TNT4-05. Difusión por el Web de SQL Server 2005 Parte 4: Seguridad de SQL Server 2005

Difusión por el Web de SQL Server 2005Parte 4: Seguridad de SQL Server 2005

Lo que vamos a cubrir:

• Modelo de seguridad de SQL Server 2005

• Autenticación de SQL Server 2005

• Esquemas de SQL Server 2005

• Contexto de la ejecución del módulo SQL Server 2005

• Permisos de SQL Server 2005

Conocimiento previo

Nivel 200Nivel 200

• Experiencia en dar soporte a los Servidores Windows 2003

• Experiencia en administrar y dar mantenimiento a SQL Server 2000

• Experiencia en administrar bases de datos

Agenda

• Repaso


• Autenticación y política de contraseña basado en punto final

• Separación del esquema del usuario

• Contexto de ejecución del módulo

• Permisos granulares

RepasoAislamiento de la instantánea

Instantánea comprometida para lectura

Aislamiento de instantánea

Opción de base de datos

READ_COMMITTED_SNAPSHOT ALLOW_SNAPSHOT_ISOLATION

Nivel de aislamiento de la sesión

READ COMMITTED (Predeterminado)

SNAPSHOT

Lectura de la versión

Información comprometida antes de la isntrucción

Información comprometida antes de la operación

Detección de conflictos

Ninguno Automático

ALTER DATABASE AdventureWorks SET ALLOW_SNAPSHOT_ISOLATION ONSET TRANSACTION ISOLATION LEVEL SNAPSHOT

ALTER DATABASE AdventureWorks SET ALLOW_SNAPSHOT_ISOLATION ONSET TRANSACTION ISOLATION LEVEL SNAPSHOT

ALTER DATABASE AdventureWorks SET READ_COMMITTED_SNAPSHOT ONALTER DATABASE AdventureWorks SET READ_COMMITTED_SNAPSHOT ON

RepasoInstantáneas de la base de datos

ACTUALIZAR … SELECCIONAR …

SELECCIONAR …

Copiar al escribir

BD Fuente BD Instantánea

RepasoVistas dinámicas de administración

• Vistas dinámicas de administración para bloqueos y operaciones• sys.dm_tran_locks• sys.dm_tran_active_transactions• sys.dm_tran_database_transactions• sys.dm_tran_session_transactions

Encuesta: Usted ha activado la opción Encuesta: Usted ha activado la opción ALLOW_SNAPSHOT_ISOLATION...ALLOW_SNAPSHOT_ISOLATION...• [Encuesta de opción múltiple de PlaceWare. Utilice PlaceWare >

Editar propiedades de la diapositiva...Para editar.]

• Establecer el nivel de aislamiento a SNAPSHOT en cada sesión de cliente.

• Especificar la señal de bloqueo READCOMMITTEDLOCK en sus consultas.

• Especificar la instrucción BEGIN TRAN antes de todas las consultas.

• Nada – el nivel predeterminado de aislamiento READ COMMITTED ahora utilizará versiones de filas en lugar de bloqueos.

RepasoAislamiento de la instantáneaUsted ha activado la opción ALLOW_SNAPSHOT_ISOLATION en una base de datos. ¿Qué más debe hacer para asegurar que se utilice el aislamiento de instantánea?1. Establecer el nivel de aislamiento a SNAPSHOT en cada

sesión de cliente.2. Especificar la señal de bloqueo READCOMMITTEDLOCK

en sus consultas.3. Especificar la instrucción BEGIN TRAN antes de todas las

consultas.4. Nada – el nivel predeterminado de aislamiento READ COMMITTED ahora utilizará versiones de filas en lugar de

bloqueos.

Encuesta: ¿Cómo crea una instantánea Encuesta: ¿Cómo crea una instantánea de la base de datos?de la base de datos?• [Encuesta de opción múltiple de PlaceWare. Utilice PlaceWare > Editar

propiedades de la diapositiva...Para editar.]

