CARACTERÍSTICAS Y FUNCIONES DE SEGURIDAD DEL SMBD SELECCIONADO

PRESENTADO POR
HENRRY HARVEY HEREDIA NORIEGACC 92.032.783

INSTRUCTOR
Nelson Ruiz Gamba
SERVICIO NACIONAL DE APRENDIZAJE SENA

SINCELEJO 2019
 ESTRUCTURA DE CONTENIDO

Introducción……………………………………………………………………..3
2. Objetivos…………………………………………………………………….....4
3. Características y funciones de seguridad en SQL Server……………….....5

Tabla1. ……………………….…………………………………………………....5
5. Conclusión……………………………………………………………………..10
6. Web grafía……………………………………………………………………..11
 1. INTRODUCCIÓN

En esta actividad se estará tratando el tema de las características y funcionalidades que proporciona
el SMBD, que en nuestro caso es SQL Server para asegurar los datos desde la perspectiva de
usuario, objetos e integridad sobre los datos.
 2. OBJETIVOS

General

 Establecer las características y funcionalidades que proporciona SQL Server para asegurar
los datos.
Específicos

 Describir las características de seguridad de SQL Server.

 Identificar la estructura de privilegios y cuentas de usuarios disponibles en SQL Server.
 Describir los mecanismos de autenticación de SQL Server.
 Presentar las funciones asociadas a la integridad de los datos en SQL Server.
 3. Características y funciones de seguridad en SQL Server
Tabla1. Características y Funciones de seguridad.
 Describe las características de seguridad del SMBD seleccionado
La seguridad de Database Engine incluye
 Cuenta de servicio de Microsoft SQL Serve
 La instancia
 Seguridad de las bases de datos.

Una instancia de SQL Server contiene un conjunto jerárquico de entidades, empezando por el servidor. Cada servidor contiene varias bases de datos y, a su vez, ca
base de datos contiene un conjunto de objetos susceptibles de ser protegidos. Cada SQL Server protegible tiene permisos asociados que se pueden conceder a una
entidad de seguridad, que es una persona, grupo o proceso al que se concede acceso a SQL Server. El marco de seguridad de SQL Server administra el acceso a las
entidades protegibles a través de la autenticación y la autorización.
 La autenticación es el proceso de inicio de sesión en SQL Server por el que una entidad de seguridad solicita el acceso mediante el envío de credenciales
el servidor evalúa. La autenticación establece la identidad del usuario o proceso que se autentica.
 La autorización es el proceso con el que se determinan los recursos susceptibles de protegerse a los que tiene acceso una entidad de seguridad, así como la
operaciones que les están permitidas a dichos recursos.

Autenticación en SQL Server

 La autenticación de Windows es el modo predeterminado, y a menudo se denomina seguridad integrada debido a que este modelo de seguridad de SQL Se
está estrechamente integrado con Windows. Para iniciar sesión en SQL Server, se confía en las cuentas de usuario y grupo específicas de Windows. Los
usuarios de Windows que ya hayan sido autenticados no tienen que presentar credenciales adicionales.
 El modo mixto admite la autenticación tanto de Windows como de SQL Server. Los pares de nombre de usuario y contraseña se mantienen en SQL Server
Escenarios de autenticación
Por lo general la autenticación de Windows es la mejor opción en las siguientes situaciones:
 Existe un controlador de dominio.
 La aplicación y la base de datos se encuentran en el mismo equipo.
 Está utilizando una instancia de SQL Server Express o LocalDB.
Los inicios de sesión de SQL se usan habitualmente en las siguientes situaciones:
 Si se tiene un grupo de trabajo.
 Los usuarios se conectan desde diferentes dominios que no son de confianza.
 Aplicaciones de Internet, como ASP.NET.
Mecanismos de Autenticación que posee el SQL Server
Tipos de inicios de sesión
SQL Server admite tres tipos de inicios de sesión:
 Una cuenta de usuario de Windows local o una cuenta de dominio de confianza. SQL Server se basa en Windows para autenticar las cuentas de usuario de
Windows.
 Grupo de Windows. Cuando se concede acceso a un grupo de Windows, se concede acceso a todos los inicios de sesión de usuario de Windows miembros
dicho grupo.
 Inicio de sesión de SQL Server. SQL Server almacena el nombre de usuario y un valor hash de la contraseña en la base de datos maestra, y usa métodos
internos de autenticación para comprobar los intentos de inicio de sesión.

Modo mixto de autenticación

Si tiene que usar el modo mixto de autenticación, debe crear inicios de sesión de SQL Server, que se almacenan en SQL Server. A continuación, debe proporcion
nombre de usuario y la contraseña de SQL Server en tiempo de ejecución.

