Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Şunlar için geçerlidir:
Windows üzerinde SQL ServerAzure SQL Yönetilen Örneği
Önemli
Sql Server 2025'te (17.x) Ana Veri Hizmetleri (MDS) kaldırıldı . SQL Server 2022 (16.x) ve önceki sürümlerde MDS'yi desteklemeye devam ediyoruz.
Ana Veri Hizmetleri'nde (MDS), kullanıcıların yalnızca işleri için gerekli olan ana verilere eriştiğinden emin olmak ve kullanıcıların kendileri için kullanılamaması gereken verilere erişmesini önlemek için güvenliği kullanın.
Bir kişiyi belirli bir modelin ve işlevsel alanın yöneticisi yapmak için güvenlik ayarlarını da kullanabilirsiniz. Örneğin, birisine Müşteri modelinin sürümlerini oluşturma veya güvenlik izinleri ayarlama olanağı verebilirsiniz.
Ana Veri Hizmetleri güvenliği yerel veya Active Directory (AD) etki alanı kullanıcılarını ve gruplarını temel alır. MDS güvenliği, kullanıcının erişebileceği verileri belirlerken ayrıntılı bir ayrıntı düzeyi kullanmanıza olanak tanır. Ayrıntı düzeyi nedeniyle güvenlik kolayca karmaşık hale gelebilir. Çakışan kullanıcılara ve gruplara izin atarken dikkatli olun. Daha fazla bilgi için bkz . Çakışan Kullanıcı ve Grup İzinleri.
Ana Veri Yöneticisi web uygulamasının Kullanıcı ve Grup İzinleri işlevsel alanında veya web hizmetini kullanarak güvenlik erişimi atayabilirsiniz.
Kullanıcı türleri
Ana Veri Hizmetleri'nde iki tür kullanıcı vardır:
Gezgin işlevsel alanındaki verilere erişen kullanıcılar.
Gezgin dışındaki alanlarda yönetim görevleri gerçekleştirebilecek kullanıcılar. Bu kullanıcılara Yönetici adı verilir.
Güvenliği ayarlama
Bir kullanıcıya veya gruba MDS'deki verilere veya işlevlere erişme izni vermek için şunları atayın:
İşlevsel Alan İzinleri, kullanıcının erişebileceği kullanıcı arabiriminin beş işlevsel alanından hangisi olduğunu belirler.
Bir kullanıcının erişebileceği öznitelikleri ve kullanıcının bu özniteliklere sahip olduğu erişim türünü (Okuma, Oluşturma ve Güncelleştirme) belirleyen Model Nesnesi İzinleri. Yönetici izinlerini Model düzeyinde de atayabilirsiniz.
İsteğe bağlı olarak, bir kullanıcının erişebileceği üyeleri ve kullanıcının bu üyelere sahip olduğu erişim türünü (Okuma, Güncelleştirme ve Silme) belirleyen hiyerarşi üyesi izinleri.
Özelliklere ve üyelere izin atadığınızda, izinler birbirleriyle örtüşür ve hangi iznin öncelikli olduğunu belirleyen kurallar devreye girer. Daha fazla bilgi için bkz. İzinlerin Nasıl Belirlendiği.
Excel eklentisinde güvenlik
Ana Veri Yöneticisi web uygulamasındaki güvenlik kümesi, Excel eklentisi için de geçerlidir. Kullanıcılar yalnızca erişim iznine sahip oldukları verileri görüntüleyebilir ve bunlarla çalışabilir. Yöneticiler yönetim görevlerini gerçekleştirebilir.
Tek uyarı, Ana Veri Yöneticisi'nde atanan tüm güvenliklerin 20 dakikalık bir zaman aralığı geçene kadar Excel'de geçerli olmamasıdır.
MdsMaximumUserInformationCacheInterval ayarı, web.config dosyasındaki aralığı tanımlar. Aralığı değiştirmek için ayarı değiştirin ve Internet Information Services'i (IIS) yeniden başlatın.
Ana Veri Hizmetleri'nde güvenlik riskleri
Bu bölümde Ana Veri Hizmetleri (MDS) ile ilgili olası güvenlik riskleri özetlenmektedir. Kullanımdan kaldırılacak özelliklerle ilişkili bazı eski araçlar güvenlik açıklarına neden olabilir ve ürünün kendisi doğal güvenlik riskleri içerebilir. Uygun önlemleri alabilmeniz için aşağıdaki bilgiler sağlanır.
