教您构建 SQL Server 可管理安全机制

在改进SQL Server 7.0系列所实现的安全机制的过程中，微软建立了一种既灵活又强大的安全管理机制，他能够对用户访问SQL Server服务器系统和数据库的安全进行全面地管理。按照本文介绍的步骤，您能够为SQL Server 7.0（或2000）构造出一个灵活的、可管理的安全策略，而且他的安全性经得起考验。

一、验证方法选择

本文对验证（authentication）和授权（authorization）这两个概念作不同的解释。验证是指检验用户的身份标识；授权是指允许用户做些什么。在本文的讨论中，验证过程在用户登录SQL Server的时候出现，授权过程在用户试图访问数据或执行命令的时候出现。

构造安全策略的第一个步骤是确定SQL Server用哪种方式验证用户。SQL Server的验证是把一组帐户、密码和Master数据库Sysxlogins表中的一个清单进行匹配。Windows NT/2000的验证是请求域控制器检查用户身份的合法性。一般地，假如服务器能够访问域控制器，我们应该使用Windows NT/2000验证。域控制器能够是Win2K服务器，也能够是NT服务器。无论在哪种情况下，SQL Server都接收到一个访问标记（Access Token）。访问标记是在验证过程中构造出来的一个特别列表，其中包含了用户的SID（安全标识号）连同一系列用户所在组的SID。正如本文后面所介绍的，SQL Server以这些SID为基础授予访问权限。注意，操作系统如何构造访问标记并不重要，SQL Server只使用访问标记中的SID。也就是说，不论您使用SQL Server 2000、SQL Server 7.0、Win2K还是NT进行验证都无关紧要，结果都相同。

假如使用SQL Server验证的登录，他最大的好处是很容易通过Enterprise Manager实现，最大的缺点在于SQL Server验证的登录只对特定的服务器有效，也就是说，在一个多服务器的环境中管理比较困难。使用SQL Server进行验证的第二个重要的缺点是，对于每一个数据库，我们必须分别地为他管理权限。假如某个用户对两个数据库有相同的权限需要，我们必须手工配置两个数据库的权限，或编写脚本配置权限。假如用户数量较少，比如25个以下，而且这些用户的权限变化不是很频繁，SQL Server验证的登录或许适用。但是，在几乎任何的其他情况下（有一些例外情况，例如直接管理安全问题的应用），这种登录方式的管理负担将超过他的长处。

二、Web环境中的验证

即使最好的安全策略也常常在一种情形前屈服，这种情形就是在Web应用中使用SQL Server的数据。在这种情形下，进行验证的典型方法是把一组SQL Server登录名称和密码嵌入到Web服务器上运行的程式，比如ASP页面或CGI脚本；然后，由Web服务器负责验证用户，应用程式则使用他自己的登录帐户（或是系统管理员sa帐户，或为了方便起见，使用Sysadmin服务器角色中的登录帐户）为用户访问数据。

这种安排有几个缺点，其中最重要的包括：他不具备对用户在服务器上的活动进行审核的能力，完全依赖于Web应用程式实现用户验证，当SQL Server需要限定用户权限时不同的用户之间不易区别。假如您使用的是IIS 5.0或IIS 4.0，您能够用四种方法验证用户。第一种方法是为每一个网站和每一个虚拟目录创建一个匿名用户的NT帐户。此后，任何应用程式登录SQL Server时都使用该安全环境。我们能够通过授予NT匿名帐户合适的权限，改进审核和验证功能。

第二种方法是让任何网站使用Basic验证。此时，只有当用户在对话框中输入了合法的帐户和密码，IIS才会允许他们访问页面。IIS依靠一个NT安全数据库实现登录身份验证，NT安全数据库既能够在本地服务器上，也能够在域控制器上。当用户运行一个访问SQL Server数据库的程式或脚本时，IIS把用户为了浏览页面而提供的身份信息发送给服务器。假如您使用这种方法，应该记住：在通常情况下，浏览器和服务器之间的密码传送一般是不加密的，对于那些使用Basic验证而安全又很重要的网站，您必须实现SSL（Secure Sockets Layer，安全套接字层）。

在客户端只使用IE 5.0、IE 4.0、IE 3.0浏览器的情况下，您能够使用第三种验证方法。您能够在Web网站上和虚拟目录上都启用NT验证。IE会把用户登录电脑的身份信息发送给IIS，当该用户试图登录SQL Server时IIS就使用这些登录信息。使用这种简化的方法时，我们能够在一个远程网站的域上对用户身份进行验证（该远程网站登录到一个和运行着Web服务器的域有着信任关系的域）。

