СОДЕРЖАНИЕ

1.	СОВЕТЫ
1.1.	Безопасность Microsoft SQL Server 2000 (ПРОДОЛЖЕНИЕ)
2.	ССЫЛКИ НА СТАТЬИ
2.1.	Статьи на русском языке
2.2.	Новые технические статьи Microsoft
2.3.	Англоязычные статьи
3.	ФОРУМ SQL.RU
3.1.	Самые популярные темы недели
3.2.	Вопросы остались без ответа
4.	ПОЛЕЗНОСТИ
4.1.	Эффективная работа: SQL Server 2000
4.2.	Базы данных
4.3.	Базы знаний интеллектуальных систем
4.4.	Обработка баз данных на Visual Basic 6
4.5.	Базы данных для всех
4.6.	Разработка баз данных MS SQL Server 2000 на примерах
4.7.	Microsoft SQL Server 2000. Энциклопедия пользователя
4.8.	Microsoft SQL Server 2000. Новейшие технологии
4.9.	MS SQL Server 2000. Разработка приложений
4.10.	Руководство администратора баз данных Microsoft SQL Server 2000
4.11.	Microsoft SQL Server 2000. Наиболее полное руководств
4.12.	Администрирование SQL Server 2000. Полное руководство

СОВЕТЫ

Безопасность Microsoft SQL Server 2000 (ПРОДОЛЖЕНИЕ)

По материалам статьи Richard Waymire и Ben Thomas: Microsoft SQL Server 2000 Security

1.         Введение
2.         Новшества безопасности SQL Server 2000
2.1.      Безопасная инсталляция
2.2.      Установка Microsoft SQL Server 2000 Desktop Engine
2.3.      Уровень безопасности C2
2.4.      Kerberos и делегирование в среде Windows 2000
2.5.      Аудит безопасности
2.6.      Исключение SQLAgentCmdExec Proxy Account
2.7.      Расширение набора серверных ролей
2.8.      Шифрация
2.9.      Пароли
2.10.    Модель безопасности SQL Server 2000
2.11.    Режимы аутентификации
2.12.    Поддержка Security Identification Numbers
2.13.    Роли
2.14.    Обеспечение доступа к серверу
2.15.    Обеспечение доступа к базе данных
3.         Реализация безопасности на уровне сервера
3.1.      Использование идентификаторов безопасности (SID)
3.2.      Отказ от Server User Identification Numbers (SUIDs)
3.3.      Генерация GUID для не доверительных подключений пользователей
3.4.      Переименование пользователя Windows или учётной записи группы
3.5.      Системная таблица sysxlogins
3.6.      Столбец xstatus
3.7.      Столбцы dbid и language
3.8.      Состояние hasaccess
3.9.      Состояние denylogin
3.10.    Представление sysremotelogins
3.11.    Представление sysoledbuser
4.         Реализация безопасности на уровне объектов
4.1.      Как проверяются разрешения
4.2.      Стоимость изменений разрешений
4.3.      Переименование пользователя Windows или учетной записи группы
4.4.      Выведена из обращения системная таблица sysprocedures
4.5.      Опция WITH GRANT
4.6.      Системная таблица sysusers
4.7.      Системная таблица sysmembers
4.8.      Системная таблица syspermissions
4.9.      Системная таблица sysprotects
4.10.    Безопасность подключения по именованным каналам и по мультипротоколу

5. Обновление SQL Server 7.0 до 2000

В системе безопасности SQL Server 7.0 относительно SQL Server 2000 нет существенных архитектурных изменений. Для получения информации о новшествах безопасности SQL Server 2000, см. главу 2. Новшества безопасности SQL Server 2000.

[В начало]

6. Обновление SQL Server 6.5 до 2000

Модель безопасности SQL Server 6.5 претерпела изменения относительно SQL Server 6.0, и была изменена снова в SQL Server 2000. Эти изменения были необходимы для обеспечения нужд практических задач в среде SQL Server. Из-за этих изменений, система разрешений должна быть тщательно пересмотрена при выполнении обновления.

