Пареметрлік тіркелгісі
Параметрлік
|
Сипаттамасы
|
Enforce password policy (парольді пайдалану)
саясат)
|
егер SQL Server Windows Server жұмыс істесе қолданылады. SQL Server тіркелгілері үшін пароль талаптарын анықтауға мүмкіндік береді, жергілікті қауіпсіздік саясатының параметрлеріне сәйкес
|
Enforce password expiration (ескіруді қосыңыз
пароль)
|
бірдей SQL Server тіркелгілері қолданылатындығын анықтайды
Windows тіркелгілері үшін парольді белгілі бір арқылы өзгерту талаптары
уақыт аралығы. Бұл құсбелгіні тек егер орнатуға болады
Құпия сөз тарихын сақтау құсбелгісін қойыңыз
|
User must change password
at next logon (пайдаланушы) парольді өзгерту керек келесі рет)
|
құпия сөзді өзгерту терезесі тек SQL Server Management Studio-да пайда болады. Сұрау Анализатор және басқа қосылыстар сияқты қосылуға тырысқанда мұндай пайдаланушы қатені жай ғана қайтарады.
|
Mapped to certificate (куәлікке қоса беріледі) және Mapped to asymmetric key (байланған асимметриялық кілт)
|
сертификатты немесе асимметриялық кілтті көру мүмкіндігі, ол болады
осы қолданушыға жүгіну. Сіз куәлікті тек қашан тағайындай аласыз
Transact-SQL CREATE LOGIN пәрменін қолдану арқылы.
|
Default database
|
кіру кезінде пайдаланушы әдепкі бойынша қосылатын дерекқор SQL серверінде. Әдепкі мәліметтер базасы - Master.
|
Default language
|
сеанстар кезінде қолданылатын әдепкі тіл
қолданушы. Негізінен болатын күні мен уақыты форматына әсер етеді
SQL Серверіне оралыңыз
|
41. SQL Server 2012 аутентификация режимдері. Кіру әрекеттері аудиті
Алдыңғы бөлімде SQL Server 2005 қосылу үшін тіркелгілерді жасау қарастырылды. Бірақ егер сіз SQL Server 2005 логиндерін құрсаңыз, онда олар жұмыс істемейтін жағдайға тап болуы мүмкін. Себебі қажетті SQL Server 2005 аутентификация режимі орнатылмаған.
Аутентификация режимі SQL Server 2005 орнатылған кезде де орнатылады. 2.2.5). Бұл режимді орнатқаннан кейін SQL Server 2005 сипаттарының Security қойындысында өзгертуге болады (сурет. 5.3) SQL Server Management Studio бағдарламасында.
Сурет. 5.3. SQL Server 2005 сипаттарының Security қойындысы
SQL Server 2000 сияқты, екі аутентификация режимі бар:
-Windows Authentification mode — Windows аутентификация режимі) - SQL Server 2005 орнату кезінде әдетті таңдалатын бұл режим серверге тек Windows логиндерін қосуға рұқсат береді;
-SQL Server and Windows Authentification mode (SQL Server и Windows аутентификация режимі) — Бұл режимде SQL Server және Windows логиндерінің екі түрін пайдалануға болады. Бұл режимнің басқа атауы-Mixed mode (аралас режим).
Windows логиндерін пайдалануға тыйым салынған үшінші нұсқада қарастырылмаған: бұл түрдегі логиндер әрқашан қол жетімді.
Аутентификация режимі өзгергенде, серверді қайта қосу керек.
Тағы бір сәт: Егер сіз Windows аутентификация режимінен аралас режимге ауыссаңыз, әдепкі sa есептік жазбасы өшіріледі. Оны ALTER LOGIN немесе Management Studio (login Enabled/Disabled параметрі логин қасиеттерінің status қойындысында) командасының көмегімен қосуға тура келеді.
Егер серверіңізге қауіпсіздік бойынша маңызды талаптар қолданылса, онда SQL Server 2005 кіріс аудитін қосуға болады. Бұл әрекет сервер сипаттарының Security қойындысында да орындалады. Login Auditing (кіру аудиті) қосқышының көмегімен сіз қандай кіру әрекетіне аудит жүргізілетінін таңдай аласыз:
-None-жоқ;
- Failed logins only - тек сәтсіз (бұл режим әдепкі бойынша қолданылады);
-Successful logins only - тек табысты;
-Both failed and successful logins-кез келген.
Аудитті қосудың басқа нұсқасы-SQL Server қасиеттерінің Security қойындысында Enable C2 Audit tracing (C2 аудитін қосу) құсбелгісін орнату. Бұл жағдайда пайдаланушылардың кез келген әрекеттері (серверге кіруді қоса алғанда) туралы толық ақпарат сервердің осы данасына арналған data каталогына мәтіндік файлдарға жазылады. Бұл параметрмен өте абай болу керек, өйткені ақпарат өте көп жазылады және дискідегі орын аяқталуы мүмкін.
