Jak provést nežádoucí přístup k serveru SQL Server 2005 podle operační správce systému obtížnější

Překlady článku Překlady článku
ID článku: 932881 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Úvod

Instalační program serveru Microsoft SQL Server 2005 vytvoří místní skupinu systému Windows pro každou instalovanou službu. Instalační program serveru SQL Server 2005 přidá účet služby pro každou službu do její příslušné skupiny. Instalace serveru SQL převzetí služeb při selhání clusteru skupin domény systému používán stejným způsobem. Tyto skupiny domény musí být vytvořeny správcem domény před spuštěním programu nastavení SQL Server 2005. WINDOWSNT práva a oprávnění, které jsou vyžadovány konkrétní službu přidán podle seznamu řízení přístupu systému (SACL) do každé skupiny Windows. Správce domény neuděluje oprávnění k účtu služby.

Windows skupiny vytvořené pro SQL Server 2005, SQL Server Agent a skupiny BUILTIN\Administrators navíc uděleno přihlášení SQL Server 2005, která jsou v roli dlouhodobého serveru SQL Server 2005 SYSADMIN zajištěna podpora Tato konfigurace usnadňuje účtu, který je členem těchto skupin přihlásit k serveru SQL Server 2005 pomocí připojení WINDOWSNT ověřen. Protože členství ve skupině má uživatel v roli dlouhodobého serveru SQL serveru SYSADMIN, uživatel je přihlášen SQL Server 2005 jako správce systémy SQL Server 2005. (Uživatel je přihlášen pomocí účtu sa). Uživatel potom má neomezený přístup instalace SQL Server 2005 a jeho data. Uživatel, kdo zná heslo instance SQL Server 2005 nebo SQL Server Agent účet služby můžete použít službu účtu také přihlásit k počítači. Uživatel pak proveďte připojení ověřen WINDOWSNT SQL Server 2005 jako správce serveru SQL.

Windows skupiny vytvořené pro SQL Server 2005 Reporting Services (SSRS) a službu fulltextového vyhledávání jsou také uděleno přihlášení serveru SQL. Však Reporting Services a služba fulltextového vyhledávání není v zajištěna podpora role dlouhodobého serveru SYSADMIN.

Někteří správci SQL Server 2005 chcete funkční role správce databáze a operační správce systému výhradně oddělené. Tyto správci chcete SQL Server 2005 chránit před nežádoucím přístupem podle operační správce systému.

Další informace

Jak provést nežádoucí přístup k serveru SQL Server 2005 podle operační správce systému obtížnější

Chcete-li nežádoucí přístup SQL Server 2005 podle operační správce systému obtížnější, musíte odebrat přihlašovací oprávnění, která byla udělena skupiny BUILTIN\Administrators. Potom je třeba udělit přihlášení k účtům služby SQL Server 2005 a SQL Server Agent. Dále musí vytvořit přihlášení v roli SYSADMIN dlouhodobého serveru. Nakonec je nutné odstranit přihlášení, která byla udělena jejich příslušných skupin systému Windows. Postupujte takto:
  1. Zkontrolujte, zda máte účet, který je členem role SYSADMIN dlouhodobého serveru. Tento účet není uděleno oprávnění přihlášení SQL Server 2005 pouze podle právě členem skupiny BUILTIN\Administrators.
  2. Odebrat přihlašovací oprávnění, která byla udělena skupiny BUILTIN\Administrators. Postupujte takto:
    1. Přihlaste se k serveru SQL Server 2005 pomocí uživatelského účtu, který má oprávnění ALTER ANY LOGIN.
    2. Rozbalte zabezpečení, rozbalte přihlášení, klepněte pravým tlačítkem myši BUILTIN\Administrators a klepněte na příkaz Odstranit.
    3. V dialogovém okně Odstranit objekt klepněte na tlačítko OK.
    Poznámka: Po odstranění přihlášení, která byla udělena skupiny BUILTIN\Administrators již účet, který je založen na členství v této skupině přihlásit se k serveru SQL Server 2005 nebude moci přístup SQL Server 2005.

    Informace o účtu služby Microsoft Cluster Service (MSCS) naleznete v části "Účet služby Microsoft Cluster služby (MSCS)".
  3. Použít účet, který má oprávnění ALTER ANY LOGIN explicitně udělit SQL Server 2005 přihlášení k účty služeb používá SQL Server 2005 a SQL Server Agent. To provést, spusťte následující příkaz SQL.
    CREATE LOGIN [<Domain Name>\<SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    CREATE LOGIN [<Domain Name >\<SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    
  4. Použití účtu, který je členem SYSADMIN pevné role serveru k přihlášení, která jste přidali v kroku 2 SYSADMIN vytvořit pevné role serveru.
    EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Service Account> ', @rolename = N'sysadmin'
    EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Agent Service Account> ', @rolename = N'sysadmin'
    
