SQL Server 2000 Desktop Engine (MSDE 2000) のインストール時に強力な sa パスワードを指定する方法

文書翻訳 文書翻訳
文書番号: 814463 - 対象製品
すべて展開する | すべて折りたたむ

概要

この資料では、SQL Server Desktop Engine (別名 MSDE 2000) のインストール時に強力な sa パスワードを指定する方法について説明します。

詳細

SQL Server 2000 Desktop Engine (MSDE 2000) のインスタンスをインストールするときは、sa アカウントに強力なパスワードを割り当てる必要があります。インスタンスで Windows 認証モードを使用している場合にも、この操作を行う必要があります。Windows 認証モードで実行しているときに、sa アカウントを使用することはできませんが、後でインスタンスを混合モードに切り替えて、sa アカウントをアクティブなログインにすることができるからです。

MSDE 2000 のインスタンスを混合モードに切り替えたとき、sa アカウントのパスワードに、null、空白、単純な文字列、またはよく知られた語が設定されていると、認証されていないユーザーが MSDE インスタンスにアクセスできる場合があります。sa アカウントは削除できないため、承認されていないアクセスを制限するのに役立つ強力なパスワードを使用して、常に sa アカウントを保護する必要があります。sa アカウントを使用して MSDE 2000 のインスタンスへのアクセスを取得したユーザーは、その MSDE のインスタンスに対してフル コントロールを取得して、MSDE サービス アカウントが保持しているすべてのリソースにアクセスできる可能性があります。デフォルトでは、MSDE サービス アカウントは、組み込みのセキュリティ アカウントの LocalSystem です。

強力なパスワードの詳細については、次のマイクロソフト Web サイトを参照してください。
セキュリティ ルール
カスタム アプリケーション コードを使用して MSDE をインストールできます。アプリケーション コードでは、以下の 2 つの方法のいずれかを使用して sa パスワードを設定する必要があります。
  • ユーザーが混合モードで MSDE をセットアップし、sa アカウントを使用する予定の場合は、そのユーザーに、sa アカウントに強力なパスワードを指定するように要求します。その強力なパスワードを MSDE のセットアップに使用します。
  • sa アカウントを使用しない場合は、ランダムな文字列を生成して、その文字列を sa パスワードとして MSDE のセットアップに渡します。
セキュリティを強化するため、Setup.ini ファイルのパラメータまたはコマンド (.cmd) ファイルのコマンド プロンプト スイッチに、セットアップ時に割り当てられた sa パスワードをハード コードしないでください。また、MSI ファイルのプロパティに sa パスワードを含めたり、パスワードがテキスト形式で公開される可能性のある他の方法を使用して sa パスワードを含めたりしないでください。パスワードは、アプリケーションのセットアップ プログラムの実行時に動的に生成し、以下のいずれかの方法で MSDE のセットアップ プロセスに渡す必要があります。
  • アプリケーションのセットアップ コード から MSDE setup.exe を実行し、引数の SAPWD 値を指定します。

    たとえば、.NET Framework の Process クラスを使用してセットアップを実行し、ProcessStartInfo Arguments プロパティで SAPWD を指定します。または、Win32 の CreateProcess 関数を使用してセットアップを実行し、lpCommandLine パラメータで SAPWD を指定します。


    SAPWD コマンド ライン パラメータの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    810826 MSDE Service Pack 3 セットアップの新しいスイッチ
  • Windows インストーラ ベースのカスタム セットアップで、MSDE のマージ モジュールを使用する場合、カスタム操作を実行して強力なパスワードを渡します。

: Windows 認証モードを使用した場合、MSDE 2000 のセットアップ中に sa アカウントのパスワードを設定することはできません。この事例では、セットアップ完了後にパスワードを設定する必要があります。MSDE 2000 をインストールする際には、最新の Service Pack を使用することを強くお勧めします。

