應用程序裡使用sa登錄來訪問數據庫。如果黑客拿到應用程序的控制權,這樣做的話會給黑客真個數據庫服務器的管理權限。在早期,這是黑入服務器的最簡單方法,是個可怕的實例。相反,為應用程序設置一個自定義的Windows或SQL Server登錄來使用,給這個登錄來運行程序的絕對最小的必須許可(實現最小權限原則)。

提示:

事實上,你應該考慮使用剛才看到的登錄屬性對話框的【狀態】頁完全禁用sa登錄。那樣的話攻擊者不能使用這個全能登錄來控制你的服務器實例,不管你是否設置了強悍的sa密碼。

密碼策略與執行

在SQL Server 2005之前的版本,對於可以讓系統更安全,對系統管理員的強制密碼策略,沒有一個簡單的方法。例如,SQL Server米有辦法強制用戶創建最短長度、數字和其它字符混合的強壯密碼。如果有人要用一個字母創建登錄的密碼,你不能配置SQL Server來阻止它。同樣,密碼也沒方法設置它定期過期,例如每三個月。一些人剛好看到了這個主要原因,不使用SQL Server登錄。

SQL Server的最近版本可以嵌入Windows Server 2003及後續版本的密碼策略。密碼還是保存在SQL Server裡,但SQL Server調用了NetValidatePasswordPolicy() Windows API方法,這個是在Windows Server 2003首次引入的。這個API函數應用Windows密碼策略到Server登錄,返回一個值表示密碼是否有效。當用戶創建,設置或重置密碼時,SQL Server調用這個函數。

你可以通過Windows控制面板管理工具裡的本地密碼策略來定義Windows密碼策略。默認密碼策略部分如插圖2.8所示。這個小程序有獨立的賬號鎖定策略,如插圖2.9所示,當用戶嘗試太多的失敗登錄時生效。默認情況下,新安裝的Windows鎖定策略是禁用的。

 插圖2.8:Windows本地安全策略小程序,顯示默認的密碼策略。

插圖2.9:Windows本地安全策略小程序,顯示默認的賬號鎖定策略。

下表列出默認值的密碼策略和它們如何運作的說明。

 類別            策略名             默認值            說明

密碼策略          強制密碼歷史          0個記住的密碼          阻止用處重用舊密碼,例如在2個密碼之間修改

              密碼長度最小值         0個字符            使用這個要求密碼長度,讓它們很難破解

              密碼必須符合復雜性要求     已禁用            至少6個字母或數字和其它字符,不包含用戶名

密碼過期          密碼最長使用期限        42天             在用戶修改密碼前的天數 

              密碼最短使用期限        0天               在允許用戶可以修改密碼前的天數

賬戶鎖定策略        賬戶鎖定時間          不適用            如果鎖定阈值啟用的話則鎖定

              賬戶鎖定阈值          0次無效登錄          賬戶鎖定前失敗登錄次數

              重置賬戶鎖定計數器         不適用                            重置失敗登錄次數;

當鎖定阈值啟用的時候啟用

表2.1:Windows密碼策略設置

當你創建登錄的時候,你可以啟用或禁用執行密碼策略。【登錄名-新建】對話框在登錄名下,在你創建SQL Server登錄的時候,有個啟用部分,如插圖2.10所示。

插圖2.10:對於新的登錄執行密碼策略

當你使用T-SQL創建登錄的時候,也可以應用密碼策略。例如,如果你在Windows 2003 Server後後續版本上運行SQL Server並啟用了密碼策略,代碼2.4會運行失敗。

 USE master;
 GO
 CREATE LOGIN SIMPLEPWD WITH PASSWORD = 'SIMPLEPWD';
 GO

代碼2.4:嘗試創建違反密碼策略的登錄

這個代碼運行失敗的原因是密碼不能和用戶名一樣。

當你創建或修改登錄時,你可以控制策略。代碼2.5關閉了過期檢查和策略。

 ALTER LOGIN Tudou WITH PASSWORD = 'yBqyZIPT8}b]b[{5al0v',
     CHECK_EXPIRATION = OFF, CHECK_POLICY = OFF;

代碼2.5:只對修改登錄來禁止密碼策略的代碼(只對這次登錄)

CHECK_EXPIRATION選項控制SQL Server檢查密碼的策略裡年齡,CHECK_POLICY應用到其他策略。MUST_CHANGE選項執行用戶下次登錄必須修改密碼。

如果用戶有太多次數的失敗登錄,超過了賬號鎖定策略的設置數,管理員可以使用UNLOCK來重置,如代碼2.6所示。

 ALTER LOGIN Tudou WITH PASSWORD = 'yBqyZIPT8}b]b[{5al0v' UNLOCK

代碼2.6:由於太多失敗登錄而鎖定登錄,解鎖的代碼。

當你在Windows Server 2003之前的版本上運行SQL Server,你可以啟用強制密碼策略。但SQL Server默認使用至少6個字符的密碼,密碼裡不能包含你的用戶名,而且是大小寫字母,數字和其他字符的混合體。你不能修改這些默認設置。但希望你不要這麼老的版本上運行SQL Server,因為自那以後有了大的安全改進。

小結

在這篇SQL Server安全文章裡,你學習了SQL Server裡的多個驗證選項。Windows集成身份驗證是最安全的,但並不是都是可行的,微軟多年來已經讓SQL Server驗證更加安全。但是如果你使用混合驗證模式,不要忘記給sa足夠強悍的密碼,甚至停用它。同樣大多數對象,你都可以使用SSMS裡的圖形界面或T-SQL來創建或修改它們。如果你在當下的Windows版本上運行SQL Server,你可以將本地安全策略嵌入密碼策略。

感謝關注!

原文鏈接:

http://www.sqlservercentral.com/articles/Stairway+Series/109975/

  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved