【導(dǎo)讀】安裝SQLServer前的工作---------------------------------------------------------------------------------3. 安裝中注意的事項(xiàng)---------------------------------------------------------------------------------------------4. 減少surfacearea的最佳實(shí)踐------------------------------------------------------------------------------7. 驗(yàn)證模式的最佳實(shí)踐-----------------------------------------------------------------------------------------10. 、網(wǎng)絡(luò)連接的最佳實(shí)踐--------------------------------------------------------------------------------------13. 、系統(tǒng)存儲(chǔ)過程的最佳實(shí)踐--------------------------------------------------------------------------------14. 、密碼策略的最佳實(shí)踐：-----------------------------------------------------------------------------------15. 、管理員權(quán)限的最佳實(shí)踐-----------------------------------------------------------------------------------16. 、數(shù)據(jù)庫所有權(quán)和信任的最佳實(shí)踐----------------------------------------------------------------------17. 、數(shù)據(jù)庫對(duì)象授權(quán)的最佳做法---------------------------------------------------------------------------20. 、遠(yuǎn)程數(shù)據(jù)源執(zhí)行的最佳做法-------------------------------------------------------

　　

【正文】 例如對(duì)象，安裝一個(gè)應(yīng)用程序包中）的話，把用戶對(duì)象組遷移出 dbo 架構(gòu)，也是一個(gè)很好的方式允許用戶 創(chuàng)建和管理。 、 使用架構(gòu)的最佳實(shí)踐 ? 相似對(duì)象整合到相同架構(gòu)。 ? 在架構(gòu)級(jí)別使用所有權(quán)和權(quán)限 來管理數(shù)據(jù)庫 對(duì)象安全。 ? 有不同的架構(gòu)擁有者。 ? 并不是所有的架構(gòu)歸 DBO 所有。 ? 減少每個(gè)架構(gòu)的所有者數(shù)量。 1 授權(quán) 授權(quán)是給用戶授予安全對(duì)象的權(quán)限的過程 。 在操作系統(tǒng)層 ，安全對(duì)象可能是文件、目錄、 注冊(cè)表 key 或共享打印機(jī)。在 SQL Server 中，安全對(duì)象是數(shù)據(jù)庫對(duì)象。 SQL Server 代理既包括實(shí)例級(jí)代理和數(shù)據(jù)庫級(jí)代理，實(shí)例級(jí)代理如 Windows 登錄、 Windows 組登錄、 SQL Server 登錄名 以及服務(wù)器角色，數(shù)據(jù)庫級(jí)代理如用戶、數(shù)據(jù)庫角色和應(yīng)用程序角色。除了實(shí)例作用域的幾個(gè)對(duì)象，大多數(shù)數(shù)據(jù)庫對(duì)象，如表、視圖和程序都是架構(gòu)范圍內(nèi)。