Module 4 : Gestion de la sécurité
Vue d'ensemble Implémentation d'un mode d'authentification Attribution de comptes de connexion à des utilisateurs et des rôles Attribution d'autorisations à des utilisateurs et des rôles Gestion de la sécurité dans SQL Server Gestion de la sécurité des applications Gestion de la sécurité de SQL Server dans l'entreprise
Implémentation d'un mode d'authentification Traitement de l'authentification Choix d'un mode d'authentification Authentification mutuelle à l'aide du protocole Kerberos Emprunt d'identité et délégation Cryptage Étapes de l'implémentation du mode d'authentification Création de comptes de connexion
Traitement de l'authentification sysxloginssysxlogins Windows 2000 Groupe ou utilisateur Windows 2000 Compte de connexion SQL Server sysxloginssysxlogins Vérifie l'entrée dans la table sysxlogins et approuve la vérification du mot de passe par Windows 2000 Vérifie l'entrée dans la table sysxlogins et approuve la vérification du mot de passe par Windows 2000 Vérifie l'entrée dans la table sysxlogins et vérifie le mot de passe SQL Server
Choix d'un mode d'authentification Avantages du mode d'authentification Windows Fonctionnalités de sécurité avancées Ajout de groupes à l'aide d'un seul compte Accès rapide Avantages du mode mixte Les clients non-Windows 2000 et Internet peuvent l'utiliser pour se connecter
Authentification mutuelle à l'aide du protocole Kerberos SQL Server Authentification mutuelle Données cryptées Mot de passe Données cryptées Mot de passe Utilisateur KerberosKerberos Ticket d'octroi
Emprunt d'identité et délégation Système de fichiers Emprunt d'identité Délégation SQL Server
Cryptage Cryptage interne Mots de passe de connexion stockés dans SQL Server Définitions Transact-SQL Cryptage réseau
Étapes de l'implémentation du mode d'authentification Définissez le mode d'authentification Arrêtez, puis redémarrez le service MSSQLServer Créez des groupes et des utilisateurs Windows 2000 Autorisez les groupes et les utilisateurs Windows 2000 à accéder à SQL Server Créez des comptes de connexion SQL Server pour les utilisateurs qui se connectent à l'aide de connexions non approuvées Créez des comptes de connexion SQL Server pour les utilisateurs qui se connectent à l'aide de connexions non approuvées
Création de comptes de connexion master..sysxloginsmaster..sysxlogins name BUILTIN\Administrateurs accountingdomain\payroll accountingdomain\maria mary sa BUILTIN\Administrateurs accountingdomain\payroll accountingdomain\maria mary sa dbname master Northwind pubs master Northwind pubs master password NULL ******** NULL ********
Démonstration : Configuration de comptes de connexion
Atelier A : Gestion de la sécurité
Attribution de comptes de connexion à des utilisateurs et des rôlesNorthwind..sysusersNorthwind..sysusers uid name public dbo INFORMATION_SCHEMA payroll public dbo INFORMATION_SCHEMA payroll Les utilisateurs sont stockés ici Les utilisateurs sont stockés ici Les autorisations sont stockées ici Les autorisations sont stockées iciNorthwind..sysprotectsNorthwind..sysprotects id uid action protecttype 205
Attribution de comptes de connexion à des comptes d'utilisateur Ajout de comptes d'utilisateur SQL Server Enterprise Manager Procédure stockée système sp_grantdbaccess Compte d'utilisateur dbo Compte d'utilisateur guest
Attribution de comptes de connexion à des rôles Rôles fixes de serveur Rôles fixes de base de données Rôles de base de données définis par l'utilisateur
Rôles fixes de serveur RôleRôleAutorisationAutorisation sysadmin Effectuer n'importe quelle activité dbcreator Créer et modifier des bases de données diskadmin Gérer des fichiers disque processadmin Gérer les processus SQL Server serveradmin Configurer les paramètres du serveur setupadmin Installer la réplication securityadmin Gérer et contrôler les connexions au serveur bulkadmin Exécuter des instructions BULK INSERT
Rôles fixes de base de données RôleRôleAutorisationAutorisation public Gérer toutes les autorisations par défaut db_owner Effectuer toutes les activités de rôle de base de données db_accessadmin Ajouter ou supprimer des utilisateurs, des groupes et des rôles d'une base de données db_ddladmin Ajouter, modifier ou supprimer les objets d'une base de données db_security admin Attribuer des autorisations sur les objets et les instructions db_backupoperator Sauvegarder la base de données db_datareader Lire les données de toutes les tables db_datawriter Ajouter, modifier ou supprimer les données de toutes les tables db_denydatareader Refuser la lecture des données de toutes les tables db_denydatawriter Refuser la modification des données de toutes les tables
Rôles de base de données définis par l'utilisateur Ajoutez un rôle : Lorsqu'un groupe de personnes doit effectuer un ensemble spécifique d'activités dans SQL Server Si vous ne disposez pas des autorisations pour gérer les comptes d'utilisateur Windows 2000
Démonstration : Attribution de comptes de connexion à des utilisateurs et des rôles
Attribution d'autorisations à des utilisateurs et des rôles Types d'autorisations Octroi, refus et révocation d'autorisations Octroi d'une autorisation d'accès Refus d'une autorisation d'accès Révocation d'autorisations accordées et refusées
Types d'autorisations PrédéfiniePrédéfinie Rôle fixe Propriétaire d'objets ObjetObjet SELECT INSERT UPDATE DELETE REFERENCES SELECT INSERT UPDATE DELETE REFERENCES SELECT UPDATE REFERENCES SELECT UPDATE REFERENCES EXEC VUE DE LA TABLE COLONNE PROCÉDURE STOCKÉE InstructionInstruction CREATE DATABASE CREATE TABLE CREATE VIEW CREATE PROCEDURE CREATE RULE CREATE DEFAULT CREATE FUNCTION BACKUP DATABASE BACKUP LOG
Octroi, refus et révocation d'autorisations GRANT : Autorise les utilisateurs à réaliser des actions REVOKE : neutre REVOKE : neutre DENY : Empêche les utilisateurs de réaliser des actions DENY : Empêche les utilisateurs de réaliser des actions
Octroi d'une autorisation d'accès Utilisateur/rôleUtilisateur/rôleSELECTSELECT Eva Ivan David public INSERTINSERT UPDATEUPDATE DELETEDELETE DRIDRI
Refus d'une autorisation d'accès Utilisateur/rôleUtilisateur/rôleSELECTSELECT Eva Ivan David public INSERTINSERT UPDATEUPDATE DELETEDELETE DRIDRI
Révocation d'autorisations accordées et refusées Utilisateur/rôleUtilisateur/rôleSELECTSELECT Eva Ivan David public INSERTINSERT UPDATEUPDATE DELETEDELETE DRIDRI
Gestion de la sécurité dans SQL Server Utilisation des comptes de connexion par défaut sa BUILTIN\Administrateurs Définition de la fonction du compte d'utilisateur guest Définition des autorisations du rôle public Application d'autorisations aux rôles Création d'objets avec le propriétaire dbo Sécurisation des étapes de travail CmdExec et ActiveScripting
Atelier B : Gestion des autorisations
Gestion de la sécurité des applications Gestion de la sécurité à l'aide de vues et de procédures stockées Gestion de la sécurité des applications clientes à l'aide de rôles d'application
Gestion de la sécurité à l'aide de vues et de procédures stockées EmployeesEmployees EmployeeID LastName Davolio Fuller Leverling Davolio Fuller Leverling FirstName Nancy Andrew Janet Nancy Andrew Janet ReportsTo SELECT * FROM Employees EXEC Employee_Update 1, 9 SELECT * FROM Employee_View
Gestion de la sécurité des applications clientes à l'aide de rôles d'application OrdersOrders OrderID CustomerID EmployeeID VINET TOMSP HANAR VINET TOMSP HANAR Microsoft Excel Application de saisie des commandes Application de saisie des commandes
Création des rôles d'application Création d'un rôle d'application par l'insertion d'une ligne dans la table sysusers Gestion des autorisations sur les rôles d'application
EXEC sp_setapprole 'SalesApp', {ENCRYPT N'hg_7532LR'}, 'ODBC' Activation des rôles d'application L'utilisateur doit spécifier un mot de passe La portée d'un rôle d'application est limitée à la base de données active. Si l'utilisateur change de base de données, il dispose des autorisations du compte guest dans cette base de données Le rôle ne peut pas être désactivé tant que l'utilisateur ne se déconnecte pas
Atelier C : Gestion de la sécurité des applications
Gestion de la sécurité de SQL Server dans l'entreprise Utilisation d'une stratégie de groupe pour sécuriser SQL Server Utilisation de serveurs proxy, pare-feu et routeurs Utilisation du cryptage pour la transmission des données en vue de leur sécurisation
Utilisation d'une stratégie de groupe pour sécuriser SQL Server Zones de sécurité pouvant être configurées Stratégies de compte Groupes restreints Stratégies de logiciels
Utilisation de serveurs proxy, pare-feu et routeurs Utilisateur SQL Server Microsoft Proxy Server Internet SECURISATION
Utilisation du cryptage pour la transmission des données en vue de leur sécurisation Sécurité IPSec Cryptage SSL
Utilisez le mode mixte pour connecter uniquement des clients non approuvés ou Internet Utilisez le role sysadmin plutôt que le compte de connexion sa Supprimez d'abord les comptes de Windows 2000, puis de SQL Server Un utilisateur dbo doit posséder tous les objets Utilisez des procédures stockées et des vues pour implémenter plus efficacement la sécurité Conseils pratiques
Contrôle des acquis Implémentation d'un mode d'authentification Attribution de comptes de connexion à des utilisateurs et des rôles Attribution d'autorisations à des utilisateurs et des rôles Gestion de la sécurité dans SQL Server Gestion de la sécurité des applications Gestion de la sécurité de SQL Server dans l'entreprise