INFO: MSDE-beveiliging en -verificatie

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 325022 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Samenvatting

Het is belangrijk dat systeembeheerders en ontwikkelaars aandacht schenken aan problemen met beveiliging en verificatie om te voorkomen dat gebruikers die niet zijn gemachtigd, gegevens kunnen vernietigen, ontvreemden of anderszins schade kunnen veroorzaken. In dit artikel worden beveiliging en verificatie in MSDE (Microsoft Desktop Engine) beschreven, evenals handige tips voor het verhogen van de gegevensbeveiliging.

Meer informatie

Beveiliging

Om een database goed te kunnen beveiligen, moet u uw gebruikers kennen. Gebruikers kunnen om tal van redenen verbinding maken met de database. Dat kan bijvoorbeeld zijn om gegevens te lezen, te wijzigen of te verwijderen, of om meer gegevens aan de database toe te voegen. De eerste stap bij het beveiligen van een database is beslissen welke handelingen door de verschillende gebruikers op de database mogen worden uitgevoerd.

Gebruikers, groepen en rollen

Bij SQL Server en MSDE kunt u het beveiligingsniveau van de database bepalen aan de hand van gebruikers, groepen en rollen. Als een bepaalde groep gebruikers de gegevens in de database alleen mag lezen, kunt u een groep maken met de naam AlleenLezen en vervolgens gebruikers aan de groep toevoegen. De gebruikers in deze groep kunnen de gegevens alleen lezen en niet wijzigen, opzettelijk noch per ongeluk.

Bezoek voor meer informatie over gebruikers, groepen en rollen de webpagina SQL Server Books Online. Met het hulpprogramma OSQL kunt u gebruikers, groepen en rollen aan een MSDE-database toevoegen.

Wachtwoord van de account SA

Een andere eenvoudige manier om de beveiliging van een database op te voeren, is door te controleren of de account SA is voorzien van een beveiligd wachtwoord. Veel ontwikkelaars en systeembeheerders gebruiken geen wachtwoord voor de account SA, waardoor de database voor iedereen toegankelijk is.

Ga als volgt te werk om het wachtwoord van de account SA voor de MSDE-database te wijzigen:
  1. Open een opdrachtpromptvenster op de computer met de MSDE-sessie die u wilt gebruiken.
  2. Typ de volgende opdracht en druk op ENTER:

    osql -U sa

    Met deze opdracht wordt u via de account SA verbonden met de lokale standaardsessie van MSDE.
  3. Typ de volgende opdrachten op afzonderlijke regels en druk op ENTER:

    sp_password null
    'mijnnieuwewachtwoord'
    'sa'

    Opmerking Typ in plaats van 'mijnnieuwewachtwoord' het wachtwoord dat u wilt gebruiken.

    Het volgende bericht wordt weergegeven, wat betekent dat het wachtwoord is gewijzigd:
    Password changed.
Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
325003 Procedure: MSDE 2000 (SQL Server Desktop Engine) beheren met het hulpprogramma Osql

Beveiliging in ASP

Beveiliging is in Active Server Pages net zo belangrijk als in Windows-programma's.Klik voor meer informatie op het volgende artikelnummer in de Microsoft Knowledge Base:
176377 INFO: Toegang tot SQL Server met geïntegreerde beveiliging van ASP