[В начало]

6.1. Общие замечания по обновлению

Представленная в этом разделе информация, охватывает только вопросы обновления версии SQL Server 6.5 с интегрированным или смешанным режимом аутентификации. Если обновление выполняется для SQL Server 6.5 в стандартном режиме аутентификации, никаких проблем с безопасностью не должно быть. Однако, Microsoft рекомендует в этом случае задействовать новые функциональные возможности безопасности, доступные при выборе Windows Authentication Mode и внедрить их в обновлённой среде. Лучшим методом настройки безопасности SQL Server 6.x является модернизация до наиболее сильного уровня безопасности, тщательное планирование обновления и безопасности системы в целом.

[В начало]

6.2. Процесс обновления

Процесс обновления может быть выполнен непосредственно на сервере или с одного компьютера на другой. По логике, обновление непосредственно на сервере выполняется так же, как обновление с одного компьютера на другой, где исходный и целевой компьютер один и тот же. Эти два компьютера будем называть исходным и целевым серверами. Исходным сервером будет SQL Server 6.0 или 6.5, а целевым - SQL Server 2000.
В течение процесса обновления версии, программой открываются на исходном сервере ключи системного реестра SQL Server 6.5, и считываются SID всех имеющих разрешённый доступ логинов. Логины на исходном сервере могут быть глобальными или локальными группами, а также пользователями Windows. В случае глобальных групп и пользователей, они могут быть из локального домена (если SQL Server 2000 входит в домен или это могут бы быть учетные записи доверенного домена). Если SQL Server 2000 был установлен на контроллере домена, локальные группы контроллера домена становятся локальными группами домена; иначе, локальные группы будут обычными локальными группами сервера, находящегося в домене.
Учетные записи, которым на исходном сервере дали администраторские разрешения, игнорируются процессом обновления и не отображаются на учетные записи целевого сервера.
Обратите внимание, что инструкция sp_grantlogin будет выполнена на SQL Server 2000 для всех учётных записей Windows, которые использовали интегрированную модель безопасности в SQL Server 6.5. SQL Security Manager, который используется начиная с версии SQL Server 6.5, будет исполнять xp_grantlogin, для имитации того, что было сделано в более ранней версии.

[В начало]

6.2.1. Анализ результатов обновления

Большинство связанных с безопасностью трудностей при обновлении обусловлены тем, что интегрированная модель безопасности SQL Server 6.5 основывалась на ключах системного реестра и только те, кто имел доступ к этим ключам, могли подключится к серверу. Разрешения на ключи системного реестра были связаны с учетными записями пользовательских логинов, которые хранились в таблице syslogins.
Для обеспечения доступа к SQL Server 2000 этот метод больше не использует. Вместо этого, доступа к серверу предоставляется на основе SID пользователя или группы Windows. Поэтому, процесс обновления иногда не может правильно идентифицировать требования безопасности исходного сервера. Это бывает потому, что среда безопасности SQL Server была старого типа или обновление происходит в другую среду.
Представленная ниже таблица была создана, чтобы продемонстрировать логины в SQL Server Enterprise Manager после обновления.

Название	Тип	Доступ к серверу	БД по умолчанию	Пользователь	Строка
User1	Standard	Разрешен	master		1
a#user2	Standard	Разрешен	master		2
BUILTIN\administrators	Группа Windows	Разрешен	master	dbo	3
DOM3\SQLUsers	Группа Windows	Разрешен	master		4
DOM3_user*3	Standard	Разрешен	master		5
DOM3_Administrator	Standard	Разрешен	master		6
REDMOND\a user4	Пользователь Windows	Через Группу	master		7
REDMOND\user5	Пользователь Windows	Через Группу	master		8

Содержание этой таблицы объясняется в ниже следующих разделах.

[В начало]

6.2.2. Пользователи, которые были удалены

Строки 1 и 2 в этой таблице получаются, когда пользователи не найдены в Windows User Directory. Если системная хранимая процедура xp_logininfo не возвращает имя пользователя, оно конвертируется в стандартный логин, что и видно в этих двух строках. Символ '*' в строке 2 используется, чтобы заменить пробел, так как SQL Server 6.5 и ранние версии не поддерживал специальные символы.

[В начало]

6.2.3. Учетная запись администратора

Локальная группа BUILTIN\Administrators в строке 3 является псевдонимом для пользователя dbo в базе данных master.

