Las cuentas y roles de SQL SERVER tienen un papel
fundamental en la seguridad de Windows Server usa estas entidades de SQL Server
para controlar el acceso a almacenes y tablas que contienen datos de
operaciones de seguimiento, así como datos
de control de estado relacionados con la persistencia de
flujo de trabajo.
Si desea crear cuentas y roles y ver, manipular y asignar
los permisos adecuados a los objetos de base de datos, use las herramientas de
ayuda que se incluyen con la instalación de la base de datos.
SQL Server usa los inicios de
sesión y roles de SQL Server
para administrar el acceso a activos como los almacenes de seguimiento y
persistencia y los procedimientos almacenados. Se usan permisos para aplicar
directivas de seguridad a tablas y procedimientos almacenados para determinar
quién puede leer, escribir y realizar operaciones administrativas en los
esquemas de seguimiento y persistencia. Cada esquema se protege mediante su
propio grupo de directivas de seguridad.
El marco de seguridad de SQL Server administra el acceso a
entidades protegidas mediante
autenticación y autorización.
vAutentificación
Es el proceso de inicio de sesión en SQL Server por el que
una entidad de seguridad solicita el acceso mediante el envío de credenciales
que el servidor evalúa. La autenticación establece la identidad del usuario o
proceso que se autentica.
SQL Server admite dos modos de autenticación, el modo de autenticación de Windows y el modo
mixto.
a.La autenticación de
Windows es el modo predeterminado, y
a menudo se denomina seguridad integrada debido a que este modelo de seguridad
de SQL Server está estrechamente integrado con Windows. Para iniciar sesión en
SQL Server, se confía en las cuentas de usuario y grupo específicas de Windows.
Los usuarios de Windows que ya hayan sido autenticados no tienen que presentar
credenciales adicionales.
Con la autenticación de Windows, los usuarios ya
registrados en Windows no tienen que iniciar sesión por separado en SQL Server.
El siguiente valor de SqlConnection.ConnectionString
especifica la autenticación de Windows sin que sea necesario especificar un
nombre de usuario ni una contraseña.
b.Autenticación de SQL
Server. Modo de autenticación de SQL
Server. Su finalidad es ofrecer compatibilidad con versiones anteriores a
aplicaciones y usuarios que necesiten acceso a SQL Server con una cuenta de
usuario y contraseña específicos. Es el modo menos seguro.
vInicio de Sesión – Roles
Tipos de inicios de sesión
SQL Server admite tres tipos de inicios de sesión:
A).Una cuenta de usuario de Windows local o una cuenta de
dominio de confianza. SQL Server se basa en Windows para autenticar las cuentas
de usuario de Windows.
B).Grupo de Windows. Cuando se concede acceso a un grupo de
Windows, se concede acceso a todos los inicios de sesión de usuario de Windows
miembros de dicho grupo.
C).Inicio de sesión de SQL Server. SQL Server almacena el
nombre de usuario y un valor hash de la contraseña en la base de datos maestra,
y usa métodos internos de autenticación para comprobar los intentos de inicio
de sesión.
La asignación de una cuenta de inicio de sesión a un rol de
SQL determina el control de dicha cuenta sobre las actividades administrativas
y las operaciones en la base de datos. Una cuenta de inicio de sesión puede
estar asignada a más de un rol de base de datos.
Los inicios de sesión de SQL Server por defecto
encontramos:
A.ADMINISTRADOR: Es
un usuario especial que existe en todas las bases de datos, y como tal, no
puede ser eliminado de la misma.
B.GUEST(INVITADO): Permite
iniciar una sesión sin una cuenta de usuario que de acceso a la base de datos.
Se pueden añadir y eliminar cuentas de usuario invitado en cualquier base de
datos, excepto en las bases master y tempdb.