| Başlık | Description | Tavsiye |
|---|---|---|
| Yetkilendirme modeli | MDS, erişim denetiminin uygulama düzeyinde uygulandığı özel bir yetkilendirme modeli kullanır. Bir saldırgan iç kullanıcı listesini işleyebilir veya yetkilendirme mantığındaki bir kusurdan yararlanabilirse, ana verilere tam erişim elde edebilir. | Kullanıcı listesi işleme veya yetkilendirme açıklarının etkisini azaltmak için özel yetkilendirme modelindeki riskleri özetleyin ve ağ yalıtımı, katı en düşük ayrıcalıklı hizmet hesapları ve kapsamlı denetim gibi sağlamlaştırma ölçülerini özetleyin. |
| Eski teknolojinin benimsenmesi | MDS, SQL Server 2025'ten (17.x) kaldırılır ve önceki sürümler yalnızca güvenlik güncelleştirmelerini alır ve zaman içinde güvenlik açıkları ve işletimsel sorunlar riskini artırır. MDS'nin ActiveX'e olan bağımlılığı, resmen kullanımdan kaldırılmış ve artık desteklenmeyen Internet Explorer'ı gerektirir. | Kullanım süresi sona ermeden önce desteklenen platformlara geçişi planlayın ve yeni MDS dağıtımlarından kaçının. Mevcut yüklemeler için, eski bileşenlere (ActiveX ve Internet Explorer gibi) erişimi kısıtlayarak, mümkün olduğunca modern tarayıcıları kullanarak ve ağ yalıtımı ve gelişmiş izleme gibi telafi denetimleri uygulayarak pozlamayı en aza indirin. Microsoft Purview veya iş ortağı MDM platformları gibi ana veri yönetimi (MDM) için alternatif çözümleri değerlendirin ve iş sürekliliği ve güvenliği sağlamak için aşamalı bir geçiş stratejisi geliştirin. |
| Veri kurcalama ve bütünlük saldırıları | Ana Veri Hizmetlerine erişimi olan kötü bir aktör, ana verileri değiştirerek kurumsal kaynak planlama (ERP), müşteri ilişkileri yönetimi (CRM) veya raporlama sistemlerinde aşağı akış bozulmasına yol açabilir. | Verilerin kurcalanma riskini ve olası etkisini azaltmak için birkaç uygulanabilir öneri: işlem günlüğü ve sürüm oluşturma uygulama, mutabakat işlemleriyle bütünlük denetimleri, değişiklik onay iş akışlarıyla rol tabanlı erişim denetimleri ve sağlam yedekleme ve kurtarma yordamları. |
| Veri şifreleme ve filtreleme | MDS hassas verileri (örneğin, müşteri kayıtları, çalışan ayrıntıları) depolayabilir. Erişim denetimi atlanırsa, bu veriler dışarı sızabilir. | SQL Server şifreleme seçenekleriyle MDS uyumluluğu sınırlıdır. Örneğin Always Encrypted, MDS kurallarını ve hiyerarşilerini bozabilirken saydam veri şifrelemesi (TDE) yalnızca bekleyen verileri korur. Daha iyi güvenlik için TDE'yi etkinleştirin, mümkün olduğunda dinamik veri maskeleme uygulayın ve erişimi izlemek için SQL Server Denetimi'ni yapılandırın. Bu korumalar olmadığı sürece yüksek oranda hassas verileri depolamaktan kaçının. Gelişmiş idare için, Partner MDM çözümleriyle birlikte Microsoft Purview gibi yerleşik korumaya sahip platformları taşımayı göz önünde bulundurun. |
| Veri alımı | MDS, hazırlama tabloları da dahil olmak üzere çeşitli yollarla veri alımını destekler. Daha fazla bilgi için bkz . Genel Bakış: Tablolardan Veri İçeri Aktarma. Bu durumda, bazı güvenlik sorunları oluşabilir. | Ana Veri Hizmetleri'nde veri içeri aktarma için hazırlama tablolarını kullanırken, güvenlik sorunlarını önlemek için katı denetimleri zorunlu kılın. Merkezi idare için çekme tabanlı alımı tercih edin, en az ayrıcalığı olan benzersiz hizmet kimlikleri gerekli kılın ve verileri işlemeden önce şema ve iş kurallarını doğrulayın. Tüm alım olaylarını kaydederek tam denetlenebilirlik sağlayın ve çapraz bulaşmayı önlemek için ayrı hazırlık şemaları veya tabloları kullanarak katılımcıları izole edin. |
İlgili görevler
| Görev Açıklaması | Article |
|---|---|
| Modele tam izni olan bir kullanıcı oluşturun. | Model Yöneticisi Oluşturma |
| Ana Veri Hizmetleri'ne bir Active Directory grubu ekleyin. Bu adım, bir gruba Ana Veri Hizmetleri web uygulamasındaki verilere erişim izni vermenin ilk adımıdır. | Grup Ekle |
| Ana Veri Hizmetleri web uygulamasının işlevsel bir alanına izin atayın. | İşlevsel Alan İzinleri Atama |
| Model nesnelerine izin atayarak öznitelik değerlerine izin atayın. | Model Nesnesi İzinleri Atama |
| Üye değerlerine izin vermek için hiyerarşi düğümlerine izin atayın. | Hiyerarşi Üyesi İzinleri Atama |