Module 4 : Gestion de la sécurité Vue d'ensemble Implémentation d'un mode d'authentification Attribution de comptes de connexion à des utilisateurs et des rôles Attribution d'autorisations à des utilisateurs et des rôles Gestion de la sécurité dans SQL Server Gestion de la sécurité des applications Gestion de la sécurité de SQL Server dans l'entreprise Implémentation d'un mode d'authentification Traitement de l'authentification Choix d'un mode d'authentification Authentification mutuelle à l'aide du protocole Kerberos Emprunt d'identité et délégation Cryptage Étapes de l'implémentation du mode d'authentification Création de comptes de connexion Traitement de l'authentification Vérifie l'entrée dans la table sysxlogins et approuve la vérification du mot de passe par Windows 2000 Groupe ou utilisateur Windows 2000 sysxlogins Windows 2000 SQL Server Vérifie l'entrée dans la table sysxlogins et vérifie le mot de passe Compte de connexion SQL Server sysxlogins Choix d'un mode d'authentification Avantages du mode d'authentification Windows Fonctionnalités de sécurité avancées Ajout de groupes à l'aide d'un seul compte Accès rapide Avantages du mode mixte Les clients non-Windows 2000 et Internet peuvent l'utiliser pour se connecter Authentification mutuelle à l'aide du protocole Kerberos Kerberos Données Ticket d'octroi cryptées Mot de passe Authentification mutuelle Utilisateur SQL Server Emprunt d'identité et délégation Emprunt d'identité Système de fichiers SQL Server Délégation SQL Server Cryptage Cryptage interne Mots de passe de connexion stockés dans SQL Server Définitions Transact-SQL Cryptage réseau Étapes de l'implémentation du mode d'authentification Définissez le mode d'authentification Arrêtez, puis redémarrez le service MSSQLServer Créez des groupes et des utilisateurs Windows 2000 Autorisez les groupes et les utilisateurs Windows 2000 à accéder à SQL Server Créez des comptes de connexion SQL Server pour les utilisateurs qui se connectent à l'aide de connexions non approuvées Création de comptes de connexion master..sysxlogins name dbname password BUILTIN\Administrateurs accountingdomain\payroll accountingdomain\maria mary sa master Northwind Northwind pubs master NULL NULL NULL ******** ******** Démonstration : Configuration de comptes de connexion Atelier A : Gestion de la sécurité Attribution de comptes de connexion à des utilisateurs et des rôles Northwind..sysprotects Les autorisations sont stockées ici id uid action protecttype 1977058079 1977058079 1977058079 1977058079 0 0 0 7 193 195 196 193 205 205 205 205 Les utilisateurs sont stockés ici Northwind..sysusers uid name 0 1 3 7 public dbo INFORMATION_SCHEMA payroll Attribution de comptes de connexion à des comptes d'utilisateur Ajout de comptes d'utilisateur SQL Server Enterprise Manager Procédure stockée système sp_grantdbaccess Compte d'utilisateur dbo Compte d'utilisateur guest Attribution de comptes de connexion à des rôles Rôles fixes de serveur Rôles fixes de base de données Rôles de base de données définis par l'utilisateur Rôles fixes de serveur Rôle Autorisation sysadmin Effectuer n'importe quelle activité dbcreator Créer et modifier des bases de données diskadmin Gérer des fichiers disque processadmin Gérer les processus SQL Server serveradmin Configurer les paramètres du serveur setupadmin Installer la réplication securityadmin Gérer et contrôler les connexions au serveur bulkadmin Exécuter des instructions BULK INSERT Rôles fixes de base de données Rôle Autorisation public Gérer toutes les autorisations par défaut Effectuer toutes les activités de rôle de base de données Ajouter ou supprimer des utilisateurs, des groupes et des rôles d'une base de données Ajouter, modifier ou supprimer les objets d'une base de données Attribuer des autorisations sur les objets et les instructions Sauvegarder la base de données db_owner db_accessadmin db_ddladmin db_security admin db_backupoperator db_datareader db_datawriter db_denydatareader db_denydatawriter Lire les données de toutes les tables Ajouter, modifier ou supprimer les données de toutes les tables Refuser la lecture des données de toutes les tables Refuser la modification des données de toutes les tables Rôles de base de données définis par l'utilisateur Ajoutez un rôle : Lorsqu'un groupe de personnes doit effectuer un