SQL Server 2012 身份验证(Authentication)
在保密你的服务器和数据,防备当前复杂的攻击,SQL Server有你需要的一切。但在你能有效使用这些安全功能前,你需要理解你面对的威胁和一些基本的安全概念。这篇文章提供了基础,因此你可以对SQL Server里的安全功能充分利用,不用在面对特定威胁,不能保护你数据的功能上浪费时间。
身份验证是验证主体(需要访问SQL Server数据库的用户或进程,是声称是的人或物)的过程。主体需要唯一的身份,这样的话SQL Server可以决定主体有哪个许可。在提供安全访问数据库对象中,正确的身份验证是必须的第一步。
SQL Server支持身份验证的两个途径:Windows集成身份验证和SQL Server身份验证。你使用的途径取决于网络环境,应用程序访问数据库的类型和这些应用程序的用户类型。
- Windows身份验证:这个身份验证方式依赖于Windows来担当重任——当用户登录到Windows是验证身份。访问SQL Server对象的许可然后会分配给Windows登录。只有当SQL Server运行在支持Windows NT或Kerberos身份验证的Windows版本上才可以使用,这个自Windows 2000起已经几乎是标准。
- SQL Server身份验证:SQL Server可以完全自主完成身份验证。在这个情况下,你可以创建唯一的用户名——在SQL Server调用登录——和密码。连接到SQL Server的用户或应用程序提供这些凭证来访问。许可然后直接分配到那个登录或通过角色里的资格。
在SQL Server里在这2个类型之间配置身份验证不是一个非此即彼的选择(可以混合使用)。你可以在任何两个方式里配置身份验证:
- 混合身份验证模式:服务器同时支持SQL Server和Windows身份验证。
- Windows身份验证模式:服务器只支持Windows身份验证。
只要可能的话,微软强烈推荐使用Windows身份验证。Windows拥有可靠的验证选项,包括密码策略,但正真正的应用程序里,Windows身份验证并不总是可行的。SQL Server身份验证可以嵌入Windows验证的一些功能,但它不太安全。
Windows身份验证
如果你配置你的SQL Server在Windows身份验证里操作,SQL Server认为与Windows服务器有信任关系。当它们登录到Windows里时,SQL Server认为Windows已经验证用户。然后SQL Server检查用户账号,任何Windows组和任何SQL Server角色,看用户是否是其成员之一来决定用户是否允许与各个SQL Server对象打交道。
与SQL Server身份验证比,Windows身份验证有很多优势,包括:
用户一次登录即可,因此她不需要单独登录到SQL Server审计功能简单化登录管理密码策略(在Windows Server 2003及后续版本)
Winows身份验证的另一个大优势是你对Windows用户和组的任何修改会自动在SQL Server里生效,因此你不需要单独管理它们。然后,如果你对Windows用户做出的修改,它们此时刚好连接到SQL Server,这些修改不会生效,直到下次用户连接到SQL Server才会生效。
配置SQL Server安全设置
当你安装SQL Server时,你可以选择SQL实例允许的验证模式。安装完成后你可以在SSMS里的服务器属性对话框里修改这个设置。这些设置适用于SQL Server实例里的所有数据库和其它对象。因此如果你需要为任何数据库使用SQL Server身份验证,你需要为服务器设置为混合模式。
插图2.1显示了在SSMS里选择了【安全性】页的【服务器属性】对话框。为了打开这个对话框,在对象浏览器里右击服务器实例名,从弹出的菜单里选择【属性】,然后点击【安全性】页。通过点击对应的单选框和点击【确定】提交修改,就可以修改验证模式。
插图2.1:为SQL Server实例配置验证模式
添加一个Windows登录
使用Windows身份验证,你的用户在能访问SQL Server前需要验证Windows登录账号。然后你可以授予一个Windows组连接到SQL Server,或者你可以授予许可给单独的Windows用户,如果你不想授予集体许可。
使用SSMS管理安全的一个好处是你可以同时配置登录和数据库访问。启用Windows登录到访问SQL Server和AdventureWorks2012数据库。使用下列步骤,并假定本地机器已经定义了woodytu用户。
1.打开SSMS,确保对象浏览器窗体可见,并且你已经连接到SQL Server实例
2.展开服务器对象的树状视图,然后展开【安全性】节点。你会看到如插图2.2所示的多个子节点。
插图2.2:服务器对象浏览器的安全性部分,你定义的登录的地方
3.右击【登录名】节点,从弹出的菜单里选择【新建登录名】来打开【登录名】——新的对话框
4.确保【Windows身份验证】单选框已经选择
5.你可以用任何2种方式选择Windows登录。第一种方式是直接输入域名或机器名,然后一个\和所使用的Windows登录名。第二个方式,通常更简单的方式点击【搜索】按钮来打开【选择用户或组】对话框。输入用户名,点击【检查名称】来查找具体的名称。如果找到用户,完整的名字在对话框里出现,如插图2.3里所示。点击【确定】选择那个用户。
插图2.3:找到一个Window登录来添加到SQL Server
6.回到【登录名-新建】对话框,设置AdventureWorks2012数据库作为登录的默认数据库。当用户连接到服务器且不指定数据库时,这是用户使用的数据库。这不限制用户只访问那个数据库。插图2.4展示对于在WIN10的机器上Windows的登录用户woodytu,设置默认数据库为示例数据库AdventureWorks2012的登录配置。