[В начало]

6.2.4. Пользователи доверенного домена

Строка 4 в таблице относится к группе DOM3\SQLUsers, являющейся глобальной группой доверенного домена. Членам этой группы предоставлено право входа в систему. Однако, членам этой группы также будет предоставлено право входа в систему, использующее стандартную защиту и их имена, какими они были в SQL Server 6.5 или ранних версиях. Это делается для того, чтобы обеспечить обратную совместимость для режима стандартной безопасности.
Обратите внимание на логин администратора в строке 6; логину для Windows Administrator домена DOM3 перед обновлением были предоставлены права пользовательского логина. Весь доступ уровня пользовательских логинов будет обработан таким же образом.

[В начало]

6.2.5. Пользователи текущего, заданного по умолчанию домена

Пользователи текущего домена (как было установлено в SQL Server 6.x до обновления) после обновления будут иметь вид, как в строках 7 и 8. Обратите внимание на тип учетной записи и на наличие пробела в строке 7. SQL Server 2000 поддерживает специальные символы в именах учетных записей.

[В начало]

6.2.6. Подготовка среды безопасности SQL Server 6.5

Настоятельно рекомендуется до обновления все параметры настройки безопасности полностью отключить. Для работы SQL Security Manager необходимо гарантировать, что бы все учётные записи Windows были синхронизированы с SQL Server. Если среда безопасности в порядке, процесс обновления имеет самые высокие шансы завершиться должным образом.

[В начало]

6.2.7. Шаги обновления

Можно относительно легко контролировать процесс обновления и определять, как будет идти обновление учетных записей пользователей и групп. Мастер обновления SQL Server позволяет останавливать процесс после каждого очередного шага. Если выбрана опция остановки после каждого шага, может анализировать промежуточные результаты, созданные на предыдущей стадии обновления безопасности. Информация для анализа шагов обновления сохраняется в файлы - loginmap.sid и loginmap.txt. Если их содержание не является верным, эти текстовые файлы могут быть отредактированы, и потом работа может быть продолжена.
Примечание: Редактирование файлов loginmap.sid и loginmap.txt в течение процесса обновления Microsoft не поддерживается.

[В начало]

6.2.8. Не обновляйте в новый домен

При обновлении SQL Server 6.x используется метод, который не поддерживает обновление базы данных из одного домена в другой. При исполнении хранимой процедуры xp_logininfo, она не сможет найти учётные записи, которые существовали в исходном домене (а если даже и найдёт, то это вероятно не правильные учетные записи или с одинаковыми именами). Права такому логину будут предоставлены, как будто эта учётная запись была удалена. Для получения дополнительной информации, см. "Пользователи, которые были удалены".

[В начало]

6.2.9. Не обязательное отображение символов

Отображение символов не требуется, т.к. SQL Server 2000 может работать с пробелами и наклонной влево чертой в именах учетных записей.
В SQL Server 6.5 и ранние версии, нуждались в настройке отображения символов, чтобы использовать имена учётных записей Windows NT, которые содержали специальные символы, такие как обратный слеш (\). Поэтому в SQL Server 6.5 использовались три символа отображения: "*", "_" и "$".

[В начало]

6.2.10. Не используйте учётную запись sa

В SQL Server 6.5 и более ранних версиях, администраторы регистрировались на SQL Server используя учетную запись для системных администраторов (sa), что позволяло им исполнять задачи администрирования. Часто большому количеству людей необходимо было предоставлять администраторский доступ.
Все пользователи Windows NT, которым предоставляется набор прав на SQL Server 2000, как у sa, должны быть включены в фиксированную серверную роль sysadmin.

[В начало]

6.2.11. Не используйте псевдонимы имён

SQL Server 2000 поддерживает псевдонимы имён учетных записей пользователей в пределах одной базы данных для поддержания обратной совместимости, но их применение не рекомендуется. Вместо этого, рекомендуется использовать роли. Роли являются более мощным инструментом, и они включают функциональные возможности, подобные псевдонимам имён.

