Разрешите войти?

Фленов Михаил aka Horrific

Спецвыпуск: Хакер, номер #052, стр. 052-074-2

Пользователи

Для управления пользователями откроем в Enterprise Manager ветку Security/Logins. В ее правой части появится список всех пользователей сервера. По умолчанию доступ имеют администраторы домена и встроенная учетная запись sa.

Для добавления нового пользователя щелкнем правой кнопкой в пустой области правой половины окна и в появившемся меню выберем New login. Перед нами откроется окно добавления нового пользователя, в самом верху которого выбирается имя пользователя. Если нужно выбрать уже существующего пользователя домена или компьютера, щелкни по кнопке (…) справа от поля ввода и дождись окна поиска пользователя в домене.

Чуть ниже выбирается тип аутентификации – Windows или SQL Server. Если выбрать Windows, то пароль указывать не потребуется, потому что сервер сам возьмет его в системе. Кроме этого, можно выбрать один из переключателей Grant access (разрешить доступ) или Deny access (запретить). Во втором случае пользователь будет прописан в базе, но подключиться он не сможет (запрещено, однако).

Если выбрать аутентификацию SQL Server, то нужно будет задать пароль, потому что в этом случае он будет храниться в системных таблицах сервера баз данных. Обрати внимание – даже если в настройках сервера указана только аутентификация Windows, записи SQL-сервера создавать разрешено, но войти в систему с этими записями будет невозможно.

На закладке Server Roles можно указать то, какой серверной роли будет принадлежать пользователь. Таким образом, уже на этапе создания можно включить пользователей в нужные роли.

На закладке Database Access указываем базы, с которыми может работать пользователь. Здесь окно разделено на две части: в верхней половине можно выбирать базу данных, к которой разрешен доступ, а в нижнем списке выбирается роль базы данных. В зависимости от выбранной роли в базе пользователю будут доступны те или иные права. Один пользователь может входить в несколько ролей.

Создадим для примера учетную запись qq, которой будет разрешен доступ к базе данных Northwind. Это стандартная тестовая база данных, которая создается при установке сервера. Сохрани изменения и открой ветку Databases/Northwind/Users: увидишь список пользователей, которым разрешен доступ к выбранной базе данных. Обрати внимание, что запись qq здесь присутствует. В других базах ее нет, потому что к ним доступ нашего нового пользователя запрещен.

Роли баз данных

У каждой базы данных могут быть свои роли, которые определяют права доступа к объектам. Многие администраторы не любят возиться с этими правами и из-за этого устанавливают встроенный по умолчанию public, который разрешает практически все. Если прав роли public не хватает, пользователя включают в серверную роль System Administrator. В результате база данных становится уязвимой по полной программе.

Каждому пользователю должны быть предоставлены свои права, в которых разрешены только необходимые действия, а то, что не разрешено, должно быть запрещено. Роли, которые уже существуют в сервере, использовать нельзя, потому что их права слишком демократичны. Чтобы они никого не смущали, лучше просто удалить их в полном составе, особенно всенародно любимый public.