  5. Použít účet, který má oprávnění ALTER ANY LOGIN odstranit přihlášení byly uděleno skupině SQL Server 2005 a SQL Server Agent Windows skupiny.
    DROP LOGIN [<Computer Name>\<SQLServer2005SQLServerUser>$<Computer Name>$MSSQLSERVER]
    DROP LOGIN [<Computer Name>\<SQLServer2005AgentUser>$<Computer Name>$MSSQLSERVER]
    
I po provedení těchto kroků heslo účtu služby SQL Server 2005 a účet služby SQL Server Agent musí být uchovávány tajný z operační správce systému. Pokud v pevné role serveru SYSADMIN má byla zajištěna podpora účet služby MSCS, heslo účtu služby MSCS musí také být zachovány tajný z operační správce systému. Operační správce systému zná heslo účtu služby SQL Server 2005 nebo SQL Server Agent účet služby, můžete operační správce systému použít účet služby přihlášení k počítači. Po operační správce systému přihlásí k počítači, může operační správce systému připojit k instanci serveru SQL Server 2005 jako správce serveru SQL.

Zachovat operační správce systému z učení hesla účtů služeb, které používá SQL Server 2005 a SQL Server Agent, musí být schopen nastavit nové heslo pro účet služby správce systému SQL Server. Ve většině případů správce systému SQL Server 2005 není operační správce systému. Speciální nástroj proto musí být zapsán do poskytují tuto funkci. Například mohl vytvořit důvěryhodný služby používající správce systému SQL Server 2005 měnit hesla účtů služeb, které používá SQL Server 2005. Microsoft aktuálně nenabízí této služby.

Účet služby Microsoft Cluster Service (MSCS)

Instalace SQL Server 2005 převzetí služeb při selhání clusteru v účtu služby MSCS spoléhá na členství ve skupině BUILTIN\Administrators přihlásit k serveru SQL Server 2005 spustit kontrolu IsAlive. Odebrání skupiny BUILTIN\Administrators z clusteru převzetí služeb při selhání je nutné explicitně udělit oprávnění účtu služby MSCS přihlásit k převzetí služeb při selhání clusteru SQL Server 2005. To provedete spustit následující příkaz SQL v instanci serveru SQL Server 2005.
CREATE LOGIN [<Domain Name>\<MSCS Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
SQL Server 2005 Service Pack 2 přidány nové možnosti diagnostiky pro SQL Server 2005 převzetí služeb při selhání clustery. Diagnostika automaticky zachytit stav prostředku clusteru SQL Server 2005 před selhání clusteru. SQL Server 2005 prostředek dynamické propojení knihovny (DLL) provede tento diagnostických dat snadnější, shromažďování způsobem:
  • SQL Server 2005 prostředku spustí instanci nástroj Sqlcmd.exe kontextu zabezpečení účtu služby MSCS. Potom zdroj SQL Server 2005 spustí skript SQL přes vyhrazené Správce připojení (DAC), které ukázky různých zobrazeních dynamické správy (DMV).
  • SQL Server 2005 prostředku digitalizuje uživatelského souboru výpisu stavu procesu SQL Server 2005 před selhání clusteru.
Protože připojení vyhrazený správce používá některé diagnostické data shromažďovat, účet služby MSCS musí být v zajištěna podpora role dlouhodobého serveru SYSADMIN. Pokud postupy zabezpečení organizaci znamenají, že účet služby MSCS nemůže být v zajištěna podpora pevné role serveru SYSADMIN, účet služby MSCS mohou být udělena přihlášení serveru SQL, které není v zajištěna podpora SYSADMIN pevné role serveru. V tomto scénáři Diagnostika obvykle zachycené nástrojem Sqlcmd.exe nezdaří, protože nástroj Sqlcmd.exe se nelze přihlásit k serveru SQL Server 2005. SQL Server 2005 prostředku DLL by mělo být možné shromažďovat uživatelského souboru výpisu stavu bez ohledu na to, zda účet služby SQL Server 2005 prostředku v SYSADMIN je zajištěna podpora DLL pevné role serveru.

Pokud chcete, přihlaste se k serveru SQL Server 2005 pomocí účtu, který je členem pevné role serveru SYSADMIN. Potom spustit následující příkaz SQL přidat účet služby MSCS role dlouhodobého serveru SYSADMIN.
EXEC master.sp_addsrvrolemember @loginame = N'<Domain Name>\<MSCS Service Account> ', @rolename = N'sysadmin'

