Seguridad en SQL Server (LOPD)

30/10/2004 - 03:18 por Juan Pedro Gonzalez | Informe spam
Hola,

Veamos, el problema es el siguiente:

Tengo una aplicación que debe acceder a la base de datos, pero me gustaría
evitar que los usuarios pudiesen acceder por su cuenta a traves de otros
programas. Esto lo tendria solucionado con una Funcion de Aplicacion... Sin
embargo la función de aplicación no me permite auditar los eventos del
usuario, ya que el usuario será igual a la función de aplicación.

Luego si empleo la función de aplicación no puedo auditar los eventos, por
lo que no se puede imlpantar la LOPD. Por otro lado no encuentro la
posibilidad de limitar los intentos de login al SQL Server (Al de tres
intentos rechazar al usuario), sin embargo esto puede ser implementado en la
aplicación (siempre y cuando la aplicación sea la unica que pueda acceder a
los datos).

¿Cual es la mejor forma de lidiar con la LOPD con el fin de poder auditar
los eventos y mantener una seguridad alta en cuanto a los usuarios?

Preguntas similare

Leer las respuestas

#1 Antonio Soto
30/10/2004 - 10:13 | Informe spam
Hola Juan Pedro,

Los Roles de Aplicación son una buena opción.
Lo que pierdes es el usuario de la BBDD, pero no el Inicio de Sesión de SQL
Server, por lo que podrías tener auditado lo que realiza cada uno de los
inicios de sesión. Si pruebas esto lo verás:

use tempdb
go
sp_addapprole 'app','app'
go
sp_setapprole 'app','app'
go
select suser_sname() -- Me dará el inicio de sesión
select user_name() -- Me dará evidentemente el rol de aplicación

Espero te sea de ayuda

Saludos

Antonio Soto
Mentor Asociado
Solid Quality Learning


"Juan Pedro Gonzalez" wrote in message
news:
Hola,

Veamos, el problema es el siguiente:

Tengo una aplicación que debe acceder a la base de datos, pero me gustaría
evitar que los usuarios pudiesen acceder por su cuenta a traves de otros
programas. Esto lo tendria solucionado con una Funcion de Aplicacion...
Sin
embargo la función de aplicación no me permite auditar los eventos del
usuario, ya que el usuario será igual a la función de aplicación.

Luego si empleo la función de aplicación no puedo auditar los eventos, por
lo que no se puede imlpantar la LOPD. Por otro lado no encuentro la
posibilidad de limitar los intentos de login al SQL Server (Al de tres
intentos rechazar al usuario), sin embargo esto puede ser implementado en
la
aplicación (siempre y cuando la aplicación sea la unica que pueda acceder
a
los datos).

¿Cual es la mejor forma de lidiar con la LOPD con el fin de poder auditar
los eventos y mantener una seguridad alta en cuanto a los usuarios?


Respuesta Responder a este mensaje
#2 Miguel Egea
30/10/2004 - 18:27 | Informe spam
Completando lo que te dice antonio, puedes hacer que un usuario tenga un
número máximo de intentos si usas seguridad de windows, ya que has delegado
la autenticación a ese usuario. Esto además si lo combinas com permisos es
suficiente para hacer que tengan o no acceso a los datos.


-
Miguel Egea Gómez
Microsoft SQL-Server MVP
Webmaster de PortalSql.Com
¿Te interesa participar en las reuniones
del grupo de Usuarios de SQL-Server y .NET
Se harán en levante de España, (Alicante o Murcia)?


"Juan Pedro Gonzalez" escribió en el mensaje
news:
Hola,

Veamos, el problema es el siguiente:

Tengo una aplicación que debe acceder a la base de datos, pero me gustaría
evitar que los usuarios pudiesen acceder por su cuenta a traves de otros
programas. Esto lo tendria solucionado con una Funcion de Aplicacion...
Sin
embargo la función de aplicación no me permite auditar los eventos del
usuario, ya que el usuario será igual a la función de aplicación.

Luego si empleo la función de aplicación no puedo auditar los eventos, por
lo que no se puede imlpantar la LOPD. Por otro lado no encuentro la
posibilidad de limitar los intentos de login al SQL Server (Al de tres
intentos rechazar al usuario), sin embargo esto puede ser implementado en
la
aplicación (siempre y cuando la aplicación sea la unica que pueda acceder
a
los datos).

¿Cual es la mejor forma de lidiar con la LOPD con el fin de poder auditar
los eventos y mantener una seguridad alta en cuanto a los usuarios?


Respuesta Responder a este mensaje
#3 Maxi
31/10/2004 - 01:39 | Informe spam
Hola, ademas de los Roles de aplicacion (que de paso te envio este link para
que leas un poco del tema
http://www.configuracionesintegrale...p?articulo$4)
seria interesante que uses SP y no le des acceso directo a tus login para
las tablas :-)

"Juan Pedro Gonzalez" escribió en el mensaje
news:
Hola,

Veamos, el problema es el siguiente:

Tengo una aplicación que debe acceder a la base de datos, pero me gustaría
evitar que los usuarios pudiesen acceder por su cuenta a traves de otros
programas. Esto lo tendria solucionado con una Funcion de Aplicacion...


Sin
embargo la función de aplicación no me permite auditar los eventos del
usuario, ya que el usuario será igual a la función de aplicación.

Luego si empleo la función de aplicación no puedo auditar los eventos, por
lo que no se puede imlpantar la LOPD. Por otro lado no encuentro la
posibilidad de limitar los intentos de login al SQL Server (Al de tres
intentos rechazar al usuario), sin embargo esto puede ser implementado en


la
aplicación (siempre y cuando la aplicación sea la unica que pueda acceder


a
los datos).

¿Cual es la mejor forma de lidiar con la LOPD con el fin de poder auditar
los eventos y mantener una seguridad alta en cuanto a los usuarios?


email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida