【導(dǎo)讀】安裝SQLServer前的工作---------------------------------------------------------------------------------3. 安裝中注意的事項---------------------------------------------------------------------------------------------4. 減少surfacearea的最佳實踐------------------------------------------------------------------------------7. 驗證模式的最佳實踐-----------------------------------------------------------------------------------------10. 、網(wǎng)絡(luò)連接的最佳實踐--------------------------------------------------------------------------------------13. 、系統(tǒng)存儲過程的最佳實踐--------------------------------------------------------------------------------14. 、密碼策略的最佳實踐：-----------------------------------------------------------------------------------15. 、管理員權(quán)限的最佳實踐-----------------------------------------------------------------------------------16. 、數(shù)據(jù)庫所有權(quán)和信任的最佳實踐----------------------------------------------------------------------17. 、數(shù)據(jù)庫對象授權(quán)的最佳做法---------------------------------------------------------------------------20. 、遠(yuǎn)程數(shù)據(jù)源執(zhí)行的最佳做法-------------------------------------------------------

　　

【正文】 例如對象，安裝一個應(yīng)用程序包中）的話，把用戶對象組遷移出 dbo 架構(gòu)，也是一個很好的方式允許用戶 創(chuàng)建和管理。 、 使用架構(gòu)的最佳實踐 ? 相似對象整合到相同架構(gòu)。 ? 在架構(gòu)級別使用所有權(quán)和權(quán)限 來管理數(shù)據(jù)庫 對象安全。 ? 有不同的架構(gòu)擁有者。 ? 并不是所有的架構(gòu)歸 DBO 所有。 ? 減少每個架構(gòu)的所有者數(shù)量。 1 授權(quán) 授權(quán)是給用戶授予安全對象的權(quán)限的過程 。 在操作系統(tǒng)層 ，安全對象可能是文件、目錄、 注冊表 key 或共享打印機。在 SQL Server 中，安全對象是數(shù)據(jù)庫對象。 SQL Server 代理既包括實例級代理和數(shù)據(jù)庫級代理，實例級代理如 Windows 登錄、 Windows 組登錄、 SQL Server 登錄名 以及服務(wù)器角色，數(shù)據(jù)庫級代理如用戶、數(shù)據(jù)庫角色和應(yīng)用程序角色。除了實例作用域的幾個對象，大多數(shù)數(shù)據(jù)庫對象，如表、視圖和程序都是架構(gòu)范圍內(nèi)。這意味著授權(quán)通常是授予數(shù)據(jù)庫級代理。 在 SQL Server 中，授權(quán)任務(wù)通過數(shù)據(jù)訪問語言（ DAL）完成的，而不是的 DDL 或 DML。除SQL SERVER 2020 安全性的最佳實踐 19 了兩個 DAL 動詞， GRANT 和 REVOKE，按照 ISO ANSI 標(biāo)準(zhǔn)， SQL Server 還包含一個 DENY DAL 動詞。 當(dāng)用戶是多個數(shù)據(jù)庫的主要成員， DENY 跟 REVOKE 是不同的。如果用戶 Fred 是三個數(shù)據(jù)庫角色 A， B 和 C 的 成員，角 色 A、 B 是 授予 權(quán)限給一個安全對象 （ securable） ， 角色 C是撤銷 （ Revoked） 權(quán)限， Fred 仍然可以訪問安全對象 （ securable） 。