三、设置全局组
构造安全策略的下一个步骤是确定用户应该属于什么组。通常,每一个组织或应用程序的用户都可以按
照他们对数据的特定访问要求分成许多类别。例如,会计应用软件的用户一般包括:数据输入操作员,数据
输入管理员,报表编写员,会计师,审计员,财务经理等。每一组用户都有不同的数据库访问要求。
控制数据访问权限最简单的方法是,对于每一组用户,分别地为它创建一个满足该组用户权限要求的、
域内全局有效的组。我们既可以为每一个应用分别创建组,也可以创建适用于整个企业的、涵盖广泛用户类
别的组。然而,如果你想要能够精确地了解组成员可以做些什么,为每一个应用程序分别创建组是一种较好
的选择。例如,在前面的会计系统中,我们应该创建Data Entry Operators、Accounting Data Entry
Managers等组。请记住,为了简化管理,最好为组取一个能够明确表示出作用的名字。
除了面向特定应用程序的组之外,我们还需要几个基本组。基本组的成员负责管理服务器。按照习惯,
我们可以创建下面这些基本组:SQL Server Administrators,SQL Server Users,SQL Server Denied
Users,SQL Server DB Creators,SQL Server Security Operators,SQL Server Database Security
Operators,SQL Server Developers,以及 DB_Name Users(其中DB_Name是服务器上一个数据库的名
字)。当然,如果必要的话,你还可以创建其他组。
创建了全局组之后,接下来我们可以授予它们访问SQL Server的权限。首先为SQL Server Users创建一
个NT验证的登录并授予它登录权限,把Master数据库设置为它的默认数据库,但不要授予它访问任何其他数
据库的权限,也不要把这个登录帐户设置为任何服务器角色的成员。接着再为SQL Server Denied Users重复
这个过程,但这次要拒绝登录访问。在SQL Server中,拒绝权限始终优先。创建了这两个组之后,我们就有
了一种允许或拒绝用户访问服务器的便捷方法。为那些没有直接在Sysxlogins系统表里面登记的组授权时,我们不能使用Enterpris Managr,因为Enter-
prise Manager只允许我们从现有登录名字的列表选择,而不是域内所有组的列表。要访问所有的组,请打开
Query Analyzer,然后用系统存储过程sp_addsrvrolemember以及sp_addrolemember进行授权。
对于操作服务器的各个组,我们可以用sp_addsrvrolemember存储过程把各个登录加入到合适的服务器
角色:SQL Server Administrators成为Sysadmins角色的成员,SQL Server DB Creators成为Dbcreator角
色的成员,SQL Server Security Operators成为Securityadmin角色的成员。注意sp_addsrvrolemember存
储过程的第一个参数要求是帐户的完整路径。例如,BigCo域的JoeS应该是bigco\joes(如果你想用本地帐
户,则路径应该是server_name\joes)。
要创建在所有新数据库中都存在的用户,你可以修改Model数据库。为了简化工作,SQL Server自动把
所有对Model数据库的改动复制到新的数据库。只要正确运用Model数据库,我们无需定制每一个新创建的数
据库。另外,我们可以用sp_addrolemember存储过程把SQL Server Security Operators加入到db_security-
admin,把SQL Server Developers加入到db_owner角色。
注意我们仍然没有授权任何组或帐户访问数据库。事实上,我们不能通过Enterprise Manager授权数
据库访问,因为Enterprise Manager的用户界面只允许我们把数据库访问权限授予合法的登录帐户。SQL
Server不要求NT帐户在我们把它设置为数据库角色的成员或分配对象权限之前能够访问数据库,但Enter-
prise Manager有这种限制。尽管如此,只要我们使用的是sp_addrolemember存储过程而不是Enterprise
Manager,就可以在不授予域内NT帐户数据库访问权限的情况下为任意NT帐户分配权限。
