Administracin de la seguridad

Introduccin

Implementacin del modo de Autenticacin Asignacin de cuentas de inicio de sesin a usuarios y funciones Asignacin de permisos a usuarios y funciones Administracin de la seguridad en SQL Server Administracin de la seguridad de la aplicacin Administracin de la seguridad de SQL Server en la empresa

 Implementacin del modo de Autenticacin

Proceso de autenticacin Eleccin del modo de autenticacin Autenticacin mutua con Kerberos Representacin y delegacin

Cifrado
Pasos para implementar un Modo de autenticacin Creacin de cuentas de inicio de sesin Configuracin de cuentas de inicio de sesin

Proceso de autenticacin
Comprueba la entrada en la tabla syslogins; comprueba que Windows 2000 ha autenticado la contrasea
sysxlogins

Grupo o usuario de Windows 2000

Windows 2000

SQL Server

Cuenta de inicio de sesin de SQL Server

Comprueba la entrada en la tabla syslogins y comprueba la contrasea

sysxlogins

Eleccin del modo de autenticacin

Ventajas del Modo de autenticacin de Windows

Caractersticas de seguridad avanzadas Agregar grupos como una cuenta Acceso rpido

Ventajas del Modo mixto

Pueden usarlo para conectarse clientes que no sean Windows 2000 o clientes Internet

Autenticacin mutua con Kerberos

Kerberos

Cifrado
Datos Contrasea

Autenticacin mutua

Usuario

SQL Server

Representacin y delegacin

Representacin

Sistema de archivos

SQL Server

Delegacin

SQL Server

Cifrado

Cifrado interno

Contraseas de inicio de sesin Definiciones de Transact-SQL

Cifrado de red

Pasos para implementar un Modo de autenticacin

Establecer el modo de autenticacin Detener y reiniciar el servicio MSSQLServer

Crear grupos y usuarios de Windows 2000

Autorizar a grupos y usuarios de Windows 2000 a que tengan acceso a SQL Server Crear cuentas de inicio de sesin de SQL Server para usuarios que se conectan con conexiones en las que no se confa

Creacin de cuentas de inicio de sesin

master.sysxlogins
name BUILTIN\Administradores accountingdomain\payroll accountingdomain\maria mary sa dbname master Northwind Northwind pubs master password NULL NULL NULL ******** ********

 Asignacin de cuentas de inicio de sesin a usuarios y funciones

Northwind.sysprotects
id 1977058079 1977058079 1977058079 1977058079 uid 0 0 0 7 action 193 195 196 193 protecttype 205 205 205 205

Los permisos se almacenan aqu

Los usuarios se almacenan aqu

Northwind.sysusers
uid 0 1 3 7 name public dbo INFORMATION_SCHEMA payroll

Asignacin de cuentas de inicio de sesin a cuentas de usuario

Agregar cuentas de usuario

Administrador corporativo de SQL Server Procedimiento almacenado del sistema sp_grantdbaccess

Cuenta de usuario dbo Cuenta de usuario guest

 Asignacin de cuentas de inicio de sesin a funciones

Funciones fijas de servidor Funciones fijas de base de datos Funciones de base de datos definidas por el usuario Asignacin de cuentas de inicio de sesin a cuentas de usuario y funciones

Funciones fijas de servidor

Funcin
sysadmin
dbcreator diskadmin

Permiso
Realizar cualquier actividad
Crear y alterar bases de datos Administrar archivos de disco

processadmin
serveradmin setupadmin securityadmin bulkadmin

Administrar procesos de SQL Server

Configurar el servidor Instalar duplicacin Administrar y auditar inicios de sesin Ejecutar instrucciones BULK INSERT

Funciones fijas de base de datos

Funcin
public db_owner db_accessadmin db_ddladmin db_security admin db_backupoperator db_datareader db_datawriter

Permiso
Mantener los permisos predeterminados Realizar cualquier actividad de funciones Agregar o eliminar usuarios de bases de datos, grupos y funciones Agregar, modificar o eliminar objetos Asignar permisos de funciones y objetos Realizar copias de seguridad y restauraciones Leer datos de cualquier tabla Agregar, cambiar o eliminar datos de las tablas

db_denydatareader
db_denydatawriter

No puede leer los datos de cualquier tabla

No puede cambiar los datos de cualquier tabla

Funciones de base de datos definidas por el usuario

Agregue una funcin:

