17308

Захист SQL Server

Лекция

Информатика, кибернетика и программирование

Лекція 19. Захист SQL Server Загальні положення Система управління базами даних Microsoft SQL Server має різноманітні засоби забезпечення захисту даних. Якщо база даних призначена для використання більш ніж однією людиною необхідно поклопотатися про розмежування прав доступу. В ...

Украинкский

2013-06-30

143 KB

0 чел.

Лекція 19. Захист SQL Server

Загальні положення

Система управління базами даних Microsoft SQL Server має різноманітні засоби забезпечення захисту даних.

Якщо база даних призначена для використання більш ніж однією людиною, необхідно поклопотатися про розмежування прав доступу. В процесі планування системи безпеки слід визначити, які дані можуть переглядати ті або інші користувачі і які дії в базі даних їм дозволено при цьому робити.

Після проектування логічної структури бази даних, зв'язків між таблицями, обмежень цілісності і інших структур необхідно визначити круг користувачів, які матимуть доступ до бази даних. Щоб дозволити цим користувачам звертатися до сервера, необхідно створити для них облікові записи в SQL Server або надати їм доступ за допомогою облікових записів в домені, якщо використовується система безпеки Windows. Дозвіл доступу до сервера не дає автоматично доступу до бази даних і її об'єктів.

Другий етап планування системи безпеки полягає у визначенні дій, які може виконувати в базі даних конкретний користувач. Повний доступ до бази даних і всіх її об'єктів має адміністратор, який є свого роду господарем бази даних, — йому дозволено все. Друга людина після адміністратора — це власник об'єкту. При створенні будь-якого об'єкту в базі даних йому призначається власник, який може встановлювати права доступу до цього об'єкту, модифікувати його і видаляти. Третя категорія користувачів має права доступу, видані їм адміністратором або власником об'єкту.

Необхідно ретельно планувати права, що видаються користувачам відповідно до посади і необхідності виконання конкретних дій. Так зовсім необов'язково призначати права на зміну даних в таблиці, що містить зведення про зарплату співробітників, директорові компанії. І, звичайно ж, не можна надавати подібні права рядовому співробітникові. Можна видати права тільки на введення нових даних, наприклад інформації про нових клієнтів. Неправильне введення такої інформації не нанесе серйозного збитку компанії, але якщо додати до прав введення ще і можливість виправлення або видалення вже існуючих даних, то зловмисник, що оволодів паролем, може нанести істотні фінансові втрати. Окрім цього, слід врахувати збиток від роботи користувачів, що не дуже замислюються про наслідки своїх дій.

Правильно спроектована система безпеки не повинна дозволяти користувачеві виконувати дії, що виходять за рамки його повноважень. Не зайвим також буде передбачити додаткові засоби захисту, наприклад, не дозволяти видаляти дані, якщо термін їх зберігання не закінчився, тобто вони не втратили актуальність. Можна також надавати службовцям, які недавно влаштувалися на роботу, мінімальний доступ або доступ тільки в режимі читання. Пізніше їм можна буде дозволити і зміну даних.

Слід уважно відноситися до руху співробітників усередині компанії, їх переходам з одного відділу в іншій. Зміни посади повинні негайно відбиватися на правах доступу. Слід своєчасно видаляти користувачів, які більше не працюють в компанії. Якщо залишиться доступ до даним у людини, що посідав керівну посаду і що пішов в конкуруючу фірму, він може скористатися ними і завдати збитку компанії. Якщо людина йде у відпустку або виїжджає в тривале відрядження, потрібно тимчасово заблокувати його обліковий запис.

При створенні паролів важливо слідувати стандартним рекомендаціям. Бажано, щоб пароль включав не тільки символи, але і цифри. Потрібно стежити, щоб користувачі не застосовували як пароль рік народження, номер паспорта, машини або інші часто використовувані дані. Слід встановити обмежений термін дії пароля, після закінчення якого система зажадає у користувача змінити пароль. Для досягнення максимального ступеня безпеки потрібно використовувати аутентифікацію користувачів засобами Windows, оскільки операційні системи цього сімейства надають безліч дуже корисних засобів захисту.

Архітектура системи безпеки SQL Server

Система безпеки SQL Server базується на користувачах і облікових записах. Користувачі проходять наступні два етапи перевірки системою безпеки. На першому етапі користувач ідентифікується по імені облікового запису і паролю, тобто проходить аутентифікацію. Якщо дані введені правильно, користувач підключається до SQL Server. Підключення до SQL Server, або реєстрація, не дає автоматичного доступу до баз даних. Для кожної бази даних сервера реєстраційне ім'я (або обліковий запис — login) повинне відображатися в ім'я користувача бази даних (user). На другому етапі, на основі прав, виданих користувачеві як користувачеві бази даних (user), його реєстраційне ім'я (login) отримує доступ до відповідної бази даних. У різних базах даних login одного і того ж користувача може мати однакові або різні імена user з різними правами доступу.