Jak změnit účty služeb

Ačkoli předchozí kroky mohou ztížit pro operační správce systému připojit SQL Server 2005, předchozí kroky umožňují více těžkopádná změnit účty služby SQL Server 2005 a SQL Server Agent. Změnit účty služby SQL Server 2005 a SQL Server Agent, postupujte takto:
  1. Přidat nový účet služby nebo účty služeb Windows skupiny nebo skupin, které jste vytvořili pro SQL Server a SQL Server Agent.
  2. Pomocí účtu, který má oprávnění ALTER ANY LOGIN vytvořit SQL Server 2005 přihlášení pro nové účty služeb. To provedete spustit následující příkaz SQL z účtu, který má oprávnění ALTER ANY LOGIN.
    CREATE LOGIN [<Domain Name>\<New SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    CREATE LOGIN [<Domain Name>\<New SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    
  3. Použít účet, který je v roli SYSADMIN dlouhodobého serveru spustit následující příkaz SQL zajištěna podpora.
    EXEC master..sp_addsrvrolemember @loginame = N’ <Domain Name>\<New SQL Server Service Account> ', @rolename = N'sysadmin'
    EXEC master..sp_addsrvrolemember @loginame = N’ <Domain Name>\<New SQL Server Agent Service Account> ', @rolename = N'sysadmin'
    
    Poznámka: tento příkaz přidá účet služby SQL Server 2005 a účet služby SQL Server Agent role dlouhodobého serveru SYSADMIN.
  4. Změna účtu služby pro odpovídající službu pomocí SQL Server Configuration Manager. Postupujte takto:
    1. V SQL Server Configuration Manager klepněte na položku SQL Server 2005 Services.
    2. Klepněte pravým tlačítkem myši na službu, kterou chcete upravit a potom klepněte na příkaz Vlastnosti.
    3. Klepněte Na kartu přihlášení a potom zadejte informace o uživatelském účtu má služba používat.
    4. Po dokončení zadávání informací o účtu, klepněte na tlačítko OK.
    Poznámka: Při změně účtu služby SQL Server Configuration Manager výzvu k restartování služby.
  5. Použít účet, který má oprávnění ALTER ANY LOGIN odstranit přihlášení byly používaný účet služby SQL Server 2005 a účet služby SQL Server Agent. Chcete-li to provést, spustit následující příkaz SQL.
    DROP LOGIN [<Domain Name>\<Old SQL Server Service Account>]
    DROP LOGIN [<Domain Name>\<Old SQL Server Agent Service Account>]
    
Poznámka: Nemáte udělit nová WINDOWSNT práva nebo oprávnění nové účty služeb, protože přidány nové účty služeb jejich příslušných skupin Windows v kroku 1.

Doporučení auditovat procesy

Pokud chcete chránit před nežádoucím přístupem správci operačního systému SQL Server by měl také auditovat následující procesy:
  • Auditování spuštění a zastavení serveru se systémem Windows.
  • Auditování spouští a zastavuje služby SQL Server 2005 a SQL Server Agent služby.
  • Auditovat přístup k adresářům, v kterém SQL Server jsou uloženy soubory databáze, datové soubory, soubory protokolu a záložních souborů databáze.
  • Auditovat změny účtu služby SQL Server 2005 a účet služby SQL Server Agent.
  • Účet služby SQL Server 2005, SQL Server Agent účet služby nebo účet služby MSCS auditu přihlášení k síti a přihlášení k počítači.

Účet NT AUTHORITY\SYSTEM

Účet NT AUTHORITY\SYSTEM je také uděleno přihlášení serveru SQL. V roli SYSADMIN dlouhodobého serveru zajištěna podpora účet NT AUTHORITY\SYSTEM. Neodstraňujte tento účet ani odebrat z role dlouhodobého serveru SYSADMIN. NTAUTHORITY\SYSTEM účet se používá Microsoft Update a Microsoft SMS použít aktualizace service Pack a opravy hotfix instalace SQL Server 2005. Účet NTAUTHORITY\SYSTEM se také používá službou Zapisovatel SQL.

Také Pokud SQL Server 2005 je spuštěna v režimu jednoho uživatele, uživatele, který má členství ve skupině BUILTIN\Administrators můžete připojit k serveru SQL Server 2005 jako správce serveru SQL. Uživatel může připojit bez ohledu na to, zda skupiny BUILTIN\Administrators bylo uděleno přihlášení serveru, které je zajištěna podpora v pevné role serveru SYSADMIN. Toto chování je záměrné. Toto chování je určena pro scénáře zotavení data.

Další informace o doporučených postupech zabezpečení pro SQL Server 2005 naleznete v tématu "Zabezpečení zhodnocení za účelem SQL Server instalace" SQL Server 2005 Books Online.

Odkazy

Další informace o otázkách zabezpečení pro instalaci serveru SQL naleznete na webu Microsoft TechNet:
http://technet.microsoft.com/en-us/library/ms144228.aspx

Vlastnosti

ID článku: 932881 - Poslední aktualizace: 13. února 2009 - Revize: 3.1
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft SQL Server 2005 Enterprise Edition
  • Microsoft SQL Server 2005 Enterprise X64 Edition
  • Microsoft SQL Server 2005 Enterprise Edition for Itanium Based Systems
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Standard X64 Edition
Klíčová slova: 
kbmt kbpubtypekc kbcode kbinfo kbhowto KB932881 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:932881

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com