到这里为止,对Model数据库的设置已经完成。但是,如果你的用户群体对企业范围内各个应用数据库
有着类似的访问要求,你可以把下面这些操作移到Model数据库上进行,而不是在面向特定应用的数据库上
进行。 四、允许数据库访问
在数据库内部,与迄今为止我们对登录验证的处理方式不同,我们可以把权限分配给角色而不是直接把
它们分配给全局组。这种能力使得我们能够轻松地在安全策略中使用SQL Server验证的登录。即使你从来没
有想要使用SQL Server登录帐户,本文仍旧建议分配权限给角色,因为这样你能够为未来可能出现的变化做
好准备。
创建了数据库之后,我们可以用sp_grantdbaccess存储过程授权DB_Name Users组访问它。但应该注意的
是,与sp_grantdbaccess对应的sp_denydbaccess存储过程并不存在,也就是说,你不能按照拒绝对服务器访
问的方法拒绝对数据库的访问。如果要拒绝数据库访问,我们可以创建另外一个名为DB_Name Denied Users
的全局组,授权它访问数据库,然后把它设置为db_denydatareader以及db_denydatawriter角色的成员。注
意SQL语句权限的分配,这里的角色只限制对对象的访问,但不限制对DDL(Data Definition Language,数
据定义语言)命令的访问。
正如对登录过程的处理,如果访问标记中的任意SID已经在Sysusers系统表登记,SQL将允许用户访问数
据库。因此,我们既可以通过用户的个人NT帐户SID授权用户访问数据库,也可以通过用户所在的一个(或
者多个)组的SID授权。为了简化管理,我们可以创建一个名为DB_Name Users的拥有数据库访问权限的全局
组,同时不把访问权授予所有其他的组。这样,我们只需简单地在一个全局组中添加或者删除成员就可以增
加或者减少数据库用户。 五、分配权限
实施安全策略的最后一个步骤是创建用户定义的数据库角色,然后分配权限。完成这个步骤最简单的方
法是创建一些名字与全局组名字配套的角色。例如对于前面例子中的会计系统,我们可以创建Accounting
Data Entry Operators、Accounting Data Entry Managers之类的角色。由于会计数据库中的角色与帐务处
理任务有关,你可能想要缩短这些角色的名字。然而,如果角色名字与全局组的名字配套,你可以减少混乱,
能够更方便地判断出哪些组属于特定的角色。
创建好角色之后就可以分配权限。在这个过程中,我们只需用到标准的GRANT、REVOKE和DENY命令。但
应该注意DENY权限,这个权限优先于所有其他权限。如果用户是任意具有DENY权限的角色或者组的成员,
SQL Server将拒绝用户访问对象。
接下来我们就可以加入所有SQL Server验证的登录。用户定义的数据库角色可以包含SQL Server登录以
及NT全局组、本地组、个人帐户,这是它最宝贵的特点之一。用户定义的数据库角色可以作为各种登录的通
用容器,我们使用用户定义角色而不是直接把权限分配给全局组的主要原因就在于此。
由于内建的角色一般适用于整个数据库而不是单独的对象,因此这里建议你只使用两个内建的数据库角
色,即db_securityadmin和db_owner。其他内建数据库角色,例如db_datareader,它授予对数据库里面所
有对象的SELECT权限。虽然你可以用db_datareader角色授予SELECT权限,然后有选择地对个别用户或组拒
绝SELECT权限,但使用这种方法时,你可能忘记为某些用户或者对象设置权限。一种更简单、更直接而且不
容易出现错误的方法是为这些特殊的用户创建一个用户定义的角色,然后只把那些用户访问对象所需要的权
限授予这个用户定义的角色。 六、简化安全管理
SQL Server验证的登录不仅能够方便地实现,而且与NT验证的登录相比,它更容易编写到应用程序里。
但是,如果用户的数量超过25,或者服务器数量在一个以上,或者每个用户都可以访问一个以上的数据库,
或者数据库有多个管理员,SQL Server验证的登录不容易管理。由于SQL Server没有显示用户有效权限的工
具,要记忆每个用户具有哪些权限以及他们为何要得到这些权限就更加困难。即使对于一个数据库管理员还
要担负其他责任的小型系统,简化安全策略也有助于减轻问题的复杂程度。因此,首选的方法应该是使用
NT验证的登录,然后通过一些精心选择的全局组和数据库角色管理数据库访问。 下面是一些简化安全策略的经验规则:
