Tutorial para administrar acceso a SQL Server

-

Una vez que tienes lista tu instancia de SQL Server instalada y disponible, es necesario dar a tus usuarios acceso. Para esto es necesario entender el concepto de "Login". Un Login en SQL Server, se refiere a un objeto que tiene la caulidad de darnos acceso a SQL Server, es decir, para poder establecer una connección a SQL Server, es necesario tener un Login.

En SQL Server, existen dos tipos de logins, (1) los logins de tipo Windows y (2) los logins de tipo SQL. La diferencia de cada uno está en el modo en el que se demuestra la autenticidad. Es decir, para los logins tipo SQL, necesitas un nombre de usuario y una contraseña, donde SQL Server verificará si el nombre de usuario y la contraseña son correctas. Cabe destacar que los hashes de las contraseñas de los logins tipo SQL serán guardadas dentro de SQL Server, exactamente dentro de la base de datos de sistema master. En cambio, para los logins tipo Windows, tienes que tener una cuenta de Windows (ya sea local o dentro tu controlador de Dominio dentro de tu red) y crear un login dentro SQL Server para dicha cuenta. Lo más benefico de las cuentas tipo Windows, es que las contraseñas no serán guardadas en SQL Server, y por lo tanto no serán responsabilidad del administrador de bases de datos. También, debemos mencionar que SQL Server delega la responsibilidad de verificar la autenticidad del usuario y contraseña a Windows. Generalmente, Es preferible usar logins tipo Windows.

Para crear un login tipo Windows, primero debemos conectarnos a nuestro servidor SQL Server con SQL Server Management Studio (SSMS). No olvidemos que para crear logins dentro de SQL Server, necesitamos tener suficientes privilegios dentro de nuestro servidor. Asumiendo que ustedes tienen los sufiecientes privilegios, nos connectaremos a nuestro instancia de SQL Server. ¿No tienes SQL Server ni SSMS instalados? No te preocupes aquí está un video tutorial de tottix para instalarlos: https://youtu.be/r42GfXCKs-E.

Una vez conectado a la instancia de SQL Server. expendiremos el nodo de "Seguridad" ó "Security" y daremos click derecho sobre el nodo "Logins", y seleccionaremos "Nuevo Login" ó "New Login".

En la siguiente ventana nos aseguraremos que "Autenticación mediante Windows" ó "Windows Authentication" esté seleccionado, y daremos click en el botón "buscar" ó "search".

En la siguiente ventana escribiremos el nombre del usuario tipo Windows y daremos click en el botón "Revisar Nombres" ó "Check Names". Si el usuario no aparece, quizá el nombre está mal escrito ó el usuario no existe. Una vez encontrado el usuario da click en "OK".

Ya de regreso en la ventana anterior, daremos click en "Seguridades" ó "Securables" en nuestro menú izquierdo. Aquí es donde pudes asignar roles al nivel servidor a tu Login. Es mi caso, no le voy a asignar ningún rol.

Lo siguiente que necesitamos hacer es crear un Usuario dentro de la base de datos a la que deseamos darle acceso a nuestro Login. Recordemos que un Login y un Usuario son dos objetos diferentes, el login es un objeto que se utiliza para asignar privilegios a nivel servidor; algunos de estos privilegios son conectarse al servidor, crear otros roles, crear bases de datos, administrador de sistema, etc. En cambio, un Usuario es un objeto que se crea dentro de una base de datos, y a este se le asignan privilegios como leer, escribir, alterar datos, tablas o columnas dentro de la base de datos. Un Login no puede modificar objetos que existen dentro de las bases de datos, solamente un objeto Usuario puede hacer eso. Por lo tanto es necesario crear un usuario dentro de una base de datos para determinado login. Un login debe tener un usuario en cada base de datos que necesite acceder.

Daremos click en "Mapa de Usuarios" ó "User Mapping" en el menú izquierdo, y en la sección superior podemos ver nuestras bases de datos disponibles para dar acceso. Aquí deberás seleccionar las bases de datos a las que desees dar accesso a tu login. En mi caso solo seccionaré la base de datos "AdventureWorks2019". Puedes también dar doble click en el nombre de usuario para cambiar el nombre si así lo deseas, sin embargo yo encuetro mas fácil nombrar a los usuarios como los logins a los que están relacionados, por lo tanto no lo modificaré.

