Ingeniería de Sistemas y Telemática 1

Sesión 07 de Base de Datos II

Administración de la Seguridad de SQL Server
1. Definición
Las cuentas y roles de SQL SERVER tienen un
papel fundamental en la seguridad de Windows
Server usa estas entidades de SQL Server para
controlar el acceso a almacenes y tablas que
contienen datos de operaciones de seguimiento,
así como datos de control de estado
relacionados con la persistencia de flujo de
trabajo.
Si desea crear cuentas y roles y ver, manipular
y asignar los permisos adecuados a los objetos
de base de datos, use las herramientas de
ayuda que se incluyen con la instalación de la
base de datos.
SQL Server usa los inicios de sesión y roles de
SQL Server para administrar el acceso a activos
como los almacenes de seguimiento y
persistencia y los procedimientos
almacenados. Se usan permisos para aplicar
directivas de seguridad a tablas y procedimientos almacenados para determinar quién puede leer, escribir y
realizar operaciones administrativas en los esquemas de seguimiento y persistencia. Cada esquema se protege
mediante su propio grupo de directivas de seguridad.
2. Autenticación
Es el proceso que debe seguir un usuario para tener acceso a los recursos de un sistema o de una red de
computadores. Este proceso implica identificación (decirle al sistema quién es) y autenticación (demostrar que
el usuario es quien dice ser)
SQL Server ofrece dos métodos para proteger la autenticación en sus servidores de bases de datos:
A. Autenticación de Windows. Modo de autenticación de Windows predeterminado. Es el más seguro para
SQL Server. Si se configura el modo de autenticación de Windows, SQL Server usa la seguridad de
Windows para validar la cuenta y la contraseña de la cuenta de usuario solicitante con el sistema operativo
Windows.
B. Autenticación de SQL Server. Modo de autenticación de SQL Server. Su finalidad es ofrecer
compatibilidad con versiones anteriores a aplicaciones y usuarios que necesiten acceso a SQL Server con
una cuenta de usuario y contraseña específicos. Es el modo menos seguro.
3. Inicios de sesión de SQL Server
Es una entidad de seguridad o una entidad que puede ser autenticada por un sistema seguro. Los usuarios
necesitan iniciar sesión para conectarse a SQL Server. Puede crear un inicio de sesión basado en una entidad
de seguridad de Windows (como un usuario de dominio o un grupo de dominio de Windows) o puede crear un
inicio de sesión que no lo esté (como un inicio de sesión de SQL Server).
Para realizar acciones de configuración o funcionamiento sobre los esquemas o datos de la base de datos,
la cuenta de inicio de sesión debe estar asignada a un rol de SQL Server con los permisos adecuados. Un rol
de SQL Server funciona como un grupo de Windows.
La asignación de una cuenta de inicio de sesión a un rol de SQL determina el control de dicha cuenta sobre
las actividades administrativas y las operaciones en la base de datos. Una cuenta de inicio de sesión puede
estar asignada a más de un rol de base de datos.
Los inicios de sesión de SQL Server por defecto encontramos:
Es un usuario especial que existe en todas las bases de datos, y como
(administrador)
tal, no puede ser eliminado de la misma.

Permite iniciar una sesión sin una cuenta de usuario que de acceso a la
Guest (invitado) base de datos. Se pueden añadir y eliminar cuentas de usuario invitado
en cualquier base de datos, excepto en las bases master y tempdb.

