Administrando o controle de acesso no SQL Server

Vamos iniciar com a conceitua��o de uma inst�ncia SQL Server: � um servi�o executado pelo sistema operacional, adicionado ao Windows no momento da instala��o do SQL Server. Em uma inst�ncia pode conter um ou mais bancos de dados, mas um banco de dados sempre vai pertencer a somente uma inst�ncia.

Voc� pode ter mais de uma inst�ncia em seu servidor, limitando-se a uma inst�ncia padr�o (MSSQLSERVER) e as demais nomeadas. Inst�ncias nomeadas tem o nome escolhido pelo usu�rio. � poss�vel verificar o servi�o da inst�ncia acessando o servi�o do Windows e l� podemos parar, iniciar, configurar para iniciar automaticamente ou manualmente uma inst�ncia.

Conceituando Banco de dados

Banco de dados � uma cole��o de dados que se relacionam entre si, da� vem sistema de banco de dados relacional. E para criar, alterar ou gerenciar um banco de dados, necessitamos de uma inst�ncia em nosso servidor.

Logo ap�s a instala��o da inst�ncia podemos identificar que j� possu�mos alguns bancos de dados instalados. No System Databases temos alguns:

Master
Model
TempDB
Msdb

Cada um desses tem sua funcionalidade e todos s�o fundamentais para o gerenciamento dos seus bancos de dados e tamb�m para a cria��o, remo��o ou danifica��o de objetos contidos nestes bancos de dados e pode parar todo o servi�o do servidor. Atualmente em cada inst�ncia � poss�vel criar at� 32.767 bancos de dados.

Conectando em uma Inst�ncia

Ao iniciar o SQL Server Management Studio nos deparamos com a tela representada na Figura 1.

Tela inicial de conex�o a inst�ncia

Figura 1. Tela inicial de conex�o a inst�ncia

A ferramenta SQL Server Management Studio auxilia na conex�o com uma inst�ncia, administra��o de recursos, cria��o e manipula��o de objetos. Outras ferramentas tamb�m podem ser utilizadas para tais fun��es.

Em qualquer sistema de banco de dados inicialmente tem que se conectar na inst�ncia antes de tentar manipular algum objeto, sendo no banco ou n�o. No caso da Figura 1 nos deparamos com o campo Server name, que pode assumir duas op��es: Windows Authentication e SQL Server Authentication.

Na op��o Windows Authentication, a inst�ncia do SQL Server aceita a autentica��o do usu�rio do sistema operacional para estabelecer uma conex�o. Pode ser utilizado o mesmo usu�rio utilizado para se logar no Windows.

Na op��o SQL Server Authentication a conex�o � realizada por um usu�rio criado na inst�ncia do SQL Server.

No momento da instala��o do SQL Server � criado o usu�rio sa e configurada uma senha, que podem ser utilizados para a primeira conex�o com a inst�ncia. O usu�rio sa, em primeiro momento � o owner do servidor, sendo assim, tem todos os acessos no servidor.

Os usu�rios da inst�ncia podem ser encontrados em Security � Logins. L� podemos adicionar novos usu�rios, configurar pol�tica de senha, adicionar privil�gios a inst�ncia, administrar acesso a bancos entre outras fun��es.

Cada usu�rio criado com a finalidade de conex�o com a inst�ncia traz consigo um sid e um principal_id, que s�o informa��es important�ssimas para a cria��o de um controle das manipula��es que est�o sendo feitas no servidor.

Ao executarmos uma nova query, como a da Listagem 1, no banco de dados master podemos verificar os usu�rios cadastrados para ter conex�o com a inst�ncia.

Listagem 1. Comando para verificar logins de inst�ncia


  SELECT *
    FROM [sys].[sql_logins]

Na view sql_logins � poss�vel identificar: login, principal_id, sid, data de cria��o, data de modifica��o, pol�tica de password, password, dentre outras informa��es. Toda as informa��es de logins podem ser encontradas no banco de dados master.

Ter um login com acesso a inst�ncia n�o garante que possa ter acesso �s informa��es de banco, como Create, Delete, Update, Insert ou Select. Est� ai a diferen�a entre acesso a n�vel de inst�ncia e a n�vel de banco de dados.

Na Figura 2 podemos identificar o local onde � concedido os acessos a logins a n�vel de inst�ncia.

Acessos a n�vel de inst�ncia

Figura 2. Acessos a n�vel de inst�ncia.

Tenha cautela ao conceder o acesso de sysadmin a um usu�rio em caso de aplica��es j� em produ��o, pois ao conceder tal acesso estar� informando que o usu�rio ter� controle total.