En la sección inferior de la ventana podemos elegir el rol que quieras darle a tu usuario dentro de la base de datos que tienes actualmente selccionada. algunos de estos roles fueron creados por predeterminado por SQL Server al momento de crear tu base de datos como db_owner, db_datareader, y todos los demás que comienzan con "db_". Estos roles tienes los privilegios predeterminados, por ejemplo, db_datareader tiene el privilegio de SELECT dentro de todo el esquema dbo, a su vez db_owner tiene el privilegio de ALTER, é implicitamente tiene los privilegios de SELECT, UPDATE, DELETE, INSERT, lo cual lo convierte en un rol que tiene los suficientes privilegios para modificar la base de datos, por lo tanto es importante tener cuidado al asignar este rol.

Otra manera más segura de asignar privilegios, es la de asignar un privilegio por objeto. El único inconveniente es que es más laborioso administrar los privilegios de cada usuario, por lo tanto crear roles con privilegios especiales ó usar los roles predeterminados es una mejor opción. Finalmente daremos click en ok y nuestro rol será creado.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Tutorial para Instalar Visual Studio 2019 (Community Edition) en Windows.

-
Imagen
Visual Studio es el IDE (Interface Development Enviroment, por sus siglas en ingles ó Interfaz de Desarrollo Integrado) más común de Microsoft, con él podrás crear programas para arquitecturas .NET, ASP (Active Server Pages), MSVC++, etc; generalmente destinadas para Windows. En este tutorial instalaremos componentes para crear programas en C/C++. Lo primero que necesitamos hacer es descargar el IDE del sitio de Microsoft https://visualstudio.microsoft.com/, asegurandos seleccionar Visual Studio, y no Visual Studio Code. Una vez descarcagado el archivo, lo abrimos y dejaremos que el Instalador descargue y termine su configuración. El programa instalador entonces abrirá una ventana con los componentes a instalar. Aquí deberas seleccionar los componentes que desees instalar para continuar tu desarollo. Una vez seleccionados tus componentes, dá click en el botón de instalar (ó modificar). Una vez instalado todo, busca Visual Studio en tu b...
Leer más

Tutorial de Burpsuite

-
Imagen
Hola querido amigo(a)! espero que te encuentres muy bien. El dia de hoy decidi hacer este tutorial Burpsuite. Burpsuite es una herramienta muy versatil y eficaz para realizar pruebas de seguridad (Pentest) con el fin de encontrar vulnerabilidads en aplicaciones Web. Burpsuite, al momento de escribir esta nota, le pertenece a la compania PortSwigger, y es probablemente la herramienta mas popular e indispensable para probar la seguridad de un aplicacion web. PortSwigger ofrece diferentes ediciones de Burpsuite: Enterprise, Professional and Community. La edicion community es la version gratis de Burpsuite, pero es la que tiene menos funcionalidades integradas. En este tutorial nos vamos a enfocar en la version Community con el navegador Firefox en Kali Linux. Sin embargo, si estas pensando en dedicarte a Ciberseguridad y/o Pentesting profesionalmente, te recomiendo invertir en la licencia de Burpsuite Professional. Afortunadamente Burpsuite ...
Leer más

Tutorial de Inyeccion de SQL

-
Imagen
Hola a todos! El dia de hoy me gustaria compartir con ustedes una pequeña nota acerca de como funciona una inyeccion de SQL. Generalmente este tipo de vulnerabilidad afecta a aplicaciones web, sin embargo no esta limitada a solo web, sino a cualquier aplicacion que tenga transacciones con una base de datos. Tambien es una de las vulnerabilidades mas comunes encontradas dentro de sistemas, y esta dentro del Top 10 de OWASP . Es recomendable tener fundamentos en programacion web (php, asp, jsp, etc) y bases de datos/SQL para poder entender esta entrada. Comencemos con este ejemplo, La siguiente imagen denota una aplicacion web que esta conectada a una base de datos para obtener una consistencia en sus datos, como muchas aplicacion web existen el dia de hoy. En este ejemplo, el servidor web MXWEBDEV01 tiene una conexion con el servidor de base de datos MXSQLDEV01. vamos tambien asumir que esta conexion esta hecha en PHP y el sistema gestor de bases de datos es MariaD...
Leer más