這意味著授權(quán)通常是授予數(shù)據(jù)庫級(jí)代理。 在 SQL Server 中，授權(quán)任務(wù)通過數(shù)據(jù)訪問語言（ DAL）完成的，而不是的 DDL 或 DML。除SQL SERVER 2020 安全性的最佳實(shí)踐 19 了兩個(gè) DAL 動(dòng)詞， GRANT 和 REVOKE，按照 ISO ANSI 標(biāo)準(zhǔn)， SQL Server 還包含一個(gè) DENY DAL 動(dòng)詞。 當(dāng)用戶是多個(gè)數(shù)據(jù)庫的主要成員， DENY 跟 REVOKE 是不同的。如果用戶 Fred 是三個(gè)數(shù)據(jù)庫角色 A， B 和 C 的 成員，角 色 A、 B 是 授予 權(quán)限給一個(gè)安全對(duì)象 （ securable） ， 角色 C是撤銷 （ Revoked） 權(quán)限， Fred 仍然可以訪問安全對(duì)象 （ securable） 。如果角色 C 是對(duì)安全對(duì)象（ securable）拒絕某個(gè)權(quán)限 ， Fred 不能訪問 安全對(duì)象。這使得管理 SQL Server 類似于 管理 Windows操作系統(tǒng)家族的其他部分。 SQL Server 2020 中通過使用 DAL 語句使每個(gè)安全對(duì)象有效，并使更多的權(quán)限比以前 版本詳細(xì)。例如，在 SQL Server 2020 和早期版本中，僅當(dāng)?shù)卿浭?sysadmin 角色的一部分，某些功能 才有效。現(xiàn)在根據(jù) GRANTs，授予 sysadmin 角色的權(quán)限。等效訪問安全對(duì)象可以通過授予登錄CONTROL SERVER 的權(quán)限來實(shí)現(xiàn)。 一個(gè)更具體的 例子（ an example of better granularit）是能夠使用 SQL Server Profiler 來追蹤數(shù)據(jù)庫特定的事件。在 SQL Server 2020，只有特殊的 dbo 用戶才有這種能力。新粒度權(quán)限也被安排在一個(gè)層次，一些權(quán)限意味著有其他權(quán)限。例如，一個(gè)數(shù)據(jù)庫對(duì)象類型具有 CONTROL 權(quán)限，意味著在該對(duì)象有 ALTER 權(quán)限及所有其他對(duì)象 級(jí)權(quán)限。 SQL Server 2020 還引入了關(guān)于授予在一個(gè)架構(gòu)中的所有對(duì)象權(quán)限的概念。對(duì)架構(gòu)的 ALTER 權(quán)限包括能夠創(chuàng)建、修改或 刪除該架構(gòu)對(duì)象。用 DAL 語句授予 payroll 架構(gòu)訪問安全對(duì)象的權(quán)限： GRANT SELECT ON schema::payroll TO fred 在架構(gòu)層授予權(quán)限的優(yōu)點(diǎn)是用戶自動(dòng)獲得在該架構(gòu)中創(chuàng)建的所有新對(duì)象的權(quán)限，但沒有必要授予 對(duì)象創(chuàng)建權(quán)限（ explicit grant after object creation is not needed.）。欲了解更多有關(guān)權(quán)限層 的信息，看 SQL Server 聯(lián)機(jī)叢書權(quán)限部分。 授權(quán)的最佳實(shí)踐是通過諸如存儲(chǔ)過程和用戶自定義函數(shù)的模塊封裝進(jìn)入。隱藏在程序代碼后的訪問意味著用戶只能訪問對(duì)象，造成開發(fā)人員和數(shù)據(jù)庫管理員（ DBA）不便；特別是對(duì)象的變化是被禁止的。這種技術(shù)的一個(gè)例子是只允許通過存儲(chǔ)過程“ UpdatePayRate” 訪問雇員工資率表。需要更新 pay rates 的用戶將被授予存儲(chǔ)過程 EXECUTE 權(quán)限，而不是授予訪問表 UPDATE 權(quán)限。