• Utilizar una instrucción CREATE SNAPSHOT.• Separar la base de datos fuente, luego adjuntarla a

la cláusula AS SNAPSHOT.• Respaldar la base de datos fuente, luego restaurarla

con la cláusula FROM SNAPSHOT.• Ejecutar una isntrucción CREATE DATABASE con la

cláusula AS SNAPSHOT OF.

RepasoInstantáneas de la base de datos

¿Cómo crea una instantánea de la base de datos?1. Utilizar una instrucción CREATE SNAPSHOT.

2. Separar la base de datos fuente, luego adjuntarla a la cláusula AS SNAPSHOT.

3. Respaldar la base de datos fuente, luego restaurarla con la cláusula FROM SNAPSHOT.

4. Ejecutar una isntrucción CREATE DATABASE con la cláusula AS SNAPSHOT OF.

Encuesta: Cuál vista dinámica de Encuesta: Cuál vista dinámica de administración puede utilizar para administración puede utilizar para devolver in...devolver in...• [Encuesta de opción múltiple de PlaceWare. Utilice PlaceWare >


• sys.dm_tran_locks

• sys.dm_tran_active_transactions

• sys.dm_tran_database_transactions

• sys.dm_tran_session_transactions

RepasoVistas dinámicas de administración

¿Cuál vista dinámica de administración puede utilizar para devolver información acerca de las operaciones en una base de datos específica?

1. sys.dm_tran_locks

2. sys.dm_tran_active_transactions

3. sys.dm_tran_database_transactions

4. sys.dm_tran_session_transactions

Agenda

• Repaso






Modelo de seguridad de SQL Server 2005Mecanismos de seguridad

• Autenticación– Nombre del usuario y contraseña– Certificados

• Autorización– Permisos

• Criptografía– Claves simétricas– Claves asimétricas

Modelo de seguridad de SQL Server 2005Componentes de seguridad

Principales• Windows

– Grupos– Cuenta de dominio– Cuenta local

• SQL Server– Cuenta SQL– Rol del servidor

• Base de datos– Usuario– Rol de la base de datos– Rol de la aplicación – Grupo

Asegurables• Enfoque del servidor

– Inicios de sesión– Puntos finales– Bases de datos

• Enfoque de la base de datos

– Usuarios– Ensamblados– Esquemas

• Enfoque del esquema– Tablas– Procedimientos– Vistas

Permisos• Otorgar/revocar/rechazar

– Crear– Alterar– Soltar– Controlar– Conectar– Seleccionar– Ejecutar– Actualizar– Eliminar– Insertar

Modelo de seguridad de SQL Server 2005Proceso de acceso seguro

Establezca las credenciales de inicio de sesión;Establezca las credenciales de inicio de sesión;Autorice contra EPAutorice contra EP

Conéctese al PC de SQL ServerConéctese al PC de SQL Server

Verifique los permisos para todas las accionesVerifique los permisos para todas las acciones

Solicitud de conexión a la red/saludo de inicio de sesión previoSolicitud de conexión a la red/saludo de inicio de sesión previo

Solicitud de autenticación de inicio de sesión para SQL ServerSolicitud de autenticación de inicio de sesión para SQL Server

Cambie a una base de datos y autorice el accesoCambie a una base de datos y autorice el acceso

Intente realizar una acciónIntente realizar una acción

Establezca un contexto de la base de datosEstablezca un contexto de la base de datos

Agenda

• Repaso






Autenticación y política de contraseña basadas en punto final Puntos finales de SQL Server 2005

• Punto de entrada a una instancia de SQL Server• Configurable para múltiples transportes

– Protocolo de transporte de hipertexto (HTTP)– Memoria compartida (SM)– Canalización nombrada (NP)– Protocolo del control de permisos (TCP)– Adaptador de interfaz virtual (VIA)

• Vista del catálogo Sys.endpoints

Autenticación y política de contraseña basadas en punto finalConfigurar puntos finales

• Todos los protocolos de transporte excepto HTTP– Punto final predeterminado creado para todos los

protocolos habilitados en inicio– CONECTE los permisos asignados a los inicios de

sesión autenticados– Los permisos se pueden configurar sobre una base

por punto final– {GRANT|DENY|REVOKE} CONNECT ON ENDPOINT:: <EndPointName> TO

<login>

Autenticación y política de contraseña basadas en punto finalPuntos finales de HTTP