O acesso public � um acesso que d� ao usu�rio os acessos m�nimos. Para gerenciar, conceder ou revogar permiss�es � necess�rio que o login tenha esteja no grupo securityadmin. Lembrando que est� sendo apresentado at� o momento o controle de acesso a n�vel de inst�ncia.

Voc� pode verificar no banco de dados master os logins e seus acessos, a partir do comando mostrado na Listagem 2. Podemos identificar o nome do usu�rio, nome de login, senha, sid que representa (como se fosse a digital do usu�rio, lembrando que o sid n�o pode ser repetido, dando mais facilidade e confiabilidade no caso de auditorias), disable (informa se o login est� ativo ou desabilitado), createdate (traz a data de cria��o) e as demais colunas s�o informa��es de acesso a inst�ncia.

Listagem 2. Comando para verificar acessos concedidos a usu�rios.


  SELECT          
    S.name, 
    S.loginname, 
    S.password,
    l.sid, 
    l.is_disabled, 
    S.createdate, 
    S.denylogin,
    S.hasaccess,
    S.isntname,
    S.isntgroup,
    S.isntuser,
    S.sysadmin,
    S.securityadmin,
    S.serveradmin,
    S.processadmin,
    S.diskadmin,
    S.dbcreator,
    S.bulkadmin
 FROM [sys].[syslogins] S
  LEFT JOIN       
   [sys].[sql_logins] L
  ON
  S.sid = L.sid

Outra linha de comando que facilita a visualiza��o de informa��es b�sicas de login � o da Listagem 3, que traz nome do login, banco de dados ao qual o usu�rio pertence, SID, dentre outras informa��es.

Listagem 3.Comando para verificar informa��es b�sicas de usu�rios.


  Sp_helplogins

J� com as informa��es de login e senha dos usu�rios em m�os podemos iniciar a conex�o com a inst�ncia, como mostrado na Figura 1 e estabelecer a primeira conex�o com a inst�ncia do SQL Server.

Usu�rios do Windows tamb�m podem ter suas permiss�es controladas no acesso do SQL Server, notando que os acessos concedidos ao usu�rio no acesso ao sistema operacional n�o influenciam nos acessos a conex�o a inst�ncia, ou seja, um usu�rio pode ter acesso de administrador do sistema e n�o ter permiss�o sysadmin na inst�ncia do servidor.

Outro detalhe que um administrador de banco de dados tem de se atentar � que em um ambiente de produ��o um usu�rio deve ter restri��es no servidor, ou se poss�vel nem ter acesso a arquivos e/ou softwares. Usu�rios do Windows com acessos de �Controle Total� ou �Modificar�, podem facilmente danificar seu ambiente ou at� mesmo desinstalar uma inst�ncia SQL Server.

Para um usu�rio comum, um arquivo com extens�o mdf ou ldf n�o representa muita coisa, mas facilmente o mesmo pode at� mesmo deletar os arquivos, por isso, devemos ter aten��o nas restri��es dos usu�rios nas pastas onde os bancos s�o destinados. Os bancos de dados do sistema, por padr�o seguem para mesma pasta destino, conforme listado na Listagem 4.

Listagem 4.Caminho padr�o dos system databases.


  C:\Program Files (x86)\Microsoft SQL Server\MSSQL.3\MSSQL\Data

Os bancos de dados do sistema s�o imprescind�veis para o funcionamento do servidor, portanto esses arquivos n�o podem, de forma alguma, estarem dispon�veis para o usu�rio final da aplica��o.

Usu�rios a n�vel de Banco de dados

J� conectado a inst�ncia nos deparamos com os acessos de usu�rios. Podemos ter acesso de conex�o com inst�ncia e n�o ter ao menos acesso de leitura em um banco de dados que comp�em o servidor.

Acessos a n�vel de bancos de dados facilitam o controle do usu�rio final, n�o sendo necess�rio que voc� crie um banco para cada departamento. Por exemplo, voc� pode destinar acesso a tabela de forma diferenciada, pois tem a op��o de separar usu�rios por grupos.

Tomando uma situa��o como exemplo, em uma aplica��o podemos atender aos setores do administrativo, do RH, do setor de compras e setor de vendas, todas utilizando um mesmo banco de dados, mas sem que um setor tenha acesso aos arquivos do outro setor.

Os usu�rios de n�vel de banco de dados podem ser identificados no caminho mostrado na Figura 3. Cada banco de dados deve, por padr�o, seus usu�rios separados, ou seja, o usu�rio criado para o banco de dados D n�o tem os mesmos acessos no banco de dados Y, mesmo que os dois bancos perten�am a mesma inst�ncia.

