Seguridad en SQL Server 2005

Slides:



Advertisements
Presentaciones similares
Código: HOL-SQL29. Permite la encriptación de ficheros de registro y de datos mediante clave de encriptación de datos (Database Encryption Key) Encriptación.
Advertisements

Girish Chander Administrador del Programa, Seguridad SQL Server
TNT4-04 KEY MESSAGE: Entry Slide SLIDE BUILDS: 0 SLIDE SCRIPT:
Nuevas Características de Seguridad en ASP.NET 2.0
Seguridad en SQL Server 2005 para Desarrolladores.
Herramientas de control de eventos y tareas en Windows Vista
Algunos tips en Seguridad ASP.NET 2.0
TNT4-05 <SLIDETITLE>Entry Slide</SLIDETITLE>
TNT4-05 <SLIDETITLE>Entry Slide</SLIDETITLE>
Los objetivos de esta presentación
Componentes de ASP.NET Leonardo Diez Dolinski Servicios Profesionales Danysoft.
Madrid, junio de 2009 Seguridad en bases de datos: SQL Server 2005 y Oracle 10g.
Fernando Punzón Ortiz Código: HOL-SQL 08 Administración y seguridad Fernando Punzón Ortiz
Amenazas o vulnerabilidades de procesos Directivas de seguridad Principio de Privilegios mínimos Boletines de Seguridad Amenazas o vulnerabilidades.
Jorge de Nova Segundo UD4: Instalación y administración de servicios Web Seguridad del protocolo HTTP.
Microsoft® SQL Server 2008 Usuarios, Roles, Encriptación y Back Up de la base de datos.
Rocío Contreras Águila Primer Semestre 2010
Primer Semestre 2010 Rocío Contreras Aguila
Procedimientos de Almacenado
Seguridad en aplicaciones Web con Microsoft ASP.NET
Administración de la seguridad
DIRECT ACCESS.
Telnet y SSH Integrantes: Carlos Parra José Isabel
Que es el protocolo “SSL”
HOL-SQL 23 Microsoft SQL Server 2008 Administración y seguridad
Introducción a los servicios Web
Seguridad en ASP.NET Daniel Laco
Webcasts de seguridad Seguridad en ASP.NET 2.0 Partes 1 y 2 Seguridad en ASP.NET 2.0 Partes 1 y 2 Parte 1: Servicio de Membresía y controles Login Parte.
Windows Vista: User Account Control
Comparación entre la implementación de aplicaciones PHP y ASP.NET 2.0
Montevideo 14 de Diciembre Gustavo Larriera Alejandro Ponicke El nuevo día a día con SQL Server 2005.
Planificación y despliegue de Office Sharepoint Server 2007 Rubén Alonso Cebrián
Implementación de seguridad en aplicaciones y datos
Gestión Basada en Directivas en SQL Server 2008
4.3. Privilegios de usuarios
SQL SERVER APLICADO (SSA010) Ariel Alexis Fierro Sáez DuocUC.
USUARIOS Y PRIVILEGIOS EN ORACLE
Clase 9 Curso Microsoft.NETCurso Microsoft.NET I.S.F.T. N° 182I.S.F.T. N° 182.
J.C.Cano, J. Sahuquillo, J.L. Posadas 1 Juan Carlos Julio Juan Luis
VPN - Red privada virtual
ASP.NET es una nueva y potente tecnología para escribir páginas web dinámica. Es una importante evolución respecto a las antiguas páginas ASP de Microsoft.
Universidad del Cauca – FIET – Departamento de Sistemas CAPITULO 11 Creando Vistas.
La seguridad en la red 1. Necesidad de la seguridad.
Instalación y Configuración Inicial del Sistema
Seguridad Informática WALC 2002 ¿ Que es seguridad informática? Seguridad Informática es el conjunto de reglas, planes y acciones que permiten asegurar.
Servicios y Servidores de Autenticación
Cuentas de usuarios y grupos en windows 2008 server
Propiedades de Archivos regulares y Permisos  Linux es un entorno multiusuario  Varias personas pueden estar trabajando al mismo tiempo ◦ Ejemplo 
Administración de políticas de seguridad. -Seguro por diseño - Seguro por defecto - Seguro en implementación - Seguro en comunicaciones Iniciativa Trustworthy.
UNIVERSIDAD LATINA BASES DE DATOS ADMINISTRACIÓN.
 Autenticación - Autorización Autenticación : Es un modo de asegurar que los usuarios son quién ellos dicen que ellos son. Autorización: Proceso por.
Prof. Daniel Obando Fuentes
Cuentas de usuarios y grupos en windows 2008 server
Gestión de sistemas operativos de red
Unidad 4 SEGURIDAD 4.1 Tipos de usuarios
Uso de las herramientas de consulta de Transact-SQL
Protocolo ssl. Introducción El protocolo SSL (Secure Sockets Layer) fue diseñado con el objeto de proveer privacidad y confiabilidad a la comunicación.
FIRMA DIGITAL Eduardo Chiara Galván.
Técnicas de cifrado. Clave pública y clave privada:
Comandos DDL Los comandos DDL son las siglas de Data Definition Language, y se corresponde con el conjunto de órdenes que permiten definir las estructuras.
Seguridad de Datos Soluciones y Estándares de Seguridad.
El protocolo SSL (Secure Sockets Layer) fue diseñado con el objeto de proveer privacidad y confiabilidad a la comunicación entre dos aplicaciones. Este.
Implementación de SSH entre dos equipos (Windows/Windows) Integrantes: Daniel Eduardo Ramírez Cerón Julio Emanuelle Palacios Enriquez.
Usuarios. Colocar el servidor en el modo de autenticación Windows/SqlServer. En SQL Server Management Studio, click derecho, Propiedades en la Instancia.
María Guadalupe Moreno Rodríguez protocolo SSL María yessenia Ríos Duran 305.
ORACLE SQL - DCL.
WINDOWS SERVER 2008 r2 ADMINISTRACION DE RECURSOS: Con el Administrador de recursos del sistema de Windows del sistema operativo Windows Server® 2008 R2,
ALTER TABLE MODIFICAR LA ESTRUCTURA DE LOS OBJETOS DE UNA BASE DE DATOS.
DML Transact SQL Sesión IX Introducción a los procedimientos almacenados.
Transcripción de la presentación:

