UNIDAD 2.

GESTIONANDO
LA SEGURIDAD DE UNA
BASE DE DATOS

Administracin de
Base de Datos I
CONTENIDO
1. Implementacin del modo de Autenticacin
2. Asignacin de cuentas de inicio de sesin a
usuarios y funciones
3. Asignacin de permisos a usuarios y funciones
4. Administracin de la seguridad en SQL Server
5. Administracin de la seguridad de la aplicacin
6. Administracin de la seguridad de SQL Server en la
empresa

2
1. Cuentas de seguridad en
SQL Server

Modo de
1. Cuenta de inicio de autenticacin:
sesin
Windows
Garantiza el acceso a
Modo mixto
un servidor de base de
datos.
2. Cuenta de usuario
Garantiza el acceso a
una base de datos
dentro de un servidor.

3
2. Implementacin del modo de Autenticacin de la
Cuenta de inicio de sesin

Durante la instalacin, debe

seleccionar un modo de
autenticacin para el
Database Engine (Motor de
base de datos).

Hay dos modos de

autenticacin:

Autenticacin Windows
 Habilita la autenticacin
windows
 Deshabilita la autenticacin
de SQL Server
Autenticacin Mixta
 Habilita tanto la autenticacin
de Windows como la de SQL
Server
4
2.1. Cuenta de inicio de sesin
Roles Fijos de Servidor (I-II)
Roles predefinidos para la cuenta de inicio de sesin:
sysadmin Pueden realizar cualquier actividad en el servidor.
serveradmin Pueden cambiar opciones de configuracin en el servidor y
cerrar el servidor.
setupadmin Pueden agregar y quitar los servidores vinculados.
securityadmin Administran los inicios de sesin y sus propiedades.
Administran los permisos de servidor GRANT, DENY y
REVOKE. Tambin administran los permisos de base de
datos GRANT, DENY y REVOK.
processadmin Pueden finalizar procesos que se ejecutan en una instancia
de SQL Server.
dbcreator Puede realizar operaciones CREATE DATABASE, ALTER
DATABASE Y DROP DATABASE.
diskadmin Se utiliza para administrar archivos de disco.
bulkadmin Puede realizar operaciones BULK INSERT (insercin
masiva).
5
2.1 Cuenta de inicio de sesin
Roles Fijos de Servidor (II-II)
 No se pueden crear nuevas funciones de
nivel de servidor
 Cada inicio de sesin de SQL Server
pertenece a la funcin pblica de servidor.

6
 2.1Cmo cambiar el modo de autenticacin del servidor
Para cambiar el modo de autenticacin de seguridad
1. En el Explorador de objetos de SQL Server Management Studio, clic derecho
en el servidor y, a continuacin, haga clic en Propiedades.
2. En la pgina Seguridad, bajo Autenticacin de servidor, seleccione el nuevo
modo de autenticacin del servidor y haga clic en Aceptar.
3. En el cuadro de dilogo SQL Server Management Studio, haga clic en Aceptar
para confirmar el requisito de reiniciar SQL Server.
Para reiniciar SQL Server desde SQL Server Management Studio
1. En el Explorador de objetos, haga clic con el botn secundario en el servidor y,
a continuacin, haga clic en Reiniciar
Para habilitar el inicio de sesin de sa mediante Management Studio
1. En el Explorador de objetos, expanda Seguridad, expanda Inicios de sesin,
haga clic con el botn secundario en sa y, a continuacin, haga clic en
Propiedades.
2. En la pgina General, podra tener que crear y confirmar una contrasea para
el inicio de sesin de sa.
3. En la pgina Estado, en la seccin Inicio de sesin, haga clic en Habilitado
y, a continuacin, en Aceptar.
Ejemplo: Cambiar el modo de autenticacin de Windows. 7
 2.2. Modo de autenticacin de Windows
 Es Windows quien confirma la
identidad del usuario y SQL Server no
pide la contrasea y no realiza la
validacin de identidad.
 Es el modo de autenticacin
predeterminado.
 Usa el protocolo de seguridad de
Kerberos, proporciona la aplicacin
de directivas de contraseas en
cuanto a:
 La validacin de la complejidad de
Las contraseas seguras.
 Compatibilidad para el bloqueo de
cuentas.
 Admite la expiracin de las
contraseas.
 El programa de instalacin crea una
cuenta sa que se deshabilita de
forma predeterminada. Si desea
posteriormente cambiar al modo de
autenticacin sql server, debe
habilitar la cuenta sa.
8
 2.2. Cmo crear un inicio de sesin:
Autenticacin de Windows
Para crear un inicio de sesin de SQL
Server que use la autenticacin de
Windows (SQL Server Management
Studio)

1. En SQL Server Management Studio, abra

el Explorador de objetos y expanda la
carpeta de la instancia de servidor en la
que se crear el nuevo inicio de sesin.
2. Haga clic con el botn secundario en la
carpeta Seguridad, seleccione Nuevo y,
a continuacin, Inicio de sesin.
3. En la pgina General, escriba el nombre
de un usuario de Windows en el cuadro
Nombre de inicio de sesin.
4. Seleccione Autenticacin de Windows.
5. Haga clic en Aceptar.

9
2.3. Modo Mixto de autenticacin
 Permite a los usuarios conectarse
usando la autenticacin: Windows
y SQL Server

Autenticacin de SQL Server

 El nombre de usuario y la
contrasea se crean utilizando SQL
Server y se almacenan en SQL
Server.
 Se debe establecer contraseas
seguras para todos los inicios de
sesin de SQL Server.
 Se recomienda no establecer nunca
contraseas de sa en blanco o
poco seguras.

 Ventaja: Permite a los usuarios

conectarse desde dominios
desconocidos o que no son de
confianza. 10
2.3... Directrices para contraseas seguras

 Las contraseas de SQL Server pueden contener de 1 a

128 caracteres, incluida cualquier combinacin de letras,
smbolos y nmeros
 Una contrasea segura debe tener ms de 8 caracteres
de longitud y satisfacer al menos tres de los siguientes
criterios:
 Debe contener letras maysculas.
 Debe contener letras minsculas.
 Debe contener nmeros.
 Debe contener caracteres no alfanumricos; ejemplo: #, %, o ^.

11
CREACIN DE INICIOS DE SESION PARA USUARIOS DE SQL SERVER POR TRANSACT-SQL
Ejemplos:
-- Crear un inicio de sesion
CREATE LOGIN Rosa WITH PASSWORD='mariposa'
GO
-- Borrar un inicio de sesin
DROP LOGIN Rosa
GO
-- Crear un inicio de sesin con una base de datos predeterminada
CREATE LOGIN Rosa WITH PASSWORD='mariposa', DEFAULT_DATABASE = BDMundo
GO
-- deshabilitar un inicio de sesin
ALTER LOGIN Rosa DISABLE
GO
-- Habilitar un inicio de sesin
ALTER LOGIN Rosa ENABLE
GO
-- Modificar el inicio de sesion
ALTER LOGIN Rosa WITH password = 'lamocosa'
GO
ALTER LOGIN Rosa WITH NAME = Rosita
GO
ALTER LOGIN Rosita WITH DEFAULT_DATABASE = master
GO
DROP LOGIN Rosita 12
GO
 2.3 Cmo crear un inicio de
sesin: Modo mixto
Para crear un inicio de sesin de SQL Server
que use la autenticacin de SQL Server:

1. En SQL Server Management Studio, abra

el Explorador de objetos y expanda la
carpeta de la instancia de servidor en la
que se crear el nuevo inicio de sesin.
2. Haga clic con el botn secundario en la
carpeta Seguridad, seleccione Nuevo y, a
continuacin, Inicio de sesin.
3. En la pgina General, escriba un nombre
para el nuevo inicio de sesin en el cuadro
Nombre de inicio de sesin.
4. Seleccione Autenticacin de SQL Server.
La autenticacin de Windows es la opcin
ms segura.
5. Escriba una contrasea de inicio de
sesin.
6. Seleccione las opciones de la directiva de
contraseas que deben aplicarse al nuevo
inicio de sesin. En general, exigir la
directiva de contraseas es la opcin ms
segura.
7. Haga clic en Aceptar.
13
 3. Usuarios de bases de datos
 El usuario de una base de datos es una
entidad de seguridad de la base de datos.
 Cada usuario de una base de datos es
miembro de la funcin public.
 Usuario guest
 Se crea de forma predeterminada al crear una BD.
 No se puede quitar el usuario guest, pero se puede
deshabilitar revocando su permiso CONNECT.
(REVOKE CONNECT FROM GUEST)

