- •Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «тюменский государственный нефтегазовый университет»
- •Инструментальные средства информационных систем
- •Часть I
- •Содержание
- •Пояснительная записка
- •Основные правила по технике безопасности Требования по электрической безопасности
- •Особенности электропитания монитора
- •Особенности электропитания системного блока
- •Система гигиенических требований
- •Общие требования к выполнению и оформлению лабораторных работ Допуск студентов к выполнению лабораторных работ
- •Порядок выполнения лабораторных работ
- •Требования к структуре, содержанию и оформлению отчетов по лабораторным работам
- •Порядок защиты лабораторных работ
- •Порядок оценивания лабораторной работы
- •Лабораторная работа №1 «Установка sql Server. Проверка установки»
- •Ход работы:
- •Контрольные вопросы:
- •Лабораторная работа №2 «Создание и управление базами данных»
- •Ход работы: Контрольные точки и их создание
- •Проверка целостности базы данных
- •Режимы выполнения команды dbcc
- •Dbcc checkalloc
- •Dbcc checkdb
- •Dbcc checktable
- •Dbcc checkfilegroup
- •Команды update statistics и recompile
- •Импорт/экспорт данных в sql Server
- •Общие правила разграничения доступа
- •Архитектура системы безопасности
- •Примечание
- •Предупреждение
- •Примечание
- •Примечание
- •Примечание
- •Пользователи
- •Внимание
- •Примечание
- •Роли сервера
- •Роли баз данных
- •Примечание
- •Роли приложения
- •Примечание
- •Создание и управление учетными записями
- •Примечание
- •Примечание
- •Шифрование данных
- •Примечание
- •Права доступа
- •Права на доступ к объектам баз данных
- •Примечание
- •Права на исполнение команд Transact sql
- •Неявные права
- •Запрещение доступа
- •Неявное отклонение доступа
- •Конфликты доступа
- •Обзор средств Transact sql
- •Ход работы:
- •Контрольные вопросы:
- •Лабораторная работа №4 «Создание, заполнение и просмотр баз данных»
- •3 Порядок выполнения работы
- •3.1 Проектирование баз данных
- •3.2 Проверка правильности, триггеры
- •3.3 Заполнение баз данных
- •3.4 Связывание баз данных и целостность ссылочной системы
- •3.5 Просмотр содержимого баз данных
- •Контрольные вопросы
- •Лабораторная работа №5 «Проектирование экранной формы»
- •Теоретический материал
- •Контрольные вопросы:
- •Лабораторная работа №6 «Анализ баз данных sql-запросы»
- •Теоретические сведения:
- •Ход работы:
- •Контрольные вопросы:
- •Список литературы
- •Основная литература
- •Дополнительная литература
- •Шарафутдинова Светлана Анатольевна инструментальные средства информационных систем
- •625000, Тюмень, ул. Володарского, 38.
- •625039, Тюмень, ул. Киевская, 52
Примечание
Обратите внимание, что речь идет только о праве подключения пользователя к серверу баз данных. После регистрации пользователя в MS SQL Server 2000 способ проверки прав доступа к конкретной базе данных одинаков для обоих режимов аутентификации.
Режим аутентификации Windows NT
Когда пользователь подключается посредством учетной записи Windows NT, системе MS SQL Server 2000 необходимо только удостовериться, что пользователь был успешно аутентифицирован доменом Windows NT, — этот метод подключения называется установлением доверительного соединения. Вы можете быть вполне уверены в защищенности системы, поскольку Windows NT соответствует стандарту безопасности С2 Министерства обороны США.
Предупреждение
Доверительные соединения поддерживаются только сетевыми библиотеками Named Pipes и Multiprotocol. Если для регистрации подключений к MS SQL Server 2000 вы хотите использовать режим аутен тификации Windows NT, необходимо установить именно эти сетевые библиотеки.
Аутентификация Windows NT дает определенные преимущества. На пользо вателях автоматически отражаются все правила политики безопасности, установ ленные в домене. Это повышает защищенность данных MS SQL Server 2000. Например, автоматически контролируется минимальная длина пароля и срок его действия. Операционная система требует от пользователя периодической смены пароля для повышения безопасности системы. Дополнительно можно запретить пользовате лям применение паролей, уже использованных ранее. Кроме того, Windows NT имеет встроенные средства защиты от подбора паролей. Если пользователь несколько раз неправильно вводит пароль, то система на некоторое время блокирует его учетную запись. Подбор паролей в этом случае становится практически невозможным, так как на это потребовалось бы громадное время.
