Cómo hacer más difícil acceso no deseado en SQL Server 2005 por un administrador del sistema operativo

Seleccione idioma Seleccione idioma
Id. de artículo: 932881 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

El programa de instalación de Microsoft SQL Server 2005 crea un grupo de Windows local para cada servicio que instalar. El programa de instalación de SQL Server 2005 agrega la cuenta de servicio para cada servicio a su grupo respectivo. Para una instalación de clúster de conmutación por error de SQL Server, se utilizan grupos de dominio de Windows en la misma manera. Estos grupos de dominio se deben crear un administrador de dominio antes de ejecutar el programa de instalación de SQL Server 2005. Todos los derechos de Windows y permisos requeridos por un servicio específico se agregan a cada grupo de Windows manera la lista de control de acceso de sistema (SACL). El administrador del dominio no concede permisos directamente a la cuenta de servicio.

Además, los grupos de Windows que haya creado para SQL Server 2005, Agente SQL Server y el grupo BUILTIN\Administrators tienen inicios de sesión SQL Server 2005 que están configurados en la función del servidor fijo SYSADMIN de SQL Server 2005. Esta configuración permite a cualquier cuenta que es un miembro de estos grupos para iniciar sesión en SQL Server 2005 mediante una conexión de Windows autenticado. Puesto que el usuario tiene una pertenencia a grupos en la función fija de servidor de SYSADMIN de SQL Server, el usuario se registra en SQL Server 2005 como un administrador de sistemas de SQL Server 2005. (El usuario se registra en utilizando la cuenta sa). A continuación, el usuario tiene acceso ilimitado a la instalación de SQL Server 2005 y a sus datos. Además, cualquier usuario que conozca la contraseña para la instancia de SQL Server 2005 o para la cuenta del servicio Agente SQL Server puede utilizar el servicio de cuenta para iniciar sesión en el equipo. A continuación, el usuario puede hacer una conexión de Windows NT autentica a SQL Server 2005 como un administrador de SQL Server.

Los grupos de Windows que haya creado para SQL Server 2005 Reporting Services (SSRS) y para el servicio Búsqueda de texto también se conceden los inicios de sesión de SQL Server. Sin embargo, Reporting Services y el servicio Búsqueda de texto completo no están configurados en del rol de servidor fija SYSADMIN.

Algunos administradores de SQL Server 2005 desean las funciones funcionales del Administrador de la base de datos y del administrador del sistema operativo para separarse estrictamente. Estos administradores deseen proteger SQL Server 2005 frente al acceso no deseado por el administrador del sistema operativo.

Más información

Cómo hacer más difícil acceso no deseado en SQL Server 2005 por un administrador del sistema operativo

Para dificultar el acceso no deseado a SQL Server 2005 por un administrador del sistema operativo, debe quitar los permisos de inicio de sesión concedidos al grupo BUILTIN\Administradores. A continuación, debe conceder inicios de sesión directamente en las cuentas de servicio para SQL Server 2005 y Agente SQL Server. A continuación, debe suministrar los inicios de sesión en la función fija de servidor SYSADMIN. Por último, debe eliminar los inicios de sesión concedidos a sus respectivos grupos de Windows. Para ello, siga estos pasos:
  1. Asegúrese de que tiene una cuenta que es un miembro de la función de servidor fija SYSADMIN. Esta cuenta no se concede el permiso de inicio de sesión de SQL Server 2005 sólo por ser miembro del grupo BUILTIN\Administrators.
  2. Quitar los permisos de inicio de sesión concedidos al grupo BUILTIN\Administradores. Para ello, siga estos pasos:
    1. Inicie sesión en SQL Server 2005 mediante una cuenta de usuario que tenga el permiso ALTER ANY LOGIN.
    2. Expanda seguridad , expanda inicios de sesión , haga clic con el botón secundario del mouse en BUILTIN\Administrators y, a continuación, haga clic en Eliminar .
    3. En el cuadro de diálogo Eliminar objeto , haga clic en Aceptar .
    Nota Después de eliminar el inicio de sesión que se concedió al grupo BUILTIN\Administradores, cualquier cuenta que se basa sólo en la pertenencia a este grupo para iniciar sesión en SQL Server 2005 ya no podrá para tener acceso a SQL Server 2005.