Localiza��o dos usu�rios a n�vel de banco

Figura 4. Localiza��o dos usu�rios a n�vel de banco.

Neste caso os usu�rios s�o divididos em grupos de acesso, no momento de um novo cadastro de usu�rio, bastar inclui-lo a um grupo e o mesmo ter� todos os acessos que aquele grupo lhe disp�e.

Caso opine por esta forma de controle de acesso saiba que ap�s destinar um usu�rio em um grupo de acesso, por exemplo o Gerente Administrativo, poder ter acesso a objetos do RH, n�o necessariamente ele ter� acesso a todos os arquivos ou todas as permiss�es.

A forma utilizada para o controle de acesso a usu�rios deve ser definida j� no in�cio do projeto da cria��o de um banco de dados, influenciando at� na cria��o das colunas das tabelas, verificando a necessidade de ter uma coluna especifica para identifica��o dos usu�rios que est�o alterando a tabela.

Um grande aliado para o controle de acesso de usu�rios � o Schema de objetos. O schema � um agrupamento de objetos com acessos pr�-concebidos, e pode ser de um usu�rio, mas n�o necessariamente deve ter o usu�rio que a criou como seu dono.

Na Figura 4podemos identificar onde est�o localizados os schemas do banco de dados.

Por padr�o o schema inicial � o dbo e pertence ao owner do banco.

Localiza��o dos Schema

Figura 4. Localiza��o dos Schema.

� importante compreender que todo objeto possui um schema e os objetos podem pertencer a um schema e ser transferido para outro, assim como os usu�rios. Ent�o, se um funcion�rio for promovido para outro setor e s�o utilizados os schemas para controle de acesso, basta que seja alterado o schema do usu�rio promovido.

No momento de cria��o de um usu�rio j� � necess�rio informar a qual schema este novo usu�rio ir� pertencer, e sem a associa��o de um schema n�o ser� poss�vel finalizar a cria��o do usu�rio. Em objetos, como tabelas, caso n�o seja associado um schema, � assumido o schema padr�o (dbo).

A Figura 5mostra como � a cria��o de um usu�rio no banco de dados, com a escolha de um login a n�vel de banco e a associa��o a um schema.

Cria��o de usu�rio a n�vel de banco de dados

Figura 5. Cria��o de usu�rio a n�vel de banco de dados.

Para isso, basta localizar os users, conforme mostrado na Figura 3 . Logo ap�s, basta clicar com o bot�o direito do mouse em Users - New Users... e logo estar� dispon�vel em modo designer a Figura 5.

Outra forma pr�tica de controle de acesso a usu�rios � trabalhar com acessos de roles, que � a forma de agrupar ainda usu�rios no SQL Server. As roles restringem os usu�rios a comandos como CREATE, BACKUP, EXEC, Administra��o de logins, dentre outros.

Conforme visto na Figura 2 temos tamb�m a role public, a qual vem, por padr�o, somente com o m�nimo de acesso poss�vel ao banco de dados.

Existem tamb�m outras roles fixas:

db_owner
db_accessadmin
db_datareader
db_datawriter
db_ddladmin
db_securityadmin
db_backupoperator
db_denydatareader
db_denydatawriter

Estas roles n�o podem ser alteradas ou exclu�da por usu�rios. � poss�vel identific�-las no caminho mostrado na Figura 6.

Caminhos das Databases Roles

Figura 6. Caminhos das Databases Roles.

Para adicionar uma role a um banco de dados, basta utilizar sp_addrole, conforme mostrado na Listagem 5.

Listagem 5. Sintaxe de cria��o de database roles.


  EXEC sp_addrole �Nome�, �Dono da role�

Caso n�o seja especificado o �dono da role�, por padr�o, o SQL Server entender� que o dbo ser� adicionado como dono da role. Tamb�m n�o � poss�vel criar roles a n�vel de inst�ncia, pois roles est�o dispon�veis somente para cria��o a n�vel de banco de dados.

Para excluir uma role voc� pode utilizar a procedure sp_droprole conforme sintaxe da Listagem 6. Note que ser� necess�ria a utiliza��o do EXEC na composi��o da sintaxe por se tratar de procedures.

Listagem 6.Removendo Role


  EXEC sp_droprole �Nome da role�

Caso seja necess�rio identificar as roles dispon�veis atrav�s de sintaxe, voc� poder� utilizar o sp_helprole, conforme executado na Listagem 7 o qual n�o necessita de identifica��o de nome da role.