ПРОДОЛЖЕНИЕ СЛЕДУЕТ

[В начало]

ССЫЛКИ НА СТАТЬИ

Статьи на русском языке

Совместное использование учетных систем и технологии OLAP
В наше время без систем управления базами данных не обходится практически ни одна организация, особенно среди тех, которые традиционно ориентированы на взаимодействие с клиентами. Банки, страховые компании, авиа- и прочие транспортные компании, сети супермаркетов, телекоммуникационные и маркетинговые фирмы, организации, занятые в сфере услуг и другие - все они собирают и хранят в своих базах гигабайты данных о клиентах, продуктах и сервисах. Ценность подобных сведений несомненна. Они применяются для различных целей, например для управления материально-техническими запасами, управления отношениями с клиентами (CRM - customer relationship management), биллинга (формирования счетов) и т.п....

[В начало]

Новые технические статьи Microsoft

WebCast: Integrating Microsoft .NET Development with Microsoft SQL Server 2000
SQL Server Support Center
PRB: You Receive Error Message: "The replication agent is not registered properly" When the SQL Server Replication Agent Fails
PRB: You Receive Error Message: "The log file for database 'Database Name' is full" While Restoring a SQL Server 7.0 Database Backup on SQL Server 2000
PRB: Virtual SQL Server 2000 Installation Fails on Cluster That Has Eight Nodes
PRB: SQL Server Returns English Format for Numeric Data Regardless of the Collation Settings
PRB: SQL Server Only Uses Two GB of Memory Even Though the AWE Option is Enabled
PRB: SQL Server Desktop Engine 2000 Setup Fails When You Log On with an Account That Has Administrative User Rights by Using the Fast User Switching Operation in Windows XP
PRB: SQL Server Books Online Incorrectly States the Type of Result Set for @@CPU_BUSY, @@IO_BUSY and @@IDLE Functions Is Milliseconds Instead of Ticks
PRB: SQL Server Agent May Report Event ID: 318 Error After an Application Generates an Unhandled Exception Error with Dr. Watson as the Default Debugger
PRB: SQL Server Agent Job Fails When the Job Uses a Linked Server and the Job Owner Is Not a System Administrator
PRB: Inconsistent Error Handling Behavior Occurs with @@ERROR in SQL Server
PRB: Error Message: "Unable to copy the initialization file..." Occurs When You Set Up Log Shipping Between Two Clustered SQL Server Servers
PRB: Error Message: "The handle is invalid" Occurs When You Install SQL Server 2000 Service Pack 2 on a Virtual SQL Server server
PRB: Error Message: "28037: HttpSendRequest failed;…" Occurs with SQL Server CE Application
PRB: Error 7306 When Updating or Deleting Data Using a Linked Server in SQL Server 2000
PRB: Error 17882 "Error Accepting Connection Request via Net-Library 'SSNETLIB'. Execution Continuing" When You Connect to SQL Server
PRB: CryptoAPI function Error "Error 0x80090006: Invalid Signature" Connecting to SQL Server by Using SQL Server Authentication
INF: Using Extended Stored Procedures or SP_OA Stored Procedures to Load CLR in SQL Server Is Not Supported
INF: Supportability of SQL Server on Windows Server 2003
INF: SQL Server 2000 Windows CE Edition Version 2.0 Readme.txt Additions
INF: How to Consolidate Physical Files and Rename the Logical File Name of a Database in SQL Server 2000
INF: Error Handling in Transact-SQL Blocks and Stored Procedures
INF: Encrypted Password Is Not Supported in Intialization File for Installing SQL Server 2000 Service Pack 3 (SP3)
HOWTO: Upgrade the Master and the Target Servers (MSX/TSX) to SQL Server 2000 Service Pack 3
HOW TO: Configure SQL Server Security for .NET Applications
FIX: You May Experience Slow Performance When You Debug a SQL Server Service
FIX: SQL Server Thread Goes into an Infinite Loop When it Runs Sp_MSdbuseraccess
FIX: SQL Server Assertion: "nret == FALSE" Occurs When You Insert or Update Table Data in SQL Server 2000
FIX: RealTime Cube Performance May Decrease When Update Activity Occurs on the Non-Source SQL Server Database
FIX: Open Generations May Not Close Under Some Stress Conditions with SQL Server CE Subscribers
FIX: Merge Publications Cannot Synchronize on SQL Server 2000 SP3
FIX: Invalid TDS Sent to SQL Server Results in Access Violation
FIX: Incorrect Cardinality Estimates for NOT EXISTS Predicates After You Upgrade to SQL Server 2000 Service Pack 3
FIX: Error 8623 is Raised When SQL Server Compiles a Complex Query
BUG: Impersonation May Not Work When You Use ASP.NET SQL Server Session State with Integrated Security
BUG: Changes to the Windows NT Group Membership Are Not Reflected Immediately in the SQL Server IS_MEMBER Function
AWE-Enabled SQL Server 2000 May Take a Long Time to Start