如果角色 C 是對安全對象（ securable）拒絕某個權(quán)限 ， Fred 不能訪問 安全對象。這使得管理 SQL Server 類似于 管理 Windows操作系統(tǒng)家族的其他部分。 SQL Server 2020 中通過使用 DAL 語句使每個安全對象有效，并使更多的權(quán)限比以前 版本詳細(xì)。例如，在 SQL Server 2020 和早期版本中，僅當(dāng)?shù)卿浭?sysadmin 角色的一部分，某些功能 才有效?，F(xiàn)在根據(jù) GRANTs，授予 sysadmin 角色的權(quán)限。等效訪問安全對象可以通過授予登錄CONTROL SERVER 的權(quán)限來實現(xiàn)。 一個更具體的 例子（ an example of better granularit）是能夠使用 SQL Server Profiler 來追蹤數(shù)據(jù)庫特定的事件。在 SQL Server 2020，只有特殊的 dbo 用戶才有這種能力。新粒度權(quán)限也被安排在一個層次，一些權(quán)限意味著有其他權(quán)限。例如，一個數(shù)據(jù)庫對象類型具有 CONTROL 權(quán)限，意味著在該對象有 ALTER 權(quán)限及所有其他對象 級權(quán)限。 SQL Server 2020 還引入了關(guān)于授予在一個架構(gòu)中的所有對象權(quán)限的概念。對架構(gòu)的 ALTER 權(quán)限包括能夠創(chuàng)建、修改或 刪除該架構(gòu)對象。用 DAL 語句授予 payroll 架構(gòu)訪問安全對象的權(quán)限： GRANT SELECT ON schema::payroll TO fred 在架構(gòu)層授予權(quán)限的優(yōu)點是用戶自動獲得在該架構(gòu)中創(chuàng)建的所有新對象的權(quán)限，但沒有必要授予 對象創(chuàng)建權(quán)限（ explicit grant after object creation is not needed.）。欲了解更多有關(guān)權(quán)限層 的信息，看 SQL Server 聯(lián)機叢書權(quán)限部分。 授權(quán)的最佳實踐是通過諸如存儲過程和用戶自定義函數(shù)的模塊封裝進入。隱藏在程序代碼后的訪問意味著用戶只能訪問對象，造成開發(fā)人員和數(shù)據(jù)庫管理員（ DBA）不便；特別是對象的變化是被禁止的。這種技術(shù)的一個例子是只允許通過存儲過程“ UpdatePayRate” 訪問雇員工資率表。需要更新 pay rates 的用戶將被授予存儲過程 EXECUTE 權(quán)限，而不是授予訪問表 UPDATE 權(quán)限。在 SQL Server 2020 和更早版本，封裝訪問依賴于 SQL Server 總所周知的所有 權(quán)鏈功能。在一個所有權(quán)鏈，如果存儲過程 A 的所有者和存儲過程需訪問表 B 的所有者是一樣的，沒有 權(quán)限進行檢查。盡管這個工作大部分時間工作很好，存儲過程的多個層次 （ even with multiple levels of stored procedures），所有權(quán)鏈在以下幾個時候不能工作： ? 數(shù)據(jù)庫對象是兩個不同的數(shù)據(jù)庫（除非跨數(shù)據(jù)庫所有權(quán)鏈接已啟用）。 ? 程序使用動態(tài) SQL。 ? 程序是一個 SQLCLR 程序。 SQL Server 2020 包含解決這些缺點的功能，如程序代碼簽名、可選的執(zhí)行上下文 （ alternate execution context)和 值得信賴的數(shù)據(jù)庫屬性，因為一個應(yīng)用程序包含多個數(shù)據(jù)庫。 文章里已 討論了這些功能。 如果數(shù)據(jù)庫 用戶已被映射到登錄，登錄只能被授權(quán)給數(shù)據(jù)庫中的對象。特殊的用戶、 來賓，存在允許訪問一個未映射到一個特定數(shù)據(jù)庫用戶的登錄。因為任何登錄可以通過來賓用戶使用數(shù)據(jù)庫，建議不要啟用 guest 用戶。 SQL SERVER 2020 安全性的最佳實踐 20 SQL Server 2020 中包含一個新的用戶類型，未 映射到一個登錄用戶 ，它提供了另一種使用應(yīng)用程序角色。您可以 使用 EXECUTE AS 語句（見本文后面的執(zhí)行上下文）調(diào)用選擇模擬（ selective impersonation），并允許該用戶可以根據(jù)需要執(zhí)行特定任務(wù)的權(quán)限。使用沒有登錄的用戶可以更容易地移動應(yīng)用程序到一個新實例和限制函數(shù)的連接需求。