Sicherheit und Authentifizierung in MSDE

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 325022 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
325022 MSDE security and authentication
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Systemadministratoren und Entwickler müssen bestimmte Sicherheits- und Authentifizierungsfragen berücksichtigen, da nicht autorisierte Benutzer Daten zerstören, stehlen oder sich anderweitig Zugriff auf Daten verschaffen können. Dieser Artikel gibt einen Überblick zur Sicherheit und Authentifizierung in Microsoft Desktop Engine (MSDE). Außerdem werden hilfreiche Tipps dazu gegeben, wie Sie die Datensicherheit erhöhen können.

Weitere Informationen

Sicherheit

Um die Sicherheit Ihrer Datenbank zu gewährleisten, müssen Sie die Absichten Ihrer Benutzer kennen. Benutzer können verschiedene Ziele haben, wenn sie eine Verbindung zu Ihrer Datenbank herstellen. Sie können die Daten lesen, ändern, löschen oder weitere Daten hinzufügen. Der erste Schritt zum Erhöhen der Sicherheit Ihrer Datenbank besteht darin, die Aktivitäten festzulegen, die die Benutzer in der Datenbank ausführen dürfen.

Benutzer, Gruppen und Rollen

Sie können die Sicherheitsstufe der Datenbank in SQL Server und MSDE mit Benutzerkonten, Gruppen und Rollen kontrollieren. Wenn eine bestimmte Gruppe von Benutzern nur Lesezugriff auf die Daten in der Datenbank haben soll, können Sie eine Gruppe mit dem Namen "OnlyReaders" erstellen und dieser Gruppe die Benutzer hinzufügen. Die Benutzer, die dieser Gruppe angehören, können die Daten nur lesen. Sie können die Daten weder absichtlich noch unabsichtlich ändern.

Weitere Informationen zu Benutzern, Gruppen und Rollen finden Sie in der Online-Dokumentation von SQL Server. Verwenden Sie das Dienstprogramm OSQL zum Hinzufügen von Benutzern, Gruppen und Rollen zu einer MSDE-Datenbank.

Kennwort für das SA-Konto

Ein weiterer einfacher Schritt zum Erhöhen der Sicherheit für Ihre Datenbank besteht darin, sicherzustellen, dass das SA-Konto über ein sicheres Kennwort verfügt. Viele Entwickler und Systemadministratoren lassen das Kennwort für das SA-Konto leer. Dies erlaubt es beliebigen Nutzern, Zugriff auf die Datenbank zu erlangen.

Gehen Sie folgendermaßen vor, um das Kennwort für das SA-Konto Ihrer MSDE-Datenbank zu ändern:
  1. Öffnen Sie eine Eingabeaufforderung auf dem Computer mit der Instanz von MSDE, zu der Sie eine Verbindung herstellen möchten.
  2. Geben Sie den folgenden Befehl ein, und drücken Sie anschließend die [EINGABETASTE]:

    osql -U sa

    Sie stellen damit über das SA-Konto eine Verbindung mit der lokalen Standardinstanz von MSDE her.
  3. Geben Sie die folgenden Befehle in getrennte Zeilen ein, und drücken Sie die [EINGABETASTE]:

    sp_password null
    'mynewpassword'
    'sa'

    Hinweis: Ersetzen Sie 'mynewpassword' durch das neue Kennwort.

    Sie erhalten folgende Meldung, die anzeigt, dass Ihr Kennwort erfolgreich geändert wurde:
    Kennwort geändert.
Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
325003 SO WIRD'S GEMACHT: Verwalten der SQL Server Desktop Engine (MSDE 2000) mithilfe des Dienstprogramms "Osql"

Sicherheit in ASP

Die Sicherheit in Active Server Pages ist ebenso wichtig wie die Sicherheit in Windows-basierten Programmen. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
176377 INFO: Zugreifen auf SQL Server mit integrierter Sicherheit aus ASP

