MSDE セキュリティと認証

文書翻訳 文書翻訳
文書番号: 325022 - 対象製品
この記事は、以前は次の ID で公開されていました: JP325022
すべて展開する | すべて折りたたむ

目次

概要

権限のないユーザーがデータを破壊したり盗み出したりするなど、何らかの方法でデータにアクセスする可能性があるため、システム管理者および開発者は、セキュリティと認証の問題について考慮する必要があります。この資料では、Microsoft Desktop Engine (MSDE) のセキュリティと認証の概要について説明し、データのセキュリティを強化するためのヒントを提供します。

詳細

セキュリティ

データベースをセキュリティで保護するには、ユーザーを把握する必要があります。ユーザーがデータベースに接続する目的はさまざまです。ユーザーが行う操作には、データの読み取り、データの変更、データの削除、データの挿入があります。データベースをセキュリティ保護するための最初の手順は、ユーザーごとに、データベースに対して実行を許可する操作を決定することです。

ユーザー、グループ、ロール

SQL Server と MSDE には、ユーザー、グループおよびロールがあり、これらを使用して、データベースに対するセキュリティ レベルを制御することができます。データベースのデータの読み取りのみを実行する必要があるユーザーのグループがあった場合、OnlyReaders という名前のグループを作成し、このグループにユーザーを追加することができます。このグループのメンバになったユーザーはデータの読み取りのみが可能であり、意図的であっても誤操作であっても、データを変更することはできません。

ユーザー、グループおよびロールの詳細については、SQL Server Books Online を参照してください。MSDE データベースにユーザー、グループおよびロールを追加するには、OSQL ユーティリティを使用します。

SA アカウントのパスワード

データベースのセキュリティを強化するもう 1 つの簡単な手順は、SA アカウントに安全なパスワードが設定されているかどうかを確認することです。開発者やシステム管理者が SA アカウントのパスワードを空白のままにしていることがよくありますが、そのままではだれでもデータベースにアクセスすることが可能です。

MSDE データベースの SA アカウントのパスワードを変更するには、以下の手順を実行します。
  1. 接続する MSDE のインスタンスをホストしているコンピュータで、コマンド プロンプト ウィンドウを開きます。
  2. 次のコマンドを入力し、Enter キーを押します。

    osql -U sa

    このコマンドを実行すると、SA アカウントを使用してローカル コンピュータ上の MSDE の既定のインスタンスに接続します。
  3. 次のコマンドを入力して、行ごとに Enter キーを押します。

    sp_password null
    'mynewpassword'
    'sa'

    : 'mynewpassword' には新しいパスワードを入力します。

    パスワードが正常に変更されたことを示す、次のようなメッセージが表示されます。
    パスワードは変更されました。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
325003 [HOWTO] Osql ユーティリティを使用した SQL Server Desktop Engine (MSDE 2000) の管理方法

ASP のセキュリティ

Active Server Pages (ASP) のセキュリティは、Windows ベースのプログラムのセキュリティと同様に重要です。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
176377 [INFO] 統合セキュリティを使用して ASP から SQL Server にアクセスする

セキュリティ更新プログラム

セキュリティを維持するには、ユーザー、グループおよびロールを管理するだけでなく、データベース サーバーに最新の更新プログラムをインストールする必要もあります。SQL Server および MSDE 用のセキュリティ更新プログラムはダウンロードして入手することができます。マイクロソフトは、これらの更新プログラムをすぐにインストールすることをお勧めします。詳細については、次のマイクロソフト Web サイトを参照してください。
マイクロソフト セキュリティ情報 MS02-034
http://www.microsoft.com/japan/technet/security/bulletin/MS02-034.mspx

: SQL Server 2000 Service Pack 3 (SP3) または SQL Server 2000 SP4 をインストールすることをお勧めします。Service Pack には、多くの更新プログラムが含まれています。この 2 つの Service Pack には、マイクロソフト セキュリティ情報 MS02-034 が含まれています。SQL Server 2000 SP3 または SQL Server 2000 SP4 の入手方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
290211 最新の SQL Server 2000 Service Pack の入手方法