Beveiligingspatches

Omwille van beveiliging is het niet alleen van belang dat u gebruikers, groepen en rollen beheert, maar ook dat u controleert of de meest recente patches op de databaseserver zijn geïnstalleerd. U kunt beveiligingspatches voor SQL Server en MSDE downloaden. Microsoft beveelt onmiddellijke installatie van deze patches aan. Ga voor meer informatie naar de volgende Microsoft-website:
Microsoft Security Bulletin MS02-034
http://www.microsoft.com/technet/security/bulletin/MS02-034.mspx
Dit is een cumulatieve patch met de functionaliteit van alle patches die eerder voor SQL Server 2000 zijn verschenen. Deze patch biedt bovendien een correctie voor de volgende drie onlangs ontdekte zwakke plekken in SQL Server 2000 en SQL Server Desktop Engine (ook bekend als MSDE 2000). (Deze beveiligingslekken doen zich niet voor in eerdere versies van SQL Server en MSDE.)
  • Risico voor bufferoverloop in een procedure waarmee SQL Server-referentiegegevens worden gecodeerd. Een gebruiker zonder machtigingen kan hierdoor handelingen uitvoeren op de database. Het is mogelijk dat de gebruiker toegang krijgt tot de server zelf, maar dit is afhankelijk van de account die door SQL Server wordt gebruikt.
  • Risico voor bufferoverloop in een procedure die te maken heeft met het invoegen van grote hoeveelheden gegevens in SQL Server-tabellen. Een gebruiker zonder machtigingen kan hierdoor handelingen uitvoeren op de database. Hierbij bestaat de kans dat de gebruiker toegang krijgt tot de server zelf.
  • Het onrechtmatig verkrijgen van hogere beheerdersreferenties door onjuiste bevoegdheden in de registersleutel waarin de SQL Server-accountgegevens worden opgeslagen. Een gebruiker kan hierdoor meer bevoegdheden voor het systeem verkrijgen dan de systeembeheerder aan de account van deze gebruiker heeft toegewezen. De kans bestaat dat de gebruiker dezelfde bevoegdheden krijgt als het besturingssysteem. Ga voor meer informatie naar de volgende Microsoft-website:
    Microsoft Security Bulletin MS02-035
    http://www.microsoft.com/technet/security/bulletin/MS02-035.mspx
Bij de installatie van SQL Server 7.0 (inclusief MSDE 1.0), SQL Server 2000 of een service pack voor SQL Server 7.0 of SQL Server 2000 worden de gegevens die u tijdens de installatieprocedure opgeeft, verzameld en opgeslagen in het installatiebestand Setup.iss. Met dit bestand kunt u de installatie van aanvullende SQL Server-systemen automatiseren.

SQL Server 2000 biedt ook de mogelijkheid om een installatie zonder toezicht in het bestand Setup.iss op te slaan zonder dat u daadwerkelijk een installatie hoeft uit te voeren. De beheerder die de computer instelt waarop SQL Server wordt uitgevoerd, kan in de volgende situaties een wachtwoord toekennen aan de installatieroutine:
  • Als u SQL Server instelt voor verificatie in de modus Mixed, moet u een wachtwoord opgeven voor de SQL Server-beheerdersaccount (de account SA).
  • Ongeacht of u SQL Server uitvoert in de modus Mixed of in de Windows-verificatiemodus, u kunt een gebruikers-id en wachtwoord vereisen bij het starten van een SQL Server-account.
In beide gevallen wordt het wachtwoord opgeslagen in het bestand Setup.iss. Vóór de release van SQL Server 7.0 Service Pack 4 werden de wachtwoorden opgeslagen als normale tekst. In SQL Server 7.0 Service Pack 4 en SQL Server 2000 Service Packs 1 en 2 worden de wachtwoorden gecodeerd en vervolgens opgeslagen. Bovendien wordt er tijdens de installatieprocedure een logboekbestand gemaakt met daarin de resultaten van de installatie. In het logboekbestand worden de wachtwoorden vermeld die zijn opgeslagen in het bestand Setup.iss.

Verificatie

Verificatie is een manier waarop SQL Server en MSDE bij aanmeldingen controleren of het de gebruiker is toegestaan verbinding te maken met de server. Er zijn twee beveiligingsmodi waarvan SQL Server en MSDE gebruikmaken: Windows-verificatie en de modus Mixed.

Windows-verificatie

Bij Windows-verificatie wordt NTLM gebruikt om verbinding te maken met MSDE. Wanneer u zich als Administrator bij de computer aanmeldt, wordt door MSDE geverifieerd of u inderdaad beheerder bent.

Verificatiemodus Mixed

Bij de verificatiemodus Mixed kunt u zich bij MSDE aanmelden door middel van Windows-verificatie of SQL Server-verificatie. Met SQL Server-verificatie kunt u gebruikers toevoegen aan MSDE. Bij het ontwikkelen van programma's neemt u uw gebruikers-id en wachtwoord op in de verbindingstekenreeks wanneer u verbinding maakt met MSDE. Bezoek voor meer informatie over verificatiemodi de volgende Microsoft-website:
Verificatiemodi
http://msdn.microsoft.com/library/default.asp?url=/library/en-us /adminsql/ad_security_47u6.asp

De verificatiemodus Mixed inschakelen tijdens de installatie

Tijdens de installatie kunt u de verificatiemethode wijzigen die door MSDE wordt gebruikt. U doet dit door de installatie met de volgende opdrachtparameter uit te voeren:
SECURITYMODE=SQL
Met deze opdrachtparameter wordt MSDE geïnstalleerd met de verificatiemodus Mixed. Op die manier kunt u verbinding maken met MSDE via Windows-verificatie of SQL Server-verificatie.

Opmerking In Windows NT en hoger wordt MSDE standaard geïnstalleerd met Windows-verificatie. Op computers met Windows 98 maakt MSDE gebruik van SQL-verificatie.