[В начало]

Англоязычные статьи

Getting Certified
Brian Kelley
Recently a forum question asked for a step-by-step process on how to get certified. Both Steve Jones and I responded with some suggestions on how to go about the certification process. If you've read the "How to get certified" articles at other sites, you won't see anything really new in this article. However, since the question has come up several times on this site, I've put together my recommendations about how to get Microsoft- certified. This is basically my ten step approach that I used when I completed the NT 4 MCSE track. I'm now back in the certification game, heading towards new certifications, not all of them Microsoft (security has become a big player), so I think this ten-step approach is a fairly generic one. Needless to say, this is the plan I'm using to get certified. Okay, enough with the introduction and on to the plan
Using Query Analyzer Templates
Gregory Larsen
Query Analyzer (QA) in SQL Server 2000 was greatly enhanced over SQL Server 7.0. One of those enhancements can increase your productivity in developing code. What I am talking about are QA templates
Creating a Script from a Stored Procedure
Ryan Randall
A simple task, I thought, but it took me to some interesting places. The method is broadly this: 1) Create an instance of SQL-DMO SQL Server, and use the script method to save the create table text in a file. 2) Get the text from the file into a sp variable. 3) Delete the text file.

[В начало]

ФОРУМ SQL.RU

Самые популярные темы недели

Междумордие
Ваше мнение об упражнениях SELECT на http://sql.ipps.ru
Кто на чем пишет клиентов под SQL Server?
Как правильно писать на MSSQL
1с версия 8.0
64-разрядный SQL Server: первые официальные бенчмарки
Логика в WHERE
Резкий рост Ж.Т. вместе с 1С
Странное поведение оптимизатора планов выполнения в MS SQL 2000
Будет ли правильной транскрипция SQL - сиквел?
Как поменять порядок столбцов в таблице?
Помогите плз!
Производительность в зав-ти от структуры таблицы
проблема с запросом
stored procedures OUTPUT PARAMS
Новые упражнения на http://sql.ipps.ru
Проблемы с авторизацией SQL клиента при заходе на домен
DBA Documentation
Репликация или представление?
Ошибка в SQL "Invalid cursor state"
Как отключить выход из запроса по ошибке
Создание ODBC источника
Запуск пакаджа из клиента
триггер использование
LinkedServers
Удаление большого числа записей
Вопрос к знатокам репликации: организация архива
VB+MSSQL2000+where date
Автоинкрементные поля!!!
Как осуществить контроль при вводе?
редактирование данных в хп полученных из select -а в той же хп
Посоветуйте компоненты всместо TADODataSet в Дельфи
select top @top... (top через параметр хп)
Системные таблицы при Merge репликации
СЕМИНАР: Оптимизация приложений баз данных и Microsoft SQL Server 2000
Триггеры в MS SQL 7.0 & IB
Не могу составить SQL-запрос.
Наверное связано с уровнем изоляции ?...
Древовидные структуры, выборка данных?
есть ли у mssql тоже самое что и IBEXPERT в interbase
Возможно ли такое в SELECT ?
индексы по битовым полям
Транзакции
Что то немогу догадатся как сделать сортировку вот такую :)

[В начало]

Вопросы остались без ответа

Куда делся MS DTC из списка сервисов в SQL Server Service Manager?
Будет ли перекомпиляция ХП, если...
Statistics. sample vs fullscan
SP3 and DB migration
Подсчитать сумму????
Access + mssql Я просто Обалдел от такой фишки ....
про Log Explorer 3.2.1
Помогите как сделать правельние?
Как запустить скрипт с расширением .wsf?
Неисправности ПК
информация о транзакциях......
kak vnesti peremennuju
default value для столбца

[В начало]

ПОЛЕЗНОСТИ