Для доступу програм до баз даних їм також знадобляться права. Найчастіше програмам видаються ті ж права, які надані користувачам, що запускають ці програми. Проте для роботи деяких програм необхідно мати фіксований набір прав доступу, не залежних від прав доступу користувача. SQL Server дозволяє надати такі із застосуванням спеціальних ролей програми.

Отже, на рівні сервера система безпеки оперує наступними поняттями:

  •  аутентифікація (authentication);
  •  обліковий запис (login);
  •  вбудовані ролі сервера (fixed server roles).

На рівні бази даних використовуються наступні поняття:

  •  користувач бази даних (database user);
  •  фіксована роль бази даних (fixed database role);
  •  призначена для користувача роль бази даних (users database role);
  •  роль програми (application role).

Компоненти структури безпеки

Фундаментом системи безпеки SQL Server є облікові записи(login), користувачі (user), ролі (role) і групи (group). Користувач, що підключається до SQL Server, повинен ідентифікувати себе, використовуючи обліковий запис. Після того, як клієнт успішно пройшов аутентифікацію, він дістає доступ до SQL Server. Для діставання доступу до будь-якої бази даних обліковий запис користувача (login) відображається в користувача даної бази даних (user). Об'єкт “користувач бази даних” застосовується для надання доступу до всіх об'єктів бази даних: таблицям, уявленням, процедурам, що зберігаються, і так далі. В користувача бази даних може відображатися:

  •  обліковий запис Windows;
  •  група Windows;
  •  обліковий запис SQL Server.

Подібне відображення облікового запису необхідне для кожної бази даних, доступ до якої хоче отримати користувач. Відображення зберігаються в системній таблиці sysusers, яка є в будь-якій базі даних. Такий підхід забезпечує високий ступінь безпеки, оберігаючи від надання користувачам, що дістали доступ до SQL Server, автоматичного доступу до всіх баз даних і їх об'єктів. Користувачі баз даних, у свою чергу, можуть об'єднуватися в групи і ролі для спрощення управлінням системою безпеки.

За ситуації, коли обліковий запис не відображається в користувача бази даних, клієнт все ж таки може дістати доступ до бази даних під гостьовим ім'ям guest, якщо воно, зрозуміло, є в базі даних. Зазвичай користувачеві guest надається мінімальний доступ тільки в режимі читання. Але в деяких ситуаціях і цьому доступу необхідно запобігти.

Користувачі

Після того, як користувач пройшов аутентифікацію і отримав ідентифікатор облікового запису (login ID), він вважається зареєстрованим і йому надається доступ до сервера. Для кожної бази даних, до об'єктів якої користувачеві необхідно дістати доступ, обліковий запис користувача (login) асоціюється з користувачем (user) конкретної бази даних. Користувачі виступають як спеціальні об'єкти SQL Server, за допомогою яких визначаються всі дозволи доступу і володіння об'єктами в базі даних.

Ім'я користувача може використовуватися для надання доступу, як конкретній людині, так і цілій групі людей (залежно від типу облікового запису).

При створенні бази даних визначаються два стандартні користувачі: dbо і guest.

Якщо обліковий запис (login) не зв'язується явно з користувачем (user), останньому надається неявний доступ з використанням гостьового імені guest. Тобто всі облікові записи, що дістали доступ до SQL Server, автоматично відображаються в користувачів guest у всіх базах даних. Якщо буде видалений з бази даних користувач guest, то облікові записи, що не мають явного відображення облікового запису в ім'я користувача, не зможуть дістати доступу до бази даних. Проте, guest не має автоматичного доступу до об'єктів. Власник об'єкту повинен сам вирішувати, дозволяти користувачеві guest цей доступ чи ні. Зазвичай користувачеві guest надається мінімальний доступ в режимі “тільки читання”.

Для забезпечення максимальної безпеки можна видалити користувача guest з будь-якої бази даних, окрім системних баз даних master і Tempdb. У першій з них guest використовується для виконання системних процедур, що зберігаються, звичайними користувачами, тоді як в другій дозволяє створювати будь-яким користувачам тимчасові об'єкти.

Власник бази даних (DataBase Owner, DBO) — спеціальний користувач, що володіє максимальними правами в базі даних. Будь-який член ролі sysadmin автоматично відображається в користувача dbo. Якщо користувач, що є членом ролі sysadmin, створює який-небудь об'єкт, то власником цього об'єкту призначається не даний користувач, а dbo. Наприклад, якщо Liliya, член адміністративної групи, створює таблицю ТаblеА, то повне ім'я таблиці буде не Liliya.ТаblеA, а dbo.ТаblеA. В той же час, якщо Liliya, не будучи учасником ролі сервера sysadmin, виступає в ролі власника бази даних db_owner, то ім'я таблиці буде LiIiуа.ТаblеA.

Користувача dbo не можна видалити.

