MSSQL数据库安全实验

笔记:

1. SQL Server 2000提供了两种确认用户的登录认证模式:Windows认证模式和混合认证模式。

实验:

  管理SQL Server认证模式

  1. (1)开始”→“程序”→“Microsoft SQL Server 2005” →“SQL Server Management Studio”→“连接到服务器”对话框→“连接”

       (2)“对象资源管理器”→服务器,“属性”→“安全性”

(3)“服务器身份验证”选项区中,本次实验选择“SQL Server 和Windows 身份验证模式”,提示时单击确定。

(4)“对象资源管理器”中,右击服务器,然后单击“重新启动”,提示时单击确定。

(5)“摘要”面板中,右击“SQL Server 代理”,然后单击“启动”,提示时单击确定。

 

 

 

 

2. 管理数据库登录

 (1)我的电脑→管理→系统工具→本地用户和组→用户,右侧空白处右击,建立新用户winuser,建立时选项改为密码永不过期。

(2)右击该新建用户,选择属性→隶属于→添加→高级→立即查找,在搜索结果中选择 administrators,点击确定按钮,会自动返回上一回话窗口。再次点击确定(此时,在winuser属性的隶属于选项卡下多了一个administrators。),点击右下角的应用,最后点击确定。

 

 

 (3)SQL Server Management Studio中,右击数据库,选择新建数据库student,点击确定。

(4)点开“安全性”,右击“登录名”按钮,在弹出的快捷菜单中选择“新建登录”。

(5) 打开SQL Server登录属性对话框→“常规”→“搜索”→高级→立即查找,在搜索结果中,找到winuser并选择该用户,然后点击确定,会自动返回上一回话窗口,再次点击确定。验证方式选择 “Windows 身份验证”,默认数据库选择student,完成登陆账号winuser的创建。

(6)“服务器角色”选项卡选择sysadmin(设置登录用户winuser的服务器角色为系统管理员),“用户映射”选项卡选中数据库master和student左边的复选框(登陆用户winuser可以访问的数据库为master和student),数据库角色成员身份都选择public。然后点击确定。

 

 

 

 此时展开安全性-登录名,可以看到winuser已存在。(若展开数据库-系统数据库-student-安全性-用户,可以看到数据库student中已经建立一个数据库用户winuser)

 

 验证用WinUser账号登录SQL Server:由于远程桌面注销会又会自动连接,所以我们需要先修改当前用户(administrator)的登录密码。

我的电脑→管理→系统工具-本地用户和组-用户→右侧右击administrator,选择设置密码。完成后点击左下角的开始,选择注销。然后会自动到登陆页面,输入之前新建的winuser和密码,点击确定登录。然后重复之前新建登录步骤。

 

 

 

 

 

 

 

 

 

 

 3.管理数据库用户

(1)创建数据库用户:打开SQL Server Management Studio,展开服务器-数据库,选择要创建用户的数据库,用鼠标右键单击“安全性”节点,从弹出的菜单中选择“新建-用户”命令。输入要新建的数据库用户名称→点击 “登录名”处后面的按钮→浏览→选择一个用户→ 然后点击确定,自动返回到选择登录名对话框,再次点击确定,勾选db_owner,数据库角色成员身份同样选择db_owner,单击“确定”按钮,即可完成数据库用户的创建。

(2)修改用户信息: 用鼠标右键单击要修改的用户,在系统弹出菜单上单击“属性”。可在此查看或修改。

(3)删除数据库用户。用鼠标右键单击要删除的数据库用户,从快捷菜单中选择“删除”命令即可。

 

 

 

 

 4.管理数据库角色

 可参考管理数据库用户。(注:不能删除一个有成员的角色,在删除角色之前,应先删除其成员。)

 5.管理数据库权限

启动SQL Server Management Studio,展开实例数据库,右击student数据库,在弹出的快捷菜单中选择“属性”,然后选择“权限”选项卡。在用户WinUser一栏中,将“创建表”和“创建视图”选中.在SQLUser一栏中,则选择除“创建表”和“创建视图”以外的选项。勾选授予的权限。

分析与思考:

1、 SQL Server的Windows认证模式和混合认证模式的区别?

Windows认证模式利用用户安全性和账号管理的机制,允许SQL Server也可以使用NT的用户名和口令。在该模式下,用户只要通过Windows的认证就可连接到SQL Server,而SQL Server本身也不需要管理一套登录数据。在SQL Server认证模式下,用户在连接SQL Server时必须提供登录名和登录密码,这些登录信息存储在系统表syslogins中,与NT的登录账号无关。SQL Server自己执行认证处理,如果输入的登录信息与系统表syslogins 中的某条记录相匹配则表明登录成功。

2、 分析数据库各种角色权限的异同,自定义数据库,并进行权限管理,深入理解实验原理。

3、 查阅近期数据库安全事件,分析攻击原理,掌握数据库安全的重要性

 日本奥运门票数据或发生泄漏,是RedLine恶意软件和其他信息窃取程序进行攻击的结果。

 

 

 

 

posted @ 2021-09-22 15:40  青山不见  阅读(146)  评论(0)    收藏  举报