Gerenciando a segurança no SQL Server 2000

Ol� pessoal!

Neste artigo trataremos de um dos aspectos mais importantes na vida profissional de um�DBA:�gerenciamento da seguran�a. Aprenderemos obre�cria��o�de�logins,�cria��o de�users,�associa��o de�logins e users�a cargos de servidor e de bancos de dados. Al�m disso, veremos a cria��o de cargos definidos pelo usu�rio, atribui��es de permiss�es de instru��es e permiss�es de objetos.

Contas de Login e contas de usu�rio (user)

O processo de autentica��o no SQL Server 2000 ocorre em duas etapas:�autentica��o login, onde o SQL Server verifica se o usu�rio tem permiss�o para acessar o servidor de banco de dados, e�valida��o das permiss�es, processo no qual o SQL Server verifica se o usu�rio possui permiss�es para acessar um objeto espec�fico dentro de um banco de dados. Portanto, n�o basta apenas �entrar�, ter acesso ao servidor. � preciso ter permiss�o de acesso nos objetos de cada banco de dados do servidor em quest�o.

Para conectar-se a um servidor SQL Server 2000, um usu�rio pode usar autentica��o windows ou autentica��o SQL Server. Na primeira abordagem o SQL Server �confia� no sistema operacional, windows NT / 2000 / 2003, e n�o solicita login e senha ao usu�rio que deseja conectar-se ao servidor de banco de dados. Isso ocorre porque o SQL Server parte do pressuposto de que o Sistema Operacional j� realizou o processo de autentica��o quando do login do usu�rio na rede. � importante lembrar que essa estrat�gia de autentica��o, conhecida como�Trusted Connection�� conex�o confi�vel, s� pode ser utilizada quando a totalidade dos clientes forem windows.

A outra estrat�gia de autentica��o permitida no SQL Server 2000 � a autentica��o SQL. Nessa abordagem o SQL Server solicita um login e uma senha ao usu�rio que deseja se conectar. � um mecanismo muito utilizado quando os clientes da rede n�o s�o 100% windows ou quando h� clientes Internet.

Selecionando o modo de autentica��o

No�Enterprise Manager�� poss�vel configurar o modo de autentica��o para Modo Misto (Windows ou SQL Server) ou Modo Autentica��o Windows. Para tanto, basta clicar com o bot�o direito do mouse no servidor de banco de dados desejado e em seguida escolher a op��o propriedades. Na aba�Security,�selecione a op��o de autentica��o desejada.

Figura 1: Selecionendo um modo de autentica��o

Criando contas de login do Windows no SQL Server 2000

Quando a estrat�gia usada for autentica��o windows, o gerenciamento das contas de login de usu�rios ou grupos de usu�rios do windows NT / 2000 / 2003 dentro do SQL Server ser� feito pelas procedures:

Procedimento	Descri��o
sp_grantlogin	Cria uma conta de login de um usu�rio ou grupo do Windows no SQL Server.
sp_revokelogin	Remove uma conta de login de um usu�rio ou grupo do Windows do SQL Server.
sp_denylogin	Impede o acesso de uma conta de login de um usu�rio ou grupo do Windows ao SQL Server.

Exemplo:

Cria o login rrocha, no SQL Server, associado � conta de login de usu�rio�Universo\rrocha.

sp_grantlogin �Universo\rrocha�

Impede o login do usu�rio rrocha ao SQL Server

sp_denylogin �Universo\rrocha�

Remove o usu�rio rrocha do SQL Server

sp_revokelogin �Universo\rrocha�

Criando contas de login do SQL Server no SQL Server

Se a estrat�gia usada for autentica��o SQL, o gerenciamento das contas de login ser� realizado a partir de outro conjunto de procedimentos armazenados:

Procedimento	Descri��o
sp_addlogin	Cria uma conta de login do SQL Server no SQL Server.
sp_droplogin	Remove uma conta de login do SQL Server.