使用 DDL 創(chuàng)建沒有登錄的用戶： CREATE USER mynewuser WITHOUT LOGIN 、 數(shù)據(jù)庫對象授權(quán)的最佳做法 ? 封裝在模塊內(nèi)訪問。 ? 通過數(shù)據(jù)庫角色或 Windows 組管理權(quán)限。 ? 使用權(quán)限粒度實施最低權(quán)限原則。 ? 不要啟用 guest 訪問。 ? 使用沒有登錄用戶代替應(yīng)用程序角色 1 目錄安全 系統(tǒng)目錄保存跟數(shù)據(jù)庫、 表和其 他數(shù)據(jù)庫對象有關(guān)的信息。該系統(tǒng)元數(shù)據(jù)存在于 master 數(shù)據(jù)庫 和 用戶數(shù)據(jù)庫的表中。通過元數(shù)據(jù)視圖，這些元數(shù)據(jù)表被暴露。 SQL Server 2020，系統(tǒng)目錄是公開可讀的，實例可以被 配置為使 系統(tǒng)表也可寫。在 SQL Server 2020，系統(tǒng)元數(shù)據(jù)表是只讀的，其結(jié)構(gòu)已發(fā)生重大變化。只有在單用戶模式下，系統(tǒng)的元數(shù)據(jù)表才是可讀的。此外，在 SQL Server 2020 中，重構(gòu)系統(tǒng)元數(shù)據(jù)視圖，使之成為 特殊架構(gòu)的一部分， sys 架構(gòu)。為了不破壞現(xiàn)有的應(yīng)用程序， 暴露出一些兼容性 元數(shù)據(jù) 視圖 。 SQL Server 下一個版本 可 能刪除兼容性視圖。 SQL Server 2020 默認(rèn)下使所有元數(shù)據(jù)是安全的。這包括： ? 新的元數(shù)據(jù)視圖（例如， ， ）。 ? 兼容性元數(shù)據(jù)視圖（例如， sysindexes， sysobjects）。 ? INFORMATION_SCHEMA 視圖（被 SQL 92 標(biāo)準(zhǔn)提供）。 系統(tǒng)元數(shù)據(jù)視圖的信息在每行基礎(chǔ)上是安全的。為了能 夠看到一個對象的元數(shù)據(jù)，用戶對該對象必須有一定的權(quán)限。例如，看與 表有關(guān)的元數(shù)據(jù)， 只要 對這個表有 SELECT 權(quán)限 。這禁止沒有 對 象訪問權(quán)限的用戶瀏覽系統(tǒng)目錄。發(fā)現(xiàn)往往是預(yù)防為主的水平。 這個規(guī)則有兩個例外： 和 是公共可讀。如果必要的話，這些數(shù)據(jù)元視圖可以通過動詞“ DENY” 動詞配置安全。 一些 應(yīng)用程序 是 通過一個圖形界面向用戶展示 數(shù)據(jù)庫對象列表。為了允許用戶查看有關(guān)數(shù)據(jù)庫對象的信息，保持用戶界面的一致是有必要的。一個特別權(quán)限， VIEW DEFINITION，存在就是為了這一目的。 、 目錄安全的最佳實踐 ? 目錄視圖默認(rèn)是安全的。沒有必要采取更多行為 來確保他們安全。 SQL SERVER 2020 安全性的最佳實踐 21 ? 選擇性地授予 對象、 架構(gòu)和數(shù)據(jù)庫的 VIEW DEFINITION 權(quán)限，或者在服務(wù)器級別授予查看系統(tǒng)元數(shù)據(jù)權(quán)限。 ? 當(dāng)遷移應(yīng)用程序到 SQL Server 2020 時，評 審依賴訪問系統(tǒng)元數(shù)據(jù)的舊版 應(yīng)用程序。 1 遠(yuǎn)程數(shù)據(jù)源執(zhí)行 有兩種方式 可以 讓 SQL Server 遠(yuǎn)程實例執(zhí)行程序代碼：配置 遠(yuǎn)程 SQL Server 鏈接服務(wù)器定義，并為它配置一個 遠(yuǎn)程服務(wù)器定義。遠(yuǎn)程服務(wù)器僅支持 SQL Server 的早期版本向后的兼容性，應(yīng)該 比 鏈接服務(wù)器 優(yōu)先淘汰 。鏈接服務(wù)器比遠(yuǎn)程服務(wù)器允許更詳細(xì)的安全性。在 SQL Server 2020新安裝的實例， 特別是通過鏈接服務(wù)器（ OPENROWSET 和 OPENDATASOURCE）的查詢默認(rèn)情況下是禁用的。 當(dāng)您使用 Windows 身份驗證登錄 SQL Server 時，您正使用 的是一個 Windows 網(wǎng)絡(luò)憑據(jù)。使用 NTLM 和 Kerberos 安全系統(tǒng)的網(wǎng)絡(luò)憑據(jù)，默認(rèn)是有效的網(wǎng)絡(luò)躍點。如果您使用網(wǎng)絡(luò)憑據(jù)登錄到 SQL Server，并嘗試使用相同的憑據(jù)通過鏈接服務(wù)器連接不同計算機上的 SQL Server 實例時，該憑據(jù)將是無效的， 被稱為 “ 雙躍點 ” 問題。 