Користувач, який створює об'єкт в базі даних, наприклад таблицю, процедуру, що зберігається, або уявлення, стає власником об'єкту. Власник об'єкту (database object owner) має всі права доступу до створеного ним об'єкту. Щоб користувач міг створити об'єкт, власник бази даних (dbo) повинен надати користувачеві відповідні права. Повне ім'я створюваного об'єкту включає ім'я користувача, що створив його. Якщо користувач хоче звернутися до таблиці, використовуючи тільки її ім'я і не указуючи власника, SQL Server застосовує наступний алгоритм пошуку:

  1.  Шукається таблиця, створена користувачем, що виконує запит;
    1.  Якщо таблиця не знайдена, то шукається таблиця, створена власником бази даних (dbo).

Власник об'єкту не має ніякого спеціального пароля або особливих прав доступу. Він неявно має повний доступ, але повинен явно надати доступ іншим користувачам.

SQL Server дозволяє передавати права володіння від одного користувача іншому. Щоб видалити власника об'єкту з бази даних, спочатку необхідно видалити всі об'єкти, які він створив, або передати права на їх володіння іншому користувачеві.

Ролі сервера

Роль — це могутній інструмент, доданий в SQL Server 7.0, щоб замінити групи, які використовувалися в попередніх версіях. Роль дозволяє об'єднувати користувачів, що виконують однакові функції, для спрощення адміністрування системи безпеки SQL Server.

У SQL Server реалізовано два види стандартних ролей: на рівні сервера і на рівні баз даних. При установці SQL Server створюється 9 фіксованих ролей сервера і 9 фіксованих ролей бази даних. Ці ролі не можна видалити, крім того, не можна модифікувати права їх доступу. Не можна надати користувачеві права, які мають фіксовані ролі сервера, іншим способом, окрім як включенням його в потрібну роль.

У попередніх версіях SQL Server для адміністрування сервера можна було використовувати тільки обліковий запис sa або його аналог. Інакше кажучи, можна було дати або всі права, або ніяких. Тепер в SQL Server ця проблема вирішена шляхом додавання ролей сервера (server role), які дозволяють надати операторам сервера тільки ті права, які адміністратор порахує можливим надати. Ролі сервера не мають відношення до адміністрування баз даних. Можна включити будь-який обліковий запис SQL Server (login) або обліковий запис Windows в будь-яку роль сервера.

Стандартні ролі сервера (fixed server role) і їх права приведені в табл. 1.

Таблиця 1. Стандартні ролі сервера і їх права

Вбудована роль сервера

Призначення

Sysadmin

Може виконувати будь-які дії в SQL Server

Serveradmin

Виконує конфігурацію і виключення сервера

Setupadmin

Управляє зв'язаними серверами і процедурами, що автоматично запускаються при старті SQL Server

Securityadmin

Управляє обліковими записами і правами на створення бази даних, також може читати журнал помилок

Processadmin

Управляє процесами, запущеними в SQL Server

Dbcreator

Може створювати і модифікувати бази даних

Diskadmin

Управляє файлами SQL Server

Bulkadmin(Bulk Insert administrators)

Ця роль не існувала в SQL Server 7.0. Члени ролі Bulkadmin можуть вставляти дані з використанням засобів масивного копіювання, не маючи безпосереднього доступу до таблиць

Ролі бази даних

Ролі бази даних (database role) дозволяють об'єднувати користувачів в одну адміністративну одиницю і працювати з нею як із звичайним користувачем. Можна призначити права доступу до об'єктів бази даних для конкретної ролі, при цьому всі члени цієї ролі автоматично наділяються однаковими правами. Замість того щоб надавати доступ кожному конкретному користувачеві, а згодом постійно стежити за змінами, можна просто включити користувача в потрібну роль. Якщо співробітник переходить в інший відділ, потрібно просто видалити його з однієї ролі і додати в іншу. Можна створити необхідну кількість ролей, які охоплювали б все різноманіття дій з базою даних. Пізніше, при зміні функцій членів однієї з ролей, досить змінити права доступу для цієї ролі, а не встановлювати нові права для кожного користувача.

У роль бази даних можна включати:

  •  користувачів SQL Server;
  •  ролі SQL Server;
  •  користувачів Windows;
  •  групи Windows, яким заздалегідь наданий доступ до потрібної бази даних.

При створенні бази даних для неї визначаються стандартні ролі бази даних, які, так само як і стандартні ролі сервера, не можуть бути змінені або видалені. Стандартні ролі баз даних (fixed database role) і їх права приведені в табл. 2.

