是否可以拒绝从特定程序访问SQL Server？

Question

目前我们的一个数据库（SQL Server 2008）可以通过多种不同的机制访问：.Net SqlClient Data Provider; SQL Server Management Studio;各种.Net应用程序和2007 Microsoft Office系统（基本上是Excel）。

我看到，在sys.dm_exec_sessions DMV中，可以看到程序访问当前会话的数据库的名称。我的问题是：是否有可能拒绝某个特定程序的访问？如果可以为任何已命名的程序完成这项工作，将获得一等奖，但是如果能够拒绝从所有Microsoft Office应用程序（特别是Excel）访问此特定数据库，我们将从中获得巨大收益。

Answer 1

这是不是可能和所有相反的主张是蛇油。

虽然是事实，你可以检查应用程序的名称，并创建否认基于此属性登录登录触发器，应用程序名称是不是安全性，可以由任何人容易被伪造。依靠它为安全（即登录拒绝）是#fail。

所以只要你降低你的酒吧，并删除条款“拒绝访问”从你的问题，它可以提供一个Logon Trigger是检查会话的program_name在sys.dm_exec_sessions：

CREATE TRIGGER application_limit_trigger 
ON ALL SERVER WITH EXECUTE AS '...' 
FOR LOGON 
AS 
BEGIN 
IF EXISTS (SELECT * 
    FROM sys.dm_exec_sessions 
    WHERE session_id = @@SPID 
    AND program_name IN (N'Bad Program', N'Worse Program', N'Unmentionable') 
    ROLLBACK; 
END; 

的程序名设置通过一些应用程序，我不知道Office套件是否将此属性设置为有用或使其保持默认。而且您必须明白，只需更改连接字符串中的ApplicationName属性即可绕过任何人。

Answer 2

只是好奇......为什么你不发出不同的用户名和密码到每个应用程序和这种方式来限制访问？我知道这并不能完全回答你的问题，但我认为这是首选的方法。

Answer 3

通常情况下，你会采取相反的行动。创建一组具有特定访问权限的登录名，然后在相关应用程序中使用这些登录名。

如果您只有一个共享的登录信息，那么这不是一个非常安全的环境，并且最终每个人都可以访问并执行他们想要的任何操作。

Answer 4

您可以使用的机制是“应用程序角色”。从应用程序进行连接时，您承担特定角色并且该角色被授予特权。因此，所有应用程序都通过此机制连接，并且不会泄露任何未经授权使用的SQL或NT登录名。

见http://technet.microsoft.com/en-us/library/ms190998.aspx

-Krip

Answer 5

如果你想通过限制应用的用户访问，使用SSPI。

如果您只想限制应用程序，请使用SQL Server模拟并为此应用程序创建一个帐户。

这样一来，一旦你不再希望这个应用程序能够访问你的服务器，你只要从角色中删除。

假设您创建特定应用程序的作用，等等。

Answer 6

你为什么要这样做可能是有益的确切地知道。我假设这不是出于安全原因，因为任何此类计划都很容易规避。

您是否担心Excel和其他应用程序占用过多的服务器资源？如果是这样，请查看SQL Server 2008中添加的Resource Governor功能。其基本思想是创建一个功能，将新会话分为多个组，然后将这些组与资源池关联，其中内存或CPU使用率（或两者都可以）在争用时被扼杀。