A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Sistemas de Informação Redes de Computadores Análise e Desenvolvimento de Sistemas Administração de Banco de Dados 1º Semestre – 2011 Pedro Antonio Galvão.

Apresentações semelhantes


Apresentação em tema: "Sistemas de Informação Redes de Computadores Análise e Desenvolvimento de Sistemas Administração de Banco de Dados 1º Semestre – 2011 Pedro Antonio Galvão."— Transcrição da apresentação:

1

2 Sistemas de Informação Redes de Computadores Análise e Desenvolvimento de Sistemas Administração de Banco de Dados 1º Semestre – 2011 Pedro Antonio Galvão Junior Fone: Versão – Fev/2011.

3 SEGURANÇA NO MICROSOFT SQL SERVER 2008

4 OFERECENDO SEGURANÇA Políticas de senhas no login de SQL Server Hierarquia dos escopos Separação de usuários do schema Limite de visualização dos metadados Execução pelo contexto

5

6 SEGURO POR DEFAULT Serviços e features desligadas por padrão Permite somente conexão local Usa o SAC para habilitar/desabilitar as features Upgrade preserva as configurações Serviços e Features novas desabilitadas Usa o SAC para habilitar/desabilitar as features Windows Server 2003 SQL Server 2005 Windows Server 2003 SQL Server 2000

7 MODELOS DE SEGURANÇA NO MICROSOFT SQL SERVER 2008

8 MECANISMOS DE SEGURANÇA Autenticação –Usuário e senha –Certificados Autorização –Permissões Criptografia –Chaves Simétricas –Chaves Assimétricas

9 COMPONENTES DE SEGURANÇA Principals Windows –Groups –Domain account –Local account SQL Server –SQL account –Server role Database –User –Database role –Application role –Group Securables Server Scope –Logins –Endpoints –Databases Database Scope –Users –Assemblies –Schemas Schema Scope –Tables –Procedures –Views PermissionsGrant/Revoke/Deny –Create –Alter –Drop –Control –Connect –Select –Execute –Update –Delete –Insert QUEM PODE ACESSARO QUE

10 Processo de Acesso Seguro Estabelecer login Conexão ao servidor SQL Server Verificar as permissões para todas as ações Pedido de conexão pela rede / pre-login handshake Autenticação do Login no SQL Server Acesso ao database Tentar realizar alguma ação Estabelecer acesso ao database

11 POLÍTICA DE SENHAS Requer Windows Server Autenticação Windows: –Login de usuários Windows –Respeita a política de senhas do Windows Autenticação SQL Server: –Logins SQL Server –Respeita a política de senhas da máquina local. –Política de Domínio se estiver em um ambiente de Domínio –sys.sql_logins catalog view

12 CRIANDO LOGINS Configuração da Politica de Senhas

13 CREATE LOGIN login_name { WITH | FROM } ::= WINDOWS [ WITH windows_options [,...] ] | CERTIFICATE certname | ASYMMETRIC KEY asym_key_name ::= PASSWORD = ' password ' [ HASHED ] [ MUST_CHANGE ] [, option_list2 [,... ] ] ::= SID = sid | DEFAULT_DATABASE = database | DEFAULT_LANGUAGE = language | CHECK_EXPIRATION = { ON | OFF} | CHECK_POLICY = { ON | OFF} [ CREDENTIAL = credential_name ] ::= DEFAULT_DATABASE = database | DEFAULT_LANGUAGE = language Configuração da Politica de Senhas CRIANDO LOGINS

14 OPÇÕES DE LOGIN OpçãoDescrição HASHED Especifica que a senha já está criptografada MUST_CHANGE Avisa o usuário que precisa mudar a senha. Precisa de CHECK_EXPIRATION e CHECK_POLICY habilitado CHECK_EXPIRATION Expiração de senhas. Se estiver ON, as políticas são Aplicadas e requer que CHECK_POLICY esteja ON CHECK_POLICY Faz a checagem das políticas de senha Usa a API NetValidatePasswordPolicy() do Windows Server 2003

15 GERENCIANDO LOGINS Removendo um Login DROP LOGIN Alterando um Login ALTER LOGIN WITH PASSWORD = '3948wJ698FFF7'

16 CREDENCIAIS Alternativa aos logins. Permitem conexão a recursos fora do SQL Server. CREATE CREDENCIAL WITH IDENTITY = identity name, SECRET = secret

17 SCHEMAS DE SEGURANÇA

18 DEFAULT SCHEMA CREATE USER user_name [ FOR {LOGIN login_name | CERTIFICATE cert_name | ASYMMETRIC KEY asym_key_name } ] [ WITH DEFAULT_SCHEMA = schema_name ] Um schema default pode ser atribuido quando o usuário do banco de dados é criado. Especifica o schema default

