Meer informatie

Beveiliging

Om een database goed te kunnen beveiligen, moet u uw gebruikers kennen. Gebruikers kunnen om tal van redenen verbinding maken met de database. Dat kan bijvoorbeeld zijn om gegevens te lezen, te wijzigen of te verwijderen, of om meer gegevens aan de database toe te voegen. De eerste stap bij het beveiligen van een database is beslissen welke handelingen door de verschillende gebruikers op de database mogen worden uitgevoerd.

Terug naar begin

Gebruikers, groepen en rollen

Bij SQL Server en MSDE kunt u het beveiligingsniveau van de database bepalen aan de hand van gebruikers, groepen en rollen. Als een bepaalde groep gebruikers de gegevens in de database alleen mag lezen, kunt u een groep maken met de naam AlleenLezen en vervolgens gebruikers aan de groep toevoegen. De gebruikers in deze groep kunnen de gegevens alleen lezen en niet wijzigen, opzettelijk noch per ongeluk.

Bezoek voor meer informatie over gebruikers, groepen en rollen de webpagina SQL Server Books Online. Met het hulpprogramma OSQL kunt u gebruikers, groepen en rollen aan een MSDE-database toevoegen.

Terug naar begin

Wachtwoord van de account SA

Een andere eenvoudige manier om de beveiliging van een database op te voeren, is door te controleren of de account SA is voorzien van een beveiligd wachtwoord. Veel ontwikkelaars en systeembeheerders gebruiken geen wachtwoord voor de account SA, waardoor de database voor iedereen toegankelijk is.

Ga als volgt te werk om het wachtwoord van de account SA voor de MSDE-database te wijzigen:

1. Open een opdrachtpromptvenster op de computer met de MSDE-sessie die u wilt gebruiken.
2. Typ de volgende opdracht en druk op ENTER:
   
   osql -U sa
   
   Met deze opdracht wordt u via de account SA verbonden met de lokale standaardsessie van MSDE.
3. Typ de volgende opdrachten op afzonderlijke regels en druk op ENTER:
   
   sp_password null
   'mijnnieuwewachtwoord'
   'sa'
   
   Opmerking Typ in plaats van 'mijnnieuwewachtwoord' het wachtwoord dat u wilt gebruiken.
   
   Het volgende bericht wordt weergegeven, wat betekent dat het wachtwoord is gewijzigd:

   Password changed.

Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
Terug naar begin

Beveiliging in ASP

Beveiliging is in Active Server Pages net zo belangrijk als in Windows-programma's.Klik voor meer informatie op het volgende artikelnummer in de Microsoft Knowledge Base:
Terug naar begin

Beveiligingspatches

Omwille van beveiliging is het niet alleen van belang dat u gebruikers, groepen en rollen beheert, maar ook dat u controleert of de meest recente patches op de databaseserver zijn geïnstalleerd. U kunt beveiligingspatches voor SQL Server en MSDE downloaden. Microsoft beveelt onmiddellijke installatie van deze patches aan. Ga voor meer informatie naar de volgende Microsoft-website:Dit is een cumulatieve patch met de functionaliteit van alle patches die eerder voor SQL Server 2000 zijn verschenen. Deze patch biedt bovendien een correctie voor de volgende drie onlangs ontdekte zwakke plekken in SQL Server 2000 en SQL Server Desktop Engine (ook bekend als MSDE 2000). (Deze beveiligingslekken doen zich niet voor in eerdere versies van SQL Server en MSDE.)

• Risico voor bufferoverloop in een procedure waarmee SQL Server-referentiegegevens worden gecodeerd. Een gebruiker zonder machtigingen kan hierdoor handelingen uitvoeren op de database. Het is mogelijk dat de gebruiker toegang krijgt tot de server zelf, maar dit is afhankelijk van de account die door SQL Server wordt gebruikt.
• Risico voor bufferoverloop in een procedure die te maken heeft met het invoegen van grote hoeveelheden gegevens in SQL Server-tabellen. Een gebruiker zonder machtigingen kan hierdoor handelingen uitvoeren op de database. Hierbij bestaat de kans dat de gebruiker toegang krijgt tot de server zelf.
• Het onrechtmatig verkrijgen van hogere beheerdersreferenties door onjuiste bevoegdheden in de registersleutel waarin de SQL Server-accountgegevens worden opgeslagen. Een gebruiker kan hierdoor meer bevoegdheden voor het systeem verkrijgen dan de systeembeheerder aan de account van deze gebruiker heeft toegewezen. De kans bestaat dat de gebruiker dezelfde bevoegdheden krijgt als het besturingssysteem. Ga voor meer informatie naar de volgende Microsoft-website:

  Microsoft Security Bulletin MS02-035
  http://www.microsoft.com/technet/security/bulletin/MS02-035.mspx

Bij de installatie van SQL Server 7.0 (inclusief MSDE 1.0), SQL Server 2000 of een service pack voor SQL Server 7.0 of SQL Server 2000 worden de gegevens die u tijdens de installatieprocedure opgeeft, verzameld en opgeslagen in het installatiebestand Setup.iss. Met dit bestand kunt u de installatie van aanvullende SQL Server-systemen automatiseren.