ランダムなパスワードを生成する際には、以下のような Crypto API 関数を使用することをお勧めします。
  • CryptAcquireContext
  • CryptGenRandom
  • CryptCreateHash
  • CryptHashData
ネイティブ コードを使用している場合は、CryptReleaseContext を使用します。

マネージ コードを使用している場合は、System.Security.Cryptography.RNGCryptoServiceProvider を使用してランダムなエンコードされた文字列を取得し、その後 System.Security.Cryptography.SHA1 クラスの ComputeHash メソッドを使用して、返された値をハッシュします。ランダムな文字列は 7 〜 20 文字の可変長である必要があります。

sa パスワードを忘れた場合、または sa パスワードが不明で、インスタンスを混合モードに変更した場合、以前のパスワードがわからなくても、sysadmin 固定サーバー ロールのメンバは sa パスワードをリセットできます。デフォルトでは、ローカル Administrators グループのメンバに追加されているすべてのユーザーが sysadmin ロールのメンバになります。sysadmin ロールのメンバは、MSDE のインスタンスを Windows 認証モードから混合モードに変更したり、その逆の操作を行うことができます。また、sa パスワードを変更することもできます。そのため、セキュリティ上の理由から、Administrators グループを sysadmin ロールから削除することもできます。

Administrators グループを sysadmin ロールから削除する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
263712 Windows NT Administrators でクラスタ化された SQL Server を管理できないようにする方法


sa アカウントのパスワードの変更の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
322336 MSDE システム管理者のパスワードを検証および変更する方法
: この資料で説明した、インストール中に sa パスワードを変更する方法は、MSDE の新規インストールのみに適用されます。

以下の手順では、サンプル ソース コードを使用してランダムな sa パスワードを生成して、MSDE のインストールを開始します。

Microsoft Visual C++ .NET を使用する場合

  1. [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[Microsoft Visual Studio .NET]、[Visual Studio .NET ツール] を順にポイントし、[Visual Studio .NET コマンド プロンプト] をクリックします。
  2. メモ帳を開きます。
  3. メモ帳に以下のコードを貼り付けます。
    #pragma once
    #define WIN32_LEAN_AND_MEAN // Exclude rarely-used stuff from Windows headers.
    #define UNICODE
    #include <stdio.h>
    #include <windows.h>
    #include <wincrypt.h>
    #ifdef UNICODE
    	#define STRNCPY	wcsncpy
    #else
    	#define STRNCPY strncpy
    #endif
    #include <atlenc.h>
    #define SAPWDSWITCH _T("SAPWD=")
    #define INSTANCENAME _T("INSTANCENAME=MSDETEST")
    BOOL GenPwd(TCHAR*, int);
    void DisplayError (DWORD);
    int main(void)
    {	
    	//Generate random length for password, between 7 and 20 characters. 
    	int nPwdLen = ((rand() % 20) + 7) + 1;	//Extra character for null
    	TCHAR* pPwd = new TCHAR[nPwdLen];
    	UINT uRes = 0;
    	DWORD dwRes = 0;
    	if (!GenPwd(pPwd, nPwdLen))
    	{
    		//Failed to generate a password, log the error and return failure.
    		dwRes = GetLastError();
    		DisplayError(dwRes);
    		return dwRes;
    	}
            STARTUPINFO si;
            PROCESS_INFORMATION pi;
            ZeroMemory( &si, sizeof(si) );
            si.cb = sizeof(si);
            ZeroMemory( &pi, sizeof(pi) );
    	//Allocate a string for the command line.
    	LPTSTR lpCommand = new TCHAR[nPwdLen + _tcslen(INSTANCENAME) + _tcslen(SAPWDSWITCH) + 2];
    	_stprintf(lpCommand, _T("%s %s%s"),INSTANCENAME,  SAPWDSWITCH, pPwd);
    // Specify the complete path of Setup.exe.
    	if (!CreateProcess(_T("setup.exe"), lpCommand, NULL, NULL, FALSE, 
    				0, NULL, NULL, &si, &pi))
    	{
    		dwRes = GetLastError();
    		DisplayError(dwRes);
    	}
    	return 0;
    }
    //Generates a Random string of length nLen - 1.  Buffer ppwd must allocate an extra character for null terminator.
    //Returns TRUE if successful, FALSE if fails.
    //Extended error information can be obtained from GetLastError().
    BOOL GenPwd(TCHAR* ppwd, int nLen)
    {
    	BOOL bResult = FALSE;	//assume failure
    	HCRYPTPROV hProv = NULL;
    	HCRYPTHASH hHash = NULL;
    	
