Comment rendre plus difficile tout accès indésirable à SQL Server 2005 par un administrateur de système d'exploitation

Traductions disponibles Traductions disponibles
Numéro d'article: 932881 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

INTRODUCTION

Le programme d'installation de Microsoft SQL Server 2005 crée un groupe Windows local pour chaque service que vous installez. Le programme d'installation de SQL Server 2005 ajoute le compte de service pour chaque service à son groupe respectif. Pour une installation de cluster de basculement SQL Server, groupes de domaines Windows sont utilisées dans la même manière. Ces groupes de domaine doivent être créés par un administrateur de domaine avant d'exécuter le programme d'installation de SQL Server 2005. Tous les droits Windows NT et les autorisations requises par un service spécifique sont ajoutées par la liste contrôle d'accès système (SACL, System Access Control List) à chaque groupe de Windows. L'administrateur de domaine n'accorde pas les autorisations directement au compte de service.

Par ailleurs, les groupes Windows que vous avez créé pour SQL Server 2005, l'Agent SQL Server et le groupe BUILTIN\Administrateurs sont accordées des connexions SQL Server 2005 qui sont configurées dans le rôle serveur fixe SYSADMIN de SQL Server 2005. Cette configuration permet à tout compte qui est un membre de ces groupes pour ouvrir une session SQL Server 2005 en utilisant une connexion authentifiée Windows NT. Comme l'utilisateur possède une appartenance de groupe dans le rôle serveur fixe SYSADMIN de serveur SQL, l'utilisateur est connecté à SQL Server 2005 en tant qu'administrateur système SQL Server 2005. (L'utilisateur est connecté en utilisant le compte sa). Ensuite, l'utilisateur a accès illimité pour l'installation de SQL Server 2005 et ses données. En outre, tout utilisateur qui connaît le mot de passe pour l'instance de SQL Server 2005 ou pour le compte de service SQLServerAgent peut utiliser le service de compte pour vous connecter à l'ordinateur. Ensuite, l'utilisateur peut apporter une connexion authentifiée Windows NT à SQL Server 2005 en tant qu'administrateur SQL Server.

Les groupes Windows que vous avez créé pour SQL Server 2005 Reporting Services (SSRS) et le service recherche de texte intégral sont également accordées connexions SQL Server. Toutefois, Reporting Services et le service de recherche de texte intégral sont non configurés dans le rôle de serveur fixe SYSADMIN.

Certains administrateurs de SQL Server 2005 que les rôles fonctionnels de l'administrateur de base de données et de l'administrateur système d'exploitation pour être strictement séparés. Ces administrateurs veulent protéger SQL Server 2005 contre tout accès indésirable par l'administrateur du système d'exploitation.

Plus d'informations

Comment rendre plus difficile tout accès indésirable à SQL Server 2005 par un administrateur de système d'exploitation

Pour rendre plus difficile tout accès indésirable à SQL Server 2005 par un administrateur de système d'exploitation, vous devez supprimer les autorisations d'ouverture de session ont été accordées au groupe BUILTIN\Administrators. Ensuite, vous devez accorder connexions directement les comptes de service pour SQL Server 2005 et pour l'Agent SQL Server. Ensuite, vous devez configurer les connexions du rôle de serveur fixe SYSADMIN. Enfin, vous devez supprimer les connexions qui ont été accordées à leurs groupes Windows respectifs. Pour ce faire, procédez comme suit :
  1. Assurez-vous d'avoir un compte qui est un membre du rôle de serveur fixe SYSADMIN. Ce compte n'est pas accordé l'autorisation d'ouverture de session SQL Server 2005 uniquement par un membre du groupe BUILTIN\Administrateurs.
  2. Supprimer les autorisations d'ouverture de session ont été accordées au groupe BUILTIN\Administrators. Pour ce faire, procédez comme suit :
    1. Ouvrez une session sur SQL Server 2005 en utilisant un compte d'utilisateur qui possède l'autorisation ALTER tout LOGIN.
    2. Développez sécurité , développez connexions , cliquez avec le bouton droit sur BUILTIN\Administrateurs et puis cliquez sur Supprimer .
    3. Dans la boîte de dialogue Supprimer l'objet , cliquez sur OK .
    Remarque Après avoir supprimé la connexion a été accordée au groupe BUILTIN\Administrators, tout compte qui s'appuie uniquement sur l'appartenance à ce groupe pour se connecter à SQL Server 2005 ne sera plus en mesure d'accès SQL Server 2005.