42. Әдепкі тіркелгілер
SQL Server 2005 тіркелгілерін жасау үшін келесі синтаксисі бар CREATE LOGIN командасы SQL қолданылады:
CREATE LOGIN имяучетнойзаписи {WITH options | FROM көзі}.
WITH секциясы ішкі SQL Server тіркелгісін жасау үшін пайдаланылады, оның толық синтаксисі бар:
WITH PASSWORD = 'Құпия сөз' [HASHED] [MUST_CHANGE]
[, SID = sid
| DEFAULT_DATABASE = деректер базасы / DEFAULT LANGUAGE = тіл I CHECK_ POLICY = {ON / OFF}
I CHECKEXPIRATION = {ON | OFF}] [, ...n]
[CREDENTIAL = объект_сгеепйа1].
PASSWORD бөлімінде Ішкі тіркелгінің құпия сөзі бар. Мысалы, CREATE LOGIN Login WITH password = 'P@ssw0rd
Алайда, жиі қосымша опциялар қажет.
HASHED параметрі PASSWORD кілтсөзінен кейін құпия сөз емес, оның дайын хешін көрсетеді, демек, SQL Server көрсетілген мәнді араластыру керек емес, оны бірден сақтау керек. Егер пәрменді шақырудағыashed сөзі төмен болса, SQL Server көрсетілген мән-бұл құпия сөз деп есептейді және сақтау алдында хешалауды орындайды.
MUST CHANGE параметрі соңғы Пайдаланушы келесі кіргенде құпия сөзді өзгертуге міндетті екенін көрсетеді. Бұл опцияны CHECK EXPIRATION және СНЕСК_ OPTIONS опциялары ON-ге орнатылса, көрсетуге болады.
SID параметрі жаһандық бірегей қауіпсіздік идентификаторын белгілейді. Егер оны көрсетпесе, ол автоматты түрде жасалады.
DEFAULT DATABASE опциясы ДББЖ кіргенде соңғы пайдаланушы автоматты түрде қосылатын "әдепкі ДБ" анықтайды.
DEFAULT_LANGUAGE опциясы сеанстар кезінде осы пайдаланушы әдепкі тілді көрсетеді. Бұл параметр негізінен сервер қайтаратын күн мен уақыт пішіміне әсер етеді. Егер параметр көрсетілмесе," әдепкі тіл " ретінде ДББЖ деңгейінде орнатылған тіл алынады.
SQL Server 2005 тіркелгілерін жасау үшін келесі синтаксисімен CREATE LOGIN SQL командасы қолданылады:
CREATE LOGIN атау жазу {WITH options / from көзі}.
WITH секциясы толық синтаксисі бар SQL Server ішкі тіркелгісін жасау үшін қолданылады:
WITH PASSWORD = 'Құпия сөз' [HASHED] [MUST_CHANGE]
[, SID = sid
/ DEFAULT_DATABASE = деректер қоры / DEFAULT LANGUAGE = тіл I CHECK_ POLICY = {ON / OFF}
I CHECKEXPIRATION = {ON | OFF}] [, ...n]
[CREDENTIAL = нысан_геепйа1].
PASSWORD бөлімінде Ішкі есептік жазбаның құпия сөзі бар. Мысалы, CREATE LOGIN Login WITH password = 'P@ssw0rd
Алайда, жиі қосымша нұсқалар қажет.
Hashed параметр password парольінен кейін құпия сөз емес, оның дайын хешін көрсетеді, демек, SQL Server көрсетілген мәнді араластырудың қажеті жоқ, оны бірден сақтау керек. Егер пәрменді шақыру өрісінде төмен болса, SQL Server көрсетілген SQL Server мәні құпия сөз болып табылады және сақтау алдында хешалауды орындайды деп санайды.
Must CHANGE параметрі соңғы Пайдаланушы келесі кіргенде құпия сөзді өзгертуге міндетті екенін көрсетеді. Егер CHECK EXPIRATION опциялары ON-ға орнатылса, бұл параметрді көрсетуге болады.
SID параметрі жаһандық бірегей қауіпсіздік идентификаторын орнатады. Егер оны көрсетпесе, ол автоматты түрде жасалады.
DEFAULT DATABASE параметрі ДББЖ кіргенде соңғы пайдаланушы автоматты түрде қосылатын "әдепкі ДБ" анықтайды.
Default_language сеанстар кезінде осы пайдаланушы үшін әдепкі тілді көрсетеді. Бұл параметр негізінен сервермен қайтарылатын күн мен уақыт пішіміне әсер етеді. Егер параметр көрсетілмесе, СУБД деңгейінде орнатылған тіл әдепкі тіл ретінде қабылданады.
