2. administracion de la seguridad
TRANSCRIPT
Administración de la seguridad
Introducción
Implementación del modo de Autenticación
Asignación de cuentas de inicio de sesión a usuarios y funciones
Asignación de permisos a usuarios y funciones
Administración de la seguridad en SQL Server
Administración de la seguridad de la aplicación
Administración de la seguridad de SQL Server en la empresa
Implementación del modo de Autenticación
Proceso de autenticación
Elección del modo de autenticación
Autenticación mutua con Kerberos
Representación y delegación
Cifrado
Pasos para implementar un Modo de autenticación
Creación de cuentas de inicio de sesión
Configuración de cuentas de inicio de sesión
Proceso de autenticación
sysxloginssysxloginssysxloginssysxlogins
Windows 2000Grupo o usuariode Windows 2000
Cuenta de inicio desesión de SQL Server
sysxloginssysxloginssysxloginssysxlogins
Comprueba laentrada en latabla syslogins;comprueba que Windows 2000 ha autenticado la contraseña
Comprueba laentrada en latabla syslogins;comprueba que Windows 2000 ha autenticado la contraseña
Comprueba laentrada en latabla sysloginsy comprueba lacontraseña
SQL Server
Elección del modo de autenticación
Ventajas del Modo de autenticación de Windows
Características de seguridad avanzadas
Agregar grupos como una cuenta
Acceso rápido
Ventajas del Modo mixto
Pueden usarlo para conectarse clientes que no sean Windows 2000 o clientes Internet
SQL Server
Autenticación mutuaAutenticación mutuaAutenticación mutuaAutenticación mutua
Usuario
KerberosKerberosKerberosKerberos
Autenticación mutua con Kerberos
CifradoDatosContraseña
CifradoDatosContraseña
Representación y delegación
Representación
Delegación
SQL Server
SQL Server
Sistemade archivos
Sistemade archivos
Cifrado
Cifrado interno
Contraseñas de inicio de sesión
Definiciones de Transact-SQL
Cifrado de red
Pasos para implementar un Modo de autenticación
Establecer el modo de autenticaciónEstablecer el modo de autenticación
Detener y reiniciar el servicio MSSQLServerDetener y reiniciar el servicio MSSQLServer
Crear grupos y usuarios de Windows 2000Crear grupos y usuarios de Windows 2000
Autorizar a grupos y usuarios de Windows 2000 a que tengan acceso a SQL Server
Autorizar a grupos y usuarios de Windows 2000 a que tengan acceso a SQL Server
Crear cuentas de inicio de sesión de SQL Server para usuarios que se conectan con conexiones en las que no se confíaCrear cuentas de inicio de sesión de SQL Server para usuarios que se conectan con conexiones en las que no se confía
Creación de cuentas de inicio de sesión
master.sysxloginsmaster.sysxloginsmaster.sysxloginsmaster.sysxlogins
namename
BUILTIN\Administradoresaccountingdomain\payrollaccountingdomain\mariamarysa
BUILTIN\Administradoresaccountingdomain\payrollaccountingdomain\mariamarysa
dbnamedbname
masterNorthwindNorthwindpubsmaster
masterNorthwindNorthwindpubsmaster
passwordpassword
NULLNULLNULL****************
NULLNULLNULL****************
Asignación de cuentas de inicio de sesión a usuarios y funciones
Northwind.sysusersNorthwind.sysusersNorthwind.sysusersNorthwind.sysusers
uiduid namename
0137
0137
publicdboINFORMATION_SCHEMApayroll
publicdboINFORMATION_SCHEMApayroll
Los usuarios sealmacenan aquí
Los usuarios sealmacenan aquí
Los permisos sealmacenan aquí
Los permisos sealmacenan aquí
Northwind.sysprotectsNorthwind.sysprotectsNorthwind.sysprotectsNorthwind.sysprotects
idid
1977058079197705807919770580791977058079
1977058079197705807919770580791977058079
uiduid
0007
0007
actionaction
193195196193
193195196193
protecttypeprotecttype
205205205205
205205205205