これは累積的な更新プログラムであり、SQL Server 2000 用に過去にリリースされたすべての更新プログラムの機能が含まれています。また、この更新プログラムにより、SQL Server 2000 および SQL Server Desktop Engine (MSDE 2000) に影響を及ぼす、新たに発見された以下の 3 つの脆弱性が修正されます (以前のバージョンの SQL Server および MSDE はこれらの脆弱性の影響を受けません)。
  • SQL Server の資格情報の暗号化に使用されるプロシージャに存在するバッファ オーバーランの脆弱性 : 権限のないユーザーがこの脆弱性を悪用して、データベースの制御を取得する可能性があります。SQL Server で使用しているアカウントによっては、そのユーザーがサーバー自体の制御を取得できる可能性もあります。
  • SQL Server テーブルでのデータの一括挿入に関連するプロシージャに存在するバッファ オーバーランの脆弱性 : 権限のないユーザーがこの脆弱性を悪用して、データベースの制御を取得する可能性があります。そのユーザーがサーバー自体の制御を取得できる可能性もあります。
  • SQL Server サービス アカウントの情報が格納されているレジストリ キーに不適切な権限が設定されているために発生する、管理者の資格情報の昇格の脆弱性 : 権限のないユーザーがこの脆弱性を悪用して、そのユーザーのアカウントに対してシステム管理者が付与した以上の権限をシステムに対して持つ可能性があります。そのユーザーがオペレーティング システムと同等の権限を取得する可能性もあります。詳細については、次のマイクロソフト Web サイトを参照してください。
    マイクロソフト セキュリティ情報 MS02-035
    http://www.microsoft.com/japan/technet/security/bulletin/MS02-035.mspx
SQL Server 7.0 (MSDE 1.0 を含む)、SQL Server 2000、SQL Server 7.0 または SQL Server 2000 用の Service Pack のいずれかをインストールするときにインストール処理で入力した情報は、Setup.iss という名前のセットアップ ファイルにまとめて保存されます。この Setup.iss ファイルを使用して SQL Server システムの追加インストールを自動化することができます。

SQL Server 2000 には、ユーザーが実際にインストールを実行せずに Setup.iss に無人インストールの記録を作成する機能もあります。SQL Server を実行するコンピュータのセットアップを行う管理者は、以下の場合に、インストール ルーチンにパスワードを設定することができます。
  • 混合モード認証を使用するように SQL Server をセットアップした場合は、SQL Server の管理者アカウント (SA アカウント) にパスワードを設定する必要があります。
  • 混合モードまたは Windows 認証モードで SQL Server を実行している場合は、SQL Server サービス アカウントの起動時にユーザー ID とパスワードを要求することができます。
どちらの場合でも、パスワードは Setup.iss ファイルに保存されます。SQL Server 7.0 Service Pack 4 がリリースされるまでは、パスワードはテキスト形式で保存されていました。SQL Server 7.0 Service Pack 4 と、SQL Server 2000 Service Packs 1 および 2 では、パスワードは暗号化されて保存されます。また、インストール処理中、インストールの結果を示すログ ファイルが作成されます。このログ ファイルには、Setup.iss ファイルに保存されているすべてのパスワードが含まれています。

認証

認証は、SQL Server および MSDE でログインをチェックして、ユーザーがサーバーへの接続を許可されているかどうかを確認するための方法です。SQL Server および MSDE で使用するセキュリティ モードには、Windows 認証と混合モードの 2 つがあります。

Windows 認証

Windows 認証では、NTLM を使用して MSDE に接続します。ユーザーが管理者としてコンピュータにログオンした場合、MSDE はそのユーザーを管理者として認証しようとします。

混合モード認証

混合モード認証では、Windows 認証または SQL Server 認証を使用して MSDE にログオンすることができます。SQL Server 認証では、MSDE にユーザーを作成することができます。プログラムを開発する際には、MSDE への接続時の接続文字列にユーザー ID およびパスワードを含めます。認証モードの詳細については、次のマイクロソフト Web サイトを参照してください。
認証モード
http://msdn.microsoft.com/library/ja/adminsql/ad_security_47u6.asp

インストール中に混合モード認証を有効にする

次のコマンド パラメータを使用してインストールを実行することにより、MSDE で使用する認証モードをインストール時に変更できます。
SECURITYMODE=SQL
このコマンド パラメータを使用すると、MSDE は混合モード認証でインストールされます。この認証モードでは、Windows 認証または SQL Server 認証を使用して、MSDE に接続できます。