ROLES
A.Rol de “SERVIDOR” de SQL Server: Un rol de “servidor” de
SQL Server se define a nivel de servidor fuera de cualquier almacén. Los roles
de SQL Server están predefinidos y su número y su contenido no se pueden
modificar. Un ejemplo de rol de servidor común es sysadmin. Este rol ofrece a la
cuenta de inicio de sesión un control total sobre todas las operaciones de la
base de datos y la capacidad de realizar cualquier operación sobre los datos de
SQL Server de cualquier almacén.
B.Rol
de “APLICACIÓN” de SQL Server: Los roles de aplicación satisfacen las
necesidades de seguridad más complejas y personalizadas de una aplicación
particular. Varias aplicaciones pueden usar un almacén con la necesidad común
de proteger la seguridad de sus datos durante el acceso de una de las
aplicaciones.
C.Rol
de “BASE DE DATOS” de SQL Server: Usa el rol de base de datos de forma
generalizada. Existen tres tipos de roles de base de datos: públicos, definidos
por el usuario y fijos. A fin de ofrecer una información exhaustiva, a continuación,
se describen detalladamente.
AppFabric usa el modelo de rol de base de datos
definido por el usuario de forma exclusiva para gran parte de su seguridad en
SQL Server.
Existen tres tipos de roles de base de datos de SQL Server:
ØPúblico: El rol de base de datos público
contiene un permiso de acceso predeterminado para todos los usuarios de base de
datos. Por lo tanto, todas las cuentas de inicio de sesión que se crean a
través de AppFabric son miembros de este rol.
ØFijo: Del mismo modo que los roles de
“servidor” de SQL Server (por ejemplo, sysadmin), los roles de base de datos
fijos no se pueden modificar. Al contrario de lo que sucede con los roles de
servidor, que existen a nivel de servidor, los roles de base de datos existen a
nivel de base de datos para cada almacén. Un ejemplo de rol de base de datos
fijo es db_owner.
Se pueden agregar o quitar cuentas de usuario
de inicio de sesión de SQL Server a roles de base de datos fijos.
ØDefinido por el Usuario: Crea roles de
base de datos definidos por los usuarios específicos en blanco durante la
instalación. El programa de instalación de AppFabric no inserta explícitamente
ninguna cuenta de Windows o cuenta de inicio de sesión de SQL Server en los
roles de base de datos definidos por el usuario. Para agregar cuentas, es
necesario usar las herramientas de administración de SQL Server.
Permisos de los
Roles Fijos de Servidor
SQL Server proporciona roles de nivel de
servidor para ayudarle a administrar los permisos de un servidor. Estos roles
son entidades de seguridad que agrupan otras entidades de seguridad. Los roles
de nivel de servidor se aplican a todo el servidor en lo que respecta a su
ámbito de permisos.
sysadmin
Está por encima de
las restantes funciones y tiene la autoridad para realizar cualquier
actividad en SQL Server.
serveradmin
Se usa para conceder
a un usuario la autoridad para realzar cambios en la configuración de SQL
Server.
setupadmin
Da a un usuario
capacidad sobre la configuración de duplicación en el sistema y los
procedimientos almacenados que se instalen.
securityadmin
Proporciona a un
usuario la capacidad de administrar los inicios de sesión.
processadmin
Permite a un usuario
gestionar los procesos que se ejecutan bajo SQL Server.
dbcreator
Proporciona a un
usuario la capacidad de crear y modificar bases de datos en SQL Server.
diskadmin
Otorga la capacidad
para crear archivos de disco.