插图2.4:【登录名—新建】对话框启用Windows登录到访问SQL Server实例。
提示:
绝不保持默认数据库为master数据库。这个是惨痛的教训:连接到服务器,太容易忘记修改数据库了。到时候如果你运行脚本在master数据库上创建上百个数据库对象,你会花大量的精力来人为删除这些对象,清理master数据库。
7.接下来,给用户访问一个数据库。从对话框的左边清单里选择【用户映射】页。通过选择数据库名旁的选择框授予用户访问AdventureWorks2012数据库。SQL Server自动映射用户用同样的用户名到数据库里的用户,如你在表里的第3列所见,如果你想要的话,可以修改用户名。分配Sales作为用户在数据库里默认的架构,可以在【默认架构】列里输入,或者点击【...】按钮从列表里选择。对话框应该如插图2.5所示。
插图2.5:授予Windows登录访问AdventureWorks2012数据库
提示:
为登录设置默认数据库和授予访问到数据库之间是有区别的。当用户登录没有指定数据库时,默认数据库指的是SQL Server尝试修改上下文到那个数据库。但这不授予在数据库里做任何事的任何许可,或者甚至允许访问到数据库。这就是说分配用户完全不能访问的数据库是可能的。一旦数据库被访问了,为了让用户可以进行一些操作,你需要授权用户许可。
8.默认情况下,新的Windows登录可以访问到服务器。但是如果你想禁止登录访问服务器,从【登录名—新建】的左边列表选择【状态】,勾选【拒绝】单选框。你也可以通过选择【禁止】按钮临时禁用登录。插图2.6显示了这些选项。
插图2.6:授予和拒绝连接到数据库和临时禁用登录账号选项点击【确定】创建用户。
你也可以在同样的方式里添加Windows组到SQL Server,组的任何成员也可以访问数据库服务器,包括你给组的数据库里的任何对象 。
SQL Server身份验证
当你使用SQL Server登录作为验证时,客户端应用程序需要提供有效的用户名和密码来连接到数据库。这些SQL Server登录在SQL Server里保存,与Windows无关。当在登录时,如果没有匹配的用户名和密码,SQL Server抛出错误,用户不能访问数据库。
尽管Windows身份验证更加安全,在一些情况或许你只能选择SQL Server登录来代替。对于简单没有广泛安全需求的应用程序,SQL Server身份验证更容易管理,它允许你避免Windows安全的复杂。而且如果客户端运行在更老版本的Windows(比Windows 2000还老)或非Windows的操作系统,你必须使用SQL Server登录。
创建SQL Server登录,使用和Windows登录同样的【登录名-新建】对话框。但不是选择Windows登录,输入没有域名或机器名的用户名,并提供密码。例如,插图2.7显示了如何创建一个新的SQL Server登录user,把AdventureWorks2012作为他的默认数据库。
插图2.7:创建SQL Server登录
对于用户映射和状态的所有其它选项的SQL Server登录和Windows登录是一样的。
通过T-SQL的SQL Server登录
你也可以用T-SQL代码来进行同样的操作。在代码2.1里的Create Login代码创建一个有强劲密码的SQL Server登录Tudou。
CREATE LOGIN Tudou WITH PASSWORD = 'yBqyZIPT8}b]b[{5al0v'; GO
代码2.1:使用T-SQL创建新的SQL Server登录的代码
然后,授予Tudou访问AdventureWorks2012数据库,使用CREATE USER语句并分配默认的架构,如代码2.2所示。
USE AdventureWorks2012; GO CREATE USER Tudou FOR LOGIN Tudou WITH DEFAULT_SCHEMA = HumanResources; GO
代码2.2:用SQL Server登录关联创建数据库用户的代码
提示:
如第一篇,如果你想在本地SQL Server实例运行它们的话,很可能你需要对代码做些改动。在代码2.2里假定你已经安装了AdventureWorks2012数据库。
像Windows登录,你可以映射服务器登录Tudou到数据库里其它一些名称。代码2.3里在AdventureWorks2012数据库里映射TudouZ到Tudou用户。
DROP USER Tudou; GO CREATE USER TudouZ FOR LOGIN Tudou WITH DEFAULT_SCHEMA = HumanResources; GO
代码2.3:删除现存用户增加用不同登录名的数据库用户名的代码
谨防sa登录
如果你配置你的SQL Server支持SQL Server登录,有一个SQL Server内建的SQL Server登录需要留意——sa登录——在对象浏览器里的【安全性】节点,【登录名】里可以看到。sa或系统管理员,登录是为了SQL Server的早期版本的向后兼容性。sa登录映射到sysadmin服务器角色,任何以sa登录到SQL Server的任何人有完全的系统管理员权限,在整个SQL Server实例和所有里面的数据库都有不可撤销的权利。这的确是个强大的登录。
你不能修改或删除sa登录。当你安装SQL Server的时候,如果你选择了混合验证模式,你会提示为sa用户输入密码。没有密码的话,任何人可以不输密码直接以sa登录,玩弄起“我来管理服务器”。不用说,这是你让你的用户最后做的事。如果没有其他系统管理员或忘记了它们的Windows密码,使用sa登录只是个后门。如果那个发生的话,你需要新的管理员!
