Diseño de Un Escenario de Seguridad

Diseño de un Escenario de Seguridad
Nombre:
Elmer Darlin Martínez Terrazas
CARRERA:
Ingeniería En Sistemas
DOCENTE:
Ing. Rodolfo River Zegarra
FECHA: 09 de septiembre de 2021
SEPTIEMBRE 2021
Diseño de un Escenario de Seguridad
Autenticación
La autenticación de Windows es un método para identificar un inicio de sesión con

credenciales suministradas por el sistema operativo (SO) Windows del equipo que
realiza la conexión.
Los inicios de sesión autenticados por Windows son el tipo predeterminado y, por lo
tanto, el tipo recomendado de usuario para las bases de datos de SQL Server. Por
defecto, cuando se crea una instancia de SQL Server, este es el único tipo de inicio de
sesión permitido.
Si se selecciona la autenticación de modo mixto durante la instalación, debe

proporcionar una contraseña segura, y confirmarla después, para la cuenta integrada
de administrador del sistema de SQL Server denominada sa. La cuenta sa se conecta
mediante la autenticación de SQL Server.
Login
Los inicios de sesión de la base de datos son cuentas creadas en el sistema de administración
de bases de datos. Estas cuentas están separadas de la cuenta de inicio de sesión que utiliza
para conectarse al sistema operativo.
La autenticación de Windows ofrece algunas ventajas sobre la autenticación de base de datos

en SQL Server. Estas ventajas son las siguientes:
La autenticación de Windows generalmente es más segura en las bases de datos de SQL Server
que la autenticación de la base de datos, dado que utiliza un mecanismo de seguridad basado
en certificados. Los inicios de sesión autenticados de Windows pasan un acceso token en lugar
de un nombre y una contraseña a SQL Server. Windows asigna el acceso token (dominio de
Active Directory o sistema operativo local) cuando el usuario inicia sesión. Éste contiene un Id.
de seguridad único (SID) para ese usuario y los SID de cualquier grupo local o de dominio de
Windows al que pertenezca el usuario. Estos SID de token se comparan a todos los SID en la
vista del sistema sys.server_principals. Basado en los resultados de esta comparación, el inicio
de sesión garantiza o niega el acceso al SQL Server.
Si utiliza cuentas de dominio, la administración de contraseñas y de las cuentas es centralizada;

el administrador del dominio administra todos los inicios de sesión que se utilizan en la
organización y el administrador de la base de datos no necesita administrar cuentas separadas.
Cuando el usuario se conecta a la base de datos, no se requiere que el usuario introduzca un

nombre de usuario y una contraseña. Un inicio de sesión simple proporciona acceso a todos
los servicios que son compatibles con la autenticación de Windows.
Inicios de sesión (Login): Un login es la habilidad de utilizar una instancia del Servidor SQL, está
asociado con
un usuario de Windows o con un usuario de SQL. Son autenticados contra SQL Server por lo
tanto son los
accesos al servidor, pero esto no quiere decir que puedan acceder a las bases de datos o a
otros objetos. Para poder acceder a cada una de las bases de datos se necesita de un usuario
(user).
Usuario de la base de datos (User):
El usuario de la base de datos es la identidad del inicio de sesión cuando está conectado a una
base de datos.
El usuario de la base de datos puede utilizar el mismo nombre que el inicio de sesión, pero no
es necesario.
 Los Logins son asignados a los usuarios

 Los grants se les asignan a los usuarios.
 A los usuarios se le asignan sus propios Esquemas(schemas)
Usuarios por defecto en una BD
dbo: Propietario. No puede ser borrado de la BD
Guest: Permite a usuarios que no tienen cuenta en la BD, que accedan a ella, pero hay que
hacerle permiso explícitamente
Information_schema
Permite ver los metadatos de SQL Server

sys
Permite consultar las tablas y vistas del sistema, procedimientos extendidos y otros objetos del
catálogo del sistema
Mostrar usuarios de una base de datos:
Los usuarios pueden pertenecer a Roles.
 Todos los usuarios son miembros del Role “Public”

 El login “sa” está asignado al usuario dbo en todas las bases de datos.
Da acceso a la base de datos, pero esto tampoco quiere decir que pueda hacer cualquier
operación sobre la
base de datos, en principio no puede hacer casi nada, salvo que se le vaya asignando roles y
otros privilegios
para hacerle permisos de acceso a los objetos de esa base de datos.
Roles:
Los Roles pueden existir a nivel de instancia o base de datos.
A nivel de Instancia:
 Los logins pueden ser otorgados roles llamados “server roles”.

