Autenticación SQL Server Roles de servidor fijo

A nivel de servidor → roles facilitan la administración de Sysadmin → permiso para aplicar acciones de seguridad
permisos Serveradmin → permiso para configurar ajustes de
Seguridad → permite a alguien o algo para acceder a un servidor
recurso para que realice 1 o más acciones en el Securityadmin → permiso para administrar inicios
Arquitecturas están jerarquizadas → simplificando la sesión
administración de permisos Processadmin
Los permisos se heredan Setupadmin
Bulkadmin
Autenticación
Diskadmin → permisos para administrar archivo de
*Windows → Cerberos
disco
*SQL Server
Dbcreator → permiso para administrar base datos
*Mixto
Public → no tiene permisos administrativos, cualquier
persona puede ingresar
Inicios de sesión no pueden conectarse a base datos sin
acceso
Roles de base datos
Se necesita la creación de un usuario y asociarlo
Tipos de permisos
*Gestion administrativa de objetos de base datos
Esquemas → espacios de nombre para organizar
*Acciones de usuario en objetos de base datos
objetos en la base datos
Si no se especifica esquema alguno se le asigna un
Roles fijos
*usuario dbo → usuario especial que puede realizar
Db_owner → emplea todas las actividades de base
todas las actividades en la base de datos, este no puede
datos
ser eliminado
El usuario tiene permisos administrativos completos
Db_securityadmin → modificar la pertenencia a roles y
*usuario invitado → habilita inicios de sesión que no
administrar permisos
están asignadas a un usuario en la base datos, no puede
Db_accessadmin → agrega o elimina accesos a la base
ser eliminado pero puede limitarse su acceso a la base
para inicios de sesión en Windows o en SQL
datos con la sentencia Revoke Connect.
Db_backupoperator → crea copias de seguridad de
Tiene habilitada predeterminadamente bases datos
bases
master, msdb y tempdb
Db_datawriter → agrega, cambiar o eliminar datos en
tablas de usuarios
Cuenta SA → es un inicio de sesión, es una cuenta de
Db_datareader → lee todos los datos de la tabla de
superusuario o administrador de servidor SQL,
usuarios
generalmente es el objetivo de usuarios
Db_denydatawriter
malintencionados
Db_denydatareader