Listagem 7.Verificando informa��es de roles existente


  EXEC sp_helprole

Para adicionar um usu�rio a uma role voc� poder� utilizar o sp_addsvrrolemember que poder� observar a sintaxe na Listagem 8. Caso deseje remover um usu�rio da role basta utilizar os mesmos par�metros, s� que ao inv�s de utilizar sp_addsvrrolemember, execute sp_dropsvrrolemember com os mesmos par�metros, login e role.

Listagem 8. Adicionando um usu�rio a role.


  EXEC sp_addsvrrolemember �login�, �Role�

Adicionando e removendo permiss�es

Agora veremos os modos de conceder, remover ou negar acesso a usu�rios. Para isso, temos as seguintes op��es:

GRANT
REVOKE
DENY

GRANT concede acesso a usu�rios a um determinado objeto do banco de dados, seja de select, altera��o, remover ou ALL. Al�m disso, tamb�m pode ser utilizado a n�vel de inst�ncia.

Na Listagem 9 podemos ver a sintaxe para utilizarmos um GRANT.

Listagem 9. Concedendo acesso a n�vel de banco de dados.


  GRANT �permiss�o� ON �objeto� TO �usu�rio�

Em um exemplo concedendo acesso de atualiza��o na tabela de vendas, no local definido com privil�gio, voc� informaria UPDATE para o objeto que seria informado a TblVendas, e no local de login informaria o login do usu�rio ao qual ser� concedido o acesso de altera��o.

A sintaxe da Listagem 9 est� simplificada para facilitar a compreens�o. Caso seja necess�rio dar acessos do tipo DDL (Linguagem de defini��o de dados), basta informar como privil�gio CREATE, CREATE VIEW, DROP, TRUNCATE, entre outros.

Tamb�m � poss�vel disponibilizar acessos com o GRANT a n�vel de servidor. A sintaxe para isso � mostrada na Listagem 10, tendo como pequena altera��o somente a remo��o do objeto, contendo apenas privil�gio e usu�rio.

Listagem 10.Atribuindo acesso a n�vel de inst�ncia.


  GRANT �permiss�o� TO �usu�rio�

REVOKE ao contr�rio do GRANT a fun��o REVOKE retira a permiss�o concedida a um usu�rio, n�o confunda REVOKE com DENY, a fun��o REVOKE somente remove um acesso j� concedido.

Conforme podemos verificar na Listagem 11 , a fun��o REVOKE tem a sintaxe bem parecida com a GRANT.

Listagem 11.Removendo permiss�o a n�vel de banco de dados.


  REVOKE �permiss�o� ON �objeto� TO �usu�rio�

A utiliza��o do CASCADE no REVOKE retira todos os acessos concedidos em uma entidade. A op��o de utiliza��o do REVOKE ALL j� est� sendo retirada de uso. Antes de utiliz�-la, leia a documenta��o do SQL Server para verificar se ainda est� dispon�vel em sua vers�o. Portanto, d� prefer�ncia a especifica��o da permiss�o que deseja retirar.

Assim como a fun��o GRANT a fun��o REVOKE tamb�m pode ser utilizada a n�vel de inst�ncia.

DENY � uma fun��o muito confundida com a fun��o REVOKE, pois ela n�o permite um GRANT a um usu�rio em um objeto ou entidade.

Simplificando isso, caso deseje adicionar um usu�rio a um schema, mas n�o deseja que o mesmo n�o fa�a altera��o em determinada tabela que faz parte deste schema, basta voc� fazer um DENY de UPDATE no objeto.

Na Listagem 12 verificamos a sintaxe b�sica para realizar DENY em um objeto.

Listagem 12. Utilizando DENY a n�vel de banco de dados.


  DENY �permiss�o� ON �objeto� TO �usu�rio�

As fun��es GRANT, REVOKE e DENY n�o se diferenciam muito na sintaxe b�sica. O grande lance � como e quando utilizar. Tamb�m � poss�vel utilizar a fun��o DENY a n�vel de inst�ncia, conforme mostrado na Listagem 13 .

Listagem 13. Utilizando DENY a n�vel de inst�ncia.


  DENY �permiss�o� TO �usu�rio�

J� a fun��o SETUSER � de vers�es anteriores do SQL Server, mas tem a finalidade de testar as permiss�es de um usu�rio. Ent�o, antes de utiliz�-la, verifique a vers�o do seu SQL Server.

A restri��o da fun��o SETUSER � o suporte Microsoft, que s� est� dispon�vel para usu�rios SQL Server. Caso voc� esteja trabalhando com a fun��o e utilizando um usu�rio do sistema operacional (Windows authentication), o mesmo n�o ter� suporte.