Sicherheitsupdates

Um die Sicherheit zu gewährleisten, müssen Sie nicht nur die Benutzer, Gruppen und Rollen verwalten, sondern Sie müssen auch prüfen, ob Sie die jeweils neuesten Updates auf Ihrem Datenbankserver installiert haben. Sicherheitsupdates stehen für SQL Server und MSDE zum Download zur Verfügung. Microsoft empfiehlt, diese Updates sofort zu installieren. Weitere Informationen hierzu finden Sie auf folgender Website von Microsoft:
Microsoft Security Bulletin MS02-034
http://www.microsoft.com/technet/security/bulletin/MS02-034.mspx

Hinweis: Microsoft empfiehlt SQL Server 2000 Service Pack 3 (SP3) oder SQL Server 2000 SP4 zu installieren. Service Packs beinhalten weitere Updates und Microsoft Security Bulletin MS02-034 ist in beiden Service Packs enthalten. Weitere Informationen dazu, wie Sie SQL Server 2000 SP3 oder SQL Server 2000 SP4 erhalten können, finden Sie im folgenden Artikel der Microsoft Knowledge Base:
290211 INFO: So erhalten Sie das neueste Service Pack für SQL Server 2000


Dieses kumulative Update beinhaltet die Funktionalität aller Updates, die bisher für SQL Server 2000 veröffentlicht wurden. Es behebt die folgenden, kürzlich festgestellten Sicherheitsanfälligkeiten, von denen SQL Server 2000 und SQL Server Desktop Engine (auch als MSDE 2000 bezeichnet) betroffen sind. (Frühere Versionen von SQL Server oder MSDE sind von diesen Sicherheitsanfälligkeiten nicht betroffen.):
  • Eine Sicherheitsanfälligkeit durch einen möglichen Pufferüberlauf in einer Prozedur, die zum Verschlüsseln von SQL Server-Anmeldeinformationen verwendet wird. Ein nicht autorisierter Benutzer kann diese Sicherheitsanfälligkeit ausnutzen, um sich in bedeutendem Umfang Kontrolle über die Datenbank zu verschaffen. Der Benutzer hat die Möglichkeit, sich Kontrolle über den Server selbst zu verschaffen. Dies ist jedoch von dem Konto abhängig, das SQL Server verwendet.
  • Eine Sicherheitsanfälligkeit durch einen möglichen Pufferüberlauf in einer Prozedur, die mit der Masseneinfügung von Daten in SQL Server-Tabellen in Zusammenhang steht. Ein nicht autorisierter Benutzer kann diese Sicherheitsanfälligkeit ausnutzen, um sich in bedeutendem Umfang Kontrolle über die Datenbank zu verschaffen. Der Benutzer kann sich Kontrolle über den Server selbst verschaffen.
  • Eine Sicherheitsanfälligkeit, die das Erschleichen von Administratorberechtigungen ermöglicht und aufgrund falscher Berechtigungen für den Registrierungsschlüssel auftritt, in dem die SQL Server-Dienstkontoinformationen gespeichert sind. Ein nicht autorisierter Benutzer kann diese Sicherheitsanfälligkeit ausnutzen, um sich mehr Berechtigungen auf dem System zu verschaffen, als der Systemadministrator für das Konto des Benutzers gewährt hat. Der Benutzer kann sich dieselben Berechtigungen wie das Betriebssystem verschaffen. Weitere Informationen hierzu finden Sie auf folgender Website von Microsoft:
    Microsoft Security Bulletin MS02-035
    http://www.microsoft.com/germany/technet/sicherheit/bulletins/MS02-035.mspx
Wenn Sie SQL Server 7.0 (einschließlich MSDE 1.0), SQL Server 2000 oder ein Service Pack für SQL Server 7.0 oder SQL Server 2000 installieren, werden die Informationen erfasst, die Sie für den Installationsprozess angeben. Diese werden in einer Setupdatei namens "Setup.iss" gespeichert. Mithilfe der Datei "Setup.iss" können Sie die Installation zusätzlicher SQL Server-Systeme automatisieren.