Permisos de los
Roles Fijos de Base de Datos
Para administrar con facilidad
los permisos en las bases de datos, SQL Server proporciona varios roles, que
son las entidades de seguridad que agrupan a otras entidades de seguridad. Son
como los grupos del sistema operativo Microsoft Windows. Los roles de nivel de
base de datos se aplican a toda la base de datos en lo que respecta a su ámbito
de permisos.
db_owner
Función que se asigna a un usuario que es
propietario de una base de datos.
db_accessadmin
Proporciona a un usuario la capacidad de
añadir o eliminar grupos de Windows Server y usuarios de SQL Server a la base
de datos.
db_datareader
Permite al usuario seleccionar datos en
cualquier tabla de la base de datos.
db_datawriter
Permite al usuario insertar, actualizar o
borrar datos en cualquier tabla de la base de datos.
db_ddladmin
Permite crear, modificar y eliminar objetos
de la base de datos.
db_securityadmin
Permite a sus
miembros crear y mantener las funciones de base de datos y sus permisos, así
como gestionar los permisos dentro de la base de datos.
db_backupoperator
Permite la realización de copias de
seguridad.
db_denydatareader
Deniega la capacidad de seleccionar (leer)
datos de cualquier tabla de la base de datos.
db_denydatareader
Deniega la capacidad de escribir,
modificar, actualizar o borrar datos.
vEjemplos
Para crear un nuevo login, Security- login-new
login
Aparecerá
la siguiente Ventana, en donde colocaremos el nombre de como va a ser nuestro
usuario, luego seleccionamos autentificación de SQL Server, seguidamente
colocamos una contraseña y luego confirmamos la contraseña
Luego asignamos la Base de Datos que queremos se
tenga acces
Seguidamente desconectamos el Gestor de base de
datos y nos logeamos con el nuevo login creado.
Cuando es la primera ves nos va a pedir para
cambiar la contraseña.
Luego que cambiamos la contraseña damos
clic en OK y aparecerá conectado el nuevo usuario que acabamos de crear.
Luego
vamos a intentar abrir otra BD distinto a la que se le asignó, en este caso
intentaré abrir la base de datos BdComercio y aparecerá el mensaje de error, el
usuario James sólo podrá ver que existen más bds más no podrá tener acceso a
ellas.
Ahora abriremos la base de datos la BD que se dio
los permisos y abrirá correctamente.
Como podemos notar se puede tener acceso, y es
así que tiene la gran importancia de la Autentificación de seguridad de SQL
Server.
2.Resumen
DEFINICIÓN
Las cuentas y roles de SQL SERVER tienen un papel
fundamental en la seguridad de Windows Server usa estas entidades de SQL Server
para controlar el acceso a almacenes y tablas que contienen datos de
operaciones de seguimiento, así como datos
de control de estado relacionados con la persistencia de
flujo de trabajo.
Se usan permisos para aplicar directivas de seguridad a
tablas y procedimientos almacenados para determinar quién puede leer, escribir
y realizar operaciones administrativas en los esquemas de seguimiento y
persistencia. Cada esquema se protege mediante su propio grupo de directivas de
seguridad.
El marco de seguridad de SQL Server administra el acceso a
entidades protegidas mediante
autenticación y autorización.
vAutentificación
Es el proceso de inicio de sesión en SQL Server por el que
una entidad de seguridad solicita el acceso mediante el envío de credenciales
que el servidor evalúa
SQL Server admite dos modos de autenticación, el modo de autenticación de Windows y el modo
mixto.
La autenticación de Windows es el modo predeterminado, y a menudo se denomina
seguridad integrada debido a que este modelo de seguridad de SQL Server está
estrechamente integrado con Windows.
Autenticación de SQL Server. Modo de autenticación de SQL Server. Su finalidad es ofrecer
compatibilidad con versiones anteriores a aplicaciones y usuarios que necesiten
acceso a SQL Server con una cuenta de usuario y contraseña específicos. Es el
modo menos seguro.
vInicio de Sesión – Roles
Tipos de inicios de sesión
SQL Server admite tres tipos de inicios de sesión:
a.Una cuenta de usuario de Windows local o una cuenta de
dominio de confianza. SQL Server se basa en Windows para autenticar las cuentas
de usuario de Windows.
b.Grupo de Windows. Cuando se concede acceso a un grupo de
Windows, se concede acceso a todos los inicios de sesión de usuario de Windows
miembros de dicho grupo.
c.Inicio de sesión de SQL Server. SQL Server almacena el
nombre de usuario y un valor hash de la contraseña en la base de datos maestra,
y usa métodos internos de autenticación para comprobar los intentos de inicio
de sesión.