最后，假如用户都有个人数字证书，您能够把那些证书映射到本地域的NT帐户上。个人数字证书和服务器数字证书以同样的技术为基础，他证实用户身份标识的合法性，所以能够取代NT的Challenge/Response（质询/回应）验证算法。Netscape和IE都自动在每一个页面请求中把证书信息发送给IIS。IIS提供了一个让管理员把证书映射到NT帐户的工具。因此，我们能够用数字证书取代通常的提供帐户名字和密码的登录过程。

由此可见，通过NT帐户验证用户时我们能够使用多种实现方法。即使当用户通过IIS跨越Internet连接SQL Server时，选择仍旧存在。因此，您应该把NT验证作为最好选择的用户身份验证办法。

三、配置全局组

构造安全策略的下一个步骤是确定用户应该属于什么组。通常，每一个组织或应用程式的用户都能够按照他们对数据的特定访问需要分成许多类别。例如，会计应用软件的用户一般包括：数据输入操作员，数据输入管理员，报表编写员，会计师，审计员，财务经理等。每一组用户都有不同的数据库访问需要。

控制数据访问权限最简单的方法是，对于每一组用户，分别地为他创建一个满足该组用户权限需要的、域内全局有效的组。我们既能够为每一个应用分别创建组，也能够创建适用于整个企业的、涵盖广泛用户类别的组。然而，假如您想要能够精确地了解组成员能够做些什么，为每一个应用程式分别创建组是一种较好的选择。例如，在前面的会计系统中，我们应该创建Data Entry Operators、Accounting Data Entry Managers等组。请记住，为了简化管理，最好为组取一个能够明确表示出作用的名字。

除了面向特定应用程式的组之外，我们还需要几个基本组。基本组的成员负责管理服务器。按照习惯，我们能够创建下面这些基本组：SQL Server Administrators，SQL Server Users，SQL Server Denied Users，SQL Server DB Creators，SQL Server Security Operators，SQL Server Database Security Operators，SQL Server Developers，连同 DB_Name Users（其中DB_Name是服务器上一个数据库的名字）。当然，假如必要的话，您还能够创建其他组。

创建了全局组之后，接下来我们能够授予他们访问SQL Server的权限。首先为SQL Server Users创建一个NT验证的登录并授予他登录权限，把Master数据库配置为他的默认数据库，但不要授予他访问任何其他数据库的权限，也不要把这个登录帐户配置为任何服务器角色的成员。接着再为SQL Server Denied Users重复这个过程，但这次要拒绝登录访问。在SQL Server中，拒绝权限始终优先。创建了这两个组之后，我们就有了一种允许或拒绝用户访问服务器的便捷方法。

为那些没有直接在Sysxlogins系统表里面登记的组授权时，我们不能使用Enterpris Managr，因为Enterprise Manager只允许我们从现有登录名字的列表选择，而不是域内任何组的列表。要访问任何的组，请打开Query Analyzer，然后用系统存储过程sp_addsrvrolemember连同sp_addrolemember进行授权。

对于操作服务器的各个组，我们能够用sp_addsrvrolemember存储过程把各个登录加入到合适的服务器角色：SQL Server Administrators成为Sysadmins角色的成员，SQL Server DB Creators成为Dbcreator角色的成员，SQL Server Security Operators成为Securityadmin角色的成员。注意sp_addsrvrolemember存储过程的第一个参数需要是帐户的完整路径。例如，BigCo域的JoeS应该是bigco/joes（假如您想用本地帐户，则路径应该是server_name/joes）。

要创建在任何新数据库中都存在的用户，您能够修改Model数据库。为了简化工作，SQL Server自动把任何对Model数据库的改变复制到新的数据库。只要正确运用Model数据库，我们无需定制每一个新创建的数据库。另外，我们能够用sp_addrolemember存储过程把SQL Server Security Operators加入到db_securityadmin，把SQL Server Developers加入到db_owner角色。

注意我们仍然没有授权任何组或帐户访问数据库。事实上，我们不能通过Enterprise Manager授权数据库访问，因为Enterprise Manager的用户界面只允许我们把数据库访问权限授予合法的登录帐户。SQL Server不需要NT帐户在我们把他配置为数据库角色的成员或分配对象权限之前能够访问数据库，但Enterprise Manager有这种限制。尽管如此，只要我们使用的是sp_addrolemember存储过程而不是Enterprise Manager，就能够在不授予域内NT帐户数据库访问权限的情况下为任意NT帐户分配权限。

到这里为止，对Model数据库的配置已完成。但是，假如您的用户群体对企业范围内各个应用数据库有着类似的访问需要，您能够把下面这些操作移到Model数据库上进行，而不是在面向特定应用的数据库上进行。