绝不要在应用程序里使用sa登录来访问数据库。如果黑客拿到应用程序的控制权,这样做的话会给黑客真个数据库服务器的管理权限。在早期,这是黑入服务器的最简单方法,是个可怕的实例。相反,为应用程序设置一个自定义的Windows或SQL Server登录来使用,给这个登录来运行程序的绝对最小的必须许可(实现最小权限原则)。
提示:
事实上,你应该考虑使用刚才看到的登录属性对话框的【状态】页完全禁用sa登录。那样的话攻击者不能使用这个全能登录来控制你的服务器实例,不管你是否设置了强悍的sa密码。
密码策略与执行
在SQL Server 2005之前的版本,对于可以让系统更安全,对系统管理员的强制密码策略,没有一个简单的方法。例如,SQL Server米有办法强制用户创建最短长度、数字和其它字符混合的强壮密码。如果有人要用一个字母创建登录的密码,你不能配置SQL Server来阻止它。同样,密码也没方法设置它定期过期,例如每三个月。一些人刚好看到了这个主要原因,不使用SQL Server登录。
SQL Server的最近版本可以嵌入Windows Server 2003及后续版本的密码策略。密码还是保存在SQL Server里,但SQL Server调用了NetValidatePasswordPolicy() Windows API方法,这个是在Windows Server 2003首次引入的。这个API函数应用Windows密码策略到Server登录,返回一个值表示密码是否有效。当用户创建,设置或重置密码时,SQL Server调用这个函数。
你可以通过Windows控制面板管理工具里的本地密码策略来定义Windows密码策略。默认密码策略部分如插图2.8所示。这个小程序有独立的账号锁定策略,如插图2.9所示,当用户尝试太多的失败登录时生效。默认情况下,新安装的Windows锁定策略是禁用的。
插图2.8:Windows本地安全策略小程序,显示默认的密码策略。
插图2.9:Windows本地安全策略小程序,显示默认的账号锁定策略。
下表列出默认值的密码策略和它们如何运作的说明。
类别 策略名 默认值 说明
密码策略 强制密码历史 0个记住的密码 阻止用处重用旧密码,例如在2个密码之间修改
密码长度最小值 0个字符 使用这个要求密码长度,让它们很难破解
密码必须符合复杂性要求 已禁用 至少6个字母或数字和其它字符,不包含用户名
密码过期 密码最长使用期限 42天 在用户修改密码前的天数
密码最短使用期限 0天 在允许用户可以修改密码前的天数
账户锁定策略 账户锁定时间 不适用 如果锁定阈值启用的话则锁定
账户锁定阈值 0次无效登录 账户锁定前失败登录次数
重置账户锁定计数器 不适用 重置失败登录次数;
当锁定阈值启用的时候启用
表2.1:Windows密码策略设置
当你创建登录的时候,你可以启用或禁用执行密码策略。【登录名-新建】对话框在登录名下,在你创建SQL Server登录的时候,有个启用部分,如插图2.10所示。
插图2.10:对于新的登录执行密码策略
当你使用T-SQL创建登录的时候,也可以应用密码策略。例如,如果你在Windows 2003 Server后后续版本上运行SQL Server并启用了密码策略,代码2.4会运行失败。
USE master; GO CREATE LOGIN SIMPLEPWD WITH PASSWORD = 'SIMPLEPWD'; GO
代码2.4:尝试创建违反密码策略的登录
这个代码运行失败的原因是密码不能和用户名一样。
当你创建或修改登录时,你可以控制策略。代码2.5关闭了过期检查和策略。
ALTER LOGIN Tudou WITH PASSWORD = 'yBqyZIPT8}b]b[{5al0v', CHECK_EXPIRATION = OFF, CHECK_POLICY = OFF;
代码2.5:只对修改登录来禁止密码策略的代码(只对这次登录)
CHECK_EXPIRATION
选项控制SQL Server检查密码的策略里年龄,CHECK_POLICY
应用到其他策略。MUST_CHANGE
选项执行用户下次登录必须修改密码。
如果用户有太多次数的失败登录,超过了账号锁定策略的设置数,管理员可以使用UNLOCK
来重置,如代码2.6所示。