Управление правами доступа к объектам базы данных. «Скорая помощь» для прав доступа

Когда пользователи подключаются к SQL-сервер, действия, которые они могут выполнять, определяются правами, выданными их учетной записи, группе или роли, в которой они состоят. Для выполнения тех или иных действий пользователь должен иметь соответствующие права. Выполнение некоторых действий не требует явного разрешения и доступно по умолчанию. Для предоставления пользователям определенного набора прав можно использовать роли. Создав несколько ролей и предоставив им необходимые права доступа, администратор может просто включать пользователей в соответствующие роли. В этом случае пользователь автоматически получает все права, определенные для роли.

Права в SQL-сервер можно разделить на 3 категории:

    Разрешение для объектов.

Работа с данными и выполнение хранимых процедур требует наличие класса доступа, называемого «разрешением для объектов». Разрешение для объектов контролирует возможность выполнения команд Select, Insert, Update и Delete для таблицы представлений. Действия с хранимыми процедурами контролируются разрешением либо запрещением их выполнения, т.е. предоставлением или запрещением команды EXECUTE.

    Разрешение для команд Transact SQL.

Этот класс разрешений контролирует возможность создания объекта в БД, а также создание самой БД и выполнение процедур резервного копирования (Create view, create table и т.д.).

    Неявное разрешение.

Этот класс разрешений контролирует действия, которые могут быть выполнены только членами ролей сервера или владельцами объектов в БД. Неявные разрешения не предоставляются пользователям напрямую, он получает их только при определенных обстоятельствах. Например, пользователь может стать владельцем объекта БД, только если он сам создаст этот объект, либо если другой владелец объекта передаст ему права владения своим объектом. Владелец объекта имеет все права для выполнения любых действий с объектом, при чем эти права нигде явно не указываются. Для конкретного действия, контролируемого разрешением, возможны три варианта состояния доступа: предоставления, запрещения, неявного отклонения. После создания пользователь не имеет никаких прав доступа кроме тех, которые разрешены для специальной роли БД Public.

В SQL-сервер существует возможность контролировать права доступа не только на уровне таблиц, но и на уровне колонок. Для предоставления прав доступа используется команда GRANT.

{ALL/permissions [..n]}

{[(column [..n])] ON

| ON {stored_procedure}

TO security_account

Для разрешения выполнения команд SQL используется следующая инструкция:

GRANT {ALL/Statement [..n]}

TO security_account [...n]

Запрещение доступа

При запрещении доступа к данным или командам Transact SQL аннулируются все разрешения на доступ пользователя на любом уровне иерархии. При этом гарантируется, что доступ останется запрещенным независимо от разрешений, предоставленных на более высоком уровне. Но иногда необходимо временно ограничивать доступ определенным пользователям к таблице. Вместо того чтобы убирать разрешение на доступ, в этом случае можно создать роль, в которой будет запрещен доступ к этой таблице, и включить пользователей в эту роль. Для запрещения пользователям доступа к объектам БД используется команда DENY.

{ALL/permissions [..n]}

{[(column [..n])] ON

| ON {table/view} [(column[..n])]

| ON {stored_procedure}

TO security_account [..n]

Для запрещения выполнения команд Transact SQL:

DENY {ALL/Statement [..n]}

TO security_account [...n]

Неявное отклонение доступа

Неявное отклонение доступа подобно запрещению доступа с тем отличием, что оно действует только на том уровне, на котором определено. Если пользователю на определенном уровне неявно отклонен доступ, он может получить его на другом уровне иерархии через членство в роли, имеющей право просмотра.

Для неявного отклонения доступа к объектам БД используется команда REVOKE.

{ALL/permissions [..n]}

{[(column [..n])] ON

| ON {table/view} [(column[..n])]

| ON {stored_procedure}

TO security_account [..n]

Для неявного отклонения разрешений на использование команд Transact SQL:

REVOKE {ALL/Statement [..n]}

TO security_account [...n]

Значения параметров команд:

ALL – означает, что пользователю будут предоставлены все возможные разрешения.

Permissions – список доступных операций, которые предоставляются пользователю. Можно предоставлять одновременно несколько разрешений.

Statement – предоставление разрешений на выполнение команд Transact SQL.

Security_account – указывается имя объекта системы безопасности, которую необходимо включить в роль. Это могут быть как учетные записи SQL-сервер, так и группы пользователей Windows.

With Grant Option – использование данного параметра позволяет пользователю, которому предоставляются права, назначать права на доступ к объекту для других пользователей.

As role/group – этот параметр позволяет указать участие пользователя в роли, которому предоставляется возможность предоставлять права другим пользователям.

Cascade – позволяет отзывать права не только у данного пользователя, но и у всех пользователей, которым он предоставил данные права.

Назначение прав доступа к объектам базы данных для учетных записей, хранящихся в файле рабочей группы, выполняется в Access с помощью диалогового окна Разрешения (User and Group Permissions).

Чтобы открыть диалоговое окно для назначения прав доступа к объектам базы данных:

  1. Откройте защищенную базу данных, подключив необходимый файл рабочей группы.
  2. Зарегистрируйтесь с именем пользователя, обладающего административными правами.
  3. Выберите команду Сервис, Защита, Разрешения (Tools, Security, User and Group Permissions). Появится диалоговое окно Разрешения (User and Group Permissions) (рис. 20.6).

В диалоговом окне Разрешения есть две вкладки: Разрешения (Permissions) и Смена владельца (Change Owner). Рассмотрим вкладку Разрешения. (О функциях второй вкладки рассказывается в разд. "Предоставление права на владение объектами базы данных" этой главы.) С помощью данной вкладки можно определить права доступа к конкретным объектам базы данных для конкретных пользователей и групп. В поле Пользователь (Current User) отображается имя пользователя, которое было применено для регистрации в момент открытия базы данных. В зависимости от того, обладает ли текущий пользователь административными правами или нет, ему будут позволены или запрещены просмотр и изменение прав доступа к объектам базы данных.

Рис. 20.6. Диалоговое окно Разрешения

Чтобы назначить права доступа к объектам базы данных конкретной группе:

  1. На вкладке Разрешения выберите переключатель группы (Groups).
  2. В списке Пользователи и группы (User/Group Name) отобразится список всех групп в рабочей группе. Выделите в этом списке группу, права доступа которой нужно изменить.
  3. ОК.

Чтобы назначить права доступа к объектам базы данных конкретному пользователю:

  1. На вкладке Разрешения выберите переключатель пользователи (Users).
  2. В списке Пользователи и группы (User/Group Name) отобразится список всех пользователей в рабочей группе. Выделите в этом списке пользователя, права доступа которого нужно изменить.
  3. Измените права доступа к объектам базы данных и нажмите кнопку ОК.

Чтобы назначить выбранному пользователю или группе права доступа к объекту базы данных:

  1. На вкладке Разрешения в раскрывающемся списке Тип объекта (Object Type) выберите тип объекта (Таблица (Table), Запрос (Query), Форма (Form), Отчет (Report) или Макрос (Macro)).

Замечание

В списке имен объектов не будут отображаться скрытые объекты, если в диалоговом окне Параметры (Options) на вкладке Вид (View) не установлен флажок скрытые объекты (Hidden Objects), позволяющий отображать скрытые объекты.

  1. В списке Имя объекта (Object Name) выделите имя объекта, права доступа к которому требуется изменить.
  2. Чтобы предоставить определенный вид доступа, установите соответствующий флажок в группе Разрешения (Permissions). Чтобы запретить определенный вид доступа, сбросьте соответствующий флажок в этой группе.
  3. Нажмите кнопку Применить (Apply) иначе при выборе другого пользователя, группы или другого объекта появится диалоговое окно, требующее подтверждения сделанных изменений. Чтобы подтвердить изменения, нажмите кнопку ОК.

Чтобы назначить пользователю или группе права доступа к базе данных:

  1. На вкладке Разрешения в раскрывающемся списке Тип объекта (Object Type) выберите элемент База данных (Database).
  2. В списке Имя объекта. (Object Name) отобразится элемент <Текущая база дан-ных> ().
  3. Применить (Apply).