Exemplo:

Adiciona uma conta de login, rrocha, com a senha 123456

sp_addlogin �rrocha�, �123456�

Remove a conta de login rrocha do SQL Server

sp_droplogin �rrocha�

Se desejar, tamb�m poder� criar contas de login, independente do modo de autentica��o, utilizando a interface gr�fica do�Enterprise Manager. A figura 2.0 mostra onde escolher uma das duas abordagens descritas anteriormente. Para acessa-la basta expandir o servidor de banco de dados e em seguida clicar em�Security/Logins�com o bot�o direito e escolher�new login�(novo login). A partir da� escolha o tipo da autentica��o e informe o nome da conta de login que deseja incluir no SQLServer.

Observa��o importante:�Ao escolher�SQL Server Authentication, o SQL Server solicitar� a digita��o de uma senha de acesso para a conta de login.

Figura 2: Criando contas de login

Observa��o importante:�A cria��o de contas de login�n�o garante�o acesso a um banco de dados espec�fico. Para acessar bancos de dados dentro de um servidor, o usu�rio precisa possuir contas de usu�rio,�user, em cada banco de dados que deseja acessar.

Criando contas de usu�rio (user) em um banco de dados espec�fico

Para gerenciar contas de usu�rio,�users, em um banco de dados espec�fico usaremos duas�stored procedures:

Procedimento	Descri��o
sp_grantdbaccess	Garante o acesso de um usu�rio a um banco de dados espec�fico.
sp_revokedbaccess	Remove o acesso de um usu�rio a um banco de dados espec�fico.

Exemplo:

Cria um usu�rio, rrocha, no banco de dados atual associado � conta de login rrocha.

sp_grantdbaccess �rrocha�,�rrocha�

Remove o usu�rio, rrocha, do banco de dados atual.

sp_revokedbaccess���rrocha�

Pela interface gr�fica do�Entrerprise Manager, a cria��o de usu�rios � bastante simples. Para acessa-la basta expandir o servidor de banco de dados e em seguida clicar em�Security/Logins.�Do lado direito da tela, aparecer�o todos os logins existentes no servidor atual. Escolha qual login pretende dar acesso a um banco de dados, clique com o bot�o direito do mouse sobre ele e escolha propriedades. Em seguida clique na aba�Database Access. Nessa aba, escolha para qual banco de dados o login deve ter acesso clicando na coluna�Permit. Depois disso, basta clicar em�Ok.

Figura 3: Criando contas de usu�rio

Associando logins e usu�rios a cargos fixos de servidor e cargos fixos de bancos de dados

Visando garantir um conjunto de privil�gios administrativos pr�-definidos, o SQL Server disp�e de alguns perfis,�cargos, em n�vel de servidor e em n�vel de bancos de dados. Estes cargos funcionam como um�grupoque possui permiss�es espec�ficas e n�o podem ser alterados ou exclu�dos.

Cargos Fixos de Servidor

Segue abaixo a lista dos cargos fixos de servidor.

Figura 4: Cargos fixos de servidor

Cargos Fixos de Bancos de Dados

Segue abaixo a lista dos cargos fixos de bancos de dados

Figura 5: Cargos fixos de bancos de dados

Para atribuir contas de login a cargos fixos de servidor usamos as seguintes�stored procedures:

Procedimento	Descri��o
sp_addsrvrolemember	Adiciona uma conta de login a um cargo fixo de servidor.
sp_dropsrvrolemember	Remove uma conta de login de um cargo fixo de servidor.

