Administración de la

seguridad
Introducción

 Implementación del modo de

Autenticación
 Asignación de cuentas de inicio de
sesión a usuarios
y funciones
 Asignación de permisos a usuarios y
funciones
 Administración de la seguridad en SQL
Server
 Administración de la seguridad de la
aplicación
 Implementación del modo de
Autenticación

 Proceso de autenticación
 Elección del modo de autenticación
 Autenticación mutua con Kerberos
 Representación y delegación
 Cifrado
 Pasos para implementar un Modo de
autenticación
 Creación de cuentas de inicio de
sesión
 Configuración de cuentas de inicio de
sesión
 Se guardan los usuarios
Proceso de autenticación
select * from sysxlogins

Comprueba la
sysxlogins
entrada en la
tabla syslogins;
comprueba que
Windows 2000
ha autenticado la
Windows 2000
Grupo o usuario
de Windows 2000
contraseña

SQL Server sysxlogins

Comprueba la
entrada en la
tabla syslogins
y comprueba la
Cuenta de inicio de contraseña
sesión de SQL Server
Elección del modo de autenticación
Grupo, los permisos son heredados
por los miembros del grupo .
 Ventajas del Modo de autenticación de
Windows
 Características de seguridad avanzadas
 Agregar grupos como una cuenta
 Acceso rápido
 Ventajas del Modo mixto
 Pueden usarlo para conectarse clientes
que no sean Windows 2000 o clientes
Internet
Autenticación mutua con Kerberos

Kerberos

Cifrado
Datos
Contraseña

Autenticación mutua

Usuario SQL Server

Representación y delegación

Representación
Sistema
de archivos
SQL Server

Delegación

SQL Server
Cifrado

 Cifrado interno
 Contraseñas de inicio de sesión
 Definiciones de Transact-SQL
 Cifrado de red
 Pasos para implementar un Modo de
autenticación

Establecer el modo de autenticación

Detener y reiniciar el servicio MSSQLServer

Crear grupos y usuarios de Windows 2000

Autorizar a grupos y usuarios de Windows 2000 a que teng

acceso a SQL Server
Crear cuentas de inicio de sesión de SQL Server para usuar
que se conectan con conexiones en las que no se confía
Creación de cuentas de inicio de
sesión

master.sysxlogins

name dbname password

BUILTIN\Administradores master NULL

accountingdomain\payroll Northwind NULL
accountingdomain\maria Northwind NULL
mary pubs ********
sa master ********
  Asignación de cuentas de inicio de
sesión a
usuarios y funciones
Northwind.sysprotects

id uid action protecttype

1977058079 0 193 205
1977058079 0 195 205
Los permisos se
1977058079 0 196 205
almacenan aquí Los usuarios se
1977058079 7 193 205
almacenan aquí

Northwind.sysusers
uid name

0 public
1 dbo
3 INFORMATION_SCHEMA
7 payroll
Asignación de cuentas de inicio de
sesión a cuentas de usuario

 Agregar cuentas de usuario

 Administrador corporativo de SQL Server
 Procedimiento almacenado del sistema
sp_grantdbaccess
 Cuenta de usuario dbo
 Cuenta de usuario guest
 Asignación de cuentas de inicio de
sesión a funciones

 Funciones fijas de servidor

 Funciones fijas de base de datos
 Funciones de base de datos definidas
por el usuario
 Asignación de cuentas de inicio de
sesión a cuentas
de usuario y funciones
Funciones fijas de servidor

Función Permiso
sysadmin //sa Realizar cualquier actividad
dbcreator Crear y alterar bases de datos
diskadmin Administrar archivos de disco
processadmin Administrar procesos de SQL Server
serveradmin Configurar el servidor
setupadmin Instalar duplicación //replicación
securityadmin Administrar y auditar inicios de sesión
bulkadmin Ejecutar instrucciones BULK INSERT
 Funciones fijas de base de datos

Función Permiso
Public // Northwind, Pubs Mantener los permisos predeterminados

db_owner Realizar cualquier actividad de funciones

Agregar o eliminar usuarios de bases de datos,
db_accessadmin grupos y funciones
db_ddladmin Agregar, modificar o eliminar objetos // Select, Insert, Update, D

db_security admin Asignar permisos de funciones y objetos

db_backupoperator Realizar copias de seguridad y restauraciones

db_datareader Leer datos de cualquier tabla // Select

db_datawriterAgregar, cambiar o eliminar datos de las tablas // Insert, Update,

db_denydatareader No puede leer los datos de cualquier tabla

db_denydatawriter No puede cambiar los datos de cualquier tabla

Funciones de base de datos
definidas por el usuario

Agregue una función:

 Cuando un grupo de personas necesite
realizar el mismo conjunto de
actividades en SQL Server
 Si no tiene permisos para administrar
las cuentas de usuario de Windows
2000
 Asignación de permisos a usuarios
y funciones

 Tipos de permisos
 Concesión, denegación y revocación
de permisos
 Concesión de permisos para permitir el
acceso
 Denegación de permisos para impedir el
acceso
 Revocación de permisos concedidos y
denegados
 Tipos de permisos

Instrucción Objeto Predefinido

CREATE DATABASE SELECT Función fija

CREATE TABLE INSERT Propietario de objeto
TABLA
UPDATE
CREATE VIEW VISTA
DELETE
CREATE PROCEDURE REFERENCES

CREATE RULE
CREATE DEFAULT SELECT
UPDATE COLUMNA
CREATE FUNCTION REFERENCES
BACKUP DATABASE
BACKUP LOG PROCEDIMIENTO
EXEC ALMACENADO
 Concesión, denegación y
revocación de permisos

REVOKE:
Neutral

GRANT: DENY:
Puede No puede
ejecutar una acción ejecutar una acción
Concesión de permisos para permitir
el acceso

Usuario/Función SELECT INSERT UPDATE DELETE DRI

Eva
Ivan
David
public
 Denegación de permisos para
impedir el acceso

Usuario/Función SELECT INSERT UPDATE DELETE DRI

Eva
Ivan
David
public
 Revocación de permisos concedidos
y denegados

Usuario/Función SELECT INSERT UPDATE DELETE DRI

Eva
Ivan
David
public
Administración de la seguridad en
SQL Server
 Determinación del uso de cuentas de
inicio de sesión predeterminadas
 sa
 BUILTIN\Administradores
 Determinación de la función de la
cuenta de
usuario guest
 Determinación de los permisos de la
función public
 Aplicación de permisos a las funciones
 Creación de objetos con el propietario
dbo
 Protección de los pasos de trabajo
CmdExec y ActiveScripting
 Administración de la seguridad de
la aplicación

 Administración de la seguridad con

vistas y procedimientos almacenados
 Administración de la seguridad de las
aplicaciones de cliente con funciones
de aplicación
Administración de la seguridad con
vistas y procedimientos
almacenados

SELECT * FROM Employee_View SELECT * FROM Employees

EXEC Employee_Update 1, 9

Employees
EmployeeID LastName FirstName ReportsTo ...
1 Davolio Nancy 2
2 Fuller Andrew
3 Leverling Janet 2
  Administración de la seguridad de
aplicaciones de cliente con
funciones de aplicación

Microsoft Excel
Aplicación de entrada de pedidos

Orders
OrderID CustomerID EmployeeID ...
10248 VINET 3
10249 TOMSP 1
10250 HANAR 2
Creación de funciones de aplicación

 La creación de una función de

aplicación inserta una fila en la tabla
sysusers
 Administración de los permisos de las
funciones de aplicación
Activación de funciones de
aplicación

 El usuario debe especificar la

contraseña
 El alcance es la base de datos actual:
si el usuario cambia a otra base de
datos, el usuario tiene los permisos de
usuario de esa base de datos
 La función no puede desactivarse
hasta que el'SalesApp',
EXEC sp_setapprole usuario se desconecte
{ENCRYPT N'hg_7532LR'}, 'ODBC'
 Administración de la seguridad de
SQL Server
en la empresa

 Utilización de la directiva de grupo

para proteger SQL Server
 Utilización de servidores proxy,
servidores de seguridad y enrutadores
 Utilización del cifrado en las
comunicaciones para proteger datos
Utilización de la directiva de grupo
para proteger
SQL Server

 Áreas de seguridad que se pueden

configurar
 Directivas de cuenta
 Grupos restringidos
 Directivas de software
Utilización de servidores proxy,
servidores de seguridad y
enrutadores

Internet

Pr
Usuario

ot Microsoft

eg
Proxy Server

er
SQL Server
Utilización del cifrado en las
comunicaciones para proteger datos

 Seguridad del protocolo Internet

 Capa de sockets seguros