在 SQL Server 2020 和更早版本，封裝訪問依賴于 SQL Server 總所周知的所有 權(quán)鏈功能。在一個(gè)所有權(quán)鏈，如果存儲(chǔ)過程 A 的所有者和存儲(chǔ)過程需訪問表 B 的所有者是一樣的，沒有 權(quán)限進(jìn)行檢查。盡管這個(gè)工作大部分時(shí)間工作很好，存儲(chǔ)過程的多個(gè)層次 （ even with multiple levels of stored procedures），所有權(quán)鏈在以下幾個(gè)時(shí)候不能工作： ? 數(shù)據(jù)庫對(duì)象是兩個(gè)不同的數(shù)據(jù)庫（除非跨數(shù)據(jù)庫所有權(quán)鏈接已啟用）。 ? 程序使用動(dòng)態(tài) SQL。 ? 程序是一個(gè) SQLCLR 程序。 SQL Server 2020 包含解決這些缺點(diǎn)的功能，如程序代碼簽名、可選的執(zhí)行上下文 （ alternate execution context)和 值得信賴的數(shù)據(jù)庫屬性，因?yàn)橐粋€(gè)應(yīng)用程序包含多個(gè)數(shù)據(jù)庫。 文章里已 討論了這些功能。 如果數(shù)據(jù)庫 用戶已被映射到登錄，登錄只能被授權(quán)給數(shù)據(jù)庫中的對(duì)象。特殊的用戶、 來賓，存在允許訪問一個(gè)未映射到一個(gè)特定數(shù)據(jù)庫用戶的登錄。因?yàn)槿魏蔚卿浛梢酝ㄟ^來賓用戶使用數(shù)據(jù)庫，建議不要啟用 guest 用戶。 SQL SERVER 2020 安全性的最佳實(shí)踐 20 SQL Server 2020 中包含一個(gè)新的用戶類型，未 映射到一個(gè)登錄用戶 ，它提供了另一種使用應(yīng)用程序角色。您可以 使用 EXECUTE AS 語句（見本文后面的執(zhí)行上下文）調(diào)用選擇模擬（ selective impersonation），并允許該用戶可以根據(jù)需要執(zhí)行特定任務(wù)的權(quán)限。使用沒有登錄的用戶可以更容易地移動(dòng)應(yīng)用程序到一個(gè)新實(shí)例和限制函數(shù)的連接需求。使用 DDL 創(chuàng)建沒有登錄的用戶： CREATE USER mynewuser WITHOUT LOGIN 、 數(shù)據(jù)庫對(duì)象授權(quán)的最佳做法 ? 封裝在模塊內(nèi)訪問。 ? 通過數(shù)據(jù)庫角色或 Windows 組管理權(quán)限。 ? 使用權(quán)限粒度實(shí)施最低權(quán)限原則。 ? 不要啟用 guest 訪問。 ? 使用沒有登錄用戶代替應(yīng)用程序角色 1 目錄安全 系統(tǒng)目錄保存跟數(shù)據(jù)庫、 表和其 他數(shù)據(jù)庫對(duì)象有關(guān)的信息。該系統(tǒng)元數(shù)據(jù)存在于 master 數(shù)據(jù)庫 和 用戶數(shù)據(jù)庫的表中。通過元數(shù)據(jù)視圖，這些元數(shù)據(jù)表被暴露。 SQL Server 2020，系統(tǒng)目錄是公開可讀的，實(shí)例可以被 配置為使 系統(tǒng)表也可寫。在 SQL Server 2020，系統(tǒng)元數(shù)據(jù)表是只讀的，其結(jié)構(gòu)已發(fā)生重大變化。只有在單用戶模式下，系統(tǒng)的元數(shù)據(jù)表才是可讀的。此外，在 SQL Server 2020 中，重構(gòu)系統(tǒng)元數(shù)據(jù)視圖，使之成為 特殊架構(gòu)的一部分， sys 架構(gòu)。為了不破壞現(xiàn)有的應(yīng)用程序， 暴露出一些兼容性 元數(shù)據(jù) 視圖 。 SQL Server 下一個(gè)版本 可 能刪除兼容性視圖。 SQL Server 2020 默認(rèn)下使所有元數(shù)據(jù)是安全的。這包括： ? 新的元數(shù)據(jù)視圖（例如， ， ）。 ? 兼容性元數(shù)據(jù)視圖（例如， sysindexes， sysobjects）。 ? INFORMATION_SCHEMA 視圖（被 SQL 92 標(biāo)準(zhǔn)提供）。 系統(tǒng)元數(shù)據(jù)視圖的信息在每行基礎(chǔ)上是安全的。為了能 夠看到一個(gè)對(duì)象的元數(shù)據(jù)，用戶對(duì)該對(duì)象必須有一定的權(quán)限。例如，看與 表有關(guān)的元數(shù)據(jù)， 只要 對(duì)這個(gè)表有 SELECT 權(quán)限 。這禁止沒有 對(duì) 象訪問權(quán)限的用戶瀏覽系統(tǒng)目錄。發(fā)現(xiàn)往往是預(yù)防為主的水平。 這個(gè)規(guī)則有兩個(gè)例外： 和 是公共可讀。如果必要的話，這些數(shù)據(jù)元視圖可以通過動(dòng)詞“ DENY” 動(dòng)詞配置安全。 一些 應(yīng)用程序 是 通過一個(gè)圖形界面向用戶展示 數(shù)據(jù)庫對(duì)象列表。為了允許用戶查看有關(guān)數(shù)據(jù)庫對(duì)象的信息，保持用戶界面的一致是有必要的。一個(gè)特別權(quán)限， VIEW DEFINITION，存在就是為了這一目的。 、 目錄安全的最佳實(shí)踐 ? 目錄視圖默認(rèn)是安全的。沒有必要采取更多行為 來確保他們安全。 SQL SERVER 2020 安全性的最佳實(shí)踐 21 ? 選擇性地授予 對(duì)象、 架構(gòu)和數(shù)據(jù)庫的 VIEW DEFINITION 權(quán)限，或者在服務(wù)器級(jí)別授予查看系統(tǒng)元數(shù)據(jù)權(quán)限。 ? 當(dāng)遷移應(yīng)用程序到 SQL Server 2020 時(shí)，評(píng) 審依賴訪問系統(tǒng)元數(shù)據(jù)的舊版 應(yīng)用程序。 1 遠(yuǎn)程數(shù)據(jù)源執(zhí)行 有兩種方式 可以 讓 SQL Server 遠(yuǎn)程實(shí)例執(zhí)行程序代碼：配置 遠(yuǎn)程 SQL Server 鏈接服務(wù)器定義，并為它配置一個(gè) 遠(yuǎn)程服務(wù)器定義。遠(yuǎn)程服務(wù)器僅支持 SQL Server 的早期版本向后的兼容性，應(yīng)該 比 鏈接服務(wù)器 優(yōu)先淘汰 。鏈接服務(wù)器比遠(yuǎn)程服務(wù)器允許更詳細(xì)的安全性。在 SQL Server 2020新安裝的實(shí)例， 特別是通過鏈接服務(wù)器（ OPENROWSET 和 OPENDATASOURCE）的查詢默認(rèn)情況下是禁用的。 當(dāng)您使用 Windows 身份驗(yàn)證登錄 SQL Server 時(shí)，您正使用 的是一個(gè) Windows 網(wǎng)絡(luò)憑據(jù)。使用 NTLM 和 Kerberos 安全系統(tǒng)的網(wǎng)絡(luò)憑據(jù)，默認(rèn)是有效的網(wǎng)絡(luò)躍點(diǎn)。如果您使用網(wǎng)絡(luò)憑據(jù)登錄到 SQL Server，并嘗試使用相同的憑據(jù)通過鏈接服務(wù)器連接不同計(jì)算機(jī)上的 SQL Server 實(shí)例時(shí)，該憑據(jù)將是無效的， 被稱為 “ 雙躍點(diǎn) ” 問題。 使用 Windows 身份驗(yàn)證連接到 Web 服務(wù)器并嘗試使用模擬連接到 SQL Server 的環(huán)境也會(huì)發(fā)生同樣問題。如果您使用 Kerberos 進(jìn)行身份驗(yàn)證，您可以啟用約束委托，即 限制為特定應(yīng)用程序的 憑據(jù)的委托，來 克服 “ 雙躍點(diǎn) ” 問題。只有 Kerberos身份驗(yàn)證支持 Windows 憑據(jù)委托。有關(guān)更多信息，請(qǐng)參閱 SQL Server 聯(lián)機(jī)叢書 的 約束委托。 、 遠(yuǎn)程數(shù)據(jù)源執(zhí)行的最佳做法 ? 逐步淘汰任何遠(yuǎn)程服務(wù)器定義。 ? 用鏈接服務(wù)器代替遠(yuǎn)程服務(wù)器。 ? 