SQL Server 2012 身份验证Authentication

在保密你的服务器和数据，防备当前复杂的攻击，SQL Server有你需要的一切。但在你能有效使用这些安全功能前，你需要理解你面对的威胁和一些基本的安全概念。这篇文章提供了基础，因此你可以对SQL Server里的安全功能充分利用，不用在面对特定威胁，不能保护你数据的功能上浪费时间。

身份验证是验证主体（需要访问SQL Server数据库的用户或进程，是声称是的人或物）的过程。主体需要唯一的身份，这样的话SQL Server可以决定主体有哪个许可。在提供安全访问数据库对象中，正确的身份验证是必须的第一步。

SQL Server支持身份验证的两个途径：Windows集成身份验证和SQL Server身份验证。你使用的途径取决于网络环境，应用程序访问数据库的类型和这些应用程序的用户类型。

1. Windows身份验证：这个身份验证方式依赖于Windows来担当重任——当用户登录到Windows是验证身份。访问SQL Server对象的许可然后会分配给Windows登录。只有当SQL Server运行在支持Windows NT或Kerberos身份验证的Windows版本上才可以使用，这个自Windows 2000起已经几乎是标准。
2. SQL Server身份验证：SQL Server可以完全自主完成身份验证。在这个情况下，你可以创建唯一的用户名——在SQL Server调用登录——和密码。连接到SQL Server的用户或应用程序提供这些凭证来访问。许可然后直接分配到那个登录或通过角色里的资格。

在SQL Server里在这2个类型之间配置身份验证不是一个非此即彼的选择（可以混合使用）。你可以在任何两个方式里配置身份验证：

1. 混合身份验证模式：服务器同时支持SQL Server和Windows身份验证。
2. Windows身份验证模式：服务器只支持Windows身份验证。

只要可能的话，微软强烈推荐使用Windows身份验证。Windows拥有可靠的验证选项，包括密码策略，但正真正的应用程序里，Windows身份验证并不总是可行的。SQL Server身份验证可以嵌入Windows验证的一些功能，但它不太安全。

Windows身份验证

如果你配置你的SQL Server在Windows身份验证里操作，SQL Server认为与Windows服务器有信任关系。当它们登录到Windows里时，SQL Server认为Windows已经验证用户。然后SQL Server检查用户账号，任何Windows组和任何SQL Server角色，看用户是否是其成员之一来决定用户是否允许与各个SQL Server对象打交道。

与SQL Server身份验证比，Windows身份验证有很多优势，包括：

用户一次登录即可，因此她不需要单独登录到SQL Server审计功能简单化登录管理密码策略（在Windows Server 2003及后续版本）

Winows身份验证的另一个大优势是你对Windows用户和组的任何修改会自动在SQL Server里生效，因此你不需要单独管理它们。然后，如果你对Windows用户做出的修改，它们此时刚好连接到SQL Server，这些修改不会生效，直到下次用户连接到SQL Server才会生效。

配置SQL Server安全设置

当你安装SQL Server时，你可以选择SQL实例允许的验证模式。安装完成后你可以在SSMS里的服务器属性对话框里修改这个设置。这些设置适用于SQL Server实例里的所有数据库和其它对象。因此如果你需要为任何数据库使用SQL Server身份验证，你需要为服务器设置为混合模式。

插图2.1显示了在SSMS里选择了【安全性】页的【服务器属性】对话框。为了打开这个对话框，在对象浏览器里右击服务器实例名，从弹出的菜单里选择【属性】，然后点击【安全性】页。通过点击对应的单选框和点击【确定】提交修改，就可以修改验证模式。

插图2.1：为SQL Server实例配置验证模式

添加一个Windows登录

使用Windows身份验证，你的用户在能访问SQL Server前需要验证Windows登录账号。然后你可以授予一个Windows组连接到SQL Server，或者你可以授予许可给单独的Windows用户，如果你不想授予集体许可。

使用SSMS管理安全的一个好处是你可以同时配置登录和数据库访问。启用Windows登录到访问SQL Server和AdventureWorks2012数据库。使用下列步骤，并假定本地机器已经定义了woodytu用户。

1.打开SSMS，确保对象浏览器窗体可见，并且你已经连接到SQL Server实例

2.展开服务器对象的树状视图，然后展开【安全性】节点。你会看到如插图2.2所示的多个子节点。

插图2.2：服务器对象浏览器的安全性部分，你定义的登录的地方

3.右击【登录名】节点，从弹出的菜单里选择【新建登录名】来打开【登录名】——新的对话框

4.确保【Windows身份验证】单选框已经选择

5.你可以用任何2种方式选择Windows登录。第一种方式是直接输入域名或机器名，然后一个\和所使用的Windows登录名。第二个方式，通常更简单的方式点击【搜索】按钮来打开【选择用户或组】对话框。输入用户名，点击【检查名称】来查找具体的名称。如果找到用户，完整的名字在对话框里出现，如插图2.3里所示。点击【确定】选择那个用户。