SQL Server 2000 beinhaltet auch die Möglichkeit, eine unbeaufsichtigte Installation in der Datei "Setup.iss" aufzuzeichnen, ohne dass Sie die Installation selbst ausführen müssen. Der Administrator, der den Computer mit SQL Server einrichtet, kann der Installationsroutine unter den folgenden Bedingungen ein Kennwort zuweisen:
  • Wenn Sie SQL Server für die Verwendung der Mischmodus-Authentifizierung einrichten, müssen Sie ein Kennwort für das SQL Server-Administratorkonto (das SA-Konto) angeben.
  • Unabhängig davon, ob Sie SQL Server im Mischmodus oder im Windows-Authentifizierungsmodus ausführen, können Sie die Eingabe eines Benutzernamens und eines Kennworts zum Starten eines SQL Server-Dienstkontos verlangen.
In beiden Fällen wird das Kennwort in der Datei "Setup.iss" gespeichert. Vor der Veröffentlichung von SQL Server 7.0 Service Pack 4 wurden die Kennwörter im Nur-Text-Format gespeichert. In SQL Server 7.0 Service Pack 4 sowie SQL Server 2000 Service Pack 1 und 2 werden die Kennwörter zunächst verschlüsselt und dann gespeichert. Außerdem wird während des Installationsvorgangs eine Protokolldatei erstellt, die die Ergebnisse der Installation aufzeichnet. Die Protokolldatei enthält alle Kennwörter, die in der Datei "Setup.iss" gespeichert wurden.

Authentifizierung

Die Authentifizierung stellt eine Möglichkeit für SQL Server und MSDE dar, die Berechtigungen des Benutzers für den Zugriff auf den Server zu überprüfen. SQL Server und MSDE verwenden zwei Sicherheitsmodi: Windows-Authentifizierung und Mischmodus.

Windows-Authentifizierung

Die Windows-Authentifizierung verwendet NTLM zum Herstellen der Verbindung zur MSDE. Wenn Sie sich als Administrator auf Ihrem Computer anmelden, versucht MSDE, Sie als Administrator zu authentifizieren.

Mischmodus-Authentifizierung

Die Mischmodus-Authentifizierung erlaubt es Ihnen, sich mithilfe der Windows-Authentifizierung oder der SQL Server-Authentifizierung bei MSDE anzumelden. Die SQL Server-Authentifizierung erlaubt das Erstellen von Benutzern in MSDE. Bei der Entwicklung von Programmen fügen Sie Ihren Benutzernamen und Ihr Kennwort in die Verbindungszeichenfolge ein, wenn Sie die Verbindung zu MSDE herstellen. Weitere Informationen zu den Authentifizierungsmodi finden Sie auf folgender Website von Microsoft:
Authentifizierungsmodi
http://msdn.microsoft.com/library/default.asp?url=/library/en-us /adminsql/ad_security_47u6.asp

Aktivieren der Mischmodus-Authentifizierung während der Installation

Sie können den von MSDE verwendeten Authentifizierungsmodus während der Installation ändern, indem Sie die Installation mit dem folgenden Befehlszeilenparameter ausführen:
SECURITYMODE=SQL
Dieser Befehlszeilenparameter veranlasst MSDE, die Installation mit der Mischmodus-Authentifizierung auszuführen. In diesem Authentifizierungsmodus können Sie die Verbindung zu MSDE mithilfe der Windows-Authentifizierung oder der SQL Server-Authentifizierung herstellen.

Hinweis: In Windows NT und höher erfolgt die MSDE-Installation standardmäßig mit der Windows-Authentifizierung. Auf Computern, auf denen Windows 98 ausgeführt wird, verwendet MSDE die SQL-Authentifizierung.

Aktivieren der Mischmodus-Authentifizierung nach der Installation von MSDE

Achtung: Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallation des Betriebssystems erforderlich machen. Diese Probleme können eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungs-Editors herrühren, behoben werden können. Benutzen Sie den Registrierungs-Editor auf eigene Verantwortung.

Standardmäßig ist der Teilschlüssel LoginMode in der Registrierung von Windows auf den Wert 1 gesetzt (Windows-Authentifizierung). Um die Mischmodus-Authentifizierung nach der Installation von MSDE zu aktivieren, müssen Sie diesen Wert in 2 ändern. Der Speicherort des Teilschlüssels LoginMode hängt davon ab, ob Sie MSDE als Standard-MSDE-Instanz oder als benannte Instanz installiert haben.
  • Haben Sie MSDE als Standardinstanz installiert, so befindet sich der Teilschlüssel LoginMode im folgenden Teilschlüssel der Registrierung:
    HKLM\Software\Microsoft\MSSqlserver\MSSqlServer\LoginMode
  • Wenn Sie MSDE als benannte Instanz installiert haben, so befindet sich der Teilschlüssel LoginMode im folgenden Registrierungs-Teilschlüssel:
    HKLM\Software\Microsoft\Microsoft SQL Server\Instanzname\MSSQLServer\LoginMode
Gehen Sie folgendermaßen vor, um den Wert von LoginMode in 2 zu ändern:
  1. Öffnen Sie das Tool Dienste in der Systemsteuerung, und halten Sie den Dienst MSSQLSERVER und alle anderen damit verbundenen Dienste (wie etwa SQLSERVERAgent) an.
  2. Klicken Sie auf Start, zeigen Sie auf Ausführen, geben Sie Regedt32 ein, und klicken Sie dann auf OK, um den Registrierungseditor (Regedt32.exe) zu starten.
  3. Suchen Sie einen der folgenden Teilschlüssel (je nachdem, ob Sie MSDE als Standardinstanz oder als benannte Instanz installiert haben):
    • HKEY_LOCAL_MACHINE\Software\Microsoft\MSSqlserver\MSSqlServer\

      -oder-
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instanzname\MSSQLServer\
  4. Doppelklicken Sie im rechten Fensterbereich auf den Teilschlüssel LoginMode.
  5. Setzen Sie den Wert dieses Teilschlüssels im Dialogfeld DWORD-Editor auf 2, vergewissern Sie sich, dass die Option Hex ausgewählt ist, und klicken Sie anschließend auf OK.
  6. Starten Sie die Dienste MSSQLSERVER und SQLSERVERAgent neu, damit diese Änderung wirksam wird.

Informationsquellen

Weitere Informationen finden Sie auf folgenden Websites von Microsoft:
Sicherheit & Datenschutz
http://www.microsoft.com/germany/sicherheit/default.mspx
Verwalten der Microsoft SQL Server-Sicherheit mit Microsoft Access
http://msdn.microsoft.com/library/default.asp?url=/library/en-us /dnacc2k2/html/odc_sssec.asp
Whitepaper zur Sicherheit in SQL Server 2000
http://www.microsoft.com/technet/prodtechnol/sql/2000/maintain/sp3sec00.mspx
Weitere Informationen finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
259710 PRB: nicht auf Windows 9 Sie das SA-Kennwort wann mal ändern, kann sich von SQL Server-Agent gestartet werden
319930 SO WIRD'S GEMACHT: Verbinden mit der Microsoft Desktop Engine (MSDE)
313418 PRB: PRB: ungesichertes SQL Server (NULL) mit leerem SA-Kennwort verlässt Sicherheitsanfälligkeit für einen Wurm
285097 Wie Ändern des Standardanmeldungsauthentifizierungsmodus in SQL während SQL Server 2000 Desktop Engine unter Verwendung von Windows Installer installieren
248683 INF: Microsoft Data Engine-Sicherheitsempfehlungen für ISVs
321698 Sie können sich nicht mit MSDE 2000 verbinden, indem Sie ADO.NET mit SQL Server-Authentifizierung verwenden

Eigenschaften

Artikel-ID: 325022 - Geändert am: Donnerstag, 3. August 2006 - Version: 5.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft SQL Server 2000 Desktop Engine (Windows)
  • Microsoft SQL Server Desktop
Keywords: 
kbinfo kbsecurity KB325022
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Disclaimer zu nicht mehr gepflegten KB-Inhalten
Dieser Artikel wurde für Produkte verfasst, für die Microsoft keinen Support mehr anbietet. Der Artikel wird deshalb in der vorliegenden Form bereitgestellt und nicht mehr weiter aktualisiert.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com