    Pour informations sur le compte du service Microsoft Cluster Service (MSCS), consultez la section «Compte de service Microsoft Cluster Service (MSCS)».
  3. Utilisez un compte qui possède l'autorisation ALTER tout LOGIN pour accorder explicitement les connexions SQL Server 2005 directement aux comptes de service sont utilisés par SQL Server 2005 et par l'Agent SQL Server. Pour ce faire, exécutez l'instruction SQL suivante.
    CREATE LOGIN [<Domain Name>\<SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    CREATE LOGIN [<Domain Name >\<SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    
  4. Utilisez un compte qui est un membre de la SYSADMIN fixe rôle de serveur pour configurer les connexions ajouté à l'étape 2 dans le SYSADMIN rôle serveur fixe.
    EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Service Account> ', @rolename = N'sysadmin'
    EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Agent Service Account> ', @rolename = N'sysadmin'
    
  5. Utiliser un compte qui possède l'autorisation ALTER tout LOGIN pour supprimer les connexions qui ont été accordées au groupe SQL Server 2005 et au groupe Windows de l'Agent SQL Server.
    DROP LOGIN [<Computer Name>\<SQLServer2005SQLServerUser>$<Computer Name>$MSSQLSERVER]
    DROP LOGIN [<Computer Name>\<SQLServer2005AgentUser>$<Computer Name>$MSSQLSERVER]
    
Même après avoir suivi ces étapes, le mot de passe pour le compte de service SQL Server 2005 et pour le compte de service Agent SQL Server doit être gardée secrète de l'administrateur de système d'exploitation. Si le compte de service MSCS a été configuré dans le rôle de serveur fixe de SYSADMIN, le mot de passe du compte de service MSCS doit également être gardé secret de l'administrateur de système d'exploitation. Si l'administrateur du système d'exploitation connaît le mot de passe pour le compte de service SQL Server 2005 ou pour le compte de service SQLServerAgent, l'administrateur de système d'exploitation peut utiliser le compte de service pour ouvrir une session sur un ordinateur. Une fois que l'administrateur du système d'exploitation ouvert une session sur l'ordinateur, l'administrateur du système d'exploitation pouvez vous connecter à l'instance de SQL Server 2005 en tant qu'administrateur de SQL Server.

Pour empêcher l'apprentissage le mot de passe des comptes de service qui sont utilisés par SQL Server 2005 et par l'Agent SQL Server de l'administrateur du système d'exploitation, l'administrateur système SQL Server doit pouvoir définir un nouveau mot de passe pour le compte de service. Dans la plupart des cas, l'administrateur système SQL Server 2005 n'est pas un administrateur de système d'exploitation. Par conséquent, un utilitaire spécial doit être écrit pour fournir cette fonctionnalité. Par exemple, vous pouvez créer un service fiable que l'administrateur système SQL Server 2005 peut utiliser à modifier le mot de passe pour les comptes de service sont utilisés par SQL Server 2005. Microsoft ne propose pas actuellement ce service.

Compte de service Microsoft Cluster Service (MSCS)