: Windows NT 以降のデフォルトでは、MSDE は Windows 認証を使用してインストールされます。Windows 98 を実行しているコンピュータでは、MSDE は SQL 認証を使用します。

MSDE のインストール後に混合モード認証を有効にする

警告 : レジストリ エディタまたは別の方法を使用してレジストリを誤って変更すると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリの変更により発生した問題に関しては、一切責任を負わないものとします。レジストリの変更は、自己の責任において行ってください。

デフォルトでは、LoginMode という Windows レジストリ サブキーの値は 1 (Windows 認証) に設定されています。MSDE のインストール後に混合モード認証を有効にするには、この値を 2 に変更する必要があります。LoginMode サブキーの場所は、MSDE を既定の MSDE インスタンスとしてインストールしたか、名前付きインスタンスとしてインストールしたかによって異なります。
  • MSDE を既定のインスタンスとしてインストールした場合、LoginMode サブキーは次のレジストリ サブキーにあります。
    HKLM\Software\Microsoft\MSSqlserver\MSSqlServer\LoginMode
  • MSDE を名前付きインスタンスとしてインストールした場合、LoginMode サブキーは次のレジストリ サブキーにあります。
    HKLM\Software\Microsoft\Microsoft SQL Server\Instance Name \MSSQLServer\LoginMode
LoginMode の値を 2 に変更するには、次の手順を実行します。
  1. コントロール パネルで [サービス] を開き、MSSQLSERVER サービスと、その他の関連するサービス (SQLSERVERAgent など) をすべて停止します。
  2. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。regedt32 と入力し、[OK] をクリックしてレジストリ エディタを起動します。
  3. MSDE を既定の MSDE インスタンスとしてインストールしたか、名前付きインスタンスとしてインストールしたかに応じて、以下のどちらかのサブキーを見つけます。
    • HKEY_LOCAL_MACHINE\Software\Microsoft\MSSqlserver\MSSqlServer\

      または
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Instance Name\MSSQLServer\
  4. 右側のウィンドウで、LoginMode サブキーをダブルクリックします。
  5. [DWORD エディタ] ダイアログ ボックスで、このサブキーの値に 2 を設定し、[16 進数] が選択されていることを確認して、[OK] をクリックします。
  6. この変更を有効にするために、MSSQLSERVER サービスおよび SQLSERVERAgent サービスを再開します。

関連情報

詳細については、次のマイクロソフト Web サイトを参照してください。
セキュリティ
http://www.microsoft.com/japan/security/
Managing Microsoft SQL Server Security with Microsoft Access
http://msdn.microsoft.com/library/default.asp?url=/library/en-us /dnacc2k2/html/odc_sssec.asp
ホワイト ペーパー『SQL Server 2000 SP3 セキュリティ機能と推奨事例』
http://www.microsoft.com/japan/technet/prodtechnol/sql/2000/maintain/sp3sec00.mspx
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
259710 [PRB] Windows 9x で SA パスワードを変更すると SQL Server エージェントを起動できない
319930 Microsoft Desktop Engine に接続する方法
313418 [PRB] 空白 (NULL) の sa パスワードを使用している、セキュリティで保護されていない SQL Server のワームに対する脆弱性
285097 Windows インストーラを使用して、SQL Server 2000 Desktop Engine をインストール中にデフォルトのログイン認証モードを SQL Server 認証に変更する方法
248683 ISV 向けの Microsoft Data Engine のセキュリティ推奨事項
321698 ADO.NET で SQL 認証を使用して MSDE に接続できない

プロパティ

文書番号: 325022 - 最終更新日: 2006年8月4日 - リビジョン: 5.1
この資料は以下の製品について記述したものです。
  • Microsoft SQL Server 2000 Desktop Engine (Windows)
  • Microsoft SQL Server 7.0 Desktop Edition
キーワード:?
kbinfo kbsecurity KB325022
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"
サポート期間が終了した「サポート技術情報」資料に関する免責事項
この資料は、マイクロソフトでサポートされていない製品について記述したものです。そのため、この資料は現状ベースで提供されており、今後更新されることはありません。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com