插图2.3：找到一个Window登录来添加到SQL Server

6.回到【登录名-新建】对话框，设置AdventureWorks2012数据库作为登录的默认数据库。当用户连接到服务器且不指定数据库时，这是用户使用的数据库。这不限制用户只访问那个数据库。插图2.4展示对于在WIN10的机器上Windows的登录用户woodytu，设置默认数据库为示例数据库AdventureWorks2012的登录配置。

插图2.4：【登录名—新建】对话框启用Windows登录到访问SQL Server实例。

提示：
绝不保持默认数据库为master数据库。这个是惨痛的教训：连接到服务器，太容易忘记修改数据库了。到时候如果你运行脚本在master数据库上创建上百个数据库对象，你会花大量的精力来人为删除这些对象，清理master数据库。

7.接下来，给用户访问一个数据库。从对话框的左边清单里选择【用户映射】页。通过选择数据库名旁的选择框授予用户访问AdventureWorks2012数据库。SQL Server自动映射用户用同样的用户名到数据库里的用户，如你在表里的第3列所见，如果你想要的话，可以修改用户名。分配Sales作为用户在数据库里默认的架构，可以在【默认架构】列里输入，或者点击【...】按钮从列表里选择。对话框应该如插图2.5所示。

插图2.5：授予Windows登录访问AdventureWorks2012数据库

提示：
为登录设置默认数据库和授予访问到数据库之间是有区别的。当用户登录没有指定数据库时，默认数据库指的是SQL Server尝试修改上下文到那个数据库。但这不授予在数据库里做任何事的任何许可，或者甚至允许访问到数据库。这就是说分配用户完全不能访问的数据库是可能的。一旦数据库被访问了，为了让用户可以进行一些操作，你需要授权用户许可。

8.默认情况下，新的Windows登录可以访问到服务器。但是如果你想禁止登录访问服务器，从【登录名—新建】的左边列表选择【状态】，勾选【拒绝】单选框。你也可以通过选择【禁止】按钮临时禁用登录。插图2.6显示了这些选项。

插图2.6：授予和拒绝连接到数据库和临时禁用登录账号选项点击【确定】创建用户。

你也可以在同样的方式里添加Windows组到SQL Server，组的任何成员也可以访问数据库服务器，包括你给组的数据库里的任何对象 。

SQL Server身份验证

当你使用SQL Server登录作为验证时，客户端应用程序需要提供有效的用户名和密码来连接到数据库。这些SQL Server登录在SQL Server里保存，与Windows无关。当在登录时，如果没有匹配的用户名和密码，SQL Server抛出错误，用户不能访问数据库。

尽管Windows身份验证更加安全，在一些情况或许你只能选择SQL Server登录来代替。对于简单没有广泛安全需求的应用程序，SQL Server身份验证更容易管理，它允许你避免Windows安全的复杂。而且如果客户端运行在更老版本的Windows（比Windows 2000还老）或非Windows的操作系统，你必须使用SQL Server登录。

创建SQL Server登录，使用和Windows登录同样的【登录名-新建】对话框。但不是选择Windows登录，输入没有域名或机器名的用户名，并提供密码。例如，插图2.7显示了如何创建一个新的SQL Server登录user，把AdventureWorks2012作为他的默认数据库。

插图2.7：创建SQL Server登录

对于用户映射和状态的所有其它选项的SQL Server登录和Windows登录是一样的。

通过T-SQL的SQL Server登录

你也可以用T-SQL代码来进行同样的操作。在代码2.1里的Create Login代码创建一个有强劲密码的SQL Server登录Tudou。

代码2.1:使用T-SQL创建新的SQL Server登录的代码

然后，授予Tudou访问AdventureWorks2012数据库，使用CREATE USER语句并分配默认的架构，如代码2.2所示。

代码2.2：用SQL Server登录关联创建数据库用户的代码

提示：

如第一篇，如果你想在本地SQL Server实例运行它们的话，很可能你需要对代码做些改动。在代码2.2里假定你已经安装了AdventureWorks2012数据库。

像Windows登录，你可以映射服务器登录Tudou到数据库里其它一些名称。代码2.3里在AdventureWorks2012数据库里映射TudouZ到Tudou用户。

代码2.3:删除现存用户增加用不同登录名的数据库用户名的代码

谨防sa登录

如果你配置你的SQL Server支持SQL Server登录，有一个SQL Server内建的SQL Server登录需要留意——sa登录——在对象浏览器里的【安全性】节点，【登录名】里可以看到。sa或系统管理员，登录是为了SQL Server的早期版本的向后兼容性。sa登录映射到sysadmin服务器角色，任何以sa登录到SQL Server的任何人有完全的系统管理员权限，在整个SQL Server实例和所有里面的数据库都有不可撤销的权利。这的确是个强大的登录。