SETUSER tem uma sintaxe simples, assim como podemos ver na Listagem 14.

Listagem 14.Utilizando a fun��o SETUSER.


  SETUSER �Usur�rio com acesso�;
  GO
  GRANT �permiss�o� ON �objeto� TO �usu�rio�;
  GO
  SETUSER

O exemplo acima utiliza o SETUSER um usu�rio que se passa por outro para testar suas permiss�es. Para utilizar esta fun��o � necess�rio que o usu�rio que se est� testando seja sysadmin ou db_owner.

Ao usar a fun��o SETUSER, caso o usu�rio tenha permiss�es DDL e, ao assumir voc� crie um objeto, o mesmo n�o pertencer� a voc�, mas sim ao usu�rio que voc� assumiu.

Neste artigo foi verificado informa��es de import�ncia para qualquer profissional que trabalha com banco de dados. � imprescind�vel que se mantenha um n�vel de seguran�a dos dados da aplica��o, agrupamento de acesso e como conceder, retirar e negar acesso. Algumas cl�usulas podem ter restri��es dependendo da sua vers�o do SQL Server.

Bibliografia

http://msdn.microsoft.com/pt-br/library/ms123401.aspx

http://technet.microsoft.com/pt-br/library/aa991542.aspx

Confira outros conte�dos:

SQL SUM: somando os valores de uma...

SQL: INNER JOIN

SQL: Introdu��o ao Where

Assista grátis a nossa aula inaugural

Perguntas frequentes

Quem somos?

Por que a programação se tornou a profissão mais promissora da atualidade?

Como faço para começar a estudar?

Em quanto tempo de estudo vou me tornar um programador?

Sim, você pode se tornar um programador e não precisa ter diploma de curso superior!

O que eu irei aprender estudando pela DevMedia?

Principais diferenciais da DevMedia

Qual o investimento financeiro que preciso fazer para me tornar um programador?

Como funciona a forma de pagamento da DevMedia?

Por Thiago Em 2014

Nossos casos de sucesso

Leonardo Carlos

Eu sabia pouqu�ssimas coisas de programa��o antes de come�ar a estudar com voc�s, fui me especializando em v�rias �reas e ferramentas que tinham na plataforma, e com essa bagagem consegui um est�gio logo no in�cio do meu primeiro per�odo na faculdade.

Lucas Rodrigues

Estudo aqui na Dev desde o meio do ano passado! Nesse per�odo a Dev me ajudou a crescer muito aqui no trampo.
Fui o primeiro desenvolvedor contratado pela minha empresa. Hoje eu lidero um time de desenvolvimento!
Minha meta � continuar estudando e praticando para ser um Full-Stack Dev!

Her�clito J�nior

Economizei 3 meses para assinar a plataforma e sendo sincero valeu muito a pena, pois a plataforma � bem intuitiva e muuuuito did�tica a metodologia de ensino. Sinto que estou EVOLUINDO a cada dia. Muito obrigado!

Julio Cablen

Nossa! Plataforma maravilhosa. To amando o curso de desenvolvimento front-end, tinha coisas que eu ainda n�o tinha visto. A did�tica � do jeito que qualquer pessoa consegue aprender. S�rio, to apaixonado, adorando demais.

Joelberth Sena

Adquiri o curso de voc�s e logo percebi que s�o os melhores do Brasil. � um passo a passo incr�vel. S� n�o aprende quem n�o quer. Foi o melhor investimento da minha vida!

Felipe Nunes

Foi um dos melhores investimentos que j� fiz na vida e tenho aprendido bastante com a plataforma. Voc�s est�o fazendo parte da minha jornada nesse mundo da programa��o, irei assinar meu contrato como programador gra�as a plataforma.

Wanderson Oliveira

Comprei a assinatura tem uma semana, aprendi mais do que 4 meses estudando outros cursos. Exerc�cios pr�ticos que n�o tem como n�o aprender, est�o de parab�ns!

Jos� Lucas

Obrigado DevMedia, nunca presenciei uma plataforma de ensino t�o presente na vida acad�mica de seus alunos, parab�ns!

Eduardo Dorneles

Aprendi React na plataforma da DevMedia h� cerca de 1 ano e meio... Hoje estou h� 1 ano empregado trabalhando 100% com React!

Adauto Junior

J� fiz alguns cursos na �rea e nenhum � t�o bom quanto o de voc�s. Estou aprendendo muito, muito obrigado por existirem. Est�o de parab�ns... Espero um dia conseguir um emprego na �rea.

Ver todos os casos de sucesso