 No se pueden crear Roles nuevos
A nivel de Base de Datos
 Los usuarios de base de datos pueden ser otorgados roles.

 Se pueden crear roles nuevos.
Role de una Aplicación
Un role de aplicación sirve para asignarle permisos a una aplicación:
 Tiene un password
 No contiene usuarios
Jerarquía de permisos
El Motor de base de datos administra un conjunto jerárquico de entidades que se pueden

proteger mediante
permisos. Estas entidades se conocen como elementos protegibles. Los protegibles más
prominentes son los
servidores y las bases de datos, pero los permisos discretos se pueden establecer en un nivel
mucho más
específico.
En la siguiente figura se muestra las relaciones entre las jerarquías de permisos del Motor de
base de datos.
Creando de los inicios de sesión:
CREATE LOGIN Director_RH
WITH PASSWORD = '12345';
CREATE LOGIN Gerente_Produccion
WITH PASSWORD = 'abcd';
Los inicios de sesión se encuentran en la carpeta Login de la carpeta Security, la cual se

encuentra en el
nodo del nombre del servidor
Comprobando los inicios de sesión: Entrar a SQL Server 2012 con el nuevo inicio de sesión
creado anteriormente.
En el cual se indica que no se puede acceder a la base de datos, con la cual queremos trabajar.
Para poder tener acceso a las bases de datos primero debemos crear los USUARIOS de BASES
DE DATOS, para
la creación de usuarios de las bases de datos nos ayuhaceremos del siguiente código.
Sintaxis:
USE BASE_DE_DATOS;
CREATE USER nombre_usuario FOR LOGIN nombre_login
WITH DEFAULT_SCHEMA = algun_esquema;
Ejemplo de creación de usuarios de base de datos:
USE Northwind
CREATE USER JuanPerez FOR LOGIN Director_RH
WITH DEFAULT_SCHEMA = RecursosHumanos
CREATE USER MarioRivas FOR LOGIN Gerente_Produccion
WITH DEFAULT_SCHEMA = Produccion
Los usuarios de base de datos se encuentran en la carpeta Users de la carpeta Security a nivel
del nombre de la base de datos
Asignando permisos sobre esquemas Vamos a asignarle un esquema al usuario, por ejemplo el
esquema RecursosHumanos. GRANT SELECT ON SCHEMA :: RecursosHumanos TO JuanPerez
WITH GRANT OPTION GO GRANT: La instrucción GRANT se utiliza para conceder determinados
permisos genéricos o bien permisos sobre objetos a usuarios de la base de datos GRANT
OPTION: permite que el usuario al que le han concedido permisos pueda a su vez concederlos
a otros usuarios. Si nos conectamos con el inicio de sesión Director_RH, observamos las
siguientes tablas en la base de datos Northwind:
Si hacemos un SELECT a la tabla Empleado, podemos obtener la información almacenada en
esa tabla
Asignación de permisos
1. Cambiarse al usuario sa
2. En la base de datos Alumno_SuCarnet ,digitar la consulta para crear la siguiente tabla:
3. Agregar los siguientes registros

4. La tabla materias se crea en la cuenta dbo
SQL Server denomina como dbo a aquellas cuentas de usuario que han creado bases de datos
en la
instancia así como también a aquellos usuarios que pertenecen al rol “sysadmin”.
5. Hacer doble clic en la carpeta seguridad (security) de la base de datos Alumnos_SuCarnet,