19 GERENCIANDO SCHEMAS CREATE SCHEMA –Cria um schema –Atribui um ownership para o schema –Cria objetos de database como membros do schema –ALTER SCHEMA –Altera o ownership do schema –Move objetos de database entre schemas DROP SCHEMA –Remove um schema

20 OBJECT NAMESPACE Sales Customer AdventureWorks LON-SQL-01 Servidor.BancoDados.Schema.Objeto

21 ATRIBUINDO DATABASE OBJECTS Sales Customer dbo JobCandidate [ WITH DEFAULT_SCHEMA = Sales ] SELECT * FROM dbo.JobCandidate SELECT * FROM JobCandidate SELECT * FROM Customer sys.database_principals catalog view sys.schemas catalog view

22 APPLICATION COMPATIBILITY Propriedade de Celia Customer App Alterando o proprietário para Katia SELECT CustomerID FROM Sales.Customer App Sales Customer Sales

23 USUÁRIOS

24 USUÁRIOS Acesso ao Banco de dados; Pode ser mapeado para um login individual ou para um grupo Windows; e Pode ser criado pelo SSMS ou por T-SQL. CREATE USER user_name [{{ FOR | FROM } { LOGIN login_name | CERTIFICATE cert_name | ASYMMETRIC KEY asym_key_name } | WITHOUT LOGIN ] [ WITH DEFAULT_SCHEMA = schema_name ]

25 GERENCIANDO USUÁRIOS Apagando um usuário: DROP USER Alternado configurações de um usuário: ALTER USER WITH DEFAULT_SCHEMA =

26 Componentes de Segurança e Permissões PermissãoDescrição CONTROL Atribui permissões de proprietário e garante todas as permissões ao principal no objeto ALTER Atribui permissões de alterar, criar ou excluir a qualquer securable, menos trocar o proprietário ALTER ANY Atribui permissão de alteração de qualquer securable do tipo especificado. IMPERSONATE Permissão de trocar o contexto de execução para o contexto de execução de outro usuário TAKE OWNERSHIP Atribui permissão ao usuário para assumir a propriedade do securable

27 MÓDULOS DE EXECUÇÃO PELO CONTEXTO

28 INTRODUÇÃO Configura a execução pelo contexto de módulos; Caller não requer permissões: –Effective with broken ownership chain EXECUTE AS: –Caller (Default) –Username (requer permissão Impersonate) –Self –Owner

29 GRANT SELECT ON sales.customer TO Jane PROCESSO DE EXECUÇÃO PELO CONTEXTO Stored Procedure (Owner: Jane) Stored Procedure (Owner: Jane) Bill sales.customer (Owner:John) sales.customer (Owner:John) CREATE PROCEDURE GetCusts WITH EXECUTE AS OWNER AS SELECT * FROM sales.customer CREATE PROCEDURE GetCusts WITH EXECUTE AS OWNER AS SELECT * FROM sales.customer sys.sql_modules catalog view Jane DENY SELECT ON sales.customer TO Bill

30 PERMISSÃO GRANULAR Securables organizados em uma hierarquia: –Herança de permissões. Todos os objetos tem permissões associadas. Principal de menor previlégio.

31 ESCOPOS DE PERMISSÕES Servidor: –O banco de dados Master deverá ter permissões Grant; e –Permissões específias para cada securable. Database: –Pode atribuir permissões específicas para roles customizadas; –Permitir principals de executar tarefas no banco; e –Permissões Grant deverão ser atribuidas ao banco que contém o securable que quer aplicar a permissão. Schema: –Usado para agrupar objetos de database; e –Atribuir permissões para o schema afeta os membros do Schema.

32 ESCOPO SERVER GRANT CONTROL ON LOGIN::Tom TO Fred Permissão GRANT em securables individuais quando as permissões da server role default são inapropriadas. sys.server_permissions catalog view. Control permission on individual login

33 Accounts HR Sales ESCOPO BANCO DE DADOS GRANT EXECUTE TO Jim Accounts.AddAcct HR.ViewEmps Sales.AddOrder sys.database_permissions catalog view Permissões herdadas no banco de dados

34 ESCOPO SCHEMA GRANT SELECT ON SCHEMA::Sales TO Mary Sales Permissões herdadas no schema sales.accounts sales.figures sales.customers

35 OBJETOS INDIVIDUAIS GRANT SELECT ON sales.accounts TO Joe sales.accounts sales.figures sales.customers Permissões somente para objetos específicos Sales.accounts

36


Carregar ppt "Sistemas de Informação Redes de Computadores Análise e Desenvolvimento de Sistemas Administração de Banco de Dados 1º Semestre – 2011 Pedro Antonio Galvão."

Apresentações semelhantes


Anúncios Google