Administracin de la

seguridad

Introduccin

Implementacin del modo de Autenticacin

Asignacin de cuentas de inicio de sesin a usuarios

y funciones

Asignacin de permisos a usuarios y funciones

Administracin de la seguridad en SQL Server

Administracin de la seguridad de la aplicacin

Administracin de la seguridad de SQL Server en

la empresa

 Implementacin del modo de Autenticacin

Proceso de autenticacin

Eleccin del modo de autenticacin

Autenticacin mutua con Kerberos

Representacin y delegacin

Cifrado

Pasos para implementar un Modo de autenticacin

Creacin de cuentas de inicio de sesin

Configuracin de cuentas de inicio de sesin

Proceso de autenticacin

Grupo o usuario
de Windows 2000

Windows 2000

Comprueba
Compruebalala
entrada
entradaen
enlala
tabla
tablasyslogins;
syslogins;
comprueba
compruebaque
que
Windows
Windows2000
2000
ha
haautenticado
autenticadolala
contrasea
contrasea

SQL Server

Cuenta de inicio de
sesin de SQL Server

Comprueba la
entrada en la
tabla syslogins
y comprueba la
contrasea

sysxlogins
sysxlogins

sysxlogins
sysxlogins

Eleccin del modo de autenticacin

Ventajas del Modo de autenticacin de Windows

Caractersticas de seguridad avanzadas

Agregar grupos como una cuenta

Acceso rpido

Ventajas del Modo mixto

Pueden usarlo para conectarse clientes que no sean

Windows 2000 o clientes Internet

Autenticacin mutua con Kerberos

Kerberos

Cifrado
Datos
Contrasea

Autenticacin
Autenticacin mutua
mutua

Usuario

SQL Server

Representacin y delegacin

Representacin
Sistema
de archivos
SQL Server

Delegacin

SQL Server

Cifrado

Cifrado interno

Contraseas de inicio de sesin

Definiciones de Transact-SQL

Cifrado de red

Pasos para implementar un Modo de autenticacin

Establecer
Establecerelelmodo
modode
deautenticacin
autenticacin
Detener
Deteneryyreiniciar
reiniciarelelservicio
servicioMSSQLServer
MSSQLServer
Crear
Creargrupos
gruposyyusuarios
usuariosde
deWindows
Windows2000
2000
Autorizar
Autorizaraagrupos
gruposyyusuarios
usuariosde
deWindows
Windows2000
2000aaque
quetengan
tengan
acceso
accesoaaSQL
SQLServer
Server
Crear
Crearcuentas
cuentasde
deinicio
iniciode
desesin
sesinde
deSQL
SQLServer
Serverpara
parausuarios
usuarios
que
quese
seconectan
conectancon
conconexiones
conexionesen
enlas
lasque
queno
nose
seconfa
confa

Creacin de cuentas de inicio de sesin

master.sysxlogins
master.sysxlogins
name
name

dbname
dbname

password
password

BUILTIN\Administradores
BUILTIN\Administradores
accountingdomain\payroll
accountingdomain\payroll
accountingdomain\maria
accountingdomain\maria
mary
mary
sa
sa

master
master
Northwind
Northwind
Northwind
Northwind
pubs
pubs
master
master

NULL
NULL
NULL
NULL
NULL
NULL
********
********
********
********

 Asignacin de cuentas de inicio de sesin a

usuarios y funciones
Northwind.sysprotects
Northwind.sysprotects

Los
Lospermisos
permisosse
se
almacenan
almacenanaqu
aqu

id
id

uid
uid

action
action protecttype
protecttype

1977058079
1977058079
1977058079
1977058079
1977058079
1977058079
1977058079
1977058079