Asignación de cuentas de inicio de sesión a cuentas de usuario
Agregar cuentas de usuario
Administrador corporativo de SQL Server
Procedimiento almacenado del sistema sp_grantdbaccess
Cuenta de usuario dbo
Cuenta de usuario guest
Asignación de cuentas de inicio de sesión a funciones
Funciones fijas de servidor
Funciones fijas de base de datos
Funciones de base de datos definidas por el usuario
Asignación de cuentas de inicio de sesión a cuentas de usuario y funciones
Funciones fijas de servidor
FunciónFunciónFunciónFunción PermisoPermisoPermisoPermiso
sysadminsysadmin Realizar cualquier actividadRealizar cualquier actividad
dbcreatordbcreator Crear y alterar bases de datosCrear y alterar bases de datos
diskadmindiskadmin Administrar archivos de discoAdministrar archivos de disco
processadminprocessadmin Administrar procesos de SQL ServerAdministrar procesos de SQL Server
serveradminserveradmin Configurar el servidorConfigurar el servidor
setupadminsetupadmin Instalar duplicaciónInstalar duplicación
securityadminsecurityadmin Administrar y auditar inicios de sesiónAdministrar y auditar inicios de sesión
bulkadminbulkadmin Ejecutar instrucciones BULK INSERTEjecutar instrucciones BULK INSERT
Funciones fijas de base de datos
FunciónFunciónFunciónFunción PermisoPermisoPermisoPermiso
publicpublic Mantener los permisos predeterminadosMantener los permisos predeterminados
db_ownerdb_owner Realizar cualquier actividad de funcionesRealizar cualquier actividad de funciones
db_accessadmindb_accessadmin Agregar o eliminar usuarios de bases de datos,grupos y funciones
Agregar o eliminar usuarios de bases de datos,grupos y funciones
db_ddladmindb_ddladmin Agregar, modificar o eliminar objetosAgregar, modificar o eliminar objetos
db_security admindb_security admin Asignar permisos de funciones y objetosAsignar permisos de funciones y objetos
db_backupoperatordb_backupoperator Realizar copias de seguridad y restauracionesRealizar copias de seguridad y restauraciones
db_datareaderdb_datareader Leer datos de cualquier tablaLeer datos de cualquier tabla
db_datawriterdb_datawriter Agregar, cambiar o eliminar datos de las tablasAgregar, cambiar o eliminar datos de las tablas
db_denydatareaderdb_denydatareader No puede leer los datos de cualquier tablaNo puede leer los datos de cualquier tabla
db_denydatawriterdb_denydatawriter No puede cambiar los datos de cualquier tablaNo puede cambiar los datos de cualquier tabla
Funciones de base de datos definidas por el usuario
Agregue una función:
Cuando un grupo de personas necesite realizar el mismo conjunto de actividades en SQL Server
Si no tiene permisos para administrar las cuentas de usuario de Windows 2000
Asignación de permisos a usuarios y funciones
Tipos de permisos
Concesión, denegación y revocación de permisos
Concesión de permisos para permitir el acceso
Denegación de permisos para impedir el acceso
Revocación de permisos concedidos y denegados
Tipos de permisos
PredefinidoPredefinidoPredefinidoPredefinido
Función fijaFunción fija
Propietario de objetoPropietario de objeto
ObjetoObjetoObjetoObjeto
SELECT INSERTUPDATEDELETEREFERENCES
SELECT INSERTUPDATEDELETEREFERENCES
SELECT UPDATEREFERENCES
SELECT UPDATEREFERENCES
EXECEXEC
TABLAVISTA
COLUMNA
PROCEDIMIENTO ALMACENADO
InstrucciónInstrucciónInstrucciónInstrucción
CREATE DATABASECREATE DATABASE
CREATE TABLECREATE TABLE
CREATE VIEWCREATE VIEW
CREATE PROCEDURECREATE PROCEDURE
CREATE RULECREATE RULE
CREATE DEFAULTCREATE DEFAULT
CREATE FUNCTIONCREATE FUNCTION
BACKUP DATABASEBACKUP DATABASE
BACKUP LOGBACKUP LOG
Concesión, denegación y revocación de permisos
GRANT: Puede
