Wie Sie unerwünschten Zugriff auf SQL Server 2005 durch den Administrator Betriebssystem schwieriger machen

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 932881 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

EINFÜHRUNG

Microsoft SQL Server 2005-Setupprogramm erstellt eine lokale Windows-Gruppe für jeden Dienst, die Sie installieren. Die Anwendung SQL Server 2005-Setup fügt das Dienstkonto für jeden Dienst in der jeweiligen Gruppe. Für eine SQL Server Failover Cluster-Installation werden Windows-Domänengruppen in der gleichen Weise verwendet. Diese Gruppen der Domäne müssen von einem Domänenadministrator vor dem Ausführen des SQL Server 2005-Setupprogramm erstellt werden. Alle Windows NT-Rechte und Berechtigungen, die für einen bestimmten Dienst erforderlich sind werden von System Access Control List (SACL) jedes Windows-Gruppe hinzugefügt. Der Domänenadministrator gewährt keinen Berechtigungen direkt für das Dienstkonto.

Darüber hinaus werden Windows-Gruppen, die Sie für SQL Server 2005, SQL Server-Agent und die Gruppe VORDEFINIERT\Administratoren erstellt SQL Server 2005 Benutzernamen gewährt, die in der festen Serverrolle SYSADMIN für SQL Server 2005 bereitgestellt werden. Diese Konfiguration ermöglicht jedes Konto, das Mitglied dieser Gruppen ist, um mithilfe einer Windows NT authentifizierten Verbindung zu SQL Server 2005 anmelden. Da der Benutzer eine Gruppenmitgliedschaft in der festen Serverrolle SYSADMIN für SQL Server besitzt, wird der Benutzer in SQL Server 2005 als SQL Server 2005 Systemadministrator angemeldet. (Der Benutzer ist angemeldet mit das sa-Konto). Anschließend hat der Benutzer auf SQL Server 2005-Installation und auf seine Daten uneingeschränkten Zugriff. Darüber hinaus Konto kennt das Kennwort für die Instanz von SQL Server 2005 oder für das SQLServerAgent-Dienstkonto auf den Dienst verwenden kann jeder Benutzer zur Anmeldung auf dem Computer. Anschließend kann der Benutzer eine Windows NT authentifizierten Verbindung zu SQL Server 2005 als SQL Server-Administrator vornehmen.

Windows-Gruppen, die Sie für SQL Server 2005 Reporting Services (SSRS) und für die Volltext-Suchdienst erstellt haben, werden ebenfalls SQL Server-Benutzernamen erteilt. Reporting Services und der Volltext-Suchdienst sind in der festen Serverrolle SYSADMIN jedoch nicht bereitgestellt.

Einige SQL Server 2005-Administratoren soll die funktionalen Rollen des Datenbankadministrators und des Betriebssystems Administrators streng getrennt werden. Diese Administratoren möchten SQL Server 2005 gegen unerwünschten Zugriff vom Administrator Betriebssystem zu schützen.

Weitere Informationen

Wie Sie unerwünschten Zugriff auf SQL Server 2005 durch den Administrator Betriebssystem schwieriger machen

Um unerwünschten Zugriff auf SQL Server 2005 durch den Administrator Betriebssystem erschweren, müssen Sie die Anmeldung Berechtigungen entfernen, die der Gruppe VORDEFINIERT\Administratoren erteilt wurden. Anschließend müssen Sie direkt zu den Dienstkonten für SQL Server 2005 und SQL Server-Agent gewähren. Als Nächstes müssen Sie die Benutzernamen in der festen Serverrolle SYSADMIN bereitstellen. Schließlich müssen Sie die Benutzernamen löschen, die Ihre jeweiligen Windows-Gruppen gewährt wurden. Gehen Sie hierzu folgendermaßen vor:
  1. Stellen Sie sicher, dass Sie ein Konto verfügen, die ein Mitglied der festen Serverrolle SYSADMIN ist. Dieses Konto ist nicht die SQL Server 2005 Anmeldung Berechtigung erteilt, nur durch ein Mitglied der Gruppe VORDEFINIERT\Administratoren.
  2. Entfernen Sie die Anmeldung Berechtigungen, die die Gruppe VORDEFINIERT\Administratoren erteilt wurden. Gehen Sie hierzu folgendermaßen vor:
    1. Melden Sie sich bei SQL Server 2005 mit einem Benutzerkonto mit die ALTER ANY LOGIN-Berechtigung.
    2. Erweitern Sie Sicherheit , erweitern Sie Benutzernamen , klicken Sie mit der rechten Maustaste auf VORDEFINIERT\Administratoren , und klicken Sie dann auf Löschen .
    3. Klicken Sie im Dialogfeld Objekt löschen auf OK .
    Hinweis: Jedes Konto, das nur auf Mitgliedschaft in dieser Gruppe zur Anmeldung auf SQL Server 2005 basiert sind werden nicht mehr auf SQL Server 2005 zugreifen können, nach dem Löschen der Benutzername, der der Gruppe VORDEFINIERT\Administratoren gewährt wurde.

