DBA必读：SQL Server 2008安全概述

　　图 5： ALTER SCHEMA 所暗含的权限层次

　　当你考虑可用的主体的数目和类型、服务器和一个典型的数据库中的可得到的对象的数目、可用的权限和隐藏的以及暗含的权限的数目时，“在SQL Server 2008中的细粒度权限是怎样的”就立刻清楚了。现在创建一个数据库要求更细致地分析它的安全需求和谨慎地控制在所有对象上的权限。然而，这个分析是很值得的，在SQL Server 2008中使用这些功能会使得数据库更安全。

　　4.4 元数据安全

　　细粒度权限scheme 的一个好处是SQL Server保护元数据和数据。在SQL Server 2005之前，一个用户对数据库的任何访问都会看到数据库中的所有对象的元数据，无论这个用户是否可以访问其中的数据或执行存储过程。

　　SQL Server 2008检查主体在数据库中具有的权限，并仅当这个主体是所有人或他具有这个对象的一些权限时才可以显示这个对象的元数据。还有一个VIEW DEFINITION 权限可以授予查看元数据信息的权限，它甚至不需要这个对象的其它权限。

　　这个保护扩展到因用户没有权限所做的访问或更新对象的操作所返回的错误信息。不只是承认确实有一个表叫做Address ，还给攻击者一个信息说她被跟踪了，SQL Server返回一个具有选择可能性的错误信息。例如，如果一个用户没有对数据库中的任何对象的权限，他试图删除Address表，那么SQL Server 会显示下面的错误信息：

　　在这种方式下，攻击者不能确定一个Address表是否真的存在。然而，调试这个问题的人仍然只需要探究有限的可能性。

　　4.5 SQL Server Agent代理

　　在SQL Server 2008中的授权模型的一个最好的例子就是SQL Server Agent。你可以定义许多常常与Windows登陆关联的凭证，链接到具有必要的权限的用户以执行一个或多个SQL Server Agent步骤。然后一个SQL Server Agent 代理会使用一个工作步骤链接这个凭证来提供必要的权限。

　　这为下面的最小权限的主体提供了一个细粒度的方法：授予一个工作步骤所需的权限，除此以外没有其它权限。你可以创建任何数目的代理，将它们的每一个同一个或多个SQL Server Agent子系统关联起来。这是对SQL Server 2000中的所有强大的代理帐户的完全约束，它使得用户可以在任何SQL Server Agent子系统中创建工作步骤。

　　注意 当你对一个SQL Server 2000服务器进行升级的时候，会创建一个单独的代理账户，所有的子系统会被分配到这个单独的代理账户上以便现有的工作可以继续运行。在升级之后，创建凭证和代理账户来实现一组更加安全的、更细粒度的代理来保护服务器资源。

　　图6显示了管理套件中的对象资源管理器和一列SQL Server Agent中可用的子系统。每一个子系统可以有与它关联的一个或多个代理，它们授予这个工作步骤所需的适当的权限。这个scheme的一个例外是Transact-SQL子系统以模块所有者的权限来执行，这和在SQL Server 2000中是一样的。

　　图 6： 你可以将之与代理相关联的SQL Server Agent子系统

　　在一个新安装的SQL Server 之上，只有System Administrator 角色具有维护SQL Server Agent 工作的权限，管理套件资源管理器中的管理面板只对sysadmins开放。SQL Server 2008具有一些其它的、你可以用来授予多级权限的角色。你可以将用户分配到SQLAgentUser、SQLAgentReaderRole或SQLAgentOperator 角色，其中的每一