14
3.1. Funciones fijas a
Descripcin
nivel de base de datos
Pueden realizar todas las actividades de configuracin y
db_owner mantenimiento en la base de datos y tambin pueden quitar la base de
datos.
Pueden modificar la pertenencia a funciones y administrar permisos. Si
db_securityadmin se agregan entidades de seguridad a esta funcin, podra habilitarse
un aumento de privilegios no deseado.
Pueden agregar o quitar el acceso a la base de datos para inicios de
db_accessadmin sesin de Windows, grupos de Windows e inicios de sesin de SQL
Server.
db_backupoperator Pueden crear copias de seguridad de la base de datos.
Pueden ejecutar cualquier comando del lenguaje de definicin de
db_ddladmin
datos (DDL) en una base de datos.
Pueden agregar, eliminar o cambiar datos en todas las tablas de
db_datawriter
usuario.
db_datareader Pueden leer todos los datos de todas las tablas de usuario.
No pueden agregar, modificar ni eliminar datos de tablas de usuario de
db_denydatawriter
una base de datos.
No pueden leer datos de las tablas de usuario dentro de una base de
db_denydatareader
datos.
Ejecutar los siguientes procedimientos almacenados:
sp_helpdbfixedrole Devuelve la lista de las funciones de base de datos fijas.
sp_dbfixedrolepermission Muestra los permisos de una funcin de base de datos fija. 15
 3.2. Cmo crear un usuario de base de datos
En el SQL Server Management
Studio
1. Abra el Explorador de objetos y
expanda la carpeta Bases de
datos.
2. Expanda la base de datos en la
que se va a crear el usuario de la
misma.
3. Haga clic derecho en la carpeta
Seguridad, seleccione Nuevo y, a
continuacin, haga clic en
Usuario.
4. En la pgina General, escriba un
nombre para el usuario en el
cuadro Nombre de usuario.
5. En el cuadro Nombre de inicio de
sesin, escriba el nombre de un
inicio de sesin de SQL Server
para asignarlo al usuario de la
base de datos.
6. Haga clic en Aceptar.

Ejemplo:
1. Ingresar a SQL con un nombre de
inicio con funcion de
administrador ej. sa
2. Crear un nuevo usuario de
BDMundo para el inicio de sesin 16
upds(u otro inicio distinto de sa).
3.2Funcin public de base
de datos
 Todos los usuarios de una base de datos pertenecen a la funcin
public de la base de datos.
 Cuando a un usuario no se le han concedido ni denegado permisos
de un elemento que puede protegerse, el usuario hereda los
permisos de ese elemento concedidos a public.
 A la funcin public se le concede el permiso VIEW ANY
DATABASE.
INFORMATION_SCHEMA y sys
 Todas las bases de datos incluyen dos entidades que aparecen
como usuarios en vistas de catlogo.
 SQL Server necesita estas dos entidades. No son entidades de
seguridad y no se pueden modificar ni quitar.

17
4. Administracin de la
seguridad de la aplicacin
 Seguridad integrada en la BD
 Armar la propia estructura de seguridad para el
control de usuarios.
 La aplicacin a travs del lenguaje de
programacin se conecta al SGBD tomando en
cuenta el perfil de usuario.
 SQL server se conecta con active directory
para autenticar a los usuarios.

18
Active Directory
 servicio de directorio que almacena
informacin acerca de los objetos de una red
y la pone a disposicin de los usuarios y
administradores de la red.

19
4.1. Aplicacin de estndares de TI

 La aplicacin de estndares es una buena

estrategia en seguridad y control.
 ISO 17799
Desarrollado por la ISO, incluye 10 dominios.
 COBIT
Desarrollado por la ISACA, incluye 4 dominios
 ITIL

20
International Organization for Standardization
ISO 17799

1. Poltica de seguridad.
2. Aspectos organizativos para la seguridad.
3. Clasificacin y control de activos.
4. Seguridad ligada al personal.
5. Seguridad fsica y del entorno.
6. Gestin de comunicaciones y operaciones.
7. Control de accesos.
8. Desarrollo y mantenimiento de sistemas.
9. Gestin de continuidad del negocio.
10.Conformidad con la legislacin.
21
COBIT
(Control
Objectives for
Information
and related
Technology)

Dominios:
1. Planificacin y
Organizacin
2. Adquisicin y
Implementacin
3. Prestacin y
Soporte
4. Monitoreo

22
Information Technology Infrastructure Library (ITIL)
Infraestructura de Tecnologas de la Informacin

23
5. Administracin de la seguridad
de SQL Server en la empresa
 Perfiles definidos:
 Administrador de la BD
 Persona para la red
 Persona para la backup

24