    Para obtener información acerca de la cuenta de servicio servicio de Cluster Server de Microsoft (MSCS), vea la sección "Cuenta de servicio del servicio de Cluster Server de Microsoft (MSCS)".
  3. Utilice una cuenta que tenga el permiso ALTER ANY LOGIN para conceder explícitamente inicios de sesión de SQL Server 2005 directamente para las cuentas de servicio que se utilizan por SQL Server 2005 y Agente SQL Server. Para ello, ejecute la siguiente instrucción SQL.
    CREATE LOGIN [<Domain Name>\<SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    CREATE LOGIN [<Domain Name >\<SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    
  4. Utilice una cuenta que sea un miembro de la SYSADMIN fija de servidor para proporcionar las conexiones que agregó en el paso 2 en el SYSADMIN fija de servidor.
    EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Service Account> ', @rolename = N'sysadmin'
    EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Agent Service Account> ', @rolename = N'sysadmin'
    
  5. Utilice una cuenta que tenga permiso ALTER ANY LOGIN para eliminar los inicios de sesión concedidos al grupo de SQL Server 2005 y al grupo de Windows del Agente SQL Server.
    DROP LOGIN [<Computer Name>\<SQLServer2005SQLServerUser>$<Computer Name>$MSSQLSERVER]
    DROP LOGIN [<Computer Name>\<SQLServer2005AgentUser>$<Computer Name>$MSSQLSERVER]
    
Incluso después de seguir estos pasos, la contraseña para la cuenta de servicio de SQL Server 2005 y para la cuenta del servicio SQLServerAgent debe mantenerse en secreta del administrador del sistema operativo. Si la cuenta de servicio MSCS se ha aprovisionado el SYSADMIN fija de servidor, la contraseña MSCS de la cuenta de servicio también se debe mantener secreta del administrador del sistema operativo. Si el administrador del sistema operativo sabe la contraseña para la cuenta del servicio SQL Server 2005 o para la cuenta del servicio SQLServerAgent, el Administrador de sistema operativo puede utilizar la cuenta del servicio inicie sesión en un equipo. Cuando el administrador del sistema operativo inicia una sesión el equipo, el administrador del sistema operativo puede conectar a la instancia de SQL Server 2005 como un administrador de SQL Server.

Para evitar que el administrador del sistema operativo aprender la contraseña de las cuentas de servicio que se utilizan por SQL Server 2005 y Agente SQL Server, el administrador del sistema de SQL Server debe poder establecer una contraseña nueva para la cuenta de servicio. En la mayoría de los casos, el administrador del sistema de SQL Server 2005 no es un administrador del sistema operativo. Por lo tanto, debe escribir una utilidad de propósito especial para proporcionar esta funcionalidad. Por ejemplo, podría crear un servicio de confianza que el Administrador de sistema de SQL Server 2005 puede utilizar para cambiar las contraseñas de las cuentas de servicio que se utilizan con SQL Server 2005. Actualmente Microsoft no ofrece este servicio.

Cuenta de servicio del servicio de Cluster Server de Microsoft (MSCS)