Чтобы назначить права доступа к создаваемым объектам базы данных, предоставляемые пользователю или группе:

  1. На вкладке Разрешения в раскрывающемся списке Тип объекта (Object Type) выберите тип объекта (например, Форма (Form)).
  2. В списке Имя объекта (Object Name) выделите элемент, обозначающий новые объекты заданного типа, права доступа к которым требуется изменить (например, <Новые формы> ()).
  3. Установите необходимые разрешения и нажмите кнопку Применить (Apply).

Замечание

Установка или сброс флажков некоторых разрешений влечет установку или сброс других флажков разрешений, поскольку предоставление или отмена определенного вида доступа может привести к предоставлению или отмене другого вида доступа, связанного с измененным. Например, предоставление доступа к таблице вида Чтение данных (Read Data) влечет предоставление доступа Чтение макета (Read Design), а отмена доступа Обновление данных (Update Data) влечет отмену доступа Изменение макета (Modify Design).

После проделанной подготовительной работы можно приступить к изучению работы с правами файлов в NTFS . Для этого следует:

Выбрать любой файл или папку;

Щелчком правой кнопкой мыши вызвать контекстное меню;

В контекстном меню выбрать режим Свойства ;

Открыть вкладку Безопасность ;

Откроется окно безопасности файла или папки (рис.1.8.).

В открывшейся вкладке видно, каким группам пользователей и какой именно доступ разрешен. В операционной системе и, в частности, ее файловой системе, действует пра­вило: к файловому объекту имеют доступ только перечисленные пользовате­ли, в соответствии с указанными им правами.

В новейших операционных системах действует более глобальное правило: все, что явно не разрешено – запрещено. В соответствии с этим, любой пользователь, не принадлежащий к группе пользователей, указанных во вкладке Безопасность получит отказ при доступе к папке C:\Windows . В старых ОС линейки Windows 9x считалось, что запрещено только то, что явным образом запрещено – любой объ­ект, который не имеет явного запрета в использовании, является доступным.

Рисунок 1.8. Окно свойств безопасности папки

В старых ОС это означает, что каждый раз при создании какого-либо объекта пользова­тель должен сам вручную прописывать доступ, который к нему запре­щен. Если пользователю нужно часто создавать новые объекты, то невозможно сразу на всех поставить корректные права доступа (или можно забыть запретить дос­туп другим пользователям). В этом случае как минимум, несколько минут или даже часов на таких файлах бу­дет оставаться доступ для всех пользователей, т.е. с такого компьютера любой человек или программа может скопировать любую ин­формацию или даже стереть ОС, если такая возмож­ность не была заранее закрыта пользователем или системным администра­тором. Данную ситуацию используют вирусы, которые могут получить полный контроль над ОС, файлами, личной информацией.

Благодаря введению новой политики безопасности Microsoft удалось не только сократить число краж информации пользователей, но и значительно сократить число вирусов и троянских программ. Однако, даже в этом случае, любые попытки фирмы разработчика уберечь от утраты информации могут окончиться ничем, если пользователь будет работать под правами Администратора ОС. Пользователь, при­надлежащий к группе системных администраторов имеет все права и ситуация становится аналогичной ситуации в линейке ОС Windows 9x . Поэтому рекомендуется работать в системе под правами обычного пользователя группы Users .

В окне свойств системы безопасности (рис.1.8.) находятся следующие группы пользователей: SYSTEM , Администраторы , Опытные пользователи, Пользователи , СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ . В эти группы входят также специфические возможности файловой системы или группы, от имени которых работает ОС или определенные программы и сервисы. К числу последних групп принадлежит группа SYSTEM, от имени которой выступает ОС Windows ХР .



Случается когда доступ для ОС к какому-либо объекту или к папке закрывается, например, из-за того, что группа SYSTEM была удалена из свойств папок по причине активности вирусов. Если папка содержит файлы пользователя, то он может получить невозможность доступа к ней, а если папка является системной, то Windows может перестать функционировать корректно.