Dans une installation de cluster de basculement SQL Server 2005, le compte du service de MSCS s'appuie sur appartenant au groupe BUILTIN\Administrators pour se connecter à SQL Server 2005 pour exécuter la vérification IsAlive. Si vous supprimez le groupe BUILTIN\Administrators d'un cluster de basculement, vous devez explicitement accorder les autorisations de compte de service MSCS ouvrir une session sur le cluster de basculement SQL Server 2005. Pour ce faire, exécutez l'instruction SQL suivante dans l'instance de SQL Server 2005.
CREATE LOGIN [<Domain Name>\<MSCS Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
SQL Server 2005 Service Pack 2 ajouté nouvelles fonctionnalités de diagnostic pour les clusters de basculement SQL Server 2005. Les diagnostics capturer automatiquement l'état de la ressource de cluster SQL Server 2005 avant que le cluster ne bascule. La bibliothèque de liens dynamiques de ressource SQL Server 2005 (DLL) rend la collecte des données Diagnostics plus faciles, comme suit :
  • La ressource SQL Server 2005 démarre une instance de l'utilitaire Sqlcmd.exe dans le contexte de sécurité du compte de service MSCS. Ensuite, la ressource SQL Server 2005 s'exécute un script SQL sur une connexion administrateur dédiée (DAC) Exemples divers modes de gestion dynamique (DMV).
  • La ressource SQL Server 2005 capture un fichier de vidage utilisateur du processus SQL Server 2005 avant que le cluster ne bascule.
Car une connexion administrateur dédiée sert à collecter des données de Diagnostics, le compte de service MSCS doit configuré dans le rôle de serveur fixe SYSADMIN. Si les méthodes de sécurité de votre organisation signifient que le compte de service MSCS ne peut pas être configuré dans le rôle de serveur fixe de SYSADMIN, le compte de service MSCS peut être accordé une connexion SQL Server qui n'est pas configurée dans le SYSADMIN rôle serveur fixe. Dans ce scénario, les diagnostics sont généralement capturées par l'utilitaire Sqlcmd.exe échouera, car l'utilitaire Sqlcmd.exe ne peut pas se connecter à SQL Server 2005. La ressource SQL Server 2005 DLL doit pouvoir collecter un fichier de vidage utilisateur indépendamment de si le compte de service de la ressource SQL Server 2005 que DLL est configuré dans le SYSADMIN rôle serveur fixe.

Si vous le souhaitez, ouvrez une session sur SQL Server 2005 en utilisant un compte qui est un membre de SYSADMIN rôle de serveur fixe. Ensuite, exécutez l'instruction SQL suivante pour ajouter le compte de service MSCS au rôle de serveur fixe SYSADMIN.
EXEC master.sp_addsrvrolemember @loginame = N'<Domain Name>\<MSCS Service Account> ', @rolename = N'sysadmin'

Comment modifier les comptes de service

Bien que les étapes précédentes peuvent rendre plus difficile pour un administrateur système d'exploitation de se connecter à SQL Server 2005, les étapes précédentes rendent plus lourde pour modifier les comptes de service pour SQL Server 2005 et pour l'Agent SQL Server. Pour modifier les comptes de service pour SQL Server 2005 et pour l'Agent SQL Server, procédez comme suit :
  1. Ajouter le nouveau compte de service ou les comptes de service au groupe Windows ou aux groupes que vous avez créé pour SQL Server et Agent SQL Server.
  2. Utilisez un compte qui possède l'autorisation ALTER tout LOGIN pour créer une connexion SQL Server 2005 pour les nouveaux comptes de service. Pour ce faire, exécutez l'instruction SQL suivante du compte qui possède l'autorisation ALTER tout LOGIN.
    CREATE LOGIN [<Domain Name>\<New SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    CREATE LOGIN [<Domain Name>\<New SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    
  3. Utilisez un compte qui est configuré dans le rôle de serveur fixe SYSADMIN pour exécuter l'instruction SQL suivante.
    EXEC master..sp_addsrvrolemember @loginame = N? <Domain Name>\<New SQL Server Service Account> ', @rolename = N'sysadmin'
    EXEC master..sp_addsrvrolemember @loginame = N? <Domain Name>\<New SQL Server Agent Service Account> ', @rolename = N'sysadmin'
    
    Remarque cette instruction ajoute le compte de service SQL Server 2005 et le compte de service de l'Agent SQL Server au rôle de serveur fixe SYSADMIN.
  4. Modifier le compte du service pour le service approprié à l'aide de SQL Server Configuration Manager. Pour ce faire, procédez comme suit :
    1. Dans le Gestionnaire de configuration SQL Server, cliquez sur Services SQL Server 2005 .
    2. Cliquez avec le bouton droit sur le service que vous souhaitez modifier, puis cliquez sur Propriétés .
    3. Cliquez sur l'onglet Connexion et puis entrez les informations de compte utilisateur que vous souhaitez que le service d'utiliser.
    4. Cliquez sur OK après avoir tapé les informations de compte.
    Remarque Lorsque vous modifiez le compte de service, le Gestionnaire de configuration SQL Server vous invite à redémarrer le service.
  5. Utilisez un compte qui possède l'autorisation ALTER tout LOGIN pour supprimer les connexions qui ont été utilisées par le compte de service SQL Server 2005 et le compte de service de l'Agent SQL Server. Pour ce faire, exécutez l'instruction SQL suivante.
    DROP LOGIN [<Domain Name>\<Old SQL Server Service Account>]
    DROP LOGIN [<Domain Name>\<Old SQL Server Agent Service Account>]
    
Remarque Vous ne devez pas accorder des autorisations aux nouveaux comptes service ni de nouveaux droits de Windows NT car vous avez ajouté les nouveaux comptes de service à leurs groupes Windows respectifs dans étape 1.

Recommandation pour auditer les processus

Si vous souhaitez protéger SQL Server contre les accès indésirable par les administrateurs système d'exploitation, vous devez également auditer les processus suivants :
  • L'audit démarre et arrêt du serveur fonctionnant sous Windows.
  • Audit démarre et arrête les services SQL Server 2005 et les services de l'Agent SQL Server.
  • Auditer l'accès aux répertoires dans lequel SQL Server fichiers de base de données, fichiers de données, fichiers journaux et fichiers de sauvegarde de base de données sont stockés.
  • Auditer les modifications vers le compte de service SQL Server 2005 et le compte de service de l'Agent SQL Server.
  • Audit des connexions réseau et connexions d'ordinateur par le compte de service SQL Server 2005, par le compte du service Agent SQL Server ou par le compte de service MSCS.

Le compte NT AUTHORITY\SYSTEM

Le compte NT AUTHORITY\SYSTEM reçoit également une connexion SQL Server. Le compte NT AUTHORITY\SYSTEM est configuré dans le rôle de serveur fixe SYSADMIN. Ne pas supprimer ce compte ou le supprimer du rôle de serveur fixe SYSADMIN. Le compte NTAUTHORITY\SYSTEM est utilisé par Microsoft Update et Microsoft SMS pour appliquer les service packs et correctifs à une installation SQL Server 2005. Le compte NTAUTHORITY\SYSTEM est également utilisé par le service SQL Writer.

En outre, si SQL Server 2005 est démarré en mode utilisateur unique, tout utilisateur disposant d'appartenance dans le groupe BUILTIN\Administrateurs peut se connecter à SQL Server 2005 en tant qu'administrateur SQL Server. L'utilisateur peut se connecter, indépendamment de si le groupe BUILTIN\Administrateurs a été accordé un login de serveur qui est configuré dans le rôle de serveur fixe de SYSADMIN. Ce comportement est voulu par la conception même du produit. Ce comportement est destiné à être utilisé pour les données de scénarios de récupération.

Pour plus d'informations méthodes conseillées en matière de sécurité pour SQL Server 2005, consultez la rubrique «Security Considerations pour une SQL Server Installation» dans la documentation en ligne de SQL Server 2005.

Références

Pour plus d'informations sur les considérations de sécurité pour une installation SQL Server, reportez-vous au site Microsoft TechNet suivant :
http://technet.microsoft.com/en-us/library/ms144228.aspx

Propriétés

Numéro d'article: 932881 - Dernière mise à jour: vendredi 13 février 2009 - Version: 3.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft SQL Server 2005 Enterprise Edition
  • Microsoft SQL Server 2005 Enterprise X64 Edition
  • Microsoft SQL Server 2005 Enterprise Edition for Itanium Based Systems
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Standard X64 Edition
Mots-clés : 
kbmt kbpubtypekc kbcode kbinfo kbhowto KB932881 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 932881
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com