    Finden Sie Informationen über das Dienstkonto (Microsoft Cluster Service, MSCS) im Abschnitt "Microsoft-Clusterdienst (MSCS) Service-Konto".
  3. Verwenden Sie ein Konto, die die ALTER ANY LOGIN Berechtigung hat, SQL Server 2005-Anmeldungen direkt an die Dienstkonten explizit zu erteilen, die von SQL Server 2005 und SQL Server-Agent verwendet werden. Führen Sie hierzu die folgende SQL-Anweisung.
    CREATE LOGIN [<Domain Name>\<SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    CREATE LOGIN [<Domain Name >\<SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    
  4. Verwenden Sie ein Konto, das ein Mitglied der SYSADMIN ist Serverrolle festen, die Anmeldungen bereitzustellen, die Sie in Schritt 2 in der SYSADMIN hinzugefügt festen Serverrolle.
    EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Service Account> ', @rolename = N'sysadmin'
    EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Agent Service Account> ', @rolename = N'sysadmin'
    
  5. Ein über Konto mit die ALTER ANY LOGIN-Berechtigung für die Benutzernamen löschen, die zur Gruppe SQL Server 2005 und der SQL Server-Agent-Windows-Gruppe erteilt wurden.
    DROP LOGIN [<Computer Name>\<SQLServer2005SQLServerUser>$<Computer Name>$MSSQLSERVER]
    DROP LOGIN [<Computer Name>\<SQLServer2005AgentUser>$<Computer Name>$MSSQLSERVER]
    
Selbst nachdem Sie diese Schritte ausgeführt haben, muss das Kennwort für das SQL Server 2005-Dienstkonto und für das SQLServerAgent-Dienstkonto vom Betriebssystem Administrator weitergegeben werden. Wenn das MSCS-Dienstkonto in der festen Serverrolle SYSADMIN bereitgestellt wurde, muss das MSCS-Dienstkontokennwort auch vom Betriebssystem Administrator weitergegeben werden. Wenn der Betriebssystem-Systemadministrator das Kennwort für das Dienstkonto von SQL Server 2005 oder für das SQLServerAgent-Dienstkonto kennt, können Betriebssysteme vom Systemadministrator des Dienstkontos Anmelden an einem Computer. Nachdem die Betriebssystem-Administrator auf dem Computer angemeldet, kann der Betriebssystem-Systemadministrator mit der Instanz von SQL Server 2005 als SQL Server-Administrator verbinden.

Damit den Betriebssystem-Systemadministrator erlernen das Kennwort für die Dienstkonten, die von SQL Server 2005 und SQL Server-Agent verwendet werden, muss die SQL Server-Systemadministrator ein neues Kennwort für das Dienstkonto festlegen können. In den meisten Fällen ist der SQL Server 2005-Systemadministrator nicht Administrator Betriebssystem. Daher muss ein spezieller-Dienstprogramm zum Bereitstellen dieser Funktion geschrieben werden. Sie können z. B. einen vertrauenswürdigen Dienst erstellen, mit denen der Systemadministrator für SQL Server 2005 die Kennwörter für die Dienstkonten ändern, die von SQL Server 2005 verwendet werden können. Microsoft bietet diesen Dienst derzeit nicht.

Dienstkonto (Microsoft Cluster Service, MSCS)