Таблиця 2. Стандартні ролі баз даних і їх права

Вбудована роль бази даних

Призначення

db__owner

Має всі права в базі даних

db_accessadmin

Може додавати або видаляти користувачів

db_securityadmin

Управляє всіма дозволами, об'єктами, ролями і членами ролей

db_ddladmin

Може виконувати будь-які команди DDL, окрім GRANT, DENY і REVOKE

db_backupoperator

Може виконувати команди DBCC, CHECKPOINT і BACKUP

db_datareader

Може проглядати будь-які дані в будь-якій таблиці БД

db_datawriter

Може модифікувати будь-які дані в будь-якій таблиці БД

db_denydatareader

Забороняється проглядати дані в будь-якій таблиці

dbjjenydatawriter

Забороняється модифікувати дані в будь-якій таблиці

Окрім вказаних вище ролей існує ще одна — public. Ця роль має спеціальне призначення, оскільки її членами є всі користувачі, що мають доступ до бази даних. Не можна явно встановити членів цієї ролі, тому що всі користувачі і так автоматично є її членами. Цю роль слід використовувати для надання мінімального доступу користувачам, для яких права доступу до об'єктів не визначені явно. Якщо в базі даних дозволений користувач guest, то встановлений для publiс доступ матимуть всі користувачі, що дістали доступ до SQL Server. Роль public є у всіх базах даних, включаючи системні бази даних master, tempdb, msdb, model, і не може бути видалена.

Ролі програми

Система безпеки SQL Server реалізована на найнижчому рівні — рівні бази даних. Це якнайкращий, найбільш дієвий метод контролю діяльності користувачів незалежно від програм, використовуваних ними для підключення до SQL Server. Проте, зустрічаються ситуації, коли необхідний постійний набір програм, що мають право для доступу до бази даних. Особливо це стосується роботи з великими базами даних, що мають безліч складних взаємозв'язаних таблиць з тисячами або мільйонами записів. Найчастіше для роботи з такими базами даних створюються спеціальні програми.

Крім того, може знадобитися, щоб користувачі діставали доступ до бази даних тільки за допомогою певної програми, не даючи можливості безпосередньо звертатися до даних. Наприклад, мобільні користувачі можуть використовувати спеціальну клієнтську програму, за допомогою якої вони оперують даними, встановлюючи зв'язок з сервером через незахищені глобальні комунікації.

SQL Server вирішує перераховані проблеми шляхом використання ролі програми, створюваної на рівні бази даних. Відмінності між стандартними ролями і роллю програми фундаментальні. Роль програми не має членів. Користувачі SQL Server або Windows не можуть бути додані в цю роль. Роль активізується, коли програма встановлює з'єднання. Користувач, що працює в цей час із програмою, не є членом ролі — тільки його програма використовує встановлене з'єднання.

Програма може бути спроектована так, щоб користувач, що працює з нею, повинен був вводити пароль для активізації ролі програми. Проте найчастіше пароль вводиться самою програмою непомітно для користувача. Додатково, для забезпечення максимальної безпеки, пароль може бути зашифрований перед своєю відправкою до SQL Server по мережі.

В процесі підключення програма повинна активізувати роль, передавши пароль, що асоціюється з даною роллю.

Коли роль програми активізується, всі права доступу, встановлені в межах сеансу для користувача, груп або ролей, втрачаються до закінчення роботи програми. З'єднання отримує права, встановлені для ролі програми в базі даних, в якій ця роль існує.

Оскільки роль програми має права тільки в тій базі даних, в якій вона створена, а всі дозволи для облікових записів, груп і ролей, до яких належить користувач, втрачаються, то доступ до інших баз даних можливий тільки під гостьовим ім'ям guest. Отже, якщо ім'я guest в базі даних не існує, то з'єднання не зможе дістати доступ даних. Якщо ж ім'я guest не видалене з бази даних, з'єднання зможе дістати доступ до об'єктів бази тільки в тому випадку, якщо дозволи явно видані для користувача guest. Перед встановленням з'єднання з використанням ролі програми користувачеві спочатку потрібно дістати доступ до SQL Server. Для цього допустимі обидва режими аутентифікації користувачів.

Якщо програма спроектованf для виконання різних завдань з використанням різних прав доступу, необхідно створити окрему роль для кожного виконуваного завдання. Програма повинна сама поклопотатися про перемикання ролей.

Захист даних

Як би добре не була спланована система безпеки SQL Server, залишається можливість копіювання файлів з даними і перегляду їх на іншому комп'ютері. Крім того, з використанням спеціальних пристроїв дані можуть бути перехоплені при передачі їх по мережі. Необхідно продумати засоби фізичного захисту даних. Дані у файлах бази даних зберігаються у відкритій формі, тобто їх можна проглянути в текстовому редакторові. Звичайно, вони не будуть структуровані, але все таки частину інформації можна буде прочитати.

Шифрування даних

Шифрування — це метод, використовуваний SQL Server для зміни даних до нечитабельної форми. Шифрування гарантує, що цінна конфіденційна інформація не буде проглянута ким би то не було. Можна скопіювати дані, але не можна нічого з ними зробити. Для проглядання даних авторизованими користувачами використовується дешифровка. SQL Server дозволяє шифрувати наступні дані:

  •  будь-які дані, передавані між сервером і клієнтом по мережі;
  •  паролі облікових записів SQL Server або ролей програми;
  •  код, використаний для створення об'єктів бази даних (процедур, що зберігаються, уявлень, тригерів і т. д.).

Паролі облікових записів і ролей програми завжди зберігаються в системних таблицях SQL Server в зашифрованій формі. Це оберігає їх від перегляду будь-яким користувачем, включаючи адміністратора. Крім того, пароль ролі програми може бути зашифрований перед відправкою його на сервер.

Якщо код тригера, уявлення або процедури, що зберігається, містить дані або алгоритм, які необхідно зберегти в таємниці, використовуйте шифрування цих об'єктів.

Шифрування даних при передачі їх по мережі гарантує, що ніяка програма або пристрій не зможе їх прочитати, навіть якщо і перехопить. Шифроване з'єднання дозволяє також запобігти перехопленню паролів користувачів.

Якщо необхідно шифрувати дані при передачі їх по мережі, необхідно використовувати мережеву бібліотеку Multiprotocol Net-Library.

Обмеження доступу до файлів SQL Server

У своїй роботі SQL Server створює і використовує безліч файлів — бази даних, журнали помилок, резервні копії, файли для експорту і імпорту даних і багато що інше. Служби SQL Server на рівні операційної системи виконуються у вигляді процесів. Для нормальної роботи SQL Server необхідно, щоб ці процеси мали повний доступ до всіх вказаних вище файлів на рівні файлової системи. Для цього на рівні операційної системи потрібно надати відповідні права обліковим записам, які використовуються для запуску SQL Server. Краще всього управляти правами доступу безпосередньо на рівні файлів і каталогів. Для цього сервер повинен працювати під управлінням операційної системи Windows і мати файлову систему NTFS.

Якщо сервер стартує як служба, необхідно надати повні права доступу обліковим записам, використовуваним для запуску служб. Якщо для запуску сервера використовується обліковий запис локальної системи, то доступ повинен надаватися користувачеві SYSTEM.

З метою обмеження можливостей неавторизованого доступу для файлів SQL Server необхідно встановити заборону на читання, видалення, модифікацію і виконання всім користувачам, окрім безпосередньо SQL Server.

Права доступу

Коли користувачі підключаються до SQL Server, дії, які вони можуть виконувати, визначаються правами (дозволами), виданими їх обліковому запису, групі або ролі, в якій вони виступають.

Права в SQL Server можна розділити на три категорії:

  •  права на доступ до об'єктів баз даних;
  •  права на виконання команд TRANSACT-SQL;
  •  неявні права (дозволи).

Після створення користувач не має ніяких прав доступу, окрім тих, які дозволені для спеціальної ролі бази даних public. Права, надані цій ролі, доступні для всіх користувачів в базі даних.

Права користувачеві видаються адміністратором або власниками баз даних або конкретних об'єктів баз даних. Для надання користувачеві певного набору прав можна використовувати ролі. Створивши декілька ролей і надавши їм необхідні права доступу, адміністратор бази даних може просто включати користувачів у відповідні ролі. Користувач автоматично отримує всі права доступу, визначені для ролі. Стандартні ролі бази даних вже мають певний набір прав. Наприклад, члени ролі db_datareader можуть проглядати будь-які дані в будь-якій таблиці.

Необхідно використовувати всі можливості SQL Server, контролюючи права доступу не тільки на рівні таблиць, але і на рівні стовпців. Указуючи права доступу до конкретного стовпця, можна гнучкіше управляти системою безпеки.

Аналогічні рекомендації стосуються дозволів на виконання команд TRANSACT-SQL. Можна спроектувати базу даних таким чином, що виконувати конкретні дії — створення таблиць, уявлень, правил, резервних копій і так далі — будуть строго певні користувачі.

Права на доступ до об'єктів баз даних

Робота з даними і виконання процедур, що зберігаються, вимагає наявність класу доступу, званого правами на доступ до об'єктів баз даних. Під об'єктами маються на увазі таблиці, стовпці таблиць, уявлення, процедури, що зберігаються. Права на доступ до об'єктів баз даних контролюють можливість виконання користувачами, наприклад, команд SELECT, INSERT, UPDATE і DELETE для таблиць і уявлень. Таким чином, якщо користувачеві необхідно додати нові дані в таблицю, йому слід надати право INSERT (вставка записів в таблицю). Надання ж користувачеві права EXECUTE дозволяє йому виконання яких-небудь процедур, що зберігаються.