Seguridad en SQL Server 2005 Hector Minaya, MCSD, MCT hminaya@mr2solutions.net

Autenticación & Autorización Usuarios & Schemas Seguridad para Desarrolladores

Terminología de Seguridad Principal: individuos, grupos y procesos que pueden solicitar recursos de un servidor SQL. Securable (asegurable): los recursos a los cuales el sistema de autorización de SQL Server le regula el acceso.

SQL Server define 4 conceptos básicos de Principals Login de SQL Server Usuario de la Base de datos Role de la BD Role de una aplicación

Login de SQL Server Un login es la habilidad de utilizar una instancia del Servidor SQL Esta asociado con un usuario de Windows o con un usuario de SQL Son autenticados contra SQL Server Por defecto tienen acceso a la base de datos “default” Algunos grupos de Windows tienen logins preestablecidos.

Usuarios & Roles Un usuario es un principal de una base de datos en particular. Los Logins son asignados a los usuarios Los grants se le hacen a los usuarios. A los usuarios se le asignan sus propios schemas . Los usuarios pueden pertenecer a Roles. Todos los usuarios son miembros del Role “Public” El login “sa” esta asignado al usuario dbo en todas las base de datos.

Roles A nivel de Instancia A nivel de Base de Datos Los Roles pueden existir a nivel de instancia o base de datos. A nivel de Instancia Los logins pueden ser otorgados roles llamados “server roles”. No se pueden crear Roles nuevos A nivel de Base de Datos Los usuarios de base de datos pueden ser otorgados roles. Se pueden crear roles nuevos.