禁用通過鏈接服務(wù)器的即席查詢，除非它們是絕對(duì)需要的。 ? 如果通過 鏈接 服務(wù)器 的驗(yàn)證 是必要的，使用約束委托。 1 執(zhí)行上下文 SQL Server 始終作為當(dāng)前登錄的用戶來執(zhí)行 SQL 語句和程序 代碼。此行為是 SQL Server 的特定的行為，并使它變?yōu)榭赡堋?就程序代碼來說，通過所有權(quán)鏈的概念。也就是說，雖然存儲(chǔ)過程是作為存儲(chǔ)過程的調(diào)用者執(zhí)行，而不是作為所有者，如果所有權(quán)鏈?zhǔn)?正確的，不檢查對(duì)象訪問的權(quán)限，存儲(chǔ)過程可以用來封裝表，如本文 前面提到的。在 SQL Server 2020，一個(gè)程序的創(chuàng)建者可以在創(chuàng)建存儲(chǔ)過程、函數(shù)和觸發(fā)器時(shí)，使用 EXECUTE AS 關(guān)鍵字來聲明設(shè)置 模塊 的執(zhí)行上下文。執(zhí)行上下文選擇是： ? EXECUTE AS CALLER –模塊調(diào)用 方 （沒有模擬）。在 早期版本的 SQL Server 2020 中 ，始終在模塊調(diào)用方上下文中執(zhí)行這些模塊 。 ? EXECUTE AS OWNER模塊所有者 。 SQL SERVER 2020 安全性的最佳實(shí)踐 22 ? EXECUTE AS SELF模塊創(chuàng)建者 。 ? EXECUTE AS 39。username39。39。 指定 的用戶。 為了保持向后兼容性， EXECUTE AS CALLER 是默認(rèn)的。 AS OWNER 和 AS SELF 之間的區(qū)別是必要，因?yàn)樵撃K的創(chuàng)建者可能不是使用 該模塊的架構(gòu)的所有者。在這種情況下， AS SELF涉及到模塊所有者， AS OWNER 涉及到對(duì)象所有 者（架構(gòu)所有者）。為了使用 EXECUTE AS 39。username39。，模塊創(chuàng)建者必須在指定用戶的執(zhí)行上下文中 有 IMPERSONATE 權(quán)限。 使用可選的執(zhí)行上下文的原因之一是 模塊在沒有一個(gè)特定的執(zhí)行上下文中執(zhí)行。這方面的一個(gè)例子是一個(gè) Service Broker 隊(duì)列激活模塊。此外， EXECUTE AS OWNER 被用于克服所有權(quán)鏈中斷引起的問題。例如，使用動(dòng)態(tài) SQL 語句（如 sp_executesql）時(shí)，模塊所有權(quán)鏈 總是中斷的。 通常所需要的是給予程序代碼本身適當(dāng)?shù)臋?quán)限，而不是改變執(zhí)行上下文或依賴調(diào)用者的權(quán)限。 SQL Server 2020 中提供了更加細(xì)化的方法，即特權(quán)聯(lián)系程序代碼 代碼簽名。通過使用 ADD SIGNATURE DDL 語句，您可以為程序申請(qǐng)一個(gè)證書或非對(duì)稱密鑰。用戶可以創(chuàng)建證書或非對(duì)稱密鑰本身，并把權(quán)限分配給該用戶。當(dāng)程序被執(zhí)行時(shí)，代碼作為調(diào)用者的權(quán)限和關(guān)鍵 /憑證的權(quán)限組合來執(zhí)行。這方面的一個(gè)例子是： CREATE CERTIFICATE HRCertificate WITH ENCRYPTION BY PASSWORD = 39。HacdeNj162kqT39。 CREATE USER HRCertificateUser FOR CERTIFICATE HRCertificate WITHOUT LOGIN GRANT UPDATE ON pension_criteria TO HRCertificate this gives the procedure update_pension_criteria additional privileges of HRCertificate ADD SIGNATURE TO update_pension_criteria BY CERTIFCATE HRCerti