Exemplo:

Adiciona o login do usu�rio, rrocha, ao cargo fixo de servidor�sysadmin�(System Administrators).

sp_addsrvrolemember �rrocha�,�sysadmin�

Remove o login do usu�rio, rrocha, do cargo fixo de servidor�sysadmin�(System Administrators).

sp_dropsrvrolemember �rrocha�,�sysadmin�

Para atribuir contas de usu�rio a cargos fixos de bancos de dados usamos as seguintes�stored procedures:

Procedimento	Descri��o
sp_addrolemember	Adiciona uma conta de usu�rio a um cargo fixo de banco de dados.
sp_droprolemember	Remove uma conta de usu�rio de um cargo fixo de banco de dados.

Exemplo:

Adiciona o usu�rio, rrocha, ao cargo fixo de banco de dados�db_owner�(Dono do banco de dados).

sp_addrolemember �db_owner�,� rrocha�

Remove o usu�rio, rrocha, do cargo fixo de banco de dados�db_owner�(Dono do banco de dados).

sp_droprolemember �db_owner�,� rrocha�

Se desejar atribuir contas de login ou contas de usu�rios a cargos fixos usando a interface gr�fica do�Enterprise Manager, basta abrir a mesma tela mostrada na figura 3.0. Uma vez na tela, clique nas abas�Server Roles�(para cargos fixos de servidor) ou�Database Access�(para cargos fixos de bancos de dados). As figuras 6.0 e 7.0 ilustram as abas descritas.

Figura 6: Atribuindo contas de login a cargos fixos de servidor

��

Figura 7: Atribuindo contas de usu�tio a cargos fixos de banco de dados

Cargos definidos pelo usu�rio

Em certas situa��es necessitamos reunir um grupo de permiss�es e atribu�-las a usu�rios com o mesmo perfil de atividades. Nesses casos indicam-se a cria��o de cargos, perfis, definidos pelo usu�rio. Ap�s a cria��o do cargo, basta atribuir as permiss�es desejadas e em seguida adicionar os usu�rios. O gerenciamento de permiss�es a grupos de usu�rios, cargos, � muito mais efetivo e simples do que para cada usu�rio individual. Isso reduz a carga de trabalho administrativo do DBA liberando-o para outras atividades.

Criando cargos definidos pelo usu�rio

Para gerenciar cargos definidos pelo usu�rio utilizaremos duas�stored procedures:

Procedimento	Descri��o
sp_addrole	Cria um cargo definido pelo usu�rio.
sp_droprole	Remove um cargo definido pelo usu�rio.

Exemplo:

Cria o cargo�Comercial�cujo propriet�rio � o usu�rio�rrocha.�OBS: Se o segundo par�metro for omitido, o propriet�rio ser� considerado�DBO.

sp_addrole �Comercial�,�rrocha��

Remove o cargo definido pelo usu�rio.�OBS: O cargo n�o pode conter usu�rios associados para que seja exclu�do.

sp_droprole �Comercial�

Para associar usu�rios a cargos definidos pelo usu�rio, o procedimento � exatamente igual ao definido no t�pico �Associando logins e usu�rios a cargos fixos de servidor e cargos fixos de bancos de dados�.

Atribui��o de permiss�es a usu�rios e cargos definidos pelo usu�rio

Ap�s criamos contas de login, contas de usu�rios, cargos definidos pelo usu�rio e de ter atribu�do contas de login e contas de usu�rio a cargos, devemos atribuir permiss�es tanto a contas de usu�rio quanto a cargos para refor�ar a seguran�a no SQL Server 2000. Assim teremos a seguran�a em tr�s n�veis:

1� n�vel - acesso ao servidor�� apenas atrav�s de uma conta de login v�lida;
2� n�vel - acesso a um banco de dados espec�fico�� apenas atrav�s de uma conta de usu�rio v�lida no banco de dados espec�fico;
3� n�vel - acesso a um objeto espec�fico dentro de um banco espec�fico�� apenas atrav�s da atribui��o de permiss�o expl�cita para esse usu�rio ou cargo para o qual o mesmo perten�a.

As permiss�es especificam os objetos que um determinado usu�rio ou cargo ter� acesso em um banco de dados espec�fico.

Permiss�es de instru��o

As atividades que envolvem a cria��o de objetos de banco de dados exigem a classe de permiss�es denominadas permiss�es de instru��es. As permiss�es de instru��es d�o aos usu�rios o privil�gio de emitir certas instru��es Transact-SQL. S�o elas:

Permiss�es de instru��o

CREATE DATABASE

CREATE TABLE

CREATE VIEW

CREATE PROCEDURE

CREATE RULE

CREATE DEFAULT

CREATE FUNCTION

BACKUP DATABASE

BACKUP LOG

Permiss�es de objeto

As atividades que envolvem acesso a dados exigem��a classe denominada de permiss�es de objeto. S�o elas:

Permiss�es de Objeto

SELECT

INSERT

UPDATE

DELETE

REFERENCES

EXEC

Concedendo, negando e revogando permiss�es

Para atribuir as permiss�es usamos tr�s comandos Transact-SQL:�GRANT, REVOKE e DENY.

O comando�GRANT�� usado para garantir o direito de acesso a um determinado objeto.

O comando�REVOKE�� usado para retirar o direito de acesso a um determinado objeto. Por�m, se o usu�rio pertencer a um outro cargo que possua o direito sobre o objeto, como as permiss�es se somam, o usu�rio passar� a ter acesso ao objeto mesmo que diretamente ele n�o tenha permiss�o para tal.

O comando�DENY�� usado para retirar o direito de acesso a um determinado objeto e impedir que o usu�rio tenha acesso atrav�s da condi��o de membro de outro cargo que possua o direito. Ou seja, a diferen�a entre�REVOKE�e�DENY�� que o estado das permiss�es, no comando�REVOKE, pode ser alterada pela condi��o de membro de outro cargo que possua as permiss�es garantidas. No DENY�isso n�o ocorre. As permiss�es ser�o negadas mesmo que atrav�s de outro cargo elas sejam concedidas.

Figura 8: Estados de permiss�o

�

Usando Transact-SQL podemos conceder, negar e revogar as permiss�es da seguinte forma:

Garante os acessos de�select�e�insert�� tabela�tb_fornecedor�para o usu�rio�rrocha.

grant select, insert on tb_fornecedor to rrocha

Remove o acesso�select�na tabela�tb_fornecedor�do usu�rio�rrocha.

revoke select on tb_fornecedor from rrocha

Nega o acesso�select�� tabela�tb_fornecedor�para o usu�rio�rrocha.

deny select on tb_fornecedor to rrocha

Atrav�s do Enterprise Manager pode-se atribuir GRANT, DENY e REVOKE da seguinte forma: clique no banco de dados desejado, expanda a op��o�tables�(tabelas) e clique com o bot�o direito em cima da tabela desejada. Em seguida escolha a op��o�properties�(propriedades). Dever� surgir uma tela igual a seguinte:

Figura 9: Propriedades da tabela

�

Basta clicar na op��o�permissions�(permiss�es) e escolher qual a permiss�o ser� atribu�da: GRANT, DENY ou REVOKE.

Figura 10: Atribuindo permiss�es

�

Conclus�o

Finalizamos um importante cap�tulo para qualquer DBA: gerenciamento da seguran�a. Espero que o artigo tenha ajudado a esclarecer aspectos que muitas vezes s�o esquecidos ou negligenciados. At� a pr�xima!

Confira outros conte�dos:

SQL SUM: somando os valores de uma...

SQL: INNER JOIN

SQL: Introdu��o ao Where

Assista grátis a nossa aula inaugural

Perguntas frequentes

Quem somos?

Por que a programação se tornou a profissão mais promissora da atualidade?

Como faço para começar a estudar?

Em quanto tempo de estudo vou me tornar um programador?

Sim, você pode se tornar um programador e não precisa ter diploma de curso superior!

O que eu irei aprender estudando pela DevMedia?