四、允许数据库访问

在数据库内部，和迄今为止我们对登录验证的处理方式不同，我们能够把权限分配给角色而不是直接把他们分配给全局组。这种能力使得我们能够轻松地在安全策略中使用SQL Server验证的登录。即使您从来没有想要使用SQL Server登录帐户，本文仍旧建议分配权限给角色，因为这样您能够为未来可能出现的变化做好准备。

创建了数据库之后，我们能够用sp_grantdbaccess存储过程授权DB_Name Users组访问他。但应该注意的是，和sp_grantdbaccess对应的sp_denydbaccess存储过程并不存在，也就是说，您不能按照拒绝对服务器访问的方法拒绝对数据库的访问。假如要拒绝数据库访问，我们能够创建另外一个名为DB_Name Denied Users的全局组，授权他访问数据库，然后把他配置为db_denydatareader连同db_denydatawriter角色的成员。注意SQL语句权限的分配，这里的角色只限制对对象的访问，但不限制对DDL（Data Definition Language，数据定义语言）命令的访问。

正如对登录过程的处理，假如访问标记中的任意SID已在Sysusers系统表登记，SQL将允许用户访问数据库。因此，我们既能够通过用户的个人NT帐户SID授权用户访问数据库，也能够通过用户所在的一个（或多个）组的SID授权。为了简化管理，我们能够创建一个名为DB_Name Users的拥有数据库访问权限的全局组，同时不把访问权授予任何其他的组。这样，我们只需简单地在一个全局组中添加或删除成员就能够增加或减少数据库用户。

五、分配权限

实施安全策略的最后一个步骤是创建用户定义的数据库角色，然后分配权限。完成这个步骤最简单的方法是创建一些名字和全局组名字配套的角色。例如对于前面例子中的会计系统，我们能够创建Accounting Data Entry Operators、Accounting Data Entry Managers之类的角色。由于会计数据库中的角色和帐务处理任务有关，您可能想要缩短这些角色的名字。然而，假如角色名字和全局组的名字配套，您能够减少混乱，能够更方便地判断出哪些组属于特定的角色。

创建好角色之后就能够分配权限。在这个过程中，我们只需用到标准的GRANT、REVOKE和DENY命令。但应该注意DENY权限，这个权限优先于任何其他权限。假如用户是任意具备DENY权限的角色或组的成员，SQL Server将拒绝用户访问对象。

接下来我们就能够加入任何SQL Server验证的登录。用户定义的数据库角色能够包含SQL Server登录连同NT全局组、本地组、个人帐户，这是他最宝贵的特点之一。用户定义的数据库角色能够作为各种登录的通用容器，我们使用用户定义角色而不是直接把权限分配给全局组的主要原因就在于此。

由于内建的角色一般适用于整个数据库而不是单独的对象，因此这里建议您只使用两个内建的数据库角色,，即db_securityadmin和db_owner。其他内建数据库角色，例如db_datareader，他授予对数据库里面任何对象的SELECT权限。虽然您能够用db_datareader角色授予SELECT权限，然后有选择地对个别用户或组拒绝SELECT权限，但使用这种方法时，您可能忘记为某些用户或对象配置权限。一种更简单、更直接而且不容易出现错误的方法是为这些特别的用户创建一个用户定义的角色，然后只把那些用户访问对象所需要的权限授予这个用户定义的角色。

六、简化安全管理

SQL Server验证的登录不但能够方便地实现，而且和NT验证的登录相比，他更容易编写到应用程式里。但是，假如用户的数量超过25，或服务器数量在一个以上，或每个用户都能够访问一个以上的数据库，或数据库有多个管理员，SQL Server验证的登录不容易管理。由于SQL Server没有显示用户有效权限的工具，要记忆每个用户具备哪些权限连同他们为何要得到这些权限就更加困难。即使对于一个数据库管理员还要担负其他责任的小型系统，简化安全策略也有助于减轻问题的复杂程度。因此，最好选择的方法应该是使用NT验证的登录，然后通过一些精心选择的全局组和数据库角色管理数据库访问。

下面是一些简化安全策略的经验规则：

·用户通过SQL Server Users组获得服务器访问，通过DB_Name Users组获得数据库访问。

·用户通过加入全局组获得权限，而全局组通过加入角色获得权限，角色直接拥有数据库里的权限。

·需要多种权限的用户通过加入多个全局组的方式获得权限。

只要规划得恰当，您能够在域控制器上完成任何的访问和权限维护工作，使得服务器反映出您在域控制器上进行的各种配置调整。虽然实际应用中情况可能有所变化，但本文介绍的基本措施仍旧适用，他们能够帮助您构造出很容易管理的安全策略。