使用 Windows 身份驗證連接到 Web 服務(wù)器并嘗試使用模擬連接到 SQL Server 的環(huán)境也會發(fā)生同樣問題。如果您使用 Kerberos 進行身份驗證，您可以啟用約束委托，即 限制為特定應(yīng)用程序的 憑據(jù)的委托，來 克服 “ 雙躍點 ” 問題。只有 Kerberos身份驗證支持 Windows 憑據(jù)委托。有關(guān)更多信息，請參閱 SQL Server 聯(lián)機叢書 的 約束委托。 、 遠(yuǎn)程數(shù)據(jù)源執(zhí)行的最佳做法 ? 逐步淘汰任何遠(yuǎn)程服務(wù)器定義。 ? 用鏈接服務(wù)器代替遠(yuǎn)程服務(wù)器。 ? 禁用通過鏈接服務(wù)器的即席查詢，除非它們是絕對需要的。 ? 如果通過 鏈接 服務(wù)器 的驗證 是必要的，使用約束委托。 1 執(zhí)行上下文 SQL Server 始終作為當(dāng)前登錄的用戶來執(zhí)行 SQL 語句和程序 代碼。此行為是 SQL Server 的特定的行為，并使它變?yōu)榭赡堋?就程序代碼來說，通過所有權(quán)鏈的概念。也就是說，雖然存儲過程是作為存儲過程的調(diào)用者執(zhí)行，而不是作為所有者，如果所有權(quán)鏈?zhǔn)?正確的，不檢查對象訪問的權(quán)限，存儲過程可以用來封裝表，如本文 前面提到的。在 SQL Server 2020，一個程序的創(chuàng)建者可以在創(chuàng)建存儲過程、函數(shù)和觸發(fā)器時，使用 EXECUTE AS 關(guān)鍵字來聲明設(shè)置 模塊 的執(zhí)行上下文。執(zhí)行上下文選擇是： ? EXECUTE AS CALLER –模塊調(diào)用 方 （沒有模擬）。在 早期版本的 SQL Server 2020 中 ，始終在模塊調(diào)用方上下文中執(zhí)行這些模塊 。 ? EXECUTE AS OWNER模塊所有者 。 SQL SERVER 2020 安全性的最佳實踐 22 ? EXECUTE AS SELF模塊創(chuàng)建者 。 ? EXECUTE AS 39。username39。39。 指定 的用戶。 為了保持向后兼容性， EXECUTE AS CALLER 是默認(rèn)的。 AS OWNER 和 AS SELF 之間的區(qū)別是必要，因為該模塊的創(chuàng)建者可能不是使用 該模塊的架構(gòu)的所有者。在這種情況下， AS SELF涉及到模塊所有者， AS OWNER 涉及到對象所有 者（架構(gòu)所有者）。為了使用 EXECUTE AS 39。username39。，模塊創(chuàng)建者必須在指定用戶的執(zhí)行上下文中 有 IMPERSONATE 權(quán)限。 使用可選的執(zhí)行上下文的原因之一是 模塊在沒有一個特定的執(zhí)行上下文中執(zhí)行。這方面的一個例子是一個 Service Broker 隊列激活模塊。此外， EXECUTE AS OWNER 被用于克服所有權(quán)鏈中斷引起的問題。例如，使用動態(tài) SQL 語句（如 sp_executesql）時，模塊所有權(quán)鏈 總是中斷的。 通常所需要的是給予程序代碼本身適當(dāng)?shù)臋?quán)限，而不是改變執(zhí)行上下文或依賴調(diào)用者的權(quán)限。 SQL Server 2020 中提供了更加細(xì)化的方法，即特權(quán)聯(lián)系程序代碼 代碼簽名。通過使用 ADD SIGNATURE DDL 語句，您可以為程序申請一個證書或非對稱密鑰。用戶可以創(chuàng)建證書或非對稱密鑰本身，并把權(quán)限分配給該用戶。當(dāng)程序被執(zhí)行時，代碼作為調(diào)用者的權(quán)限和關(guān)鍵 /憑證的權(quán)限組合來執(zhí)行。這方面的一個例子是： CREATE CERTIFICATE HRCertificate WITH ENCRYPTION BY PASSWORD = 39。HacdeNj162kqT39。 CREATE USER HRCertificateUser FOR CERTIFICATE HRCertificate WITHOUT LOGIN GRANT UPDATE ON pension_criteria TO HRCertificate this gives the procedure update_pension_criteria additional privileges of HRCertificate ADD SIGNATURE TO update_pension_criteria BY CERTIFCATE HRCerti