Principais diferenciais da DevMedia

Qual o investimento financeiro que preciso fazer para me tornar um programador?

Como funciona a forma de pagamento da DevMedia?

Por Reydeval Em 2006

Nossos casos de sucesso

Leonardo Carlos

Eu sabia pouqu�ssimas coisas de programa��o antes de come�ar a estudar com voc�s, fui me especializando em v�rias �reas e ferramentas que tinham na plataforma, e com essa bagagem consegui um est�gio logo no in�cio do meu primeiro per�odo na faculdade.

Lucas Rodrigues

Estudo aqui na Dev desde o meio do ano passado! Nesse per�odo a Dev me ajudou a crescer muito aqui no trampo.
Fui o primeiro desenvolvedor contratado pela minha empresa. Hoje eu lidero um time de desenvolvimento!
Minha meta � continuar estudando e praticando para ser um Full-Stack Dev!

Her�clito J�nior

Economizei 3 meses para assinar a plataforma e sendo sincero valeu muito a pena, pois a plataforma � bem intuitiva e muuuuito did�tica a metodologia de ensino. Sinto que estou EVOLUINDO a cada dia. Muito obrigado!

Julio Cablen

Nossa! Plataforma maravilhosa. To amando o curso de desenvolvimento front-end, tinha coisas que eu ainda n�o tinha visto. A did�tica � do jeito que qualquer pessoa consegue aprender. S�rio, to apaixonado, adorando demais.

Joelberth Sena

Adquiri o curso de voc�s e logo percebi que s�o os melhores do Brasil. � um passo a passo incr�vel. S� n�o aprende quem n�o quer. Foi o melhor investimento da minha vida!

Felipe Nunes

Foi um dos melhores investimentos que j� fiz na vida e tenho aprendido bastante com a plataforma. Voc�s est�o fazendo parte da minha jornada nesse mundo da programa��o, irei assinar meu contrato como programador gra�as a plataforma.

Wanderson Oliveira

Comprei a assinatura tem uma semana, aprendi mais do que 4 meses estudando outros cursos. Exerc�cios pr�ticos que n�o tem como n�o aprender, est�o de parab�ns!

Jos� Lucas

Obrigado DevMedia, nunca presenciei uma plataforma de ensino t�o presente na vida acad�mica de seus alunos, parab�ns!

Eduardo Dorneles

Aprendi React na plataforma da DevMedia h� cerca de 1 ano e meio... Hoje estou h� 1 ano empregado trabalhando 100% com React!

Adauto Junior

J� fiz alguns cursos na �rea e nenhum � t�o bom quanto o de voc�s. Estou aprendendo muito, muito obrigado por existirem. Est�o de parab�ns... Espero um dia conseguir um emprego na �rea.

Ver todos os casos de sucesso

Gerenciando a seguran�a no SQL Server 2000

Esse artigo apresenta alguns aspectos de seguran�a do SQL Server 2000. Confira como trabalhar com eles e gerenciar a seguran�a no SQL Server.

Contas de Login e contas de usu�rio (user)

Selecionando o modo de autentica��o

Criando contas de login do Windows no SQL Server 2000

Criando contas de login do SQL Server no SQL Server

Criando contas de usu�rio (user) em um banco de dados espec�fico

Associando logins e usu�rios a cargos fixos de servidor e cargos fixos de bancos de dados

Cargos Fixos de Servidor

Cargos Fixos de Bancos de Dados

Cargos definidos pelo usu�rio

Criando cargos definidos pelo usu�rio

Atribui��o de permiss�es a usu�rios e cargos definidos pelo usu�rio

Permiss�es de instru��o

Permiss�es de objeto

Concedendo, negando e revogando permiss�es

Conclus�o

Confira outros conte�dos:

SQL SUM: somando os valores de uma...

SQL: INNER JOIN

SQL: Introdu��o ao Where

Perguntas frequentes

Nossos casos de sucesso