hacer doble clic sobre el usuario de base de datos que se creó anteriormente
5. En la parte izquierda de la pantalla seleccionar la opción Securables, hacer clic en la
opción Search…
6. Se abre la siguiente ventana
La cual posee las siguientes opciones:
 Objetos específicos (Specific objects…): crear permisos para uno o varios objetos
de SQL el usuario tiene la oportunidad de agregar los objetos de su preferencia
 Todos los objetos de los tipos (All objects of the types…): se seleccionaran todos
los tipos de objetos, es decir si selecciona el objeto tabla, se seleccionaran todas
las tablas que contenga la BD
 Todos los objetos que pertenecen al esquema (All objects belonging to the
schema): para seleccionar los objetos que pertenezcan a un esquema en
específico.
En esta ocasión el ejercicio es solo asignar ciertos permisos a la tabla que se acaban de crear,
como solo se quiere tabla seleccionar la primera opción, objetos específicos (Specific Objects),
en la ventana hacer clic en Tipos de objeto (Object Types…)
9. Seleccionar Tablas (Tables)
10. Hacer clic en aceptar (Ok)
11. Hacer clic en el botón examinar (Browse…) para buscar las tablas existentes en la base de
datos
12. Seleccionar la tabla Materias
13 Hacer clic en aceptar (Ok) en dos ocasiones, y nos encontraremos con la siguiente pantalla
en la cual marcamos las casillas UPDATE y SELECT, lo que quiere decir que el usuario solo
podrá hacer consultas y actualizar datos.
14. Para finalizar hacer clic en aceptar (Ok)
15. Conectarse de nuevo al servidor e ingresar con el inicio de sesión (SuCarnet) que creo
anteriormente para ver probar los permisos en esa tabla.
16. Observar que ahora le aparecen las dos tablas alumno.alumnos y materias
La tabla alumno.alumnos que fue asignada cuando se creó el usuario de la base de datos y
dbo.materias la cual se acaba de asignar en los pasos anteriores
17. Probar las siguientes consultas SQL y colocar en el script por medio de un comentario si se
obtuvieron o no resultados y porque

Diseño de Un Escenario de Seguridad

Cargado por

Copyright:

Formatos disponibles

Diseño de Un Escenario de Seguridad

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Diseño de Un Escenario de Seguridad

Cargado por

Copyright:

Formatos disponibles

Diseño de un Escenario de Seguridad

La autenticación de Windows es un método para identificar un inicio de sesión con

Si se selecciona la autenticación de modo mixto durante la instalación, debe

La autenticación de Windows ofrece algunas ventajas sobre la autenticación de base de datos

Si utiliza cuentas de dominio, la administración de contraseñas y de las cuentas es centralizada;

Cuando el usuario se conecta a la base de datos, no se requiere que el usuario introduzca un

Usuario de la base de datos (User):

 Los Logins son asignados a los usuarios

Usuarios por defecto en una BD

dbo: Propietario. No puede ser borrado de la BD

Permite ver los metadatos de SQL Server

Mostrar usuarios de una base de datos:

Los usuarios pueden pertenecer a Roles.

 Todos los usuarios son miembros del Role “Public”

para hacerle permisos de acceso a los objetos de esa base de datos.

Los Roles pueden existir a nivel de instancia o base de datos.

 Los logins pueden ser otorgados roles llamados “server roles”.

A nivel de Base de Datos

 Los usuarios de base de datos pueden ser otorgados roles.

Role de una Aplicación

Un role de aplicación sirve para asignarle permisos a una aplicación:

El Motor de base de datos administra un conjunto jerárquico de entidades que se pueden

WITH PASSWORD = '12345';

CREATE LOGIN Gerente_Produccion

WITH PASSWORD = 'abcd';

Los inicios de sesión se encuentran en la carpeta Login de la carpeta Security, la cual se

nodo del nombre del servidor

CREATE USER nombre_usuario FOR LOGIN nombre_login

WITH DEFAULT_SCHEMA = algun_esquema;

Ejemplo de creación de usuarios de base de datos:

CREATE USER JuanPerez FOR LOGIN Director_RH

WITH DEFAULT_SCHEMA = RecursosHumanos

CREATE USER MarioRivas FOR LOGIN Gerente_Produccion

WITH DEFAULT_SCHEMA = Produccion

3. Agregar los siguientes registros

5. Hacer doble clic en la carpeta seguridad (security) de la base de datos Alumnos_SuCarnet,

6. Se abre la siguiente ventana

La cual posee las siguientes opciones:

10. Hacer clic en aceptar (Ok)

14. Para finalizar hacer clic en aceptar (Ok)

También podría gustarte