Это связано с тем, что при запуске программы или файла управление передается ОС, после чего она выполняет инструкцию пользователя. Если ОС доступ закрыт, то она откажется выполнить запрос пользователя, особенно, если был дан запрет на папку, в которой находится сама ОС, в этом случае система не загрузится. Для того чтобы восстановить группу SYSTEM в ее свойствах и реанимировать ОС, можно загрузиться с другой ОС Windows XP . При этом следует учесть, что если обновления, поставленные на другую ОС, будут отличаться от тех, которые стояли на данной системе, то возможны различные проблемы.

Однако если на не желающей загружаться ОС стоят более ранние обновления, чем на ОС, которая используется для восстановления, то проблем быть не должно. Это связано с тем, что выполняется условие обратной совместимости, поддерживаемое компанией Microsoft во всех ее продуктах линейки Windows NT . Пользователь получит доступ ко всем файлам, включая сжатые, исключением являются только за­шифрованные данные. Если необходимо получить доступ к ним, то нужно иметь специальную криптографическую информацию, кото­рую необходимо передать новой ОС. После того как была произведена загрузка с другой ОС Windows XP , необходимо дать команду на добавление доступа к этой папке группы SYSTEM . После перезагрузки в оригинальной ОС, можно провести окончательную проверку или настройку.

Случай гораздо проще, если был запрещен доступ группы SYSTEM к пользовательской папке. Для устранения этой проблемы доста­точно обеспечить наследование прав от папки уровнем выше, а по­том дать системе команду, из того же окна наследования прав, на замеще­ние предыдущих свойств наследуемыми свойствами.

Вторая специфическая группа: СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ представ­ляет собой специальную запись, в которую помещается идентификатор поль­зователя, который является владельцем этого объекта файловой системы, в случае наследования прав. По аналогии с этим, ГРУППА-СОЗДАТЕЛЬ представляет собой запись группы, в которую помещается первичная группа пользователя, который является владельцем этого объекта файловой систе­мы в случае наследования прав.

Остальными группами, имеющими доступ, являются: Администратор , Опытный пользователь , Пользователь , что означает наличие доступа у админи­страторов системы, опытных пользователей и простых пользователей, соот­ветственно. В ОС все или почти все пользователи должны входить в состав группы Пользователи (Users ), в крайнем случае, можно присвоить права группы Опытный пользователь (Power Users ), но никогда не следует давать права группы Администратор (Administrators ).

Для группы Пользователи имеется ряд прав, помеченных флажком для работы с папкой Windows (рис.1.9.). Поля: Разрешить и Запретить означают разрешен ли доступ или запрещен, соответственно, в зависимости от того, в каком столбце стоит флажок для данного права доступа объекта. В зависимости от установленных прав определяется, может пользователь совершать операцию или нет. Пользователь может сам менять права расстановкой/отменой флажка. Если флажки неактивны (темный цвет флажкового поля) и пользователь не может вносить изменения, то, следовательно, у него недостаточно прав на опера­цию.

Рисунок 1.9. Права группы Пользователи

Разрешения для пользователя (рис.1.9.):

- полный доступ – пользователь, принадлежащий к указанной группе, может выполнять любые операции над папкой;

- изменить – означает возможность модификации файлов или папки, в за­висимости от того, чем является защищаемый объект;

- чтение и выполнение – возможность чтения и исполнения файлов папки;

- список содержимого папки – доступ к списку содержимого папки;

- чтение – доступ на чтение содержимого папки;

- запись – разрешение на запись означает возможность, изменять или создавать новые файлы, а если такое право доступа стоит для одного файла, то и возможность записи в него группе пользователей или одному пользователю, для которого рядом с этим правом доступа стоит флажок;

- особые разрешения – используются для уточнения набора прав, которым может обладать пользо­ватель, для их редактирования следует нажать кнопку Дополнительно , выбрать из списка требуемого пользователя, а потом нажать кнопку Изменить .

Администраторы имеют полные права на доступ к системной папке Windows . Аналогичные пра­ва имеет и пользователь SYSTEM , так как от его имени работает сама ОС Windows XP (рис.1.10.).