Role de una Aplicación Un role de aplicación sirve para asignarle permisos a una aplicación: Tiene un password No contiene usuarios

Ejemplos de Securables (asegurables) En el Servidor & BD Servidor Login de SQL Server Usuario de SQL Server Roles de la BD Roles de Aplicaciones Assemblies Servicios Fulltext Catalog Eventos DDL Schema En un Schema Tablas Vistas Funciones Procedimientos Reglas Sinónimos Agregados

Autenticación Que es Autenticación? Es básicamente el proceso de determinar que alguien es realmente quien dice ser. ¿Quien Soy? ¿Soy miembro de Grupos o Roles? ¿Quien me verifico? ID Primario ID(s) Secundarios Authenticator

Mejoras en la Autenticación sobre SQL2000 La información de Login no se envía como texto plano a través de la red. La nueva política para los passwords esta activada por default. Esta política incluye: Complejidad de passwords. No mas passwords como: “sa”, “password”, “Admin”, “Administrator”, “sysadmin” o “” Maneja el bloqueo de las cuentas en base a intentos fallidos Expiración de passwords

DEMO Create login MR2Solutions With Password = 'SA', Check_Expiration = ON, Check_Policy = ON

Schemas Schemas son contenedores para objetos de base de datos. Un esquema le puede pertenecer a un usuario, role o roleapp Si el usuario no tiene un schema asignado se utiliza el schema “DBO”. A diferencia de SQL 2000 (y anterior) múltiples usuarios pueden ser colocados en un schema. Un schema es un contenedor donde podemos colocar tablas, SP, funciones, etc. Los schemas son creados independientemente de los usuarios en la BD.

accounts es un schema, no existe un usuario que se llame ‘accounts’ Schemas accounts es un schema, no existe un usuario que se llame ‘accounts’ CREATE TABLE accounts.invoice (…) GO ALTER SCHEMA accounts2 TRANSFER accounts.invoice Transferir de un schema a otro

Seguridad hoy en día SQL Server ISA Firewall IPSec IIS ISA Firewall Hoy en día con la creciente cantidad de información que las compañías almacenan en sus base de datos, desde números de tarjeta de crédito hasta direcciones & fechas de nacimiento, estas se han convertido en blancos para el robo de información. Existen numerosas barreras de hardware & software que podemos colocar en nuestra red para tratar de proteger esta información, cada una tiene sus propias debilidades. Cuando todas estas barreras caen, solo queda una barrera final, “La Encriptación”. Debemos proteger nuestra base de datos de modo que si un hacker logra tener acceso a la misma no le sea de utilidad. SSL

Encriptación SQL Server 2005 tiene la habilidad de utilizar múltiples algoritmos para la encriptación de la data: Llaves simétricas (RC4, RC2, DES Family, AES Family) Llaves asimétricas (Rivest-Shamir-Adelman Encryption (RSA)) Certificados (X.509 V1)

DEMO

Contexto En SQL2005 el código no tiene que ser ejecutado en el mismo contexto del usuario que esta haciendo el llamado. “Execute AS” Para Stored Procedures & Funciones. En versiones anteriores cuando hacemos un llamado a un procedimiento o a una función este llamado utiliza el contexto de seguridad del usuario que esta haciendo el llamado. Tenemos una nueva opcion con la cual podemos compilar nuestros procedimientos y funciones para que se ejecute en el contexto deseado SQL Server 2005 ‘Execute AS ‘Silvia’ ’ Jose Jose.SProc Silvia.Tabla Se verifican los permisos de ejecución de Jose Se verifican los permisos de Select para Silvia, no Jose.

Execute AS El código puede se ejecutado como: CALLER (quien lo esta llamando) SELF (el usuario actual que esta creado o alterando el objeto) OWNER (el dueño del objeto) a specific user (un usuario en especifico) Si no colocamos esta opción nuestro código se ejecuta bajo el contexto del usuario que esta haciendo la llamada (CALLER).

Recursos en Línea MSDN: Información Adicional NetaWeb Contacto http://www.microsoft.com/sql/2005/productinfo/securityfeatures_1.mspx Información Adicional www.mr2solutions.net NetaWeb www.netaweb.com.do Contacto info@mr2solutions.net

?

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.