Cuando un grupo de personas necesite realizar el mismo conjunto de actividades en SQL Server Si no tiene permisos para administrar las cuentas de usuario de Windows 2000

 Asignacin de permisos a usuarios y funciones

Tipos de permisos Concesin, denegacin y revocacin de permisos

Concesin de permisos para permitir el acceso Denegacin de permisos para impedir el acceso Revocacin de permisos concedidos y denegados

Tipos de permisos
Instruccin
CREATE DATABASE
CREATE TABLE CREATE VIEW CREATE PROCEDURE

Objeto
SELECT INSERT UPDATE DELETE REFERENCES

Predefinido

Funcin fija
TABLA VISTA

Propietario de objeto

CREATE RULE
CREATE DEFAULT CREATE FUNCTION BACKUP DATABASE SELECT COLUMNA UPDATE REFERENCES

BACKUP LOG

PROCEDIMIENTO EXEC ALMACENADO

 Concesin, denegacin y revocacin de permisos

REVOKE: Neutral

GRANT: Puede ejecutar una accin

DENY: No puede ejecutar una accin

Concesin de permisos para permitir el acceso

Usuario/Funcin SELECT INSERT UPDATE DELETE

Eva
Ivan David public

DRI

Denegacin de permisos para impedir el acceso

Usuario/Funcin SELECT INSERT UPDATE DELETE

Eva
Ivan David public

DRI

Revocacin de permisos concedidos y denegados

Usuario/Funcin SELECT INSERT UPDATE DELETE

Eva
Ivan David public

DRI

Administracin de la seguridad en SQL Server

Determinacin del uso de cuentas de inicio de sesin predeterminadas

sa
BUILTIN\Administradores

Determinacin de la funcin de la cuenta de usuario guest Determinacin de los permisos de la funcin public Aplicacin de permisos a las funciones Creacin de objetos con el propietario dbo

Proteccin de los pasos de trabajo CmdExec y ActiveScripting

 Administracin de la seguridad de la aplicacin

Administracin de la seguridad con vistas y procedimientos almacenados Administracin de la seguridad de las aplicaciones de cliente con funciones de aplicacin

Administracin de la seguridad con vistas y procedimientos almacenados

SELECT * FROM Employee_View

SELECT * FROM Employees

EXEC Employee_Update 1, 9

Employees
EmployeeID 1 2 3 LastName FirstName ReportsTo ...

Davolio Fuller Leverling

Nancy Andrew Janet

2
2

 Administracin de la seguridad de aplicaciones de cliente con funciones de aplicacin

Aplicacin de entrada de pedidos

Microsoft Excel

Orders
OrderID CustomerID EmployeeID ...

10248 10249 10250

VINET TOMSP HANAR

3 1 2

Creacin de funciones de aplicacin

La creacin de una funcin de aplicacin inserta una fila en la tabla sysusers Administracin de los permisos de las funciones de aplicacin

Activacin de funciones de aplicacin

El usuario debe especificar la contrasea El alcance es la base de datos actual: si el usuario cambia a otra base de datos, el usuario tiene los permisos de usuario de esa base de datos La funcin no puede desactivarse hasta que el usuario se desconecte

EXEC sp_setapprole 'SalesApp', {ENCRYPT N'hg_7532LR'}, 'ODBC'

 Administracin de la seguridad de SQL Server en la empresa

Utilizacin de la directiva de grupo para proteger SQL Server Utilizacin de servidores proxy, servidores de seguridad y enrutadores Utilizacin del cifrado en las comunicaciones para proteger datos

Utilizacin de la directiva de grupo para proteger SQL Server

reas de seguridad que se pueden configurar

Directivas de cuenta Grupos restringidos Directivas de software

Utilizacin de servidores proxy, servidores de seguridad y enrutadores

Internet
Usuario

Microsoft Proxy Server

SQL Server

Utilizacin del cifrado en las comunicaciones para proteger datos

Seguridad del protocolo Internet Capa de sockets seguros