Treść książki
Przejdź do opcji czytnikaPrzejdź do nawigacjiPrzejdź do informacjiPrzejdź do stopki
1.3.SQLSERVER2019
1.3.3.
Bezpieczeństwo
Bezpieczeństwopowinnobyćpriorytetemkażdegoprojektuuczeniamaszynowego.Jeżelidane
sąprzesyłanedokomputerówużytkownikówitamanalizowane,ichskutecznezabezpiecze-
nieprzeddostępemniepowołanychosóbbędzietrudne.Przeniesienieanaliznaserwerbaz
danychrozwiązujerównieżkwestieochronydanychiwynikówichanaliz.Wtakimprzypadku
będziemymogliskorzystaćzrozbudowanegoisprawdzonegomodelubezpieczeństwaserwera
SQLServer.
ModelbezpieczeństwaserweraSQLServerpozwalanawdrożeniestosunkowoniewielkim
nakładempracystrategiidogłębnejobrony,czylistrategiipolegającejnawykorzystaniuwielu
niezależnychzabezpieczeń.Wtympunkcieograniczymysiędozabezpieczeniakontużytkow-
nikówikontrolowaniawykonywanychprzeznichoperacji.
Każdyużytkownik,zanimnawiążesesjęzserwerem,musizostaćuwierzytelniony.Tożsa-
mośćużytkownikówmożebyćpotwierdzanaprzez:
1.
Systemoperacyjny(trybWindowsAuthentication).Tentrybjestzdecydowaniebezpiecz-
niejszy.JeśliużytkownicyserweraSQLmająkontawdomenieActiveDirectory,trybuwie-
rzytelnianiaWindowspozwalawprostysposóbuzyskaćfunkcjonalnymodelzarządzania
użytkownikami–wystarczy,żezostanąoniprzypisanidogrupsystemowych,dlaktórych
zostałyutworzoneloginyserweraSQLServer.Wtymtrybieserwerbazdanychwogólenie
sprawdzatożsamościużytkowników,wpełnipolegającnasystemieoperacyjnym.
2.
SerwerSQL(trybSQLServerandWindowsAuthentication)–wtymtrybiemożliwejest
uwierzytelnianienapodstawiekontasystemuoperacyjnegolubprzezpodanieloginu
SQLihasła.PodaneprzezużytkownikaloginihasłosąprzedwysłaniemdoserweraSQL
szyfrowanejegocertyfikatem,anastępnieporównywanezzapisanymiwsystemowej
baziemasterloginamiiskrótamihaseł.LoginySQLmogąbyć(idomyślniesą)chronione
zasadamikontobowiązującyminalokalnymsystemieWindows.Oznaczato,żejeżeli
zjakiegośpowoduserwerSQLdziaławtrybiemieszanym,należyskonfigurować–za
pomocąkonsoliMMC–zasadyzabezpieczeńlokalnych,zasadyhasełorazzasadyblokady
kontaużytkowników.
UżytkownicyserweraSQLServersąreprezentowaniprzezloginy,kontaużytkownikóworaz
role.Napoziomieinstancjiserweramamydodyspozycjiloginy,roleserwera(stałeidefi-
niowaneprzezadministratora)orazdodatkowepoświadczenia.Dodatkowepoświadczenia
pozwalająuwierzytelniaćużytkowników(równieżniemającychkontwsystemieoperacyjnym),
łączyćichwroleinadawaćuprawnieniadozewnętrznychzasobów,naprzykładplików.
Napoziomiebazydanychdysponujemykontamiużytkownikówirolamibazdanych.Służąone
donadawaniauprawnieńwwybranejbaziedanych,ajedenloginserweramożebyćpołączony
zkontamiużytkownikówwwielubazach.Użytkownik,któryuwierzytelniłsięnapodstawie
loginuniepowiązanegowdanejbaziezżadnymkontemużytkownika,uzyskadoniejdostęp,
29