FROM WINDOWS
[[WITH {DEFAULT DATABASE = деректер қоры
/ DEFAULT_LANGUAGE = тіл} [,...n]]
/ CERTIFICATE сертификат j ASYMMETRIC KEY асимметриялық_ключ.
WINDOWS параметрі жасалатын есептік жазбаның Windows тіркелгісіне көрсетілетінін көрсетеді. DEFAULT DATABASE және DEFAULTLANGUAGE параметрлері ішкі SQL Server тіркелгілерін жасау кезінде қолданылатын, бұрын сипатталған бірдей параметрлерге ұқсас.
CERTIFICATE және ASYMMETRIC KEY опциялары тіркелгіні сертификатқа немесе асимметриялық кілтке байланыстыру үшін қолданылады. Сертификат (асимметриялық кілт) Master жүйелік ДБ-да алдын ала жасалуы тиіс.
Соңғы пайдаланушы, егер оның есептік жазбасы System Administrator немесе Security Administrator рөліне енгізілсе немесе ол үшін ALTER ANY LOGIN рұқсаты белгіленсе, осы команданы орындауға құқылы. CREDENTIAL опцияларын пайдалану үшін ALTER ANY CREDENTIAL рұқсаты қажет.
43. Сервер деңгейінің рөлі .
Сізге пайдаланушыларға SQL Server 2005 бағдарламасына кіру арқылы оларға кіру мүмкіндігін ұсындыңыз. Бірақ серверге жалғыз кіру ештеңе бермейді: пайдаланушыға белгілі бір әрекеттерді орындау үшін құқықтар да қажет. Әдетте пайдаланушылар немесе дерекқор рөлдері осы мақсат үшін жасалады және оларға рұқсаттар беріледі (мұны қалай жасау керектігі 5.3 бөлімінде қарастырылады). Алайда, басқа жол бар. Егер сізге жеке дерекқор емес, бүкіл сервер деңгейінде пайдаланушы құқығын беру керек болса, сіз сервер рөлдерін пайдалана аласыз.
Графикалық экранда сервер рөлдерімен жұмыс кіру сипаттарынан (сервер рөлдері қойындысы) немесе сервер рөлінің өз қасиеттерінен жүзеге асырылады (Басқару студиясындағы Server Roles контейнері). Transact-SQL кодынан сіз сервердің рөліне кіруді тағайындау үшін sp_addsrvrolemember сақталған процедурасын қолдана аласыз. Мысалы, Пайдаланушыға SYSADMIN рөлін беру үшін сәйкес код болуы мүмкін:
EXEC sp_addsrvrolemember @loginame = 'user4', @rolename = 'sysadmin';
Сервер рөлдеріне қатысты бірнеше жайтты атап өтіңіз:
- Сервер рөлдерінің жиынтығы бекітілген. Сіз өзіңіздің сервер рөлдеріңізді жасай алмайсыз (дерекқор рөлдерінен айырмашылығы);
- Сервер деңгейінде құқықтар беру үшін сервер рөлдерін пайдалану қажет емес. Сіз бұл құқықтарды тікелей логинге бере аласыз (SQL Server қасиеттерінің Рұқсаттар қойындысын қолдана отырып). Әдетте, әр кірудің сервер деңгейінде екі құқығы бар: CONNECT SQL (яғни, серверге қосылыңыз, бұл құқық тікелей логинге беріледі) және КЕЗ КЕЛГЕН МӘЛІМЕТТЕРДІ қарау (яғни, мәліметтер қорының тізімін қарау, пайдаланушы бұл рөлді сервер рөлі арқылы алады) Қоғамдық);
Сервер рөлдері тек ерекше жағдайларда қолданылады. Көптеген пайдаланушыларға оларды теңшеу қажет емес.