你不能修改或删除sa登录。当你安装SQL Server的时候，如果你选择了混合验证模式，你会提示为sa用户输入密码。没有密码的话，任何人可以不输密码直接以sa登录，玩弄起“我来管理服务器”。不用说，这是你让你的用户最后做的事。如果没有其他系统管理员或忘记了它们的Windows密码，使用sa登录只是个后门。如果那个发生的话，你需要新的管理员！

绝不要在应用程序里使用sa登录来访问数据库。如果黑客拿到应用程序的控制权，这样做的话会给黑客真个数据库服务器的管理权限。在早期，这是黑入服务器的最简单方法，是个可怕的实例。相反，为应用程序设置一个自定义的Windows或SQL Server登录来使用，给这个登录来运行程序的绝对最小的必须许可（实现最小权限原则）。

提示：

事实上，你应该考虑使用刚才看到的登录属性对话框的【状态】页完全禁用sa登录。那样的话攻击者不能使用这个全能登录来控制你的服务器实例，不管你是否设置了强悍的sa密码。

密码策略与执行

在SQL Server 2005之前的版本，对于可以让系统更安全，对系统管理员的强制密码策略，没有一个简单的方法。例如，SQL Server米有办法强制用户创建最短长度、数字和其它字符混合的强壮密码。如果有人要用一个字母创建登录的密码，你不能配置SQL Server来阻止它。同样，密码也没方法设置它定期过期，例如每三个月。一些人刚好看到了这个主要原因，不使用SQL Server登录。

SQL Server的最近版本可以嵌入Windows Server 2003及后续版本的密码策略。密码还是保存在SQL Server里，但SQL Server调用了NetValidatePasswordPolicy() Windows API方法，这个是在Windows Server 2003首次引入的。这个API函数应用Windows密码策略到Server登录，返回一个值表示密码是否有效。当用户创建，设置或重置密码时，SQL Server调用这个函数。

你可以通过Windows控制面板管理工具里的本地密码策略来定义Windows密码策略。默认密码策略部分如插图2.8所示。这个小程序有独立的账号锁定策略，如插图2.9所示，当用户尝试太多的失败登录时生效。默认情况下，新安装的Windows锁定策略是禁用的。

插图2.8：Windows本地安全策略小程序，显示默认的密码策略。

插图2.9：Windows本地安全策略小程序，显示默认的账号锁定策略。

下表列出默认值的密码策略和它们如何运作的说明。

类别　　　　　　　　　　　　策略名　　　　　　　　　　　　　默认值　　　　　　　　　　　　说明

密码策略　　　　　　　　　　强制密码历史　　　　　　　　　　0个记住的密码　　　　　　　　 阻止用处重用旧密码，例如在2个密码之间修改

　　　　　　　　　　　　　　密码长度最小值　　　　　　　　　0个字符　　　　　　　　　　　 使用这个要求密码长度，让它们很难破解

　　　　　　　　　　　　　　密码必须符合复杂性要求　　　　　已禁用　　　　　　　　　　　　至少6个字母或数字和其它字符，不包含用户名

密码过期　　　　　　　　　　密码最长使用期限　　　　　　　　42天　　　　　　　　　　　　　在用户修改密码前的天数　

　　　　　　　　　　　　　　密码最短使用期限　　　　　　　　0天　　　　　　　　　　　　　 在允许用户可以修改密码前的天数

账户锁定策略　　　　　　　　账户锁定时间　　　　　　　　　　不适用　　　　　　　　　　　　如果锁定阈值启用的话则锁定

　　　　　　　　　　　　　　账户锁定阈值　　　　　　　　　　0次无效登录　　　　　　　　　　账户锁定前失败登录次数

　　　　　　　　　　　　　　重置账户锁定计数器　　　　　　 不适用 　　　　 重置失败登录次数；

当锁定阈值启用的时候启用

表2.1：Windows密码策略设置

当你创建登录的时候，你可以启用或禁用执行密码策略。【登录名-新建】对话框在登录名下，在你创建SQL Server登录的时候，有个启用部分，如插图2.10所示。

插图2.10：对于新的登录执行密码策略

当你使用T-SQL创建登录的时候，也可以应用密码策略。例如，如果你在Windows 2003 Server后后续版本上运行SQL Server并启用了密码策略，代码2.4会运行失败。

代码2.4：尝试创建违反密码策略的登录

这个代码运行失败的原因是密码不能和用户名一样。

当你创建或修改登录时，你可以控制策略。代码2.5关闭了过期检查和策略。

代码2.5：只对修改登录来禁止密码策略的代码（只对这次登录）

CHECK_EXPIRATION选项控制SQL Server检查密码的策略里年龄，CHECK_POLICY应用到其他策略。MUST_CHANGE选项执行用户下次登录必须修改密码。

如果用户有太多次数的失败登录，超过了账号锁定策略的设置数，管理员可以使用UNLOCK来重置，如代码2.6所示。