用户通过SQL Server Users组获得服务器访问,通过DB_Name Users组获得数据库访问。
用户通过加入全局组获得权限,而全局组通过加入角色获得权限,角色直接拥有数据库里的权限。
需要多种权限的用户通过加入多个全局组的方式获得权限。
只要规划得恰当,你能够在域控制器上完成所有的访问和权限维护工作,使得服务器反映出你在域控制
器上进行的各种设置调整。虽然实际应用中情况可能有所变化,但本文介绍的基本措施仍旧适用,它们能够
帮助你构造出很容易管理的安全策略。
就象访问大多数企业版服务器的属性一样,我们不能在SQL Server Enterprise Manager中通过服务器属性窗口访问SQL Server 2000新增的两个服务器选项。作为防止用户由于不小心而错误配置服务器的一个安全措施,Microsoft没有把这些高级配置选项放入Enterprise Manager。相反,我们必须使用T-SQL/sp_configure系统存储过程去访问这些高级选项。我们可以用不带参数运行sp_configure的方法查看服务器的当前配置。在执行结果中,config_value是SQL Server从Master数据库syscurconfigs表提取出来的数据,它显示了服务器的当前配置;run_value列显示了执行sp_configure时SQL Server正在使用的选项,SQL Server在sysconfigures表中存储这些数据。修改某个选项之后,我们必须执行RECONFIGURE命令(在大多数情况下,还要重新启动SQL Server)才能让新的run_value显示出来。本文所讨论的所有选项都要求重新启动SQL Server。 服务器选项总共有36个,默认情况下,sp_configure存储过程只显示其中的10个,显示结果中不包含高级选项,而且所有新的SQL Server配置选项都不会出现在这个精简的清单中。然而,我们可以使用show advanced options命令参数让SQL Server显示出所有选项。要启用show advanced options,我们使用如下命令格式: EXEC sp_configure 'show advanced options', '1' RECONFIGURE 要安装一个选项,我们必须在使用sp_configure配置服务器之后运行RECONFIGURE命令。上面命令的输出结果如下: Configuration option 'show advanced options' changed from 0 to 1. Run the RECONFIGURE command to install. 一旦能够查看高级选项,我们就可以看到两个新的服务器选项。其中最重要的一个新选项是awe enabled选项,它能够让SQL Server企业版提高服务器的内存访问能力。默认情况下,SQL Server能够使用的最大RAM是3GB。在Windows 2000上,应用程序可以 使用Address Windowing Extensions(AWE)API访问更多的RAM。例如,在Windows 2000 Advanced Server中,我们能够使用多达8GB的内存,只有Windows 2000 Datacenter Server支持64GB内存才超过它。显然,当SQL Server拥有更多的可用内存,它将能够缓冲更多的数据,改善查询的响应时间。 不过,启用awe enabled选项也有副作用。启用awe enabled选项之后,SQL Server不再动态地分配内存。由于缺乏内存动态分配功能,管理负担随之增加,因为我们必须仔细地监视RAM使用情况。另外,设置awe enabled选项之后,我们还必须设置max server memory选项。如果我们不设置max server memory选项,服务器RAM又等于最低要求3GB,SQL Server将在启动的时候占据机器上几乎所有的RAM,只给Windows和其他应用留下128 MB的RAM。通过设置max server memory选项,我们可以限制SQL Server使用的内存总量。 awe enabled选项只能在SQL Server 2000 Enterprise Edition上使用,操作系统必须是Windows 2000 Advance Server或Datacenter。如果你在SQL Server的其他版本上使用这个选项(或者操作系统是WinNT),SQL Server将忽略这个选项。