Сервер рөлдері көп емес, сондықтан түсініктемелері бар толық тізім:
-PUBLIC - бұл рөлді сервер рөлдерінің тізімінен таба алмайсыз. Алайда, ол бар және белсенді қолданылады. SQL Server-ге қосылған кез-келген адамға осы рөлге автоматты түрде құқық беріледі және сіз пайдаланушыны осы рөлге мүшеліктен айыра алмайсыз. Әдетте бұл рөл берілген сервердің барлық пайдаланушыларына рұқсат беру үшін қолданылады;
-SYSADMIN - осы рөл берілген логин бүкіл SQL серверіне толық құқықты алады (және бұл құқықтарды басқа пайдаланушыларға беру мүмкіндігі). Серверге рұқсаттар тұрғысынан, бұл WITH GRANT параметрімен тікелей CONTROL SERVER-ке сәйкес келеді (яғни, беру мүмкіндігі бар);
-SERVERADMIN - бұл рөл серверге қызмет көрсететін операторға арналған. Сіз кез-келген сервер жұмысының параметрлерін өзгерте және серверді өшіре аласыз, бірақ деректерге қол жеткізе алмай, рұқсаттарды өзгерте алмайсыз;
-SECURITYADMIN - бұл рөл пайдаланушыларға серверге кедергі келтірместен рұқсат беретіндерге арналған. Ол қарапайым пайдаланушылар үшін логиндер жасай алады, олардың парольдерін өзгерте алады, мәліметтер қорында рұқсаттар бере алады. Алайда, бұл рөл біреуге әкімшілік құқықтар беруге немесе әкімшінің есептік жазбасын өзгертуге мүмкіндік бермейді;
-BULKADMIN - SQL Server кестелеріне деректердің үлкен көлемде жүктелуін жүзеге асыратын қызметкерлер үшін рөл;
-DBCREATOR - бұл рөл SQL серверінде мәліметтер базасын құруға мүмкіндік береді (және дерекқорды жасаған адам автоматты түрде оның иесі болады). Әдетте, бұл рөл SQL серверінде ақпаратты сақтайтын қосымшалар пайдаланатын шоттарға беріледі;
-DISKADMIN - бұл рөл дискідегі дерекқор файлдарымен кез-келген әрекеттерді орындауға мүмкіндік береді;
-PROCESSADMIN - бұл рөл бір міндеттерді орындауға арналған: пайдаланушыға серверге қосылуды жабу (мысалы, қатып қалады);
-SETUPADMIN - бұл рөлдің құқықтары сыртқы SQL серверін (байланысқан серверлер) қосуға мүмкіндік береді.
Сервер деңгейіндегі құқықтармен жұмыс істеудің қосымша нұсқаларын «Рұқсаттар» қойындысындағы сервер қасиеттерінен алуға болады (5.4-сурет).
Сурет. 5.4. SQL Server қасиеттерінің Permissions қойындысы
Бұл қойындыда Сіз аласыз:
- әрбір логин үшін құқықтарды дәл реттеу (егер серверлік рөлдер жиынтығы сізді қанағаттандырмаса);
- барлық пайдаланушыларға бірден құқық беру (PUBLIC арнайы серверлік рөлінің көмегімен));
- пайдаланушыға берілген құқықтарды кім ұсынды (Grantor бағанындағы мәні);
- сервер деңгейінде осы пайдаланушы үшін қорытынды құқықтарды көру. Бұл мақсатқа Effective Permissions түймесі (қолданыстағы рұқсаттар) арналған.
Пайдаланушыға сервер объектілеріне рұқсат берудің тағы бір мүмкіндігі-логин сипаттарының Securables қойындысын пайдалану. Осы қойындының көмегімен сіз пайдаланушыға рұқсат бере аласыз:
- сервер нысаны (сервер сипаттарынан бірдей);
- HTTP (HTTP Endpoints) қосылым нысандары);
- басқа логиндердің объектілері.
Мысалы, сіз бөлім қызметкерлерінің SQL Server логиндері үшін парольдерді өзгерте алатын пайдаланушыны тағайындай аласыз.
44. Сервердің бекітілген рөлі.
12.1-кесте. Тіркелген серверлік рөлдер
Тіркелген серверлік рөл
|
Сипаттамасы
|
sysadmin
|
Деректер қоры жүйесінде кез келген әрекеттерді орындайды
|
serveradmin
|
Серверлік қондырғыларды теңшейді
|
setupadmin
|
Репликацияны инсталляциялау және кеңейтілген рәсімдерді басқарады
|
securityadmin
|
Create database есептік жазбаларды және өкілеттіктерді басқарады, есептілікті тексереді
|
processadmin
|
Жүйелік процестерді басқарады
|
dbcreator
|
Деректер базасын жасайды және өзгертеді
|
diskadmin
|
Диск файлдарын басқарады
|
Sp_addsrvrolemember және sp_dropsrvrolemember жүйелік процедуралары, сәйкесінше, мүшелерді қосу және бекітілген серверлік рөлдерден мүшелерді жою үшін қолданылады.
Ескерту
Тіркелген серверлік рөлдерді қосуға немесе жоюға болмайды. Бұған қоса, тек тіркелген серверлік рөл мүшелері рөлдерден есептік жазбаларды қосу немесе жою үшін жүйелік рәсімдерді орындай алады.
Әрбір тіркелген серверлік рөл жүйелік деректер базасына өз өкілеттілігі бар. Сіз sp_srvroiepermission жүйелік процедурасын пайдалана отырып, әрбір тіркелген серверлік рөлдің өкілеттігін көре аласыз.
Достарыңызбен бөлісу: |