Для різних об'єктів застосовуються різні набори прав доступу до них:

  •  SELECT, INSERT, UPDATE, DELETE, REFERENCES – ці права можуть бути застосовані для таблиці або уявлення;
  •  SELECT і UPDATE — ці права можуть бути застосовані до конкретного стовпця таблиці або уявлення;
  •  EXECUTE— це право застосовується тільки до процедур, що зберігаються, і функцій. Нижче приводиться докладніший опис кожного з цих прав.
  •  INSERT - це право дозволяє вставляти в таблицю або уявлення нові рядки. Як наслідок, право INSERT може бути видане тільки на рівні таблиці або уявлення і не може бути видано на рівні стовпця.
  •  UPDATE - це право видається або на рівні таблиці, що дозволяє змінювати всі дані в таблиці, або на рівні окремого стовпця, що дозволяє змінювати дані тільки в межах конкретного стовпця.
  •  DELETE - це право дозволяє видаляти рядки з таблиці або уявлення. Як і право INSERT, право DELETE може бути видане тільки на рівні таблиці або уявлення і не може бути видано на рівні стовпця.
  •  SELECT - дозволяє вибірку даних. Може видаватися як на рівні таблиці, так і на рівні окремого стовпця.
  •  REFERENCES – це можливість посилатися на вказаний об'єкт. Стосовно таблиць дозволяє користувачеві створювати зовнішні ключі, що посилаються на первинний ключ або унікальний стовпець цієї таблиці. Стосовно уявлень право REFERENCES дозволяє пов'язувати уявлення з схемами таблиць, на основі яких будується уявлення. Це дозволяє відстежувати зміни структури початкових таблиць, які можуть вплинути на роботу уявлення. Право REFERENCES не існувало в попередніх версіях SQL Server.

Заборона доступу

Система безпеки SQL Server має ієрархічну структуру. Це дозволяє ролям бази даних включати облікові записи і групи Windows, користувачів і ролі SQL Server. Користувач же, у свою чергу, може брати участь в декількох ролях. Наслідком ієрархічної структури системи безпеки є те, що користувач може одночасно мати різні права доступу для різних ролей. Якщо одна з ролей, в яку включений користувач, має дозвіл на доступ до даних, то користувач автоматично має аналогічні права. Проте, може бути потрібно заборонити можливість доступу даним. Коли забороняється користувачеві доступ до даним або командам TRANSACT-SQL (deny access), тим самим анулюються всі дозволи на доступ, отримані користувачем на будь-якому рівні ієрархії. При цьому гарантується, що доступ залишиться забороненим незалежно від дозволів, наданих на більш високому рівні.

Підвищення рівня захисту Microsoft SQL Server 

Сервери баз даних займають свою нішу в інформаційній інфраструктурі підприємства. Часто в них зберігається конфіденційна інформація, порушення доступності, цілісності або конфіденційності якої може привести до значних фінансових втрат.

Оскільки SQL Server є досить складним продуктом, підвищення рівня його захисту раціональніше проводити у декілька етапів. У даному розділі описується методика поетапної настройки сервера по рівнях інформаційної інфраструктури:

  •  захист мережевого обміну;
  •  захист операційної системи;
  •  захист компонентів бази даних;
  •  захист програм, що використовують базу даних.

Захист мережевого обміну

Для підвищення мережевої безпеки сервера SQL Server необхідно вирішити наступні завдання:

  •  вибір і настройка мережевих бібліотек сервера;
  •  фільтрація трафіку і розмежування мережевого доступу;
  •  шифрування трафіку.

Настройка мережевих бібліотек. Настройка мережевих бібліотек сервера здійснюється через утиліту SQL Server Network Utility. При виборі мережевих бібліотек необхідно виходити із завдань, які вирішуватимуться сервером. Наприклад, якщо сервер встановлений на одному комп'ютері з сервером Web і його єдине завдання — надавати Web-серверу дані для створення динамічних сторінок, можна очистити список використовуваних протоколів. Подібна настройка позбавить сервер можливості обміну по мережі, відповідно він не буде схильний до мережевих атак.

Якщо в завдання сервера входить мережева взаємодія, бібліотеки необхідно вибирати виходячи з того, які типи клієнтів працюватимуть з сервером.

І останній критерій — це можливості, підтримувані тими або іншими бібліотеками. Так, бібліотека TCP/IP дозволяє серверу задіювати SSL для шифрування трафіку і протоколу аутентифікації Kerberos. Бібліотека Named Pipes використовується для підтримки протоколу аутентифікації NTLM при взаємодії із застарілими клієнтами. Підтримка сервером бібліотеки Multiprotocol (RPC) дає серверу можливість захищати мережевий обмін засобами операційної системи.

Стандартно рекомендується використовувати мережеву бібліотеку TCP/IP і видалити всі останні. Це пов'язано з можливістю використання зловмисником додаткових мережевих бібліотек для компрометації сервера.

Захист операційної системи

При підвищенні рівня захисту базової операційної системи необхідно вирішити наступні завдання:

  •  налаштувати системні служби;
  •  налаштувати права користувачів і дозволи файлової системи;
  •  налаштувати шифрування файлів бази даних.

Настройка системних служб і прав користувачів. Microsoft SQL Server встановлюється і функціонує як декілька системних служб. Для кожного екземпляра бази даних створюється служба з ім'ям, утвореним по схемі MSSQL$<имя екземпляра>. Так само створюються екземпляри SQL Server Agent (SQLAgent$< ім'я екземпляра>), що відповідають за виконання періодичних завдань, таких як автоматична архівація, підтримка бази даних і так далі.