ensemble spécifique d'activités dans SQL Server Si vous ne disposez pas des autorisations pour gérer les comptes d'utilisateur Windows 2000 Démonstration : Attribution de comptes de connexion à des utilisateurs et des rôles Attribution d'autorisations à des utilisateurs et des rôles Types d'autorisations Octroi, refus et révocation d'autorisations Octroi d'une autorisation d'accès Refus d'une autorisation d'accès Révocation d'autorisations accordées et refusées Types d'autorisations Instruction CREATE DATABASE CREATE TABLE CREATE VIEW CREATE PROCEDURE Objet Prédéfinie SELECT INSERT VUE DE UPDATE LA TABLE DELETE REFERENCES CREATE RULE CREATE DEFAULT CREATE FUNCTION SELECT COLONNE UPDATE REFERENCES BACKUP DATABASE BACKUP LOG EXEC PROCÉDURE STOCKÉE Rôle fixe Propriétaire d'objets Octroi, refus et révocation d'autorisations REVOKE : neutre GRANT : Autorise les utilisateurs à réaliser des actions DENY : Empêche les utilisateurs de réaliser des actions Octroi d'une autorisation d'accès Utilisateur/rôle SELECT Eva Ivan David public INSERT UPDATE DELETE DRI Refus d'une autorisation d'accès Utilisateur/rôle Eva Ivan David public SELECT INSERT UPDATE DELETE DRI Révocation d'autorisations accordées et refusées Utilisateur/rôle Eva Ivan David public SELECT INSERT UPDATE DELETE DRI Gestion de la sécurité dans SQL Server Utilisation des comptes de connexion par défaut sa BUILTIN\Administrateurs Définition de la fonction du compte d'utilisateur guest Définition des autorisations du rôle public Application d'autorisations aux rôles Création d'objets avec le propriétaire dbo Sécurisation des étapes de travail CmdExec et ActiveScripting Atelier B : Gestion des autorisations Gestion de la sécurité des applications Gestion de la sécurité à l'aide de vues et de procédures stockées Gestion de la sécurité des applications clientes à l'aide de rôles d'application Gestion de la sécurité à l'aide de vues et de procédures stockées SELECT * FROM Employee_View SELECT * FROM Employees EXEC Employee_Update 1, 9 Employees EmployeeID LastName 1 2 3 Davolio Fuller Leverling FirstName ReportsTo Nancy Andrew Janet 2 2 ... Gestion de la sécurité des applications clientes à l'aide de rôles d'application Application de saisie des commandes Microsoft Excel Orders OrderID CustomerID EmployeeID 10248 10249 10250 VINET TOMSP HANAR 3 1 2 ... Création des rôles d'application Création d'un rôle d'application par l'insertion d'une ligne dans la table sysusers Gestion des autorisations sur les rôles d'application Activation des rôles d'application L'utilisateur doit spécifier un mot de passe La portée d'un rôle d'application est limitée à la base de données active. Si l'utilisateur change de base de données, il dispose des autorisations du compte guest dans cette base de données Le rôle ne peut pas être désactivé tant que l'utilisateur ne se déconnecte pas EXEC sp_setapprole 'SalesApp', {ENCRYPT N'hg_7532LR'}, 'ODBC' Atelier C : Gestion de la sécurité des applications Gestion de la sécurité de SQL Server dans l'entreprise Utilisation d'une stratégie de groupe pour sécuriser SQL Server Utilisation de serveurs proxy, pare-feu et routeurs Utilisation du cryptage pour la transmission des données en vue de leur sécurisation Utilisation d'une stratégie de groupe pour sécuriser SQL Server Zones de sécurité pouvant être configurées Stratégies de compte Groupes restreints Stratégies de logiciels Utilisation de serveurs proxy, pare-feu et routeurs Utilisateur Internet Microsoft Proxy Server SQL Server Utilisation du cryptage pour la transmission des données en vue de leur sécurisation Sécurité IPSec Cryptage SSL Conseils pratiques Utilisez le mode mixte pour connecter uniquement des clients non approuvés ou Internet Utilisez le role sysadmin plutôt que le compte de connexion sa Supprimez d'abord les comptes de Windows 2000, puis de SQL Server Un utilisateur dbo doit posséder tous les objets Utilisez des procédures stockées et des vues pour implémenter plus efficacement la sécurité Contrôle des acquis Implémentation d'un mode d'authentification Attribution de comptes de connexion à des utilisateurs et des rôles Attribution d'autorisations à des utilisateurs et des rôles Gestion de la sécurité dans SQL Server Gestion de la sécurité des applications Gestion de la sécurité de SQL Server dans l'entreprise