• Beneficios del soporte HTTP nativo– Soporte a protocolos en toda la industria– Puertos abiertos limitados en los firewalls

• Puntos finales de HTTP– Los puntos finales se deben crear explícitamente– Sin permisos por predeterminación

• Requiere Windows Server 2003 (HTTP.sys) pero no Internet Information Services (IIS)

CREATE ENDPOINT endPointName [AUTHORIZATION login]STATE = { STARTED | STOPPED | DISABLED }AS { TCP | HTTP } ( PATH = 'url' , PORTS = ({CLEAR | SSL} [,... n]) [ SITE = {'*' | '+' | 'webSite' },] [, CLEAR_PORT = clearPort ] [, SSL_PORT = SSLPort ] , AUTHENTICATION =({BASIC | DIGEST | INTEGRATED} [,...n]) [, AUTH_REALM = { 'realm' | NONE } ] [, DEFAULT_LOGON_DOMAIN = {'domain' | NONE } ] [, RESTRICT_IP = { NONE | ALL } ] [, COMPRESSION = { ENABLED | DISABLED } ] [,EXCEPT_IP = ({ <4-part-ip> | <4-part-ip>:<mask> } [,...n]))

Autenticación y política de contraseña basadas en punto finalCrear un punto final de HTTP

Asigna la Asigna la propiedad del propiedad del

punto finalpunto final



Tipo de Tipo de autenticación que autenticación que

se va a usarse va a usar


Se utiliza en conjunto Se utiliza en conjunto para restringir el para restringir el

acceso a punto finalacceso a punto final


Autenticación y política de contraseña basadas en punto finalPolítica de contraseña en SQL Server 2005

• Requiere Windows Server 2003• Autenticación Windows

– Inicio de sesión del usuario para Windows– Política de contraseña para Windows reforzada

• Autenticación de SQL Server– Inicio de sesión de SQL Server – Política de contraseña de máquina local aplicada– Política de dominio en un ambiente de dominio

• Vista del catálogo sys.sql_logins

Autenticación y política de contraseña basadas en punto finalCrear inicios de sesión

Configuraciones Configuraciones de la política de de la política de

contraseñacontraseña

CREATE LOGIN login_name { WITH < option_list1 > | FROM < sources > }< sources >::= WINDOWS [ WITH windows_options [,...] ] | CERTIFICATE certname | ASYMMETRIC KEY asym_key_name< option_list1 >::= PASSWORD = ' password ' [ HASHED ] [ MUST_CHANGE ] [ , option_list2 [ ,... ] ]< option_list2 >::= SID = sid | DEFAULT_DATABASE = database | DEFAULT_LANGUAGE = language | CHECK_EXPIRATION = { ON | OFF} | CHECK_POLICY = { ON | OFF} [ CREDENTIAL = credential_name ]< windows_options >::= DEFAULT_DATABASE = database | DEFAULT_LANGUAGE = language

Autenticación y política de contraseña basadas en punto finalCrear inicios de sesión

Configuraciones Configuraciones de la política de de la política de

contraseñacontraseña

Autenticación y política de contraseña basadas en punto final Investigar las políticas de contraseñas de Windows Utilizar la interfaz gráfica para crear un inicio de

sesión de SQL nuevo Utilizar Transact-SQL para un crear un inicio de

sesión de SQL nuevo

demodemo

Encuesta: Está investigando Encuesta: Está investigando diferentes métodos de acceso a su...diferentes métodos de acceso a su...• [Encuesta de opción múltiple de PlaceWare. Utilice

PlaceWare > Editar propiedades de la diapositiva...Para editar.]

• TCP

• HTTP

• SM

• NP

RepasoAutenticación basada en punto final

Está investigando diferentes métodos de acceso a su SQL Server, ¿qué tipo de punto final no se crea automáticamente?