Рисунок 1.10. Права группы System

Права пользователей группы Опытные пользователи отличаются от прав групп System и Администратор только отсутствием пункта Полный доступ .

При установке Kaspersky Security Center 10 автоматически формируются группы пользователей KLAdmins и KLOperators, которым предоставляются права на подключение к Серверу администрирования и на работу с его объектами.

KLAdmins и KLOperators создаются:

  • В домене, в который входит Сервер администрирования, и на Сервере администрирования, если Kaspersky Security Center 10 устанавливается под учетной записью пользователя, входящего в домен.
  • На Сервере администрирования, если Kaspersky Security Center 10 устанавливается под учетной записью системы.

Для просмотра групп KLAdmins и KLOperators и изменения прав пользователей групп KLAdmins и KLOperators используйте стандартные средства администрирования операционной системы.

Группе KLAdmins предоставлены все права. Набор прав для KLAdmins недоступен для изменения. Пользователи из группы KLAdmins - администраторы Kaspersky Security Center.

Группе KLOperators предоставлены права на чтение и выполнение. Пользователи из группы KLOperators - операторы Kaspersky Security Center.

Права администратора Kaspersky Security Center предоставляются локальным администраторам устройств, на которых установлен Сервер администрирования.

После установки программы администратор Kaspersky Security Centerможет:

  • Изменять права для групп KLOperators.
  • Определять права доступа к функциям программы Kaspersky Security Center другим группам пользователей и отдельным пользователям, которые зарегистрированы на рабочем месте администратора.
  • Определять права доступа пользователей к работе в каждой группе администрирования.

Как предоставить права доступа

  1. Откройте свойства группы администрирования или объекта Сервера администрирования и перейдите в раздел Безопасность .
  2. Снимите флажок Наследовать параметры Сервера администрирования или группы верхнего уровня .
  3. Выберите пользователя или группу пользователей.
  4. Перейдите на вкладку Права . Установите флажки напротив функций, к которым необходимо предоставить права доступа.

Чтобы отследить действия пользователя:

  1. Откройте Kaspersky Security Center 10.
  2. Перейдите в Сервер администрирования События .
  3. Выберите События аудита .
    Записи о действияx пользователя начинаются со слова Аудит .

Набор прав доступа в Kaspersky Security Center 10

В Kaspersky Security Center 10 для большинства функций поддерживается стандартный набор прав доступа:

  • Чтение. Разрешается просматривать параметры объектов. Запрещается выполнять операции, создавать новые и изменять существующие объекты. Для подключения к Серверу администрования пользователь должен иметь разрешение на чтение.
  • Изменение. Разрешается изменять параметры, создавать новые объекты. Запрещается выполнять операции над объектами.
  • Выполнение. Разрешается выполнять операции над объектами. Запрещается создавать новые и изменять существующие объекты.
  • Выполнение операций для выборок устройств. Разрешается создавать, изменять параметры и выполнять операции с выборками устройств. Для объектов:
    • Задачи для выборок устройств.
    • Отчеты с выборками устройств.
    • Правила перемещения устройств в группы администрирования.
    • Правила автоматического назначения тегов устройствам.

Наиболее распространённый способ доступа пользователей к данным - доступ к общим файловым ресурсам в сети. Управление доступом к файлам и папкам осуществляется с помощью прав доступа к общему файловому ресурсу и доступа к NTFS. Для обеспечения безопасности ваших файлов важно понимать, как действуют права доступа.

Права доступа к файловой системе NTFS позволяют определять уровень доступа пользователей к размещённым в сети, или локально на вашем компьютере Windows 7 файлам.

Права доступа - разрешение на выполнение операций с определённым объектом, например файлом. Права могут быть предоставлены владельцем или другим имеющим на это право пользователем. Как правило, это администраторы в системе. Если вы являетесь владельцем объекта, то можете предоставить права доступа к этому объекту любому пользователю или группе пользователей.

К каждому контейнеру и объекту в сети прилагается набор информации о контроле доступа к нему. Эта информация называемая дескриптором безопасности управляет типом доступа пользователям и группам. Права доступа, которые определены в дескрипторе безопасности объекта, связаны или назначаются конкретным пользователям и группам.

