SQL Server的用户权限管理

qiaogege

　　实际应用中，我们经常会在数据库中建立自己需要的登陆用户，但是您建立登陆用户的方法是否正确？是否对登陆用户的权限进行过详细的划分？划分前是否已经整理好该用户的权限呢？如果划分不当，您知道它带来的后果吗？ 　　请参考下面方法：　　 　　目的： 　　实际应用中，我们经常会在数据库中建立自己需要的登陆用户，但是您建立 　　登陆用户的方法是否正确？是否对登陆用户的权限进行过详细的划分？划分前 　　是否已经整理好该用户的权限呢？如果划分不当，您知道它带来的后果吗？ 　　一、建立用户前先分析该用户的用途 　　在应用中我们经常会建立很多SQL Server的登陆用户，每个用户都有不同的 　　用途，完成的功能也不相同，如果您是一个数据库的管理员，面对这么多数据库 　　的登陆用户是否对这些登陆用户有很详细的了解，这里所说的了解是指具体的用 　　途，比如：user_a只能读某个数据库的某个表；user_b可以读、写某个数据库的 　　某些表等。有些管理员为了偷懒省事，直接复给它个db_owner更有甚者给它 　　System Administrators权限,这样暂时虽然给您的操作带来了方便，但同时也给 　　hacker们带来了方便。：）。因此这里有一个建议：“在建立登陆用户时，把它 　　的详细用途用笔记下，然后整理，同时也为下次核查数据库的安全做了参考” 　　例如： 　　 　　　

登录/注册后可看大图

　　 　　二、正确的建立SQL Server用户 　　1、打开SQL Server Enterprise Manager，在登陆中建立一个新的用户，在 　　General栏中，输入名字->选择登陆方式->输入密码->选择默认的数据库,如图（一）： 　　　

登录/注册后可看大图

　　图（一） 　　选择第二栏Server Roles,里面可以选择该用户的权限，需要注意的是，如 　　果您选择了System Administrators，那么后面的Database Access栏就不用选 　　择了，因为此时你的权限最大可以做任何事，这里我们不选，如图（二）： 　　　

登录/注册后可看大图

　　图（二） 　　选择第三栏Database Access选择要访问的数据库，为该数据库选择相应的 　　权限public,如果您还选择了db_owner，那么该用户就有了：添加、删除、修改 　　该数据库的权限，这里我们不选，目的是为了对数据库中的表单独设置具体的权 　　限。如图（三）： 　　　

登录/注册后可看大图

　　图（三） 　　点击确定。 　　2、打开刚才选择的数据库展开它->选择Users，在右边出现了我们刚才建立 　　的用户->属性（右键），如图（四）： 　　　

登录/注册后可看大图

　　图（四） 　　在Database role membership:中，你可以继续为它划分权限，我们选择 　　public->Permissions… (右上角)，然后出现针对具体表的权限设置，如图（五）： 　　

登录/注册后可看大图

　　图（五） 　　选择详细的规划后，点确定，到此有关权限的设置已经完成。 　　三、权限划分不当的危害 　　在新安装的SQL Server后，如果"sa"帐户，密码就为空，而且这个密码是SQL 　　Server安全模块成员，享有最高的管理控制权，那么我们就可以用查询器或者 　　OSQL登陆到对方的计算机上，前提是对方的数据库中 　　xp_cmdshell stored procedure“扩展存储过程” 存在，默认是有的，（能让 　　你这么容易的登陆上估计也不可能删除的）然后运行下面的命令： 　　Xp_cmdshell "net user hacker 123456 /ADD" 　　(增加一个名字为hacker密码为123456的用户) 　　然后在： 　　Xp_cmdshell "net localgroup Administrators hacker /ADD" 　　(给刚才增加的hacker用户，添加到Administrators组中) 　　这样攻击者就成功的在SQL SERVER上增加了一个windows用户,而且有最高权限， 　　然后做什么呢？这个问题自己想吧，有了最高权限，想做什么就做什么吧。 　　 <