Permisos de servidor → acciones administrativas

Sys.server_role_member
Crear, Alterar, Apagar servidor
Devuelve 1 fila por cada miembro de rol fijo de servidor
CONTROL SERVER → concede todos los permisos
ADMINISTER BULK OPERATIONS → rol sys admin
Sys.server_principals
ALTER ANY DATABASE → control admin a base datos
Devuelve 1 fila por cada entidad de seguridad a nivel de
CREATE ANY DATABASE → crear base datos
servidor
ALTER ANY LOGIN → control admin sobre inicio sesión
ALTER SERVER STATE
Propiedad de la base de datos
VIEW SERVER STATE
Usuario dbo → usuario integrado que actúa como alias
ALTER SETTINGS
a nivel de base de datos
ALTER TRACE
Ámbitos protegidos
*servidor
*base de datos
*esquema
Entidad d e seguridad → entidad que recibe permiso
para un elemento protegible
SELECT / INSERT / UPDATE / DELETE / REFERENCES
Esquemas → se usan como contenedores par objetos
como tablas, vistas, procedimientos almacenables
Desastre → evento que provoca que la continuidad de
servicios de una empresa sea alterada
Plan de recuperación de datos → previene la perdida de
nuestros datos
RPO → capacidad para recuperar información en un
curso anterior (punto de recuperación)
RTO → tiempo que tarda en volver a dar servicio
(tiempo de recuperación)
Fullbackup → copia completa de seguridad de la base
datos
Backup de logs de transacciones → sirve para
restauración
Backups diferenciales → salva los datos que han
cambiado desde la última copia de seguridad completa
Backups parciales → contienen todos los grupos de
archivos
Filegroups Backups
Tail-log Backups → copia de seguridad que se realiza
antes de una operación de restauración
Fases del proceso de restauración
Copia de seguridad → inicializa operaciones de
restauración de datos, los archivos, paginas empleando
copias completas y diferenciales
*Rehacer (recuperación) → se recuperan detalles del
registro de transacción
*Deshacer (recuperación) → los datos siempre se ponen
al día hasta un punto de recuperación
Transparent Data Encryption
Cifrado de datos transparente cifra los archivos de datos
de SQL Server
*Crear una clave maestra
*Crear u obtener un certificado protegido por la clave
maestra
*Crear una clave de cifrado de base de datos y
protegerla con el certificado
*Configurar la base de datos para que utilice el cifrado
Dynamic Data Masking
El enmascaramiento dinámico de la base de datos
permite ocultar información sensible como cuentas
corrientes, DNI, la tarjeta de crédito, el teléfono.
Automatización → ayuda a garantizar la realización de
tareas de manera consistente
Formas de automatizar:
Agente SQL Server
Planes de mantenimiento
PowerShell
System Center Operations Manager (SCOM)
Ventajas de automatizar la administración
Menor carga administrative
Ejecución confiable y constante de tareas rutinarias
SQL Agent
Marco de administración:
Trabajos que puede usar para automatizar tareas
Horarios
Alertas
Operadores
Triggers → son procedimientos almacenados especiales
que se ejecutan automáticamente cuando se produce
un evento
Tipos (DML, DDL, Logon, CLR)
Desencadenadores DML se producen cuando hay una
inserción de datos en una tabla, una actualización o un
borrado (INSERT-UPDATE-DELETE)
Desencadenadores DDL se producen cuando se crea,
altera o se borra, se da permiso, se deniega, se revoka o
se actualiza estadísticas en la base de datos (CREATE-
ALTER-DROP-GRANT-DENY-REVOKE-UPDATE
STATISTICS)
Disparadores de inicio de sesión ocurren cuando se da
un evento de inicio de sesión
Disparadores CLR se activan cuando se produce un
evento .NET utilizando lenguaje tipo C, Visual Basic.
 Store procedures (procedimientos almacenados) → Son
SQL Profiler → herramienta para monitorizar nuestras un conjunto de sentencias predefinidas en el servidor,
bases de datos. pueden alojar las reglas de negocio de una aplicación

Características:
Recopila mucha información
Tarda bastante en filtrar datos
Consume muchos recursos
Es mejor emplear eventos extendidos → estos permiten
recopilar información para solucionar o identificar un
problema de rendimiento. Son más ligeros y emplean
menos recursos.
Paquetes → objetos usados para obtener y procesar
datos cuando se ejecuta una sesión de eventos
extendidos
Destinos → consumidores de eventos que pueden
recibir datos durante una sesión de eventos extendidos
Motor de SQL → motor que implementa y administra
una sesión de eventos extendidos
Sesiones → sesión que se crea con los eventos
extendidos
Herramientas
SQL Server Management Studio
PowerShell
Vistas de administración dinámica, vistas de catálogo y
tablas del sistema
Explorador de objetos
Flujo de trabajo
Aceptan parámetros de entradas
Tienen 3 salidas (conjuntos, código, parámetros para
bloque/ lote o procedimiento)
Tienen instrucciones 1) que llamen operaciones sobre la
base de datos 2) para ejecutar otros procedimientos, y
devuelven valor de estado definiendo si fue exitosa o no
su acción.
Tipos
*Definidos por el usuario en TSQL, CLR, de sistema
Beneficios
*Atributos de seguridad (se le puede dar un permiso a
un usuario de ejecutar un procedimiento almacenado
sin que el usuario tenga permisos sobre los objetos
involucrados)
*Mejora en la seguridad de la aplicación
*Mejor ejecución (más rápida y eficiente al reducir los
costos de compilación)
*Programación modular
*Reducción de tráfico (una operación que requiere de
muchas líneas de código puede ser ejecutada con una
sola sentencia)

Se aconseja utilizar SQL Server Profiler cuando:

Se cambia de versión
Se activa Service Pack
Ocurren cambios de hardware o de sistema operativo
Hay incrementos de datos
Se hace tuning

Triggers (disparadores) → Bloque conectado a una tabla

que es activado cuando un evento de la base de datos
ocurre (INSERT, DELETE, UPDATE)

Los triggers se pueden habilitar/deshabilitar, crear,

eliminar y modificar.

Los triggers no son portables ni eficientes, tienen

pruebas complejas y son peligrosos.