In einer SQL Server 2005 Failover Cluster-Installation stützt sich das MSCS-Dienstkonto auf Mitglieder der Gruppe BUILTIN\Administrators an SQL Server 2005 zum Ausführen der Lebenszyklusprüfung anmelden. Wenn Sie die Gruppe VORDEFINIERT\Administratoren aus einem Failovercluster entfernen, müssen Sie explizit die MSCS-Dienst Konto Berechtigungen an die SQL Server 2005-Failovercluster anmelden gewähren. Führen Sie hierzu die folgende SQL-Anweisung in der Instanz von SQL Server 2005.
CREATE LOGIN [<Domain Name>\<MSCS Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
SQL Server 2005 Service Pack 2 neue Diagnosefunktionen für SQL Server 2005 Failovercluster hinzugefügt. Die Diagnose erfassen automatisch den Zustand der SQL Server 2005-Clusterressource, bevor der Cluster einen Failover ausführt. SQL Server 2005 Ressource dynamic Link Bibliothek (DLL) macht Datenerfassung diese Diagnose einfacher, wie folgt:
  • Die SQL Server 2005-Ressource startet eine Instanz des Dienstprogramms "Sqlcmd.exe" unter dem Sicherheitskontext des MSCS-Dienstkontos. Dann führt die SQL Server 2005-Ressource eine SQL-Skript über eine dedizierte Administratorverbindung (DAC), die verschiedene dynamische Verwaltungsansichten (DMV)-Beispiele.
  • Die SQL Server 2005-Ressource erfasst eine Benutzer-Speicherabbilddatei des SQL Server 2005-Prozesses, bevor der Cluster einen Failover ausführt.
Da eine dedizierte Administratorverbindung zum Sammeln von einigen Diagnose Daten verwendet wird, muss das MSCS-Dienstkonto in der festen Serverrolle SYSADMIN bereitgestellt werden. Wenn die Sicherheitsmaßnahmen der Organisation bedeuten, dass das MSCS-Dienstkonto in der festen Serverrolle SYSADMIN bereitgestellt werden kann nicht, kann das MSCS-Dienstkonto ein SQL Server-Benutzernamen, der nicht in der SYSADMIN bereitgestellt wird festen Serverrolle erteilt werden. In diesem Szenario wird die Diagnose, die normalerweise durch das Sqlcmd.exe-Dienstprogramm erfasst werden fehlschlagen, weil das Sqlcmd.exe-Dienstprogramm auf SQL Server 2005 nicht anmelden kann. Die SQL Server 2005-Ressource sollte DLL möglicherweise sammeln eine Benutzer-Speicherabbilddatei unabhängig davon, ob das Dienstkonto der SQL Server 2005-Ressource-DLL, in der SYSADMIN bereitgestellt wird Serverrolle festen.

Wenn Sie möchten, sich zu SQL Server 2005 mit Anmelden ein Konto, das ein Mitglied der festen Serverrolle SYSADMIN ist. Führen Sie dann die folgende SQL-Anweisung zum Hinzufügen der MSCS-Service-Kontos zu der festen Serverrolle SYSADMIN.
EXEC master.sp_addsrvrolemember @loginame = N'<Domain Name>\<MSCS Service Account> ', @rolename = N'sysadmin'

Wie Sie die Dienstkonten ändern

Obwohl die vorherigen Schritte für ein Betriebssystem Systemadministrator Herstellen einer Verbindung mit SQL Server 2005 erschweren können, vereinfachen die vorherigen Schritte komplizierter so ändern Sie die Dienstkonten für SQL Server 2005 und für den SQL Server-Agent. Gehen Sie folgendermaßen vor um die Dienstkonten für SQL Server 2005 und für SQL Server-Agent zu ändern:
  1. Fügen Sie die neue Dienstkonto oder Dienstkonten den Windows-Gruppe oder Gruppen, die Sie für SQL Server und SQL Server-Agent erstellt haben.
  2. Verwenden Sie ein Konto mit die ALTER ANY LOGIN Berechtigung zum Erstellen eines SQL Server 2005-Benutzernamens für die neue Dienstkonten. Führen Sie dazu die folgende SQL-Anweisung aus dem Konto mit die Berechtigung ALTER ANY LOGIN.
    CREATE LOGIN [<Domain Name>\<New SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    CREATE LOGIN [<Domain Name>\<New SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    
  3. Verwenden Sie ein Konto, die in der festen Serverrolle SYSADMIN zur Ausführung der folgenden SQL-Anweisung bereitgestellt wird.
    EXEC master..sp_addsrvrolemember @loginame = N? <Domain Name>\<New SQL Server Service Account> ', @rolename = N'sysadmin'
    EXEC master..sp_addsrvrolemember @loginame = N? <Domain Name>\<New SQL Server Agent Service Account> ', @rolename = N'sysadmin'
    