SQL Server 2000 biedt ook de mogelijkheid om een installatie zonder toezicht in het bestand Setup.iss op te slaan zonder dat u daadwerkelijk een installatie hoeft uit te voeren. De beheerder die de computer instelt waarop SQL Server wordt uitgevoerd, kan in de volgende situaties een wachtwoord toekennen aan de installatieroutine:

• Als u SQL Server instelt voor verificatie in de modus Mixed, moet u een wachtwoord opgeven voor de SQL Server-beheerdersaccount (de account SA).
• Ongeacht of u SQL Server uitvoert in de modus Mixed of in de Windows-verificatiemodus, u kunt een gebruikers-id en wachtwoord vereisen bij het starten van een SQL Server-account.

In beide gevallen wordt het wachtwoord opgeslagen in het bestand Setup.iss. Vöör de release van SQL Server 7.0 Service Pack 4 werden de wachtwoorden opgeslagen als normale tekst. In SQL Server 7.0 Service Pack 4 en SQL Server 2000 Service Packs 1 en 2 worden de wachtwoorden gecodeerd en vervolgens opgeslagen. Bovendien wordt er tijdens de installatieprocedure een logboekbestand gemaakt met daarin de resultaten van de installatie. In het logboekbestand worden de wachtwoorden vermeld die zijn opgeslagen in het bestand Setup.iss.

Terug naar begin

Verificatie

Verificatie is een manier waarop SQL Server en MSDE bij aanmeldingen controleren of het de gebruiker is toegestaan verbinding te maken met de server. Er zijn twee beveiligingsmodi waarvan SQL Server en MSDE gebruikmaken: Windows-verificatie en de modus Mixed.

Terug naar begin

Windows-verificatie

Bij Windows-verificatie wordt NTLM gebruikt om verbinding te maken met MSDE. Wanneer u zich als Administrator bij de computer aanmeldt, wordt door MSDE geverifieerd of u inderdaad beheerder bent.

Terug naar begin

Verificatiemodus Mixed

Bij de verificatiemodus Mixed kunt u zich bij MSDE aanmelden door middel van Windows-verificatie of SQL Server-verificatie. Met SQL Server-verificatie kunt u gebruikers toevoegen aan MSDE. Bij het ontwikkelen van programma's neemt u uw gebruikers-id en wachtwoord op in de verbindingstekenreeks wanneer u verbinding maakt met MSDE. Bezoek voor meer informatie over verificatiemodi de volgende Microsoft-website:Terug naar begin

De verificatiemodus Mixed inschakelen tijdens de installatie

Tijdens de installatie kunt u de verificatiemethode wijzigen die door MSDE wordt gebruikt. U doet dit door de installatie met de volgende opdrachtparameter uit te voeren:
SECURITYMODE=SQL
Met deze opdrachtparameter wordt MSDE geïnstalleerd met de verificatiemodus Mixed. Op die manier kunt u verbinding maken met MSDE via Windows-verificatie of SQL Server-verificatie.

Opmerking In Windows NT en hoger wordt MSDE standaard geïnstalleerd met Windows-verificatie. Op computers met Windows 98 maakt MSDE gebruik van SQL-verificatie.

Terug naar begin

De verificatiemodus Mixed inschakelen na de installatie van MSDE

Waarschuwing Er kunnen zich ernstige problemen voordoen als u het register met de Register-editor of met een andere methode foutief wijzigt. Wellicht moet u door deze problemen het besturingssysteem opnieuw installeren. Microsoft kan niet garanderen dat deze problemen opgelost kunnen worden. Het wijzigen van het register is dan ook voor uw eigen risico.

De subsleutel LoginMode in het Windows-register wordt standaard ingesteld op 1, voor Windows-verificatie. Als u na de installatie van MSDE de verificatiemodus Mixed wilt instellen, wijzigt u deze waarde in 2. De locatie van de subsleutel LoginMode wordt bepaald door het gegeven of u MSDE als standaard MSDE-sessie of als benoemd exemplaar hebt geïnstalleerd.

• Als u MSDE als standaardsessie hebt geïnstalleerd, bevindt de subsleutel LoginMode zich op de volgende locatie:

  HKLM\Software\Microsoft\MSSqlserver\MSSqlServer\LoginMode

• Hebt u MSDE als een benoemde sessie geïnstalleerd, dan bevindt de subsleutel LoginMode zich op de volgende locatie:

  HKLM\Software\Microsoft\Microsoft SQL Server\Naam exemplaar \MSSQLServer\LoginMode

Ga als volgt te werk als u de waarde van LoginMode wilt wijzigen in 2:

1. Open het onderdeel Services in het Configuratiescherm en beëindig MSSQLSERVER en alle andere verwante services (bijvoorbeeld SQLSERVERAgent).
2. Klik in het menu Start op Uitvoeren, typ regedt32 en klik op OK om de Register-editor te openen.
3. Zoek de juiste subsleutel op (afhankelijk van het gegeven of u MSDE als standaard MSDE-sessie of als benoemde sessie hebt geïnstalleerd):
   • HKEY_LOCAL_MACHINE\Software\Microsoft\MSSqlserver\MSSqlServer\
     
     
     -of-
   • HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Sessienaam\MSSQLServer\
4. Dubbelklik in het rechterdeelvenster op de subsleutel LoginMode.
5. Stel de waarde van deze subsleutel in het dialoogvenster DWORD-editor in op 2, controleer of de optie Hex is geselecteerd en klik op OK.
6. Start de service MSSQLSERVER en SQLSERVERAgent opnieuw om de wijziging toe te passen.

Terug naar begin