Marco Aurelio Porro Chulli

 Ingeniería de Sistemas y Telemática 2

4. Roles SQL Server

A. Rol de “SERVIDOR” de SQL
Server: Un rol de “servidor” de
SQL Server se define a nivel de
servidor fuera de cualquier
almacén. Los roles de SQL Server
están predefinidos y su número y
su contenido no se pueden
modificar. Un ejemplo de rol de
servidor común es sysadmin.
Este rol ofrece a la cuenta de
inicio de sesión un control total
sobre todas las operaciones de la
base de datos y la capacidad de
realizar cualquier operación sobre
los datos de SQL Server de
cualquier almacén.
B. Rol de “APLICACIÓN” de SQL
Server: Los roles de aplicación
satisfacen las necesidades de
seguridad más complejas y
personalizadas de una aplicación
particular. Varias aplicaciones
pueden usar un almacén con la
necesidad común de proteger la
seguridad de sus datos durante el
acceso de una de las
aplicaciones.
C. Rol de “BASE DE DATOS” de
SQL Server: Usa el rol de base
de datos de forma generalizada.
Existen tres tipos de roles de base
de datos: públicos, definidos por el
usuario y fijos. A fin de ofrecer una
información exhaustiva, a
continuación se describen
detalladamente.
AppFabric usa el modelo de rol de base de datos definido por el usuario de forma exclusiva para gran
parte de su seguridad en SQL Server.
Existen tres tipos de roles de base de datos de SQL Server:
 Público: El rol de base de datos público contiene un permiso de acceso predeterminado para todos
los usuarios de base de datos. Por lo tanto, todas las cuentas de inicio de sesión que se crean a
través de AppFabric son miembros de este rol.
 Fijo: Del mismo modo que los roles de “servidor” de SQL Server (por ejemplo, sysadmin), los roles de
base de datos fijos no se pueden modificar. Al contrario de lo que sucede con los roles de servidor,
que existen a nivel de servidor, los roles de base de datos existen a nivel de base de datos para cada
almacén. Un ejemplo de rol de base de datos fijo es db_owner.
Se pueden agregar o quitar cuentas de usuario de inicio de sesión de SQL Server a roles de base de
datos fijos.
 Definido por el Usuario: Crea roles de base de datos definidos por los usuarios específicos en
blanco durante la instalación. El programa de instalación de AppFabric no inserta explícitamente
ninguna cuenta de Windows o cuenta de inicio de sesión de SQL Server en los roles de base de
datos definidos por el usuario. Para agregar cuentas, es necesario usar las herramientas de
administración de SQL Server.

Marco Aurelio Porro Chulli

 Ingeniería de Sistemas y Telemática 3

5. Permisos de los Roles Fijos de Servidor

SQL Server proporciona roles de nivel de servidor para ayudarle a administrar los permisos de un
servidor. Estos roles son entidades de seguridad que agrupan otras entidades de seguridad. Los roles de nivel
de servidor se aplican a todo el servidor en lo que respecta a su ámbito de permisos.
Está por encima de las restantes funciones y tiene la autoridad para
sysadmin
realizar cualquier actividad en SQL Server.
Se usa para conceder a un usuario la autoridad para realzar cambios en
serveradmin
la configuración de SQL Server.
Da a un usuario capacidad sobre la configuración de duplicación en el
setupadmin
sistema y los procedimientos almacenados que se instalen.
Proporciona a un usuario la capacidad de administrar los inicios de
securityadmin
sesión.
Permite a un usuario gestionar los procesos que se ejecutan bajo SQL
processadmin
Server.
Proporciona a un usuario la capacidad de crear y modificar bases de
dbcreator
datos en SQL Server.
diskadmin Otorga la capacidad para crear archivos de disco.
6. Permisos de los Roles Fijos de Base de Datos
Para administrar con facilidad los permisos en las bases de datos, SQL Server proporciona varios roles, que
son las entidades de seguridad que agrupan a otras entidades de seguridad. Son como los grupos del
sistema operativo Microsoft Windows. Los roles de nivel de base de datos se aplican a toda la base de datos
en lo que respecta a su ámbito de permisos.
Función que se asigna a un usuario que es propietario de una base de
db_owner
datos.
Proporciona a un usuario la capacidad de añadir o eliminar grupos de
db_accessadmin
Windows Server y usuarios de SQL Server a la base de datos.
Permite al usuario seleccionar datos en cualquier tabla de la base de
db_datareader
datos.
Permite al usuario insertar, actualizar o borrar datos en cualquier tabla
db_datawriter
de la base de datos.
db_ddladmin Permite crear, modificar y eliminar objetos de la base de datos.
Permite a sus miembros crear y mantener las funciones de base de
db_securityadmin datos y sus permisos, así como gestionar los permisos dentro de la base
de datos.
db_backupoperator Permite la realización de copias de seguridad.
Deniega la capacidad de seleccionar (leer) datos de cualquier tabla de la
db_denydatareader
base de datos.
db_denydatareader Deniega la capacidad de escribir, modificar, actualizar o borrar datos.

Marco Aurelio Porro Chulli