De verificatiemodus Mixed inschakelen na de installatie van MSDE

Waarschuwing Er kunnen zich ernstige problemen voordoen als u het register met de Register-editor of met een andere methode foutief wijzigt. Wellicht moet u door deze problemen het besturingssysteem opnieuw installeren. Microsoft kan niet garanderen dat deze problemen opgelost kunnen worden. Het wijzigen van het register is dan ook voor uw eigen risico.

De subsleutel LoginMode in het Windows-register wordt standaard ingesteld op 1, voor Windows-verificatie. Als u na de installatie van MSDE de verificatiemodus Mixed wilt instellen, wijzigt u deze waarde in 2. De locatie van de subsleutel LoginMode wordt bepaald door het gegeven of u MSDE als standaard MSDE-sessie of als benoemd exemplaar hebt geïnstalleerd.
  • Als u MSDE als standaardsessie hebt geïnstalleerd, bevindt de subsleutel LoginMode zich op de volgende locatie:
    HKLM\Software\Microsoft\MSSqlserver\MSSqlServer\LoginMode
  • Hebt u MSDE als een benoemde sessie geïnstalleerd, dan bevindt de subsleutel LoginMode zich op de volgende locatie:
    HKLM\Software\Microsoft\Microsoft SQL Server\Naam exemplaar \MSSQLServer\LoginMode
Ga als volgt te werk als u de waarde van LoginMode wilt wijzigen in 2:
  1. Open het onderdeel Services in het Configuratiescherm en beëindig MSSQLSERVER en alle andere verwante services (bijvoorbeeld SQLSERVERAgent).
  2. Klik in het menu Start op Uitvoeren, typ regedt32 en klik op OK om de Register-editor te openen.
  3. Zoek de juiste subsleutel op (afhankelijk van het gegeven of u MSDE als standaard MSDE-sessie of als benoemde sessie hebt geïnstalleerd):
    • HKEY_LOCAL_MACHINE\Software\Microsoft\MSSqlserver\MSSqlServer\

      -of-
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\Sessienaam\MSSQLServer\
  4. Dubbelklik in het rechterdeelvenster op de subsleutel LoginMode.
  5. Stel de waarde van deze subsleutel in het dialoogvenster DWORD-editor in op 2, controleer of de optie Hex is geselecteerd en klik op OK.
  6. Start de service MSSQLSERVER en SQLSERVERAgent opnieuw om de wijziging toe te passen.

Referenties

Ga voor meer informatie naar de volgende websites van Microsoft:
Beveiliging en privacy
http://www.microsoft.com/netherlands/security/default.asp
Microsoft SQL Server-beveiliging beheren met Microsoft Access
http://msdn.microsoft.com/library/default.asp?url=/library/en-us /dnacc2k2/html/odc_sssec.asp
Document over SQL Server 2000-beveiliging
http://www.microsoft.com/technet/prodtechnol/sql/2000/maintain/sp3sec00.mspx
Voor meer informatie klikt u op de volgende artikelnummers in de Microsoft Knowledge Base:
259710 PRB: SQL Server-agent wordt niet gestart in Windows 9x wanneer u het wachtwoord van de systeembeheerder wijzigt
319930 Procedure: Verbinding maken met Microsoft Desktop Engine
313418 PRB: Onbeveiligde SQL Server met leeg systeembeheerderswachtwoord is bevattelijk voor wormvirus
285097 INF: De standaardmodus voor aanmeldingsverificatie tijdens de installatie van SQL Server 2000 Desktop Engine wijzigen in SQL met behulp van Windows Installer
248683 INF: Microsoft Data Engine-beveiligingsaanbevelingen voor onafhankelijke softwareleveranciers
321698 PRB: Kan geen verbinding maken met MSDE met behulp van ADO.NET met SQL-verificatie

Eigenschappen

Artikel ID: 325022 - Laatste beoordeling: maandag 24 juli 2006 - Wijziging: 5.1
De informatie in dit artikel is van toepassing op:
  • Microsoft SQL Server 2000 Desktop Engine (Windows)
  • Microsoft SQL Server 7.0 Desktop Edition
Trefwoorden: 
kbinfo kbsecurity KB325022
Vrijwaring inhoud KB-artikelen over niet langer ondersteunde producten
Dit artikel heeft betrekking op producten waarvoor Microsoft geen ondersteuning meer biedt. Daarom wordt dit artikel alleen in de huidige vorm aangeboden en wordt het niet meer bijgewerkt.

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com