1. TCP

2. HTTP

3. SM

4. NP

Encuesta: Usted necesita instalar SQL Encuesta: Usted necesita instalar SQL Server y hacerlo disponible para...Server y hacerlo disponible para...• [Encuesta de opción múltiple de PlaceWare. Utilice PlaceWare >


• Instalar en Windows 2000 e instalar IIS• Instalar en Windows Server 2003 e Instalar IIS• Instalar en Windows Server 2003 y utilizar la

isntrucción CREATE ENDPOINT para crear un punto final de HTTP

• Instalar en Windows Server 2003 e instalar SQLXML 4.0

RepasoAutenticación basada en punto final

Usted necesita instalar SQL Server y hacerlo disponible para los clientes basados en HTTP. ¿Qué debe hacer?

1. Instalar en Windows 2000 e instalar IIS

2. Instalar en Windows Server 2003 e instalar IIS

3. Instalar en Windows Server 2003 y utilizar la instrucción CREATE ENDPOINT para crear un punto final de HTTP

4. Instalar en Windows Server 2003 e instalar SQLXML 4.0

Agenda

• Repaso






Separación del esquema del usuarioIntroducción del esquema• Funcionalidad ampliada de versiones previas• Espacio de nombre para objetos de la base de datos

– Los grupos de objetos no dependen de la propiedad– Permisos otorgados en el esquema así como en los objetos

individuales de la base de dato– Los permisos otorgados en el esquema afectan los objetos

de la base de datos del esquema– Soltar a un usuario no requiere renombrar los objetos

propiedad del usuario

Separación del esquema del usuarioEsquema predeterminado

CREATE USER user_name[ FOR {LOGIN login_name

| CERTIFICATE cert_name| ASYMMETRIC KEY asym_key_name}

][ WITH DEFAULT_SCHEMA = schema_name ]

• Se puede asignar un esquema predeterminado cuando se crea un usuario de la base de datos

Especifique el Especifique el esquema esquema

predeterminadopredeterminado

Separación del esquema del usuarioAdministrar esquemas • CREAR UN ESQUEMA

– Crea un esquema– Asigna propiedad del esquema– Crea objetos de la base de datos como miembros del

esquema

• ALTERAR EL ESQUEMA– Cambie la propiedad del esquema– Mueva los objetos de la base de datos entre esquemas

• SOLTAR ESQUEMA– Elimina el esquema

Separación del esquema del usuarioEspacio de nombre del objeto

Ventas

ClienteAdventureWorksLON-SQL-01

LON-SQL-01.AdventureWorks.Sales.CustomerLON-SQL-01.AdventureWorks.Sales.Customer

Separación del esquema del usuarioAcceder a los objetos de la base de datos

Ventas

Cliente

dbo

Candidato al puesto

[ WITH DEFAULT_SCHEMA = Sales ]

SELECT * FROM dbo.JobCandidate

SELECT * FROM JobCandidate

SELECT * FROM Customer

• Vista del catálogo sys.database_principals• Vista del catálogo sys.schemas

Separación del esquema del usuarioCompatibilidad de la aplicación en versiones previas Propiedad de Celia

Cliente

Aplic.Aplic.

El propietario cambió a Caitlin

Cliente

SELECT CustomerID FROM Celia.Customer

Aplic.Aplic.SELECT CustomerID FROM Celia.Customer

Separación del esquema del usuarioCompatibilidad de la aplicación con SQL Server 2005 Propiedad de Celia

Cliente

Aplic.Aplic.

El propietario cambió a Caitlin

SELECT CustomerID FROM Sales.Customer

Aplic.Aplic.SELECT CustomerID FROM Sales.Customer

Ventas

Cliente

Ventas

Separación del esquema del usuario Crear un esquema y asignar propiedad Utilizar espacios de nombre del objeto Cambiar la propiedad y la inercia del esquema

demodemo

Agenda

• Repaso






Contexto de la ejecución del móduloIntroducción

• Configure el contexto de ejecución de los módulos• El que llama no requiere permisos