La asignación de una cuenta de inicio de sesión a un rol de
SQL determina el control de dicha cuenta sobre las actividades administrativas
y las operaciones en la base de datos. Una cuenta de inicio de sesión puede
estar asignada a más de un rol de base de datos.
Los inicios de sesión de SQL Server por defecto
encontramos:
A.ADMINISTRADOR: Es
un usuario especial que existe en todas las bases de datos, y como tal, no
puede ser eliminado de la misma.
B.GUEST(INVITADO): Permite
iniciar una sesión sin una cuenta de usuario que de acceso a la base de datos.
Se pueden añadir y eliminar cuentas de usuario invitado en cualquier base de
datos, excepto en las bases master y tempdb.
ROLES
D.Rol de “SERVIDOR” de SQL
Server: Un
rol de “servidor” de SQL Server se define a nivel de servidor fuera de
cualquier almacén. Los roles de SQL Server están predefinidos y su número y su
contenido no se pueden modificar
E.Rol
de “APLICACIÓN” de SQL Server: Los roles de aplicación satisfacen las
necesidades de seguridad más complejas y personalizadas de una aplicación
particular.
F.Rol
de “BASE DE DATOS” de SQL Server: Usa el rol de base de datos de forma
generalizada
AppFabric usa el modelo de rol de base de datos
definido por el usuario de forma exclusiva para gran parte de su seguridad en
SQL Server.
Existen tres tipos de roles de base de datos de SQL Server:
ØPúblico: El rol de base de datos público
contiene un permiso de acceso predeterminado para todos los usuarios de base de
datos. Por lo tanto, todas las cuentas de inicio de sesión que se crean a
través de AppFabric son miembros de este rol.
ØFijo: Del mismo modo que los roles de
“servidor” de SQL Server (por ejemplo, sysadmin), los roles de base de datos
fijos no se pueden modificar.
Se pueden agregar o quitar cuentas de usuario
de inicio de sesión de SQL Server a roles de base de datos fijos.
ØDefinido por el Usuario: Crea roles de
base de datos definidos por los usuarios específicos en blanco durante la
instalación.
3.Summary
DEFINITION
The
accounts and roles of SQL SERVER have a fundamental role in the security of
Windows Server and its features of SQL Server to control access to tables and
stores containing tracking data, as well as data of state control related to
the persistence of workflow.
Permissions
are used to apply security tables and stored procedures to determine who can
read, write, and perform administrative operations on tracking and persistence
schemes. Each scheme is protected by its own group of security policies.
The
SQL Server security framework manages access to the functions protected by
authentication and authorization.
vAuthentication
It
is the process of logging in to SQL Server whereby a security entity requests
access by sending credentials that the server evaluates
SQL
Server supports two authentication modes, Windows authentication mode and mixed
mode.
Windows authentication is the default mode, it is often called security that this
SQL Server security model is tightly integrated with Windows.
SQL Server authentication. SQL Server authentication mode. Its purpose is to offer
compatibility with previous versions of applications and users that need access
to SQL Server with a specific user account and password. It is the least safe
mode.
vLogin - Roles
Types
of logins
SQL
Server supports three types of logins:
to.
A local Windows user account or a trusted domain account. SQL Server relies on
Windows to authenticate Windows user accounts.
b.
Group of Windows. When access is granted to a Windows group, access to all
Windows user logins is granted to members of that group.
c.
SQL Server logon. SQL Server stores the user name and a hash value of the
password in the master database, and uses internal authentication methods to
verify login attempts.
Assigning
a login account to an SQL role determines the control of that account over
administrative activities and operations in the database. A sign-in account can
be assigned to more than one database role.
SQL
Server logons by default find:
A.
ADMINISTRATOR: It is a special user
that exists in all databases, and as such, can not be removed from it.
