Как можно настроить политику безопасности или параметры авторизации для MS SQL Server?

Question

Джамал

проектирование-баз-данных , microsoft-sql-server

Как можно настроить политику безопасности или параметры авторизации для MS SQL Server?

На вашем MS SQL сервере, который относительно свежий, при подключении пользователю автоматически выделяется роль DBO. Эта роль предоставляет полные права на изменение данных в базе, но вы хотите иметь возможность подключаться от имени другого пользователя или роли с ограниченными правами, аналогично тому, как это реализовано в Postgres. 

Вы заметили, что при использовании команды EXECUTE AS для переключения на нужного пользователя ограничения применяются, однако разрешенные настройки SELECT для определенной таблицы не работают, несмотря на то, что они явно установлены. 

<b>Какие настройки необходимо внести в SQL сервере и на что обратить внимание, чтобы правильно распределить права для пользователей?</b> Важно, чтобы система управления правами основывалась на пользователях, а не на ролях сервера. Необходимы конкретные инструкции или ссылка на статью, где подробно описывается, что нужно сделать. Создание нового сервера невозможно, так как система работает в режиме он-лайн, и ее нельзя ломать.

9 сентября 2024 г. 7:23

Ответы на вопрос 1

Похожие вопросы

Answer 1

Настройка политики безопасности и параметров авторизации в MS SQL Server требует внимания к деталям. Поскольку ваша задача заключается в управлении правами пользователей, избегая чрезмерной привилегии в форме роли DBO, следует рассмотреть несколько шагов для успешного построения системы разрешений.

### Шаги для настройки прав пользователей в MS SQL Server:

1. **Проверьте уровень разрешений**:
    - Убедитесь, что пользователи не добавлены в роль DBO или другие роли с высокими привилегиями. Используйте следующие команды, чтобы проверить состав ролей:
      ```sql
      EXEC sp_helpsrvrolemember 'sysadmin'; -- для системной роли sysadmin
      EXEC sp_helpsrvrolemember 'db_owner'; -- для роли db_owner
      ```

2. **Создайте роли с минимальными правами**:
    - Создайте кастомные роли с минимальными правами, которые необходимы пользователям. Например:
      ```sql
      CREATE ROLE limited_user_role;
      GRANT SELECT ON dbo.your_table TO limited_user_role; 
      ```

3. **Возврат к авторизации на уровне пользователей**:
    - Убедитесь, что права не назначаются через роли на уровне сервера. Вы можете назначать права непосредственно пользователям:
      ```sql
      EXEC sp_addrolemember 'limited_user_role', 'user_name';
      ```

4. **Используйте `EXECUTE AS`**:
    - Для переключения контекста используйте команду `EXECUTE AS`, чтобы дать пользователю доступ к базе с указанными правами. Например:
      ```sql
      EXECUTE AS USER = 'limited_user';
      ```
    - Убедитесь, что в базе данных, к которой подключается пользователь, настроены соответствующие разрешения:
      ```sql
      GRANT SELECT ON dbo.your_table TO limited_user;
      ```

5. **Проверьте уровень разрешений для `EXECUTE AS`**:
    - Важно, чтобы разрешения, которые вы хотите передать, были явно настроены для пользователя или роли, к которой вы переключаете контекст. Это поможет сохранить функциональность и предотвратить проблемы с доступом к данным.
    
6. **Исключите наследование прав**:
    - Иногда права могут быть унаследованы от других ролей. Убедитесь, что в вашей практике нет автоматического наследования прав, которое может дать пользователю доступ к запрещённым данным.

7. **Тестирование и аудит**:
    - Проведите тестирование созданных пользователей и их доступа, чтобы удостовериться, что они имеют только те права, которые нужны, но ничего лишнего:
      ```sql
      SELECT HAS_PERMS_BY_NAME('dbo.your_table', 'OBJECT', 'SELECT');
      ```

### Полезные ссылки и документация:
- [Документация Microsoft о безопасности](https://docs.microsoft.com/ru-ru/sql/relational-databases/security/authentication-and-authorization-in-sql-server)
- [Управление разрешениями в SQL Server](https://docs.microsoft.com/ru-ru/sql/relational-databases/security/permissions?view=sql-server-ver15)
- [Использование EXECUTE AS для управления разрешениями](https://docs.microsoft.com/ru-ru/sql/t-sql/statements/executing-transact-sql-statements-as-a-speciﬁed-user)

Следуя этим шагам, вы сможете настроить разрешения в MS SQL Server таким образом, чтобы обеспечить контроль на уровне пользователей, ограничивая права и избегая ненужных привилегий.