在某些服务器配置组合下,不适当地配置这个选项将导致不可预知的结果。例如,如果我们在Windows 98操作系统、运行SQL Server Personal Edition的机器上设置这个选项,SQL Server可能报告它已经停止(甚至是在它正在运行的时候),而且它将拒绝停止SQL Server实例。 在SQL Server Enterprise Edition服务器上启用AWE包括三个步骤。首先,我们必须确保启动SQL Server实例的帐号具有在内存中锁定页的权限。SQL Server安装时自动把页锁定权限授予我们指定用来启动SQL Server服务的Windows帐号;但是,如果后来这个帐号已经改变,你应该检查一下已经把哪些权限授予了启动SQL Server的用户。检查帐号的权限可以使用Windows 2000的组策略工具。第二个步骤是运行sp_configure存储过程,把awe enabled选项设置为1。然后,我们必须执行RECONFIGURE,用手工方式重新启动SQL Server。配置命令的语法为: EXEC sp_configure 'awe enabled', '1' RECONFIGURE 注意,在Windows 2000或者NT上,如果要访问高于4GB的物理内存,我们还必须采取其他一些措施,即修改boot.ini文件,加入/pae选项。 第二个新的SQL Server 2000选项用来启用C2级安全审核模式。C2是一个政府安全等级,它保证系统能够保护资源并具有足够的审核能力。C2模式允许我们监视对所有数据库实体的所有访问企图。启用SQL Server的C2审核功能的命令如下: EXEC sp_configure 'c2 audit mode', '1' RECONFIGURE (要实现完整的C2级安全保证,Windows操作系统也必须提供相应的支持)启用C2审核模式并重新启动之后,SQL Server自动在\MSSQL\Data目录下面创建跟踪文件。我们可以使用SQL Server Profiler查看这些监视服务器活动的跟踪文件。 SQL Server以128KB大小的块为单位把数据写入跟踪文件。因此,当SQL Server非正常停止时,我们最多可能丢失128 KB的日志数据。可以想象,包含审核信息的日志文件将以很快的速度增大。例如,某次试验只访问了三个表,跟踪文件已经超过了1MB。当跟踪文件超过200MB时,C2审核将关闭旧文件并创建新文件。每次SQL Server启动的时候,它会创建一个新的跟踪文件。如果磁盘空间不足,SQL Server将停止运行,直至我们为审核日志释放出足够的磁盘空间并重新启动SQL Server实例。在SQL Server启动的时候,我们可以使用-f参数禁用审核。 减少的服务器选项
在SQL Server 2000中,Microsoft减少了原有的几个选项,让SQL Server 2000自动配置这些选项。减少的选项中最引人注目的是max async IO选项。这个选项允许数据库管理员指定在单一的数据库文件上可以出现多少异步的磁盘读取和写入操作。SQL Server 7.0中的max async IO选项是人们了解最少的选项之一,它的默认值是32,但很少有管理员去调整这个值。在SQL Server 2000中,这个异步IO选项随着SQL Server接收的适配器反馈信息动态地上升或者下降,SQL Server利用反馈算法确定服务器负载以及SQL Server系统能够控制的数量。 数据库选项
在SQL Server 2000中,如果你曾经查看过Enterprise Manager中数据库的Options选项卡,你可能会对一些通用选项的消失感到困惑(要访问Options选项卡,在Enterprise Manager中右击数据库然后选择Properties)。Options选项卡中减少了trunc. log on chkpt.以及Select Into/Bulk Copy这两个选项,如图1所示。为了清楚和向后兼容起见,这些通用选项现在称为recovery model(恢复模型)选项。如果用SQL Server 2000的Enterprise Manager连接SQL Server 7.0数据库,我们仍旧可以看到这些老选项。以前,我们使用下面的命令为Northwind数据库开启trunc. log on chkpt.选项: SP_DBOPTION Northwind ,'trunc. log on chkpt.', true 设置好选项之后,我们可以通过Options选项卡或者下面的查询检查Northwind数据库上这些选项设置是否成功: SELECT DATABASEPROPERTY ('Northwind', 'IsTruncLog') 结果为1表示选项设置成了true;结果为0表示选项设置成了false。如果结果为NULL,它表示我们或者选择了一个错误的选项,或者数据库不存在。 为了便于使用,Microsoft把trunc. log on chkpt.和Select Into/Bulk Copy选项换成了恢复模型设置。这种选项改变的目的在于确保数据库管理员能够充分理解在灾难恢复策略中恢复模型选项的意义。SQL Server 2000为我们提供了三种数据库恢复模型:simple(简单恢复),full(完全恢复),bulk_logged(大容量日志记录恢复)。 简单恢复模型最容易操作,但它是最缺乏灵活性的灾难恢复策略。选择简单恢复模型等同于把trunc. log on chkpt.设置成true。在这种恢复模型下,我们只能进行完全备份和差异备份(differential backup):这是因为事务日志总是被截断,事务日志备份不可用。一般地,对于一个包含关键性数据的系统,我们不应该选择简单恢复模型,因为它不能够帮助我们把系统还原到故障点。使用这种恢复模型时,我们最多只能把系统恢复到最后一次成功进行完全备份和差异备份的状态。进行恢复时,我们首先要恢复最后一次成功进行的完全备份,然后在此基础上恢复差异备份(差异备份只能把自从数据库最后一次完全备份之后对数据库的改动施加到数据库上)。 完全恢复模型把trunc. log on chkpt.选项和Select Into/Bulk Copy选项都设置成false。完全恢复具有把数据库恢复到故障点或特定即时点的能力。对于保护那些包含关键性数据的环境来说,这种模型很理想,但它提高了设备和管理的代价,因为如果数据库访问比较频繁的话,系统将很快产生庞大的事务日志记录。由于在这种模型中Select Into/Bulk Copy设置成了false,SQL Server将记录包括大容量数据装入在内的所有事件。
最后一种恢复模型是大容量日志记录恢复,它把trunc. log on chkpt.设置成false,把Select Into/Bulk Copy设置成true。在大容量日志记录恢复模型中,大容量复制操作的数据丢失程度要比完全恢复模型严重。完全恢复模型记录大容量复制操作的完整日志,但在大容量日志记录恢复模型下,SQL Server只记录这些操作的最小日志,而且无法逐个控制这些操作。在大容量日志记录恢复模型中,数据文件损坏可能导致要求手工重做工作。 下表比较了三种恢复模型的特点。 恢复模型 优点 工作损失表现 能否恢复到即时点?
简单 允许高性能大容量复制操作。
收回日志空间,使得空间要求最小。 必须重做自最新的数据库或差异备份后所发生的更改。 可以恢复到任何备份的结尾处。随后必须重做更改。
完全 数据文件丢失或损坏不会导致工作损失。
可以恢复到任意即时点(例如,应用程序或用户错误之前)。 正常情况下没有。
如果日志损坏,则必须重做自最新的日志备份后所发生的更改。 可以恢复到任何即时点。
大容量日志记录 允许高性能大容量复制操作。
大容量操作使用最少的日志空间。 如果日志损坏,或者自最新的日志备份后发生了大容量操作,则必须重做自上次备份后所做的更改。 否则不丢失任何工作。 可以恢复到任何备份的结尾处。随后必须重做更改。 在数据库的Options选项卡中,我们可以从Model下拉列表框选择Simple把恢复模型改成简单模型。另外,Microsoft扩展了ALTER DATABASE命令,我们可以用它设置数据库属性。例如,用下面这个T-SQL命令可以把恢复模型设置为完全恢复模型: ALTER DATABASE Northwind SET RECOVERY FULL SQL Server 2000提供了把数据库转入单用户模式的许多选项,它们都属于那种最令人感兴趣的隐藏选项。为了修正讹误或其他数据问题,数据库管理员常常要把数据库转入单用户模式。当数据库处于这种模式时,其它用户将不能再访问数据,从而使得管理员能够在用户访问损坏的数据之前修正数据问题。在SQL Server 7.0中,在把数据库转入单用户模式之前,我们必须确保所有用户都已经断开连接。对于一个高速OLTP数据库系统,比如电子商务系统,断开所有用户的连接非常困难,因为就在我们断开某个用户的连接时,其他用户还会连接数据库。