是否可以拒絕從特定程序訪問SQL Server？

Question

目前我們的一個數據庫（SQL Server 2008）可以通過多種不同的機制訪問：.Net SqlClient Data Provider; SQL Server Management Studio;各種.Net應用程序和2007 Microsoft Office系統（基本上是Excel）。

我看到，在sys.dm_exec_sessions DMV中，可以看到程序訪問當前會話的數據庫的名稱。我的問題是：是否有可能拒絕某個特定程序的訪問？如果可以爲任何已命名的程序完成這項工作，將獲得一等獎，但是如果能夠拒絕從所有Microsoft Office應用程序（特別是Excel）訪問此特定數據庫，我們將從中獲得巨大收益。

Answer 1

這是不是可能和所有相反的主張是蛇油。

雖然是事實，你可以檢查應用程序的名稱，並創建否認基於此屬性登錄登錄觸發器，應用程序名稱是不是安全性，可以由任何人容易被僞造。依靠它爲安全（即登錄拒絕）是#fail。

所以只要你降低你的酒吧，並刪除條款「拒絕訪問」從你的問題，它可以提供一個Logon Trigger是檢查會話的program_name在sys.dm_exec_sessions：

CREATE TRIGGER application_limit_trigger 
ON ALL SERVER WITH EXECUTE AS '...' 
FOR LOGON 
AS 
BEGIN 
IF EXISTS (SELECT * 
    FROM sys.dm_exec_sessions 
    WHERE session_id = @@SPID 
    AND program_name IN (N'Bad Program', N'Worse Program', N'Unmentionable') 
    ROLLBACK; 
END; 

的程序名設置通過一些應用程序，我不知道Office套件是否將此屬性設置爲有用或使其保持默認。而且您必須明白，只需更改連接字符串中的ApplicationName屬性即可繞過任何人。

Answer 2

只是好奇......爲什麼你不發出不同的用戶名和密碼到每個應用程序和這種方式來限制訪問？我知道這並不能完全回答你的問題，但我認爲這是首選的方法。

Answer 3

通常情況下，你會採取相反的行動。創建一組具有特定訪問權限的登錄名，然後在相關應用程序中使用這些登錄名。

如果您只有一個共享的登錄信息，那麼這不是一個非常安全的環境，並且最終每個人都可以訪問並執行他們想要的任何操作。

Answer 4

您可以使用的機制是「應用程序角色」。從應用程序進行連接時，您承擔特定角色並且該角色被授予特權。因此，所有應用程序都通過此機制連接，並且不會泄露任何未經授權使用的SQL或NT登錄名。

見http://technet.microsoft.com/en-us/library/ms190998.aspx

-Krip

Answer 5

如果你想通過限制應用的用戶訪問，使用SSPI。

如果您只想限制應用程序，請使用SQL Server模擬併爲此應用程序創建一個帳戶。

這樣一來，一旦你不再希望這個應用程序能夠訪問你的服務器，你只要從角色中刪除。

假設您創建特定應用程序的作用，等等。

Answer 6

你爲什麼要這樣做可能是有益的確切地知道。我假設這不是出於安全原因，因爲任何此類計劃都很容易規避。

您是否擔心Excel和其他應用程序佔用過多的服務器資源？如果是這樣，請查看SQL Server 2008中添加的Resource Governor功能。其基本思想是創建一個功能，將新會話分爲多個組，然後將這些組與資源池關聯，其中內存或CPU使用率（或兩者都可以）在爭用時被扼殺。