    Hinweis: diese Anweisung das Dienstkonto von SQL Server 2005 und der SQL Server-Agent-Dienstkonto der festen Serverrolle SYSADMIN hinzugefügt.
  4. Ändern Sie das Dienstkonto für den entsprechenden Dienst mithilfe von SQL Server-Konfigurations-Manager. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie in SQL Server-Konfiguration-Manager auf SQL Server 2005 Services .
    2. Klicken Sie mit der rechten Maustaste auf den Dienst, den Sie ändern möchten, und klicken Sie dann auf Eigenschaften .
    3. Klicken Sie auf die Registerkarte Anmelden , und geben Sie die Benutzerkontoinformationen, die, dass der Dienst verwendet werden soll.
    4. Klicken Sie auf OK , wenn Sie die Kontoinformationen eingegeben haben.
    Hinweis: Wenn Sie das Dienstkonto ändern, werden Sie von SQL Server-Konfigurationsmanager aufgefordert, den Dienst neu zu starten.
  5. Verwenden Sie ein Konto, die die ALTER ANY LOGIN Berechtigung hat, die Benutzernamen löschen, die durch das Dienstkonto von SQL Server 2005 und der SQL Server-Agent-Dienstkonto verwendet wurden. Führen Sie hierzu die folgende SQL-Anweisung.
    DROP LOGIN [<Domain Name>\<Old SQL Server Service Account>]
    DROP LOGIN [<Domain Name>\<Old SQL Server Agent Service Account>]
    
Hinweis: Sie müssen keine neuen Windows NT-Rechte oder Berechtigungen, um den neuen Dienstkonten gewähren, da Sie Ihre jeweiligen Windows-Gruppen in Schritt 1 die neue Dienstkonten hinzugefügt.

Empfehlungen zum Überwachen von Prozessen

Wenn Sie SQL Server gegen unerwünschte Zugriffe von Betriebssystem-Administratoren zu schützen möchten, sollten Sie auch die folgenden Prozesse überwachen:
  • Überwachen Sie starten und Beenden des Windows-basierten Servers.
  • Audit startet und beendet SQL Server 2005-Dienste und der SQLServerAgent-Dienste.
  • Überwachen Sie den Zugriff auf die Verzeichnisse in der SQL, die Server Datenbankdateien, Datendateien, Protokolldateien und Datenbank-Sicherungsdateien gespeichert werden.
  • Überwachen Sie Änderungen an das Dienstkonto von SQL Server 2005 und SQL Server-Agent-Dienstkonto.
  • Überwachen Sie Netzwerk-Benutzernamen und Computer Benutzernamen, durch das SQL Server 2005-Dienstkonto, vom SQLServerAgent-Dienstkonto oder durch das MSCS-Dienstkonto.

Das Konto NT AUTHORITY\SYSTEM

Das NT-AUTORITÄT\SYSTEM Konto wird auch eine SQL Server-Anmeldung gewährt. Das Konto NT AUTHORITY\SYSTEM ist in der festen Serverrolle SYSADMIN bereitgestellt. Löschen Sie dieses Konto oder entfernen Sie ihn aus der festen Serverrolle SYSADMIN. Das NTAUTHORITY\SYSTEM-Konto wird von Microsoft Update und Microsoft SMS verwendet, um Servicepacks und Hotfixes auf einem SQL Server 2005-Installation anzuwenden. Das NTAUTHORITY\SYSTEM-Konto wird auch von der SQL Writer-Dienst verwendet.

Auch wenn SQL Server 2005 im Einzelbenutzermodus gestartet wird, kann jeder Benutzer mit Mitgliedschaft in der Gruppe VORDEFINIERT\Administratoren auf SQL Server 2005 als SQL Server-Administrator herstellen. Der Benutzer kann unabhängig davon, ob die Gruppe VORDEFINIERT\Administratoren eine Serveranmeldung erteilt wurde, die in der festen Serverrolle SYSADMIN bereitgestellt wird eine Verbindung herstellen. Es handelt sich hierbei um ein beabsichtigtes Verhalten. Dieses Verhalten soll für Daten Wiederherstellungsszenarien verwendet werden.

Weitere Informationen zu bewährten Sicherheitsmethoden für SQL Server 2005 finden Sie "Security Considerations für ein SQL Server-Installation" in der SQL Server 2005-Onlinedokumentation.

Informationsquellen

Weitere Informationen zu Sicherheitsüberlegungen für SQL Server-Installation der folgenden Microsoft TechNet-Website:
http://technet.microsoft.com/en-us/library/ms144228.aspx

Eigenschaften

Artikel-ID: 932881 - Geändert am: Freitag, 13. Februar 2009 - Version: 3.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft SQL Server 2005 Enterprise Edition
  • Microsoft SQL Server 2005 Enterprise X64 Edition
  • Microsoft SQL Server 2005 Enterprise Edition for Itanium Based Systems
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Standard X64 Edition
Keywords: 
kbmt kbpubtypekc kbcode kbinfo kbhowto KB932881 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 932881
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com