    	//Storage for random string 4 times longer than the resulting password.
    	DWORD dwBufSize = nLen*4;
    	DWORD dwSize = Base64EncodeGetRequiredLength((int)dwBufSize);
    	LPSTR pEncodedString = NULL;
    	LPBYTE pRandomBuf = NULL;
    	TCHAR* pTRandomPwd = NULL;
    	
    	try
    	{
    		pEncodedString = new char[dwSize];
    		pRandomBuf = new BYTE[dwBufSize];
    		
    		// Try to acquire context to Crypto provider.
    		if (!CryptAcquireContext(&hProv, NULL, NULL, PROV_RSA_FULL, CRYPT_SILENT))
    		{
    			if (GetLastError() == NTE_BAD_KEYSET) // Test for non-existent keyset
    			{
    				if (!CryptAcquireContext(&hProv, NULL, NULL, PROV_RSA_FULL, CRYPT_SILENT | CRYPT_NEWKEYSET))
    					throw(GetLastError());
    			}
    			else
    				throw(GetLastError());
    		}
    		//Generate a random sequence.
    		if (!CryptGenRandom(hProv, dwBufSize, pRandomBuf))
    		{
    			throw(GetLastError());
    		}
    		//Get a handle to a hash, then hash the random stream.
    		if (!CryptCreateHash(hProv, CALG_SHA1, 0, 0, &hHash))
    		{
    			throw(GetLastError());
    		}
    		if (!CryptHashData(hHash, pRandomBuf, dwBufSize, NULL))
    		{
    			throw(GetLastError());
    		}
    	
    		// Destroy the hash object.
    		CryptDestroyHash(hHash);
    		//Release Provider context
    		CryptReleaseContext(hProv, 0);	
    	
    		//Encode the hash value to base64.
    		if (!Base64Encode(pRandomBuf, dwBufSize, pEncodedString, (int*) &dwSize, 0))
    		{
    			throw(GetLastError());
    		}
    	
    		//Determine how many tchars you need to convert string to base64.
    		int nTchars = (int) strlen(pEncodedString);
    	
    		pTRandomPwd = new TCHAR[nTchars];
    	
    #ifdef UNICODE
    		if (MultiByteToWideChar(CP_UTF8, 0, pEncodedString, nTchars, pTRandomPwd, nTchars) == 0)
    		{
    			throw(GetLastError());
    		}
    #else
    		STRNCPY( pTRandomPwd, pEncodedString, nLen);
    #endif
    		//Copy the first x characters of random string to output buffer.
    		STRNCPY(ppwd, pTRandomPwd, nLen);
    		//Add null terminator to ppwd string.
    		ppwd[nLen] = _T('\0');
    		bResult = TRUE;
    	}
    	catch (DWORD)
    	{
    		//Set return value to false.
    		bResult = FALSE;
    	}
    	catch (...)
    	{
    		//Unknown error, throw.
    		throw;
    	}
    	//Clean up memory.
    	if (pRandomBuf)
    	{
    		delete pRandomBuf;
    		pRandomBuf = NULL;
    	}
    	if (pEncodedString)
    	{
    		delete pEncodedString;
    		pEncodedString = NULL;
    	}
    	if (pTRandomPwd)
    	{
    		delete pTRandomPwd;
    		pTRandomPwd = NULL;
    	}
    	return bResult;
    }
    void DisplayError (DWORD dwError)
    {
    	//Resolve the error code to a message string.
    	LPCTSTR MessageBuffer;
    	DWORD dwBufferLength = FormatMessage( FORMAT_MESSAGE_ALLOCATE_BUFFER | FORMAT_MESSAGE_IGNORE_INSERTS | FORMAT_MESSAGE_FROM_SYSTEM,
    		NULL, // module to get message from (NULL == system)
    		dwError,
    		MAKELANGID(LANG_NEUTRAL, SUBLANG_DEFAULT), // Default language.
    		(LPTSTR) &MessageBuffer,
    		0,
    		NULL
    		);
    	DWORD dwBytesWritten;
    	// Output message string on stderr.
    	WriteFile(
    		GetStdHandle(STD_ERROR_HANDLE),
    		MessageBuffer,
    		dwBufferLength,
    		&dwBytesWritten,
    		NULL
    		);
    }
    