En una instalación de clúster de conmutación por error de SQL Server 2005, la cuenta de servicio MSCS se basa en miembros del grupo BUILTIN\Administrators para iniciar sesión en SQL Server 2005 para ejecutar la comprobación IsAlive. Si quita el grupo BUILTIN\Administrators de un clúster de conmutación por error, debe conceder explícitamente los permisos de cuenta de servicio MSCS para iniciar sesión en el clúster de conmutación por error SQL Server 2005. Para ello, ejecute la siguiente instrucción SQL en la instancia de SQL Server 2005.
CREATE LOGIN [<Domain Name>\<MSCS Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
SQL Server 2005 Service Pack 2 agrega nuevas capacidades de diagnósticos para clústeres de conmutación por error de SQL Server 2005. Los diagnósticos capturar automáticamente el estado del recurso de clúster de SQL Server 2005 antes de que el clúster se conmute. La biblioteca de vínculos dinámicos de recursos (DLL) de SQL Server 2005 realiza recopilar este datos de diagnósticos más fácil, como sigue:
  • El recurso de SQL Server 2005 inicia una instancia de la utilidad Sqlcmd.exe bajo el contexto de seguridad de la cuenta de servicio MSCS. A continuación, el recurso de SQL Server 2005 ejecuta una secuencia de comandos SQL a través de una conexión de administrador dedicada (DAC) ejemplos varias vistas de administración dinámicas (DMV).
  • El recurso de SQL Server 2005 captura un volcado de usuario del proceso de SQL Server 2005 antes de que el clúster se conmute.
Porque se utiliza una conexión de administrador dedicada para recopilar datos de diagnóstico, la cuenta de servicio MSCS debe ser configurada en del rol de servidor fijo SYSADMIN. Si las prácticas de seguridad de su organización significan que la cuenta de servicio MSCS no puede ser configurada en el SYSADMIN fija de servidor, la cuenta de servicio MSCS se puede conceder un inicio de sesión SQL Server que no está configurado en el SYSADMIN fija de servidor. En este escenario, los diagnósticos que se capturan normalmente por la utilidad Sqlcmd.exe fallará porque no puede iniciar la utilidad Sqlcmd.exe sesión en SQL Server 2005. El recurso de SQL Server 2005 DLL debe poder recopilar un archivo de volcado de usuario independientemente de si la cuenta de servicio del recurso de SQL Server 2005 que dll está configurado en el SYSADMIN fija de servidor.

Si lo desea, inicie sesión en SQL Server 2005 mediante una cuenta que es un miembro de la SYSADMIN fija de servidor. A continuación, ejecute la siguiente instrucción de SQL para agregar la cuenta de servicio MSCS a la función de fija de servidor SYSADMIN.
EXEC master.sp_addsrvrolemember @loginame = N'<Domain Name>\<MSCS Service Account> ', @rolename = N'sysadmin'

Cómo cambiar las cuentas de servicio

Aunque los pasos anteriores pueden hacer más difícil para un administrador del sistema operativo para conectarse a SQL Server 2005, los pasos anteriores hacen más complejo para cambiar las cuentas de servicio para SQL Server 2005 y Agente SQL Server. Para cambiar las cuentas de servicio para SQL Server 2005 y Agente SQL Server, siga estos pasos:
  1. Agregue la nueva cuenta de servicio o las cuentas de servicio al grupo de Windows o los grupos creados para SQL Server y Agente SQL Server.
  2. Utilice una cuenta que tenga el permiso ALTER ANY LOGIN para crear un inicio de sesión de SQL Server 2005 para las nuevas cuentas de servicio. Para ello, ejecute la siguiente instrucción SQL de la cuenta que tenga el permiso ALTER ANY LOGIN.
    CREATE LOGIN [<Domain Name>\<New SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    CREATE LOGIN [<Domain Name>\<New SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    
  3. Utilice una cuenta que está configurada en la función fija de servidor SYSADMIN para ejecutar la siguiente instrucción SQL. maestro de
    EXEC master..sp_addsrvrolemember @loginame = N? <Domain Name>\<New SQL Server Service Account> ', @rolename = N'sysadmin'
    EXEC master..sp_addsrvrolemember @loginame = N? <Domain Name>\<New SQL Server Agent Service Account> ', @rolename = N'sysadmin'
    
    Nota esta instrucción agrega la cuenta de servicio de SQL Server 2005 y la cuenta del servicio Agente SQL Server a la función de fija de servidor SYSADMIN.
  4. Cambiar la cuenta de servicio para el servicio adecuado mediante el Administrador de configuración de SQL Server. Para ello, siga estos pasos:
    1. En el Administrador de configuración de SQL Server, haga clic en Servicios de SQL Server 2005 .
    2. Haga clic con el botón secundario en el servicio que desea modificar y, a continuación, haga clic en Propiedades .
    3. Haga clic en la ficha Iniciar sesión y a continuación, escriba la información de cuenta de usuario que desea que utilice el servicio.
    4. Haga clic en Aceptar cuando termine de escribir la información de cuenta.
    Nota Cuando se cambia la cuenta de servicio, el Administrador de configuración de SQL Server le pide que reinicie el servicio.
  5. Utilice una cuenta que tenga el permiso ALTER ANY LOGIN para eliminar los inicios de sesión que se utilizan la cuenta del servicio SQL Server 2005 y la cuenta de servicio del Agente SQL Server. Para ello, ejecute la siguiente instrucción SQL.
    DROP LOGIN [<Domain Name>\<Old SQL Server Service Account>]
    DROP LOGIN [<Domain Name>\<Old SQL Server Agent Service Account>]
    
Nota No es necesario que conceder permisos a las nuevas cuentas de servicio ni nuevos derechos de Windows NT ya agregó las nuevas cuentas de servicio a sus respectivos grupos de Windows en el paso 1.

Recomendación para procesos de auditoría

Si desea proteger SQL Server frente a accesos no deseados por administradores de sistema operativo, también debería auditar los siguientes procesos:
  • Auditar se inicia y detiene del servidor basado en Windows.
  • Auditoría inicia y detiene los servicios de SQL Server 2005 y de los servicios Agente SQL Server.
  • Auditar el acceso a los directorios en que SQL Server están almacenados los archivos de base de datos, archivos de datos, archivos de registro y archivos de copia de seguridad de base de datos.
  • Auditar los cambios a la cuenta de servicio de SQL Server 2005 y a la cuenta del servicio Agente SQL Server.
  • Auditar inicios de sesión de red y los inicios de sesión del equipo la cuenta del servicio SQL Server 2005, la cuenta del servicio Agente SQL Server o la cuenta de servicio MSCS.

La cuenta NT AUTHORITY\SYSTEM

La cuenta de NT AUTHORITY\SYSTEM también se le concede un inicio de sesión de SQL Server. La cuenta NT AUTHORITY\SYSTEM está configurada en función de fija de servidor SYSADMIN. No eliminar esta cuenta o quita del rol de servidor fijo SYSADMIN. La cuenta NTAUTHORITY\SYSTEM se utiliza mediante Microsoft Update y Microsoft SMS para aplicar service packs y revisiones a una instalación de SQL Server 2005. El servicio del escritor SQL también utiliza la cuenta NTAUTHORITY\SYSTEM.

Además, si SQL Server 2005 se inicia en modo de usuario único, cualquier usuario que pertenezca el grupo BUILTIN\Administrators puede conectar a SQL Server 2005 como un administrador de SQL Server. El usuario puede conectarse, independientemente de si se ha concedido el grupo BUILTIN\Administrators un inicio de sesión servidor que está configurado en el SYSADMIN fija de servidor. Este comportamiento es por diseño. Este comportamiento está pensado para utilizarse para escenarios de recuperación de datos.

Para obtener más información acerca de prácticas recomendadas de seguridad para SQL Server 2005, vea el tema "Seguridad consideraciones para un SQL Server instalación" en libros en pantalla de SQL Server 2005.

Referencias

Para obtener más información acerca de consideraciones de seguridad para una instalación de SQL Server, visite el siguiente sitio Web de Microsoft TechNet:
http://technet.microsoft.com/en-us/library/ms144228.aspx

Propiedades

Id. de artículo: 932881 - Última revisión: viernes, 13 de febrero de 2009 - Versión: 3.1
La información de este artículo se refiere a:
  • Microsoft SQL Server 2005 Enterprise Edition
  • Microsoft SQL Server 2005 Enterprise X64 Edition
  • Microsoft SQL Server 2005 Enterprise Edition for Itanium Based Systems
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Standard X64 Edition
Palabras clave: 
kbmt kbpubtypekc kbcode kbinfo kbhowto KB932881 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 932881

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com