Крім того, для сервера в цілому створюються служби Microsoft Search (відповідає за індексування і пошук документів в тому випадку, якщо включена підтримка повнотекстового пошуку) і DTS (служба, що відповідає за підтримку розподілених транзакцій).

Служба MSSQL може працювати в контексті облікового запису Local System або від імені облікового запису користувача (доменного або локального). Дуже небажано застосовувати для запуску служб обліковий запис LocalSystem, як і будь-який інший обліковий запис з адміністративними повноваженнями. Це пов'язано з тим, що у разі компрометації сервера всі дії в системі проводитимуться від імені цього запису, тобто зловмисник працюватиме з адміністративними привілеями.

Рекомендується запускати служби від імені облікового запису (локальною або доменною), що має обмежені привілеї. Локальний обліковий запис доцільно використовувати, якщо в завдання сервера SQL Server не входить мережева взаємодія з іншими службами. У зворотному випадку застосовується доменний обліковий запис.

На сервері бажано відключити служби, які для роботи SQL Server не потрібні. Їх список приведений в табл. 3.

Таблиця 3. Служби, які для роботи SQL Server не потрібні.

Шифрування баз даних. Для захисту файлів бази даних на фізичному рівні має сенс зашифрувати їх. У операційній системі Windows передбачена можливість шифрування бази даних за допомогою шифруючої файлової системи. Encrypting File System — надбудова над NTFS, що дозволяє в прозорому для користувача режимі шифрувати і розшифровувати файли на жорсткому диску комп'ютера.

Для використання цієї можливості необхідно:

  1.  Налаштувати службу SQL Server на запуск від імені облікового запису користувача.
  2.  Увійти до системи, використовуючи даний обліковий запис.
  3.  Використовуючи “Провідник”, відкрити властивості теки Program Files\microsoft sql server\<имя экземпляра>\Data або інший, де збережені бази даних.
  4.  Встановити для каталогу атрибут (PropertiesAdvancedEncrypt contents to secure data).

Після виконання даної операції файли будуть зашифровані. Коли до цих даних спробує дістати доступ інша людина, він отримає повідомлення про неможливість доступу.

Захист компонентів бази даних

Першим етапом настройки безпеки SQL Server як програми є вибір використовуваної моделі аутентифікації. Потім необхідно вирішити, чи будуть члени групи локальних адміністраторів мати доступ до сервера бази даних з привілеями системних адміністраторів. Автоматично створюваний серверний обліковий запис Bultin/Administrators рекомендується видалити. Ця рекомендація зв'язана, перш за все, з обов'язковою присутністю в даній групі облікового запису локального адміністратора, чий пароль може бути вмить змінений у разі наявності у зловмисника фізичного доступу або підібраний по мережі. Після того, як зловмисник дістане доступ до системи від імені цього облікового запису, він зможе обійти всі захисні механізми, включаючи шифрування баз даних за допомогою EFS.

Наступним етапом є видалення стандартних баз даних, що входять в дистрибутив як приклади. До них відносяться бази даних NorthWind і pubs. Дані бази містять ряд помилок, мають слабкі дозволи і часто використовуються зловмисниками для атак.

Потім необхідно заборонити виконання запитів типу AdHoc. Такі запити (OPENROWSET, OPENQUERY і OPENDATASOURCE) дозволяють серверу встановлювати з'єднання із зовнішнім сервером і зберігати на ньому свої дані. Вони дуже рідко використовуються в програмах, але можуть бути застосовані зловмисником для видаленого отримання інформації з баз даних сервера.

Аудит сервера SQL Server

Існує декілька різних методів настройки аудиту в базах даних SQL Server. Кращим рішенням є використання комбінацій даних методів залежно від вирішуваних завдань. За умовчанням аудит на сервері не активізований.

Аудит аутентифікації сервера дозволяє відстежувати спроби аутентифікації на сервері SQL. Включити його можна через Enterprise Manager або шляхом модифікації параметра реєстру HKLM\Software\Microsoft\MSSQLServer\MSSQLServer\ Audit Level. Можливі значення 0...3.

Нульове значення параметра означає відключення аудиту, 1 — запис вдалих спроб аутентифікації, 2 — невдалих. При значенні параметра 3 включається аудит всіх спроб реєстрації.

Події зберігаються в журналі Application операційної системи. Додаткові настройки дозволяють зберігати події в журналі помилок SQL Server. Настройка даного типу аудиту припускає включення відстежування невдалих спроб аутентифікації (значення 2) з подальшим аналізом на предмет виявлення спроб несанкціонованого доступу або підбору паролів.

Інший тип аудиту відноситься до подій сервера баз даних. Настроювати і відстежувати їх можна за допомогою утиліти SQL Profiler.