  4. ファイルに StrongSA.cpp という名前を付けて保存します。
  5. コマンド プロンプトで次のコマンドを入力し、コードをコンパイルします。

    cl strongSA.cpp
  6. コマンド プロンプトで次のコマンドを入力し、コードを実行します。

    strongSA.exe

Microsoft C#.NET を使用する場合

  1. Visual Studio .NET で、新しい Visual C# コンソール アプリケーション プロジェクトを作成します。
  2. Main 関数を含むクラス ファイルに、以下のコードを貼り付けます。

    ファイル内の既存のすべてのコードが、以下のコードに置き換えられたことを確認します。
    using System;
    using System.Diagnostics;
    using System.IO;
    using System.Resources;
    using Microsoft.Win32;
    using System.Security.Cryptography;
    class InstMSDE
    {
    	static void Main(string[] args)
    	{
    		try
    		{   
    			
    			// Generate random password.
    			RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider();
    			byte[] encodedSeed = new byte[512];
    			rng.GetBytes(encodedSeed);
    			SHA1 sha1 = SHA1.Create();
    			byte[] hashval = sha1.ComputeHash(encodedSeed);
    			String base64HashVal = Convert.ToBase64String(hashval);
    			// Trim "=" off the end.
    			base64HashVal = base64HashVal.TrimEnd('=');
    				
    			string msdeINI = "setup.ini";
    			// You have to set startInfo parameters values as appropriate for your installation.
    			ProcessStartInfo startInfo = new ProcessStartInfo();
    			// Setup.exe for MSDE sp3.
    			startInfo.FileName = "setup.exe"; 
    			// Pass the SA password to the setup program.
    			startInfo.Arguments = "/settings \"" + msdeINI + "\"" + " SAPWD=" + base64HashVal + " /qr+ "; 
    			startInfo.WindowStyle = ProcessWindowStyle.Normal;
    			// Substitute the workdir with complete path of installation folder. 
    			startInfo.WorkingDirectory = "c:\\Workingdir";
    				
    			Process.Start(startInfo);
    			
    			
    		}
    		catch (Exception e)
    		{
    			Console.WriteLine("Unable to execute program due to the following error: " + e.Message);
    			return;
    		}  
    	}
    }
    
  3. F5 キーを押してコンパイルし、プログラムを実行します。

関連情報

カスタム アプリケーションのセットアップに MSDE を埋め込む方法の詳細については、次のマイクロソフト Web サイトを参照してください。
アプリケーションへの MSDE の組み込み

プロパティ

文書番号: 814463 - 最終更新日: 2005年10月13日 - リビジョン: 1.3
この資料は以下の製品について記述したものです。
  • Microsoft SQL Server 2000 Desktop Engine (Windows)
キーワード:?
kbsetup kbsecurity kblogin kbauthentication kbsample kbguidelines kbcode kbinfo KB814463
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"
サポート期間が終了した「サポート技術情報」資料に関する免責事項
この資料は、マイクロソフトでサポートされていない製品について記述したものです。そのため、この資料は現状ベースで提供されており、今後更新されることはありません。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com