ejecutar una acción
GRANT: Puede
ejecutar una acción
REVOKE:Neutral
REVOKE:Neutral
DENY: No puede
ejecutar una acción
DENY: No puede
ejecutar una acción
Concesión de permisos para permitir el acceso
Usuario/FunciónUsuario/FunciónUsuario/FunciónUsuario/Función SELECTSELECTSELECTSELECT
EvaEva
IvanIvan
DavidDavid
publicpublic
INSERTINSERTINSERTINSERT
UPDATEUPDATEUPDATEUPDATE
DELETEDELETEDELETEDELETE
DRIDRIDRIDRI
Denegación de permisos para impedir el acceso
Usuario/FunciónUsuario/FunciónUsuario/FunciónUsuario/Función SELECTSELECTSELECTSELECT
EvaEva
IvanIvan
DavidDavid
publicpublic
INSERTINSERTINSERTINSERT
UPDATEUPDATEUPDATEUPDATE
DELETEDELETEDELETEDELETE
DRIDRIDRIDRI
Revocación de permisos concedidos y denegados
Usuario/FunciónUsuario/FunciónUsuario/FunciónUsuario/Función SELECTSELECTSELECTSELECT
EvaEva
IvanIvan
DavidDavid
publicpublic
INSERTINSERTINSERTINSERT
UPDATEUPDATEUPDATEUPDATE
DELETEDELETEDELETEDELETE
DRIDRIDRIDRI
Administración de la seguridad en SQL Server
Determinación del uso de cuentas de inicio de sesión predeterminadas sa BUILTIN\Administradores
Determinación de la función de la cuenta de usuario guest
Determinación de los permisos de la función public Aplicación de permisos a las funciones Creación de objetos con el propietario dbo Protección de los pasos de trabajo CmdExec y
ActiveScripting
Administración de la seguridad de la aplicación
Administración de la seguridad con vistas y procedimientos almacenados
Administración de la seguridad de las aplicaciones de cliente con funciones de aplicación
Administración de la seguridad con vistas y procedimientos almacenados
EmployeesEmployeesEmployeesEmployees
EmployeeIDEmployeeID
123
123
LastNameLastName
DavolioFullerLeverling
DavolioFullerLeverling
FirstName FirstName
NancyAndrewJanet
NancyAndrewJanet
ReportsToReportsTo
2
2
2
2
... ...
SELECT * FROM EmployeesSELECT * FROM Employees
EXEC Employee_Update 1, 9EXEC Employee_Update 1, 9
SELECT * FROM Employee_ViewSELECT * FROM Employee_View
Administración de la seguridad de aplicaciones de cliente con funciones de aplicación
OrdersOrdersOrdersOrders
OrderIDOrderID CustomerID CustomerID EmployeeIDEmployeeID
102481024910250
102481024910250
VINETTOMSPHANAR
VINETTOMSPHANAR
312
312
... ...
Microsoft ExcelMicrosoft ExcelAplicación de entrada de pedidosAplicación de entrada de pedidos
Creación de funciones de aplicación
La creación de una función de aplicación inserta una fila en la tabla sysusers
Administración de los permisos de las funciones de aplicación
EXEC sp_setapprole 'SalesApp',{ENCRYPT N'hg_7532LR'}, 'ODBC'EXEC sp_setapprole 'SalesApp',{ENCRYPT N'hg_7532LR'}, 'ODBC'
Activación de funciones de aplicación
El usuario debe especificar la contraseña
El alcance es la base de datos actual: si el usuario cambia a otra base de datos, el usuario tiene los permisos de usuario de esa base de datos
La función no puede desactivarse hasta que el usuario se desconecte
Administración de la seguridad de SQL Server en la empresa
Utilización de la directiva de grupo para proteger SQL Server
Utilización de servidores proxy, servidores de seguridad y enrutadores
Utilización del cifrado en las comunicaciones para proteger datos
Utilización de la directiva de grupo para protegerSQL Server
Áreas de seguridad que se pueden configurar
Directivas de cuenta
Grupos restringidos
Directivas de software
Utilización de servidores proxy, servidores de seguridad y enrutadores
Usuario
SQL ServerSQL Server
MicrosoftProxy Server
Internet
Proteger
Utilización del cifrado en las comunicaciones para proteger datos
Seguridad del protocolo Internet
Capa de sockets seguros