– Efectivo con una cadena de propiedad rota

• EJECUTAR COMO– El que llama (predeterminado)– Nombre del usuario (personaliza los permisos que se

requieren)– Uno mismo– Propietario

GRANT SELECT ON sales.customer TO Jane

GRANT SELECT ON sales.customer TO Jane

Contexto de la ejecución del móduloProceso de contexto de ejecución

Procedimiento almacenado

(Propietario: Jane)

Procedimiento almacenado

(Propietario: Jane)

BillBillsales.customer

(Propietario: John)sales.customer

(Propietario: John)

CREATE PROCEDURE GetCustsWITH EXECUTE AS OWNERASSELECT *FROM sales.customer

CREATE PROCEDURE GetCustsWITH EXECUTE AS OWNERASSELECT *FROM sales.customer

• Vista del catálogo sys.sql_modules

JaneJane

DENY SELECT ON sales.customer TO BillDENY SELECT ON sales.customer TO Bill

Contexto de ejecución del módulo Utilizar el contexto de ejecución del módulo

demodemo

Encuesta: Cuando cambia el propietario Encuesta: Cuando cambia el propietario de un objeto, este cambia el ...de un objeto, este cambia el ...

• [Encuesta de opción múltiple de PlaceWare. Utilice PlaceWare > Editar propiedades de la diapositiva...Para editar.]

• Verdadero

• Falso

RepasoSeparación del esquema del usuario

¿Cuándo cambia el propietario de un objeto, este cambia el espacio de nombre para ese objeto?

1. Verdadero

2. Falso

Encuesta: ¿Qué instrucción se utiliza Encuesta: ¿Qué instrucción se utiliza para ejecutar un módulo como alguien...para ejecutar un módulo como alguien...• [Encuesta de opción múltiple de PlaceWare. Utilice


• EXECUTE AS

• EXECUTE

• USER EXECUTE

• RUNAS

RepasoContexto de la ejecución del módulo

¿Qué instrucción se utiliza para ejecutar un módulo como alguien que no sea el que llama?

1. EXECUTE AS

2. EXECUTE

3. USER EXECUTE

4. RUNAS

Agenda

• Repaso






Permisos granularesIntroducción

• Asegurables ordenados en una jerarquía– Herencia de permisos

• Todos los objetos tienen permisos asociados

• Principal de menor privilegio

Permisos granularesEnfoque del permiso• Enfoque del servidor

– El otorgamiento de permisos se debe asignar en la base de datos Maestra

– Permisos específicos para cada asegurable

• Enfoque de la base de datos– Puede asignar permisos específicos a un rol personalizado– Permite a los principales ejecutar tareas dentro de la base de datos– Otorgar permisos se debe asignar en la base de datos containing y en el

asegurable al cual aplican los permisos

• Enfoque del esquema– Se utiliza para agrupar objetos de la base de datos– Asigna permisos al esquema para afectar a los miembros del esquema

Permisos granularesEnfoque del servidor

GRANT CONTROL ON LOGIN::Tom TO Fred

GRANT CONTROL ON LOGIN::Tom TO Fred

• OTORGAR (GRANT) permisos en asegurables individuales cuando los permisos del rol predeterminados del servidor inapropiados

• Vistas del catálogo sys.server_permissions

Controla el permiso en el inicio de sesión

individual

Controla el permiso en el inicio de sesión

individual

Cuentas

RRHH

VentasPermisos granularesEnfoque de la base de datos

GRANT EXECUTE TO Jim

GRANT EXECUTE TO Jim

Accounts.AddAcct Accounts.AddAcct

HR.ViewEmpsHR.ViewEmps

Sales.AddOrderSales.AddOrder

• Vista del catálogo sys.database_permissions

• Permisos heredados en toda la base de datos

Permisos granularesEnfoque del esquema

GRANT SELECT ON SCHEMA::Sales TO Mary

GRANT SELECT ON SCHEMA::Sales TO Mary

Ventas

• Permisos heredados en todo el esquema

sales.accountssales.accounts

sales.figuressales.figures

sales.customerssales.customers

Permisos granularesObjetos individuales

GRANT SELECT ON sales.accounts TO JoeGRANT SELECT ON

sales.accounts TO Joe

sales.accountssales.accounts

sales.figuressales.figures

sales.customerssales.customers

• Permisos sólo para un objeto en específico

Sales.accounts

Permisos granulares

Asignar permisos en el enfoque de la base de datos

Asignar permisos en el enfoque esquema Asignar permisos en múltiples enfoques

demodemo

Encuesta: ¿Cuál de las siguientes es Encuesta: ¿Cuál de las siguientes es una opción al configurar p...una opción al configurar p...• [Encuesta de opción múltiple de PlaceWare. Utilice