B.
GUEST (INVITED): It allows to
initiate a session without a user account that accesses the database. You can
add and delete guest user accounts in any database, except for the master and
tempdb databases.
ROLES
A.
SQL Server "SERVER" Role: A SQL Server "server" role is
defined at the server level outside any warehouse. SQL Server roles are
predefined and their number and content can not be modified
B.
"APPLICATION" role of SQL Server: Application roles meet the most
complex and customized security needs of a particular application.
C.
"DATABASE" Role of SQL Server: Uses the database role in a
generalized way
AppFabric
uses the user-defined database role model exclusively for much of its security
in SQL Server.
There
are three types of SQL Server database roles:
Public:
The public database role contains a default access permission for all database
users. Therefore, all login accounts that are created through AppFabric are
members of this role.
Fixed:
In the same way as the SQL Server "server" roles (for example,
sysadmin), the fixed database roles can not be modified.
You
can add or remove SQL Server logon user accounts to fixed database roles.
Defined by the User: Creates database roles defined by specific blank users
during installation.
4.Recomendaciones
üSi desea crear cuentas y roles y ver, manipular y asignar
los permisos adecuados a los objetos de base de datos, use las herramientas de
ayuda que se incluyen con la instalación de la base de datos.
üSe recomienda crear otro usuario y asignarle permisos, si
es que por ejemplo tiene que hacer una auditoría a unas determinadas tablas de
la base de datos.
üSe recomienda dar roles a cada colaborador.
5.Conclusiones
üLas cuentas y roles de SQL Server tienen un papel fundamental en
la seguridad de Windows Server.
üLa asignación de una cuenta de inicio de sesión a un rol de
SQL determina el control de dicha cuenta sobre las actividades administrativas
y las operaciones en la base de datos.
üSiempre
se debe trabajar en la seguridad de la información, porque la amenaza más
grande de una empresa son las personas, porque las personas son el individuo
que trata la información, es por eso que siempre hay que asignarles permisos y
roles a cada uno según la función que va realizar.
6.Apreciación del Equipo
üEste Trabajo nos ha ayudado a reforzar nuestros conocimientos
acerca de la seguridad y autentificación que se tiene cada usuario con respecto
al gestor de BD SQL SERVER.
üTambién hemos podido apreciar que la seguridad de la
información es muy importante, ya que la información es el activo más
importante de una Entidad.
üSe puede apreciar la importancia de Asignar Roles a
nuestros usuarios par que no puedan tener acceso a toda la información, y así
no puedan manipular los datos.
7.Glosario de Términos
üAutentificación: Es el proceso de inicio de sesión en SQL Server por el que
una entidad de seguridad solicita el acceso mediante el envío de credenciales
que el servidor evalúa.
üAutentificación de
Windows: es el modo predeterminado, y a
menudo se denomina seguridad integrada debido a que este modelo de seguridad de
SQL Server está estrechamente integrado con Windows.
üAutentificación de SQL
Server: Es el cual se crea un usuario y una contraseña
para acceder
üRol: Actúa como plantillas que facilitan la asignación de
permisos a un usuario de una base de datos
üSysadmin: Tiene la autoridad
para realizar cualquier actividad en SQL Server.
üServeradmin: Se usa para conceder a un usuario la autoridad para
realzar cambios en la configuración de SQL Server.
üSetupadmin: Da a un usuario capacidad sobre la configuración de duplicación
en el sistema y los procedimientos almacenados que se instalen.
üSecurityadmin: Proporciona a un usuario la capacidad de
administrar los inicios de sesión.
üProcessadmin: Permite a un usuario gestionar los procesos
que se ejecutan bajo SQL Server.
üDb_owner: Función que se asigna a un usuario que es
propietario de una base de datos.
La autenticación de Windows es el modo predeterminado, y a menudo se denomina
seguridad integrada debido a que este modelo de seguridad de SQL Server está
estrechamente integrado con Windows.