Права доступа к файлам и папкам определяют тип доступа, который предоставляется пользователю, группе или конкретному компьютеру на файл или папку. Например, можно позволить одному пользователю читать содержимое файла, другому вносить в него изменения, а всем остальным пользователям запретить доступ к файлу. Так же можно устанавливать права доступа к папкам.

Существует два уровня прав доступа:

  • Доступ к общей папке: даёт участникам, например определённым пользователям, доступ к общим ресурсам в сети. Права доступа к общим папкам действует только тогда, когда пользователь обращается к ресурсу по сети.
  • Доступ к файловой системе NTFS: даёт доступ к файлам или папкам при подключении по сети или во время входа в систему на локальном компьютере, где расположен ресурс. Доступ по NTFS для файла или папки предоставляется определённой группе или отдельным пользователям.

Существует два типа доступа по NTFS:

  • Стандартные права: наиболее часто используемым разрешением является стандартный доступ к файлам и папкам; к нему относятся основные права: чтение, запись, изменение и полный контроль.
  • Специальные права: особые права доступа, в которых предусмотрена большая точность управления доступом к файлам и папкам. Этот тип прав доступа более сложный в управлении, чем стандартный доступ. К ним относятся права на атрибуты чтения/записи, расширенные атрибуты, удаление вложенных папок и файлов, смена владельца и синхронизация.

Права на наследование.

Существует два типа прав доступа:

  • Прямые права доступа: если объект создаётся действием пользователя, доступ, установлен по умолчанию на не дочерние объекты.
  • Унаследованный доступ: доступ распространяется на объект от родительского объекта. Наследованный доступ облегчает управление разрешениями и обеспечивает единообразие доступа для всех, находящихся в данном контейнере, объектов.

Наследованный доступ позволяет набору NTFS разрешений для папки быть автоматически применённым к файлам, созданным в той папке и её подпапках. Это означает, что разрешения NTFS для всей структуры папки могут быть установлены в одном месте. И если требуются изменения, то их можно сделать в одном единственном пункте.

Также, не изменяя оригинального назначения доступом, можно установить разрешения на папки и файлы ниже начального пункта наследования. Это сделано для того, чтобы иметь возможность предоставить определённому пользователю или группе пользователей другой доступ к файлу, отличающийся от основного унаследованного доступа.

Существует три способа изменения унаследованного доступа:

  • Внести изменения в родительской папке, а затем файлы или папки, унаследуют эти права доступа.
  • Изменить доступ на противоположный (разрешить или запретить), чтобы отменить унаследованный доступ.
  • Выбрать "не наследовать права доступа от родительского объекта", а затем внести изменения в права или удалить группу или пользователя из списка прав доступа к файлу или папке.

В большинстве случаев, если папка наследует конфликтующие параметры от разных родителей, команда "Запретить" переопределяет команду "Разрешить". В этом случае, ближайший к объекту в поддереве наследуемый от родительского элемента параметр, будет иметь приоритет.

Дочерними объектами наследуются только наследуемые права доступа. Когда установлены права доступа к родительскому объекту, в дополнительных настройках безопасности вам нужно установить, могут ли папки или подпапки их наследовать.

Примечание: Если объект имеет прямое право - "Разрешить", запрет на унаследованное право доступа не препятствует доступу к объекту. Прямые права доступа имеют приоритет над унаследованными правами, даже над унаследованным запретом.

Блокировка наследуемых прав доступа.

После установки прав доступа на родительскую папку, созданные в ней новые файлы и папки, наследуют эти права. Для ограничения доступа к этим файлам и папкам наследование прав доступа может быть заблокировано. Например, все пользователи бухгалтерии могут иметь права на папку УЧЕТА "Изменить". На подпапке ЗАРАБОТНАЯ ПЛАТА, наследуемые права доступа могут быть заблокированы, и предоставлены только некоторым определённым пользователям.

Примечание: Когда наследованные права доступа заблокированы, есть возможность скопировать существующие права, либо создать новые. Копирование существующих прав доступа упрощает процесс настройки ограничений для определённой группы или пользователя.

Похожие статьи