 

А также другие работы, которые могут Вас заинтересовать

38542. ОПЫТНО-ЭКСПЕРИМЕНТАЛЬНАЯ РАБОТА ПО ФОРМИРОВАНИЮ ЭКОЛОГИЧЕСКОЙ КУЛЬТУРЫ МЛАДШИХ ШКОЛЬНИКОВ ПОСРЕДСТВОМ ДИДАКТИЧЕСКИХ ИГР 720 KB
  Формирования экологической культуры посредством дидактической игры . Эффективным методом формирования экологической культуры являются дидактические игры. В процессе использования дидактической игры у детей формируется умение действовать в какойлибо ситуации в соответствии с определенными нормами. Фицула в учебнике по педагогике отмечает что целью формирования экологической культуры в учебновоспитательном процессе используют экологопсихологическую терминологию групповые и ролевые игры мозговой штурм что направлены на...
38543. Управление маркетингом на предприятие на примере торговой компании ТОО «DOM COMPANI» 755.5 KB
  Организационная структура предприятия ТОО DOM COMPNI. Используя в управлении теорию маркетинга предприятия и фирма должны строить свою деятельность в соответствии с ее ключевым принципом: производить то что продается а не продавать то что производится. Методически этот процесс должен предшествовать разработке любых тактических и тем более стратегических линий поведения предприятия поскольку он на многоальтернативной основе позволяет высшему звену управления остановить свой выбор на наиболее перспективных для предприятия рынках....
38544. Управление прибылью и рентабельностью предприятия (на примере ООО «Моравия Авто Плюс») 1 MB
  кафедрой _________________________ __ ____________20___г Дипломный проект Студента 6 курса заочного отделения Сухобока Александра Владимировича зачетная книжка №1008 на тему: Управление прибылью и рентабельностью предприятия на примере ООО Моравия Авто Плюс Специальность: 080507. Аннотация Дипломный проект на тему: Управление прибылью и рентабельностью предприятия на примере ООО Моравия Авто Плюс. При написании работы ставятся следующие задачи: изучить теоретически основы анализа ликвидности и платежеспособности;...
38545. Исследования динамики воображения при использовании эвристических методов обучения у студентов специальности Связи с общественностью ЧГПУ им. И.Я. Яковлева 222 KB
  Донесение и работа с информацией, влияние на определенные слои общества, а также проталкивание, лоббирование некоторых своих, личных интересов, как раз и составляет основу деятельности PR. Именно поэтому на сегодняшний день актуально изучение эвристических методы в работе PR - специалиста.
38546. Технология возделывания картофеля в условиях СПК “Старый Лепель” Лепельского района 545 KB
  Технология возделывания картофеля в условиях СПК â€œСтарый Лепель†Лепельского района24 5. Мучнистая рассыпчатая консистенция отварного картофеля приготовленного в домашних условиях – критерий отбора при покупке. Поэтому нужно ориентироваться на производство типичного картофеля не пытаясь подменять продукцию немецких голландских польских картофелеводов. Сбыт качественного картофеля не вызывает серьезных затруднений.
38547. Решение задач организации правильного монтажа, технического обслуживания и ремонта электротехнических изделий 72.5 KB
  Развитие производства базируется на современных технологиях, широко использующих электрическую энергию. В связи с этим возрастают требования к качеству электрической энергии, ее экономному использованию и рациональному расходованию материальных ресурсов при сооружении систем электроснабжения. Отсюда – повышение роли инженеров-электриков.
38548. Анализ деятельности продюсера в современной отечественной музыкальной индустрии 49 KB
  Стремительное развитие в России в последнее пятнадцатилетие рыночных отношений глобальное реформирование всех сфер жизни общества в том числе сферы культуры и массовых коммуникаций привели к появлению новых видов профессиональной деятельности. Формирование рыночных механизмов на отечественной сцене тесно связано со становлением особого вида предпринимательской деятельности телевизионным продюсированием играющим ключевую роль в развитии российской аудиовизуальной индустрии. Поэтому у института продюсерской деятельности с одной стороны...
38549. Унификация и типизация технологических процессов (ТП) 60.5 KB
  Эффективное применение ГАП и ИПК в единичном и серийном производствах зависит главным образом от устойчивости (стабильности) производственного процесса. Продукция машиностроительных и приборостроительных заводов характеризуется сменой изделий
38550. Разработка и реализация управленческих решений на примере Межрайонной ИФНС России по крупнейшим налогоплательщикам по Республике Башкортостан 333.5 KB
  2 Анализ управленческих решений как составная часть процесса принятия решения Межрайонной ИФНС России по крупнейшим налогоплательщикам по РБ 2.3 Механизм и методы принятия решения Межрайонной ИФНС России по крупнейшим налогоплательщикам по РБ Глава 3 Совершенствование системы принятия решений и оценка ее эффективности 3. В решениях фиксируется вся совокупность отношений возникающих в процессе трудовой деятельности и управления организацией. Лица наделенные правом принимать решения или организовывать их реализацию называются субъектами...