Come rendere pi¨ difficile accesso non autorizzato a SQL Server 2005 da un amministratore del sistema operativo

Traduzione articoli Traduzione articoli
Identificativo articolo: 932881 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

INTRODUZIONE

Il programma di installazione di Microsoft SQL Server 2005 creazione di un gruppo di Windows locale per ogni servizio da installare. VerrÓ di installazione di SQL Server 2005 aggiunta l'account di servizio per ogni servizio del gruppo corrispondente. Per un'installazione di cluster di failover di SQL Server, i gruppi di dominio di Windows vengono utilizzati allo stesso modo. Questi gruppi di dominio devono essere creati da un amministratore di dominio prima di eseguire il programma di installazione di SQL Server 2005. Tutti i Windows diritti e autorizzazioni necessari per un servizio specifico vengono aggiunti dall'elenco di controllo di accesso sistema (SACL, System Access Control List) ciascun gruppo di Windows. L'amministratore del dominio non concede autorizzazioni direttamente all'account del servizio.

Inoltre, i gruppi di Windows creato per SQL Server 2005, per agente SQL Server e per il gruppo BUILTIN\Administrators vengono concessi gli account di SQL Server 2005 che sono il provisioning nel ruolo server fisso SYSADMIN di SQL Server 2005. Questa configurazione rende possibile per qualsiasi account che sia membro di questi gruppi per accedere a SQL Server 2005 mediante una connessione verrÓ autenticato. PoichÚ l'utente dispone di appartenenza al gruppo nel ruolo predefinito del server SYSADMIN di SQL Server, l'utente Ŕ connesso un amministratore di sistema SQL Server 2005 in SQL Server 2005. (L'utente Ŕ connesso utilizzando l'account sa). Quindi, l'utente ha accesso illimitato per l'installazione di SQL Server 2005 e per i dati. Inoltre, qualsiasi utente che conosce la password per l'istanza di SQL Server 2005 o l'account del servizio Agente SQL Server pu˛ utilizzare il servizio account per accedere al computer. Quindi, sarÓ possibile rendere una connessione di Windows autenticato a SQL Server 2005 come amministratore di SQL Server.

I gruppi Windows creato per SQL Server 2005 Reporting Services (SSRS) e per il servizio di ricerca full-text vengono anche concessi gli account di accesso di SQL Server. Tuttavia, Reporting Services e il servizio di ricerca full-text non vengono provisioning nel ruolo server fisso SYSADMIN.

Alcuni amministratori di SQL Server 2005 Ŕ opportuno i ruoli funzionali di amministratore del database e all'amministratore del sistema operativo di essere rigorosamente separati. Questi amministratori desiderano proteggere l'accesso non autorizzato dall'amministratore del sistema operativo di SQL Server 2005.

Informazioni

Come rendere pi¨ difficile accesso non autorizzato a SQL Server 2005 da un amministratore del sistema operativo

Per rendere pi¨ difficile accesso non autorizzato a SQL Server 2005 da un amministratore del sistema operativo, Ŕ necessario rimuovere le autorizzazioni di accesso concesse al gruppo BUILTIN\Administrators. Quindi, Ŕ necessario concedere accessi direttamente agli account di servizio per SQL Server 2005 e per agente SQL Server. Successivamente, deve preparare gli account di accesso nel ruolo server fisso SYSADMIN. Infine, Ŕ necessario eliminare gli accessi che disponevano nei rispettivi gruppi di Windows. Per effettuare questa operazione, attenