Chapter 2 User Authentication, Authorization, and Security（9）：防止登入名稱和使用者查看中繼資料，authentication

Chapter 2 User Authentication, Authorization, and Security（9）：防止登入名稱和使用者查看中繼資料，authentication
原文出處：http://blog.csdn.net/dba_huangzj/article/details/39003679，專題目錄：http://blog.csdn.net/dba_huangzj/article/details/37906349

未經作者同意，任何人不得以“原創”形式發布，也不得已用於商業用途，本人不負責任何法律責任。

        前一篇：http://blog.csdn.net/dba_huangzj/article/details/38944121

 

前言：

 

在SQL Server 2005之前，所有伺服器和資料庫中繼資料都是所有人可見的。當基於網銀的系統把SQL Server執行個體共用給客戶時，有可能可以看到其他使用者的資訊。從2005開始，可以通過控制許可權來限制登入名稱或使用者查看不必要的中繼資料。

 

實現：

 

如果你需要把資料庫對所有登入名稱隱藏，可以移除public角色上的VIEW ANY DATABASE許可權：

USE master; GO REVOKE VIEW ANY DATABASE TO public;

允許某些帳號查看所有資料庫時，可以建立一個使用者自訂伺服器角色：

USE master; CREATE SERVER ROLE [DatabaseViewer]; GO GRANT VIEW ANY DATABASE TO [DatabaseViewer]; ALTER SERVER ROLE [DatabaseViewer] ADD MEMBER [Fred];

 

注意，master和tempdcb總是對所有登入可見。

 

你不能選擇性地對某些資料庫設定可見，一個登入要麼能從【物件總管】中看到所有資料庫，要麼所有庫都不能被看到。如果一個登入名稱被授予VIEW ANY DATABASE伺服器許可權，那麼可以在【物件總管】中看到伺服器所有資料庫，或者從sys.databases 目錄檢視中查詢所有的資料庫。如果登入名稱沒有這個許可權但是映射到某個資料庫的使用者中，那麼它依舊不能看到所有資料庫，但是可以使用sys.databases返回資料庫資訊，並且使用USE 資料庫命令來切換資料庫。

允許選擇性地可見資料庫的唯一方式是讓登入名稱作為資料庫的owner：

ALTER AUTHORIZATION ON DATABASE::marketing TO [Fred];

資料庫的owner有資料庫內所有許可權，但是一個資料庫只有一個owner。不能讓多個登入名稱同時對一個資料庫進行owner設定。 

在資料庫內，可以定義特定資料庫物件為某些使用者可見，在SSMS中，右鍵資料庫的【安全性】節點，選擇【使用者】→【屬性】中的【安全性實體】，然後在【尋找】中添加特定對象，比如表、預存程序或者架構。然後勾選【查看定義】的【授予】列：

 

也可以用命令實現，這裡注意中的【指令碼】，當你不記得命令時，可以點一下這個按鈕，會自動產生代碼：

use [AdventureWorks2012] GO GRANT VIEW DEFINITION ON [dbo].[AWBuildVersion] TO [test] GO

原理：

可以用下面語句查看可被授權的中繼資料許可權：

SELECT  parent_class_desc AS parent ,         class_desc AS class ,         permission_name AS permission FROM    sys.fn_builtin_permissions(NULL) WHERE   permission_name LIKE 'VIEW%' ORDER BY CASE parent_class_desc            WHEN '' THEN 0            WHEN 'SERVER' THEN 1            WHEN 'DATABASE' THEN 2            WHEN 'SCHEMA' THEN 3          END ,         class ,         permission;

 

【查看定義】的許可權是可以在非伺服器範圍內查看的許可權。如果需要在所有範圍內查看，需要使用【VIEW ANY DEFINITION】，授予這個許可權可以允許登入查看執行個體中的所有定義，【查看所有資料庫】適合那些僅需要訪問資料庫但是不需要訪問伺服器其他對象的登入名稱。

在資料庫中，使用者可以看到自己有許可權的對象，預設情況下，一個使用者僅是public資料庫角色的成員，是沒有許可權的。使用db_datareader固定資料庫角色可以允許這個使用者看到所有表，授予VIEW DEFINITION給預存程序、函數或者觸發器，允許你看到其底層代碼。如果你不想讓別人看到，可以在建立對象時使用WITH ENCRYPTION（在後續介紹。）

幫忙翻譯一下（3）

類型的問題：
基本概念-選擇題;
推理和簡單的計算：選擇題。這類型的問題會更加清晰當您看到的選擇，在實驗;您能做什麼，現在是熟悉的概念和理論提到，在檢討的問題。
討論，總結，計算（ ？ ） ：散文的問題
議題將包括：
第一章， 5月1日
1 。 5層：他們是什麼和做些什麼
2 。比較層（利用一張桌子，我建立）
3 。共同的標準為每五個層次：為HTTP 。的SMTP ，的FTP的IP ，乙太網路
4 。媒體存取控制：爭論與控制：哪一個是更好地在什麼情況？
5 。差錯控制：來源的錯誤和他們的補救措施（方法，以防止錯誤） ，側重於第1張投影片約事業的控制對
calclation的資料丟失是由於突發性錯誤（衝動; “穗” ） -簡單的計算將提供，你的任務就是要瞭解他們，並選擇正確的一
可能徵文：
描述了如何基於Web的電子郵件工程
第一章， 5月2日
1 。標題列位，在TCP資料包
2 。標題列位，在IP資料包
3 。類型的地址，互連網上使用;改建或“決議”的地址，特別是申請地址，網路地址
4 。 DHCP的：它是什麼，以及它如何工程
5 。區域網路組件
6 。乙太網路：準系統：如何郵件轉寄和處理;碰撞和反應，給它們的任務;如何避免更多的碰撞後，發生了一
第一章7
1 。一般安全目標（中央情報局）
2 。基本安全的活動或職能：識別，驗證，授權，問責制，保證
3 。脆弱性，利用和攻擊
4 。縱深防禦
可能徵文：
討論為什麼資訊安全/網路安全是一個更大的問題相比，今天與20年前，由於提高計算/通訊技術。
第8章
1 。社交工程：是什麼秒;如何抵禦它
2 。 “三原則” -的原則，容易滲透，的原則，及時性，效力原則;關係與密碼與加密（我們聘請的密碼和加密，因為上述原則）
3 。流密碼和博克密碼
可能徵文問題：
1 。網路安全技術研究內容及相互關係
2 。安全威脅的類型
3 。的可能性和成本的威脅
4 。設計的密碼至少為8個字元，與上下遊情況下，和數字，並強調不會在開始或結束時的密碼，即可以很容易記住，給您自己，但很難猜測，由他人。國家的原因設計（手法如何，您可以很容易記住的密碼） 。
5 。瞭解的機制，數位簽章
第9章
所有類型的問題：
的目的是什麼主機掃描嗎？
的目的是什麼連接埠掃描？
的目的是什麼（作業系統）指紋
打破程式：如何;管理“漏洞”後，突破在
拒絕服務的攻擊-單訊息D oS攻擊; s murf水浸D oS攻擊;分布式拒絕- -服務（ D DoS）攻擊
阻止DoS攻擊
防火牆的準系統和局限性
包過濾包過濾防火牆;代理代理防火牆;兩種防火牆技術的對比
存取控制清單（ ACL ） （投影片9-71 〜 9-75 ）
在學習中的投影片，利用Notes的“隱藏”在投影片-如下：
 
誰可以幫忙翻譯一段電腦英語，了

看來你是IT行當的。你不可能完全看不懂。正如你所說，僅是有些細節看不明白。建議你只問你真不明白之處。這樣，才有更多真懂的人幫你解決，而你也不用費很多時間去鑒別那些回答是機譯忽悠。

比如，你肯定知道SW是軟體，而非西南。