• CHECK_COMPLEX

• CHECK_SIMPLE

• CHECK_LENGTH

• CHECK_EXPIRATION

¿Cuál de las siguientes es una opción al configurar políticas de contraseña para los inicios de sesión de SQL?

1. CHECK_COMPLEX

2. CHECK_SIMPLE

3. CHECK_LENGTH

4. CHECK_EXPIRATION

Repaso de la sesión

Encuesta: El contexto de la Encuesta: El contexto de la ejecución del módulo permite que ejecución del módulo permite que un administrador con...un administrador con...• [Encuesta de opción múltiple de PlaceWare. Utilice


• Verdadero

• Falso

El contexto de la ejecución del módulo permite que un administrador controle el acceso a los datos?

1. Verdadero

2. Falso


Encuesta: Los permisos granulares Encuesta: Los permisos granulares permiten que un administrador permiten que un administrador asigne...asigne...• [Encuesta de opción múltiple de PlaceWare. Utilice


• Verdadero

• Falso

Los permisos granulares permiten que un administrador asigne permisos específicos para los principales en los asegurables individuales.

1. Verdadero

2. Falso


Resumen de la sesión

• El modelo de seguridad incluye principales, permisos y asegurables

• Los puntos finales de HTTP permiten un acceso seguro sobre HTTP

• Políticas de contraseña de inicio de sesión de SQL• El propietario del objeto ya no es más parte del espacio

de nombre del objeto• El contexto de ejecución del módulo permite un acceso

controlado a los datos• Los permisos granulares permiten que un administrador

implemente una jerarquía de permisos haciendo el ambiente más seguro y más fácil de administrar.

Pasos a seguirInformación del producto SQL Server 2005:

http://www.microsoft.com/sql/2005/default.asp

Actualice sus habilidades de administración de bases de datos a SQL Server 2005:

http://www.microsoft.com/learning/syllabi/en-us/2733afinal.mspx

Difusión por el Web de SQL Server 2005 en MSDN:

http://msdn.microsoft.com/sql/2005/2005Webcasts/default.aspx

www.microsoft.com/technet/tnt4-05

Para mayores informes…

• Visite TechNet en www.microsoft.com/technet

• Para obtener información adicional sobre los libros, cursos y otros recursos de la comunidad que respalden esta sesión visite

Serie de las difusiones por el Web: SQL Server 2005 – ¡Prepárese!

¿Lunes, 9:00 A.M. hora del Pacífico durante 10 semanas!

del 21 de marzo al 18 de mayo, 2005

Microsoft SQL Server 2005 está en camino, e incluirá mejoras importantes en el rendimiento, disponibilidad, seguridad y el conjunto más poderoso y flexible de herramientas de productividad DBA que hayamos entregado jamás. Al utilizar presentaciones interactivas y demos en vivo del producto, lo guiaremos a través de todas las funciones y mejoras principales integradas en SQL Server 2005 para darle un gran inicio en sus planes de integrar estos beneficios en su organización.

Bono: ¡Asista a una difusión por el Web en esta serie y envíe una evaluación, recibirá una copia de la versión más reciente de la versión en desarrollo del software de SQL Server 2005 en CD! Además, ¡asista a cualquier difusión por el Web en vivo de Microsoft durante junio y podrá ganar un Centro de medios portátil!

http://www.microsoft.com/seminar/events/series/technetsqlserver2005.mspxhttp://www.microsoft.com/seminar/events/series/technetsqlserver2005.mspx

Documents

TNT4-05. Difusión por el Web de SQL Server 2005 Parte 4: Seguridad de SQL Server 2005