00
00
00
77

193
193
195
195
196
196
193
193

205
205
205
205
205
205
205
205

Los
Losusuarios
usuariosse
se
almacenan
almacenanaqu
aqu

Northwind.sysusers
Northwind.sysusers
uid
uid

name
name

00
11
33
77

public
public
dbo
dbo
INFORMATION_SCHEMA
INFORMATION_SCHEMA
payroll
payroll

Asignacin de cuentas de inicio de sesin a cuentas

de usuario

Agregar cuentas de usuario

Administrador corporativo de SQL Server

Procedimiento almacenado del sistema

sp_grantdbaccess

Cuenta de usuario dbo

Cuenta de usuario guest

 Asignacin de cuentas de inicio de sesin a

funciones

Funciones fijas de servidor

Funciones fijas de base de datos

Funciones de base de datos definidas por el usuario

Asignacin de cuentas de inicio de sesin a cuentas

de usuario y funciones

Funciones fijas de servidor

Funcin
Funcin

Permiso
Permiso

sysadmin
sysadmin

Realizar
Realizarcualquier
cualquieractividad
actividad

dbcreator
dbcreator

Crear
Crearyyalterar
alterarbases
basesde
dedatos
datos

diskadmin
diskadmin

Administrar
Administrararchivos
archivos de
dedisco
disco

processadmin
processadmin

Administrar
Administrarprocesos
procesosde
deSQL
SQLServer
Server

serveradmin
serveradmin

Configurar
Configurarel
elservidor
servidor

setupadmin
setupadmin

Instalar
Instalar duplicacin
duplicacin

securityadmin
securityadmin

Administrar
Administraryyauditar
auditarinicios
iniciosde
desesin
sesin

bulkadmin
bulkadmin

Ejecutar
Ejecutarinstrucciones
instruccionesBULK
BULKINSERT
INSERT

Funciones fijas de base de datos

Funcin
Funcin

Permiso
Permiso

public
public

Mantener
Mantenerlos
lospermisos
permisospredeterminados
predeterminados

db_owner
db_owner

db_ddladmin
db_ddladmin

Realizar
Realizarcualquier
cualquieractividad
actividadde
defunciones
funciones
Agregar
Agregarooeliminar
eliminarusuarios
usuariosde
debases
basesde
dedatos,
datos,
grupos
y
funciones
grupos y funciones
Agregar,
Agregar,modificar
modificarooeliminar
eliminarobjetos
objetos

db_security
db_securityadmin
admin

Asignar
Asignarpermisos
permisosde
defunciones
funcionesyyobjetos
objetos

db_backupoperator
db_backupoperator

Realizar
Realizarcopias
copiasde
deseguridad
seguridadyyrestauraciones
restauraciones

db_datareader
db_datareader

Leer
Leerdatos
datosde
decualquier
cualquiertabla
tabla

db_datawriter
db_datawriter

Agregar,
Agregar,cambiar
cambiarooeliminar
eliminardatos
datosde
delas
lastablas
tablas

db_denydatareader
db_denydatareader

No
Nopuede
puedeleer
leerlos
losdatos
datosde
decualquier
cualquiertabla
tabla

db_denydatawriter
db_denydatawriter

No
Nopuede
puedecambiar
cambiarlos
losdatos
datosde
decualquier
cualquiertabla
tabla

db_accessadmin
db_accessadmin

Funciones de base de datos definidas por el usuario

Agregue una funcin:

Cuando un grupo de personas necesite realizar el

mismo conjunto de actividades en SQL Server

Si no tiene permisos para administrar las cuentas de

usuario de Windows 2000

 Asignacin de permisos a usuarios y funciones

Tipos de permisos

Concesin, denegacin y revocacin de permisos

Concesin de permisos para permitir el acceso

Denegacin de permisos para impedir el acceso

Revocacin de permisos concedidos y denegados

Tipos de permisos
Instruccin
Instruccin
CREATE
CREATEDATABASE
DATABASE
CREATE
CREATETABLE
TABLE
CREATE
CREATEVIEW
VIEW
CREATE
CREATEPROCEDURE
PROCEDURE

Objeto
Objeto
SELECT
SELECT
INSERT
INSERT
UPDATE
UPDATE
DELETE
DELETE
REFERENCES
REFERENCES

Predefinido
Predefinido

TABLA
VISTA

CREATE
CREATERULE
RULE
CREATE
CREATEDEFAULT
DEFAULT
CREATE
CREATEFUNCTION
FUNCTION

SELECT
SELECT
COLUMNA
UPDATE
UPDATE
REFERENCES
REFERENCES

BACKUP
BACKUPDATABASE
DATABASE
BACKUP
BACKUPLOG
LOG

PROCEDIMIENTO
EXEC
EXEC ALMACENADO

Funcin
Funcinfija
fija
Propietario
Propietariode
deobjeto
objeto

 Concesin, denegacin y revocacin de permisos

REVOKE:
REVOKE:
Neutral
Neutral

GRANT:
GRANT:
Puede
Puede
ejecutar
ejecutaruna
unaaccin
accin

DENY:
DENY:
No
Nopuede
puede
ejecutar
ejecutaruna
unaaccin
accin

Concesin de permisos para permitir el acceso

Usuario/Funcin
Usuario/Funcin SELECT
SELECT INSERT
INSERT UPDATE
UPDATE DELETE
DELETE
Eva
Eva
Ivan
Ivan
David
David
public
public

DRI
DRI

Denegacin de permisos para impedir el acceso

Usuario/Funcin
Usuario/Funcin SELECT
SELECT INSERT
INSERT UPDATE
UPDATE DELETE
DELETE
Eva
Eva
Ivan
Ivan
David
David
public
public

DRI
DRI

Revocacin de permisos concedidos y denegados

Usuario/Funcin
Usuario/Funcin SELECT
SELECT INSERT
INSERT UPDATE
UPDATE DELETE
DELETE
Eva
Eva
Ivan
Ivan
David
David
public
public

DRI
DRI

Administracin de la seguridad en SQL Server

Determinacin del uso de cuentas de inicio de sesin

predeterminadas

sa

BUILTIN\Administradores

Determinacin de la funcin de la cuenta de

usuario guest

Determinacin de los permisos de la funcin public

Aplicacin de permisos a las funciones

Creacin de objetos con el propietario dbo

Proteccin de los pasos de trabajo CmdExec y

ActiveScripting

 Administracin de la seguridad de la aplicacin

Administracin de la seguridad con vistas y

procedimientos almacenados

Administracin de la seguridad de las aplicaciones de

cliente con funciones de aplicacin

Administracin de la seguridad con vistas y

procedimientos almacenados

SELECT
SELECT ** FROM
FROM Employee_View
Employee_View

SELECT
SELECT ** FROM
FROM Employees
Employees

EXEC
EXEC Employee_Update
Employee_Update 1,
1, 99

Employees
Employees
EmployeeID
EmployeeID
11
22
33

LastName
LastName
Davolio
Davolio
Fuller
Fuller
Leverling
Leverling

FirstName
FirstName
Nancy
Nancy
Andrew
Andrew
Janet
Janet

ReportsTo
ReportsTo
22
22

......

 Administracin de la seguridad de aplicaciones de

cliente con funciones de aplicacin

Aplicacin
Aplicacinde
deentrada
entradade
depedidos
pedidos

Microsoft
MicrosoftExcel
Excel

Orders
Orders
OrderID
OrderID
10248
10248
10249
10249
10250
10250

CustomerID
CustomerID
VINET
VINET
TOMSP
TOMSP
HANAR
HANAR

EmployeeID
EmployeeID
33
11
22

......

Creacin de funciones de aplicacin

La creacin de una funcin de aplicacin inserta una fila

en la tabla sysusers

Administracin de los permisos de las funciones de

aplicacin

Activacin de funciones de aplicacin

El usuario debe especificar la contrasea

El alcance es la base de datos actual: si el usuario

cambia a otra base de datos, el usuario tiene los
permisos de usuario de esa base de datos

La funcin no puede desactivarse hasta que el usuario

se desconecte

EXEC
EXEC sp_setapprole
sp_setapprole 'SalesApp',
'SalesApp',
{ENCRYPT
{ENCRYPT N'hg_7532LR'},
N'hg_7532LR'}, 'ODBC'
'ODBC'

 Administracin de la seguridad de SQL Server

en la empresa

Utilizacin de la directiva de grupo para proteger

SQL Server

Utilizacin de servidores proxy, servidores de seguridad

y enrutadores

Utilizacin del cifrado en las comunicaciones para

proteger datos

Utilizacin de la directiva de grupo para proteger

SQL Server

reas de seguridad que se pueden configurar

Directivas de cuenta

Grupos restringidos

Directivas de software

Utilizacin de servidores proxy, servidores de

seguridad y enrutadores

Internet
Usuario

Pr

ot
eg
er

Microsoft
Proxy Server

SQL Server

Utilizacin del cifrado en las comunicaciones para

proteger datos

Seguridad del protocolo Internet

Capa de sockets seguros