Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PRESENTADO POR
HENRRY HARVEY HEREDIA NORIEGACC 92.032.783
INSTRUCTOR
Nelson Ruiz Gamba
SERVICIO NACIONAL DE APRENDIZAJE SENA
SINCELEJO 2019
ESTRUCTURA DE CONTENIDO
Introducción……………………………………………………………………..3
2. Objetivos…………………………………………………………………….....4
3. Características y funciones de seguridad en SQL Server……………….....5
Tabla1. ……………………….…………………………………………………....5
5. Conclusión……………………………………………………………………..10
6. Web grafía……………………………………………………………………..11
1. INTRODUCCIÓN
En esta actividad se estará tratando el tema de las características y funcionalidades que proporciona
el SMBD, que en nuestro caso es SQL Server para asegurar los datos desde la perspectiva de
usuario, objetos e integridad sobre los datos.
2. OBJETIVOS
General
Establecer las características y funcionalidades que proporciona SQL Server para asegurar
los datos.
Específicos
Una instancia de SQL Server contiene un conjunto jerárquico de entidades, empezando por el servidor. Cada servidor contiene varias bases de datos y, a su vez, ca
base de datos contiene un conjunto de objetos susceptibles de ser protegidos. Cada SQL Server protegible tiene permisos asociados que se pueden conceder a una
entidad de seguridad, que es una persona, grupo o proceso al que se concede acceso a SQL Server. El marco de seguridad de SQL Server administra el acceso a las
entidades protegibles a través de la autenticación y la autorización.
La autenticación es el proceso de inicio de sesión en SQL Server por el que una entidad de seguridad solicita el acceso mediante el envío de credenciales
el servidor evalúa. La autenticación establece la identidad del usuario o proceso que se autentica.
La autorización es el proceso con el que se determinan los recursos susceptibles de protegerse a los que tiene acceso una entidad de seguridad, así como la
operaciones que les están permitidas a dichos recursos.
Rol public
El rol public está contenido en todas las bases de datos, incluidas las bases de datos del sistema. No se puede eliminar y no se pueden agregar ni quitar usuari
ella. Todos los usuarios y los demás roles heredan los permisos concedidos al rol public, ya que pertenecen de forma predeterminada al rol public. Por tanto
debe conceder al rol public los permisos que desee que tengan todos los usuarios.
Cuenta de usuario dbo
dbo, o propietario de base de datos, es una cuenta de usuario con permisos implícitos para realizar todas las actividades en la base de datos. Los miembros del ro
del servidor sysadmin se asignan automáticamente a dbo.
La cuenta de usuario dbo se confunde a menudo con el rol fijo de base de datos db_owner. El ámbito de db_owner es una base de datos y el ámbito de sysadm
el servidor completo. La pertenencia al rol db_owner no proporciona privilegios de usuario dbo.
Cuenta de usuario guest
Después de que un usuario se haya autenticado y se le haya permitido iniciar sesión en una instancia de SQL Server, debe existir una cuenta de us
independiente en cada base de datos a la que tenga acceso el usuario. Si se exige una cuenta de usuario en cada base de datos, se impide que los usuarios se con
a una instancia de SQL Server y puedan tener acceso a todas las bases de datos de un servidor. La existencia de una cuenta de usuario guest en la base de datos
este requisito, ya que permite que un inicio de sesión sin cuenta de usuario de base de datos tenga acceso a una base de datos.
La cuenta guest es una cuenta integrada en todas las versiones de SQL Server. De forma predeterminada, está deshabilitada en las bases de datos nuevas. S
habilitada, se puede deshabilitar mediante la revocación de su permiso CONNECT, que se lleva a cabo con la ejecución de la instrucción REVOKE CONN
FROM GUEST de Transact-SQL.
Cifrado de datos en SQL Server
SQL Server proporciona funciones para cifrar y descifrar datos con un certificado, una clave asimétrica o una clave simétrica. El programa administra estas opcion
un almacén de certificados interno. El almacén usa una jerarquía de cifrado que protege los certificados y las claves en un nivel, con la capa por encima de él
jerarquía. Esta área de características de SQL Server se denomina almacenamiento secreto.
El modo más rápido de cifrado que admiten las funciones de cifrado es el cifrado de clave simétrica. Este modo resulta adecuado para controlar grandes volúmen
datos. Las claves simétricas se pueden cifrar mediante certificados, contraseñas u otras claves simétricas.
Escenarios de seguridad de aplicaciones en SQL Server
No hay una única forma correcta de crear una aplicación cliente segura de SQL Server. Cada aplicación tiene unas necesidades, un entorno de implementación
grupo de usuarios específicos. Una aplicación que es razonablemente segura en el momento en que se implementa puede volverse menos segura con el tiemp
imposible predecir con ninguna seguridad qué amenazas pueden surgir en el futuro.
Amenazas comunes
Los desarrolladores han de saber cuáles son las amenazas a la seguridad, las herramientas con las que cuentan para enfrentarse a ellas y cómo evita
vulnerabilidades de seguridad provocadas por los propios usuarios. Se puede pensar en la seguridad como en una cadena, en la que si se rompe un vínculo, se po
peligro la fortaleza de toda ella. En la siguiente lista se incluyen algunas de las amenazas a la seguridad más comunes, que se comentan en mayor detalle en los t
de este apartado.
Inyección de código SQL
La inyección de SQL es el proceso por el cual un usuario malintencionado escribe instrucciones de Transact-SQL en lugar de entradas válidas. Si la entrada se
directamente al servidor sin haber sido validada y la aplicación ejecuta el código inyectado por error, el ataque podría dañar o destruir datos. Para frustrar los ata
por inyección de SQL Server, puede utilizar procedimientos almacenados y comandos parametrizados, evitar el SQL dinámico y restringir los permisos de todo
usuarios.
Elevación de privilegios
Los ataques por elevación de privilegios se producen cuando un usuario es capaz de asumir los privilegios de una cuenta de confianza, como un propietario
administrador. Trabaje siempre en cuentas de usuario con los privilegios mínimos y asigne sólo los permisos necesarios. Evite utilizar cuentas administrativas
propietario para ejecutar código. De esta forma se limita el daño que se podría sufrir en caso de que un ataque tenga éxito. Cuando realice tareas que requieran perm
adicionales, utilice la firma de procedimientos o la suplantación únicamente mientras dure la tarea. Puede firmar procedimientos almacenados con certificados o u
suplantación para asignar permisos temporalmente.
Sondeos y observación inteligente
Un ataque por sondeo puede utilizar mensajes de error generados por una aplicación para buscar puntos vulnerables en la seguridad. Implemente el control de er
en todo el código de procedimiento para evitar que se devuelva la información de error al usuario final.
Authentication
Cuando se utilizan inicios de sesión de SQL Server, se pueden producir ataques por inyección a la cadena de conexión si durante la ejecución se genera una caden
conexión basada en los datos introducidos por el usuario. Si en la cadena de conexión no se comprueba la validez de los pares de palabras clave, un agresor p
insertar caracteres de más y así podría tener acceso a datos confidenciales o a otros recursos del servidor. Utilice la autenticación de Windows siempre qu
posible. Si tiene que utilizar inicios de sesión de SQL Server, use el SqlConnectionStringBuilder para crear y validar cadenas de conexión durante la ejecución.
Contraseñas
Muchos ataques tienen éxito porque un intruso es capaz de obtener o adivinar la contraseña de un usuario con muchos privilegios. Las contraseñas constituy
primera línea de defensa contra los intrusos, así que establecer contraseñas seguras es esencial para la seguridad del sistema. Cree y aplique directivas de contra
para la autenticación en modo mixto.
Asigne siempre una contraseña segura a la cuenta de sa, incluso cuando utilice la autenticación de Windows.
4. CONCLUSIONES