Estructura de privilegios y cuentas de usuarios

Roles de servidor y base de datos en SQL Server

Todas las versiones de SQL Server usan la seguridad basada en roles, que permite asignar permisos a un rol, o grupo de usuarios, en lugar de asignarlos a usuarios
individuales. Los roles fijos de servidor y base de datos cuentan con un conjunto fijo de permisos asignados.
Roles fijos de servidor
Los roles fijos de servidor cuentan con un conjunto fijo de permisos y ámbito de servidor. Están pensadas para su uso en la administración de SQL Server y los
permisos asignados a ellas no se pueden modificar. Se pueden asignar inicios de sesión a los roles fijos de servidor sin necesidad de disponer de una cuenta de usua
en una base de datos.
Roles fijos de base de datos
Los roles fijos de base de datos incluyen un conjunto predefinido de permisos diseñados para permitir administrar grupos de permisos con facilidad. Los miembros
rol db_owner pueden realizar todas las actividades de configuración y mantenimiento de la base de datos.
Roles y usuarios de base de datos
Para trabajar con objetos de base de datos, se deben asignar inicios de sesión a cuentas de usuario de base de datos.  Estos usuarios de base de datos se podrán ag
entonces a roles de base de datos y heredarán los conjuntos de permisos asociados con estos roles. Se pueden conceder todos los permisos.
A la hora de diseñar la seguridad para la aplicación, también debe tener en cuenta el rol public, la cuenta de usuario dbo y la cuenta guest.

Rol public
El rol public está contenido en todas las bases de datos, incluidas las bases de datos del sistema. No se puede eliminar y no se pueden agregar ni quitar usuari
ella. Todos los usuarios y los demás roles heredan los permisos concedidos al rol public, ya que pertenecen de forma predeterminada al rol public. Por tanto
debe conceder al rol public los permisos que desee que tengan todos los usuarios.
Cuenta de usuario dbo
dbo, o propietario de base de datos, es una cuenta de usuario con permisos implícitos para realizar todas las actividades en la base de datos.  Los miembros del ro
del servidor sysadmin se asignan automáticamente a dbo.
La cuenta de usuario dbo se confunde a menudo con el rol fijo de base de datos db_owner. El ámbito de db_owner es una base de datos y el ámbito de sysadm
el servidor completo. La pertenencia al rol db_owner no proporciona privilegios de usuario dbo.
Cuenta de usuario guest
Después de que un usuario se haya autenticado y se le haya permitido iniciar sesión en una instancia de SQL Server, debe existir una cuenta de us
independiente en cada base de datos a la que tenga acceso el usuario. Si se exige una cuenta de usuario en cada base de datos, se impide que los usuarios se con
a una instancia de SQL Server y puedan tener acceso a todas las bases de datos de un servidor. La existencia de una cuenta de usuario guest en la base de datos
este requisito, ya que permite que un inicio de sesión sin cuenta de usuario de base de datos tenga acceso a una base de datos.
La cuenta guest es una cuenta integrada en todas las versiones de SQL Server. De forma predeterminada, está deshabilitada en las bases de datos nuevas. S
habilitada, se puede deshabilitar mediante la revocación de su permiso CONNECT, que se lleva a cabo con la ejecución de la instrucción REVOKE CONN
FROM GUEST de Transact-SQL.
Cifrado de datos en SQL Server
SQL Server proporciona funciones para cifrar y descifrar datos con un certificado, una clave asimétrica o una clave simétrica. El programa administra estas opcion
un almacén de certificados interno. El almacén usa una jerarquía de cifrado que protege los certificados y las claves en un nivel, con la capa por encima de él
jerarquía. Esta área de características de SQL Server se denomina almacenamiento secreto.
El modo más rápido de cifrado que admiten las funciones de cifrado es el cifrado de clave simétrica.  Este modo resulta adecuado para controlar grandes volúmen
datos. Las claves simétricas se pueden cifrar mediante certificados, contraseñas u otras claves simétricas.
Escenarios de seguridad de aplicaciones en SQL Server

No hay una única forma correcta de crear una aplicación cliente segura de SQL Server. Cada aplicación tiene unas necesidades, un entorno de implementación
grupo de usuarios específicos. Una aplicación que es razonablemente segura en el momento en que se implementa puede volverse menos segura con el tiemp
imposible predecir con ninguna seguridad qué amenazas pueden surgir en el futuro.

Amenazas comunes
Los desarrolladores han de saber cuáles son las amenazas a la seguridad, las herramientas con las que cuentan para enfrentarse a ellas y cómo evita
vulnerabilidades de seguridad provocadas por los propios usuarios. Se puede pensar en la seguridad como en una cadena, en la que si se rompe un vínculo, se po
peligro la fortaleza de toda ella. En la siguiente lista se incluyen algunas de las amenazas a la seguridad más comunes, que se comentan en mayor detalle en los t
de este apartado.
Inyección de código SQL
La inyección de SQL es el proceso por el cual un usuario malintencionado escribe instrucciones de Transact-SQL en lugar de entradas válidas.  Si la entrada se
directamente al servidor sin haber sido validada y la aplicación ejecuta el código inyectado por error, el ataque podría dañar o destruir datos.  Para frustrar los ata
por inyección de SQL Server, puede utilizar procedimientos almacenados y comandos parametrizados, evitar el SQL dinámico y restringir los permisos de todo
usuarios.
Elevación de privilegios
Los ataques por elevación de privilegios se producen cuando un usuario es capaz de asumir los privilegios de una cuenta de confianza, como un propietario
administrador. Trabaje siempre en cuentas de usuario con los privilegios mínimos y asigne sólo los permisos necesarios.  Evite utilizar cuentas administrativas
propietario para ejecutar código. De esta forma se limita el daño que se podría sufrir en caso de que un ataque tenga éxito.  Cuando realice tareas que requieran perm
adicionales, utilice la firma de procedimientos o la suplantación únicamente mientras dure la tarea.  Puede firmar procedimientos almacenados con certificados o u
suplantación para asignar permisos temporalmente.
Sondeos y observación inteligente
Un ataque por sondeo puede utilizar mensajes de error generados por una aplicación para buscar puntos vulnerables en la seguridad.  Implemente el control de er
en todo el código de procedimiento para evitar que se devuelva la información de error al usuario final.
Authentication
Cuando se utilizan inicios de sesión de SQL Server, se pueden producir ataques por inyección a la cadena de conexión si durante la ejecución se genera una caden
conexión basada en los datos introducidos por el usuario. Si en la cadena de conexión no se comprueba la validez de los pares de palabras clave, un agresor p
insertar caracteres de más y así podría tener acceso a datos confidenciales o a otros recursos del servidor.  Utilice la autenticación de Windows siempre qu
posible. Si tiene que utilizar inicios de sesión de SQL Server, use el SqlConnectionStringBuilder para crear y validar cadenas de conexión durante la ejecución.
Contraseñas
Muchos ataques tienen éxito porque un intruso es capaz de obtener o adivinar la contraseña de un usuario con muchos privilegios.  Las contraseñas constituy
primera línea de defensa contra los intrusos, así que establecer contraseñas seguras es esencial para la seguridad del sistema.  Cree y aplique directivas de contra
para la autenticación en modo mixto.
Asigne siempre una contraseña segura a la cuenta de sa, incluso cuando utilice la autenticación de Windows.
 4. CONCLUSIONES

En esta actividad se revisa los términos asociados a la seguridad de SQL Server.

Encontramos las diferentes forma de autenticación y los roles que se pueden crear y de esta manera
poder validarse como usuario en SQL Server.
 5. WEBGRAFIA
 Seguridad de SQL Server. (2019). Retrieved 26 September 2019, from
https://docs.microsoft.com/es-es/dotnet/framework/data/adonet/sql/sql-server-security
 Información general sobre la seguridad de SQL Server. (2019). Retrieved 26 September 2019,
from https://docs.microsoft.com/es-es/dotnet/framework/data/adonet/sql/overview-of-sql-server-
security
 Autenticación en SQL Server. (2019). Retrieved 26 September 2019, from
https://docs.microsoft.com/es-es/dotnet/framework/data/adonet/sql/authentication-in-sql-server
 Roles de servidor y base de datos en SQL Server. (2019). Retrieved 26 September 2019, from
https://docs.microsoft.com/es-es/dotnet/framework/data/adonet/sql/server-and-database-roles-
in-sql-server
 Autorización y permisos en SQL Server. (2019). Retrieved 26 September 2019, from
https://docs.microsoft.com/es-es/dotnet/framework/data/adonet/sql/authorization-and-
permissions-in-sql-server
 Cifrado de datos en SQL Server. (2019). Retrieved 26 September 2019, from
https://docs.microsoft.com/es-es/dotnet/framework/data/adonet/sql/data-encryption-in-sql-
server
 Propiedad y separación de esquemas de usuario en SQL Server. (2019). Retrieved 26
September 2019, from https://docs.microsoft.com/es-
es/dotnet/framework/data/adonet/sql/ownership-and-user-schema-separation-in-sql-server
 Seguridad de integración de CLR en SQL Server. (2019). Retrieved 26 September 2019, from
https://docs.microsoft.com/es-es/dotnet/framework/data/adonet/sql/clr-integration-security-in-
sql-server
 Guidi, F. (2019). Seguridad en Microsoft SQL Server - Sothis. Retrieved 27 September 2019,
from https://www.sothis.tech/seguridad-en-microsoft-sql-server/