SQL Server 2000极大地改进了这个操作过程,我们可以给用户一个指定的时间去完成他们的事务,然后由SQL Server自动断开他们的连接。另外,我们也可以在不提供任何延迟时间的情况下断开所有的连接。 把数据库转入单用户模式的方法之一是在数据库的Options选项卡选中Restrict Access检查框,然后选择Single user。另外,Microsoft扩展了ALTER DATABASE命令,使它能够把数据库转入单用户模式,语法如下: ALTER DATABASE Northwind SET SINGLE_USER 执行这个命令之后,SQL Server等待所有的数据库连接,让它们完成各自的事务。在这种状态下,所有请求连接数据库的用户都将接收到图2显示的错误信息,并被重定向到他们各自的默认数据库(通常是Master数据库)。图2的错误信息意味着数据库处于冻结状态,直至所有用户断开连接。如果目标服务器或者发出命令的用户没有设置query timeout参数,客户端可能无限期地等待查询完成,直至所有的连接被断开。在Query Analyzer中,我们可以在Options屏幕(选择菜单Tools,Options)的Connections选项卡里面指定超时秒数。在单用户模式下,只有发出ALTER DATABASE命令的用户可以保持连接。
另外,我们还可以用ROLLBACK IMMEDIATE命令断开所有打开数据库连接的用户。但我们不能在Enterprise Manager中使用这个命令,而是应该用Query Analyzer执行,例如: ALTER DATABASE Northwind SET SINGLE_USER WITH ROLLBACK IMMEDIATE 执行这个命令之后,SQL Server立即断开所有的连接并回退它们的事务。所有正在执行事务的用户都会接收到一个连接错误,而且他们不能再连接数据库。 我们可以指定一个时间选项,让SQL Server在断开用户的连接之前等待用户完成他们的事务。这个选项是可选的,它用ROLLBACK AFTER关键词指定,如下面的命令所示: ALTER DATABASE Northwind SET SINGLE_USER WITH ROLLBACK AFTER 20 SECONDS 执行这个命令之后,SQL Server先等待20秒钟,然后断开所有的连接并回退它们的事务。在这个过程中,SQL Server不再接受新的连接请求,它是一个数据库级的服务器暂停。在这个20秒之内,所有企图连接数据库的新用户都将接收到图2显示的错误信息。如果执行这个命令的时候不存在已经连接的用户,数据库将立即转入单用户模式。 Enterprise Manager的数据库Options选项卡中,最后一个新的配置选项是Compatibility Level,如图1所示。要设置这个选项,我们只需从Compatibility Level下拉框选择一个合适的兼容级别。在这个下拉框中,SQL Server 2000由80代表,7.0由70代表,6.5由65代表。兼容级别选项决定了某些数据库查询操作的执行方法。由于SQL Server的关系引擎在发展变化,某些查询的结果在不同的版本之间可能不同。例如,如果我们执行下面这个查询: SELECT DATALENGTH('') 依赖于我们为数据库设置的兼容级别是SQL Server 2000、7.0或者6.5,上述查询可能得到两个不同的结果。对于SQL Server 2000或7.0数据库,返回结果是0,因为SQL Server 2000和7.0把空字符串视为真正的空;在SQL Server 6.5兼容模式下,返回结果是1,因为SQL Server 6.5把空字符串视为一个空格。SQL Server 7.0也有这个兼容级别选项,但它只能通过sp_dbcmptlevel存储过程访问。 综上所述,在SQL Server 2000中,Microsoft对服务器和数据库配置方法进行了几个实质性的改动。不要轻视所有本文讨论的选项和其他SQL Server配置选项——即使是一个小小的改动,它也可能对性能产生重大的正面或负面影响。在调整SQL Server的配置选项时,你最好使用Performance Monitor之类的服务器监视工具,确保选项调整不会对服务器性能产生负面影响。
http://www.itpub.net/attachment.php?s=&postid=1024832
联机帮助哪有?我怎么没找到?贴贴看!