Особым преимуществом подобного режима аутентификации является орга низация интегрированной системы безопасности. Если в сети имеется множе ство ресурсов, гораздо удобнее использовать единый пароль для доступа ко всем требуемым ресурсам. Пользователь вводит пароль только один раз — при входе в домен. Таким образом, вам не требуется вводить лишний раз пароль, который могут подсмотреть. Следовательно, в этом случае и MS SQL Server 2000 предоставляет или запрещает доступ, также основываясь только на этих атрибутах. Для обеспечения защищенности при регистрации применяется шифрование паролей, ко торое работает при наличии любого сетевого протокола.
Рассмотрим взаимодействие системы безопасности MS SQL Server 2000 с систе мой безопасности Windows NT. Операционная система оперирует учетными за писями (logins), которые содержат все данные о пользователе, включая его имя, пароль, членство в группах, папку по умолчанию и т. д. Каждая учетная запись имеет уникальный идентификатор (login ID) или, как его называют по-другому, идентификатор безопасности (Security Identification, SID), посредством кото рого пользователь идентифицирует себя в сети. Идентификатор представляет собой длинное шестнадцатеричное число, которое генерируется случайным образом операционной системой во время создания учетной записи. Такой подход позволяет избежать подделки учетных записей пользователей. Если пользова тель был удален из домена, то даже повторное создание пользователя с анало гичными характеристиками (имя учетной записи, пароль, членство в группе и т. д.) не даст возможности получить доступ к объектам, к которым имел доступ оригинальный пользователь. Соответственно этот пользователь не сможет боль ше получить доступ и к объектам MS SQL Server 2000, и присвоить его права до ступа также никто не сможет. Доступ ко всем ресурсам сети производится на основе этого идентификатора.
Рассмотрим, каким образом пользователь получает доступ к ресурсам на примере файловой системы NTFS. Каждый объект N TFS имеет список прав доступа (Access Control List, ACL). Этот список представляет собой набор строк (Access Control Entries, АСЕ); каждая из которых содержит идентификатор учетной записи и описатель типа доступа. Когда пользователь пытается получить доступ к ресурсу, операционная система ищет его login ID в ACL и сравнивает тип разрешенного доступа с типом запрашиваемого доступа. Если конфликтов нет, то доступ предоставляется.
При аутентификации Windows NT идентификационный номер учетной записи пользователя домена (login ID) сохраняется в системной базе данных master MS SQL Server 2000. Информация же об имени пользователя, его пароле и т. д. хранится в базе данных домена. Изменение имени пользователя или его пароля никак не отразится па правах доступа к MS SQL Server 2000. Информация об учетной записи пользователя и его членстве в группах Windows NT считывается MS SQL Server 2000 из базы данных системы безопасности домена во время подключения пользователя.
Таким образом, в режиме аутентификации Windows NT член стандартной роли сервера sysadmin или securityadmin должен указать для MS SQL Server 2000, какие группы или пользователи Windows NT имеют доступ к серверу. При аутентификации Windows NT пользователю не нужно указывать имя и пароль для получения доступа к MS SQL Server 2000, так как проверка правильности имени пользователя и пароля возлагается на контроллер домена Windows NT. При подключении клиента к серверу MS SQL Server 2000 использует доверительное соединение, которое устанавливается операционной системой только при успешной регистрации пользователя в домене. Поскольку невозможно установить доверительное соединение без предварительной регистрации в домене, MS SQL Server 2000 не выполняет никаких действий по аутентификации пользователей, а просто считывает информацию о пользователе из атрибутов доверительного соединения. Сервер ищет соответствие имени пользователя, пытающегося установить соединение, с именами в системной таблице syslogins, для которых разрешен доступ. Если соответствие найдено, то доступ предоставляется, в противном же случае поиск соответствия продолжается для групп, к которым этот пользователь принадлежит. Если соответствие все равно не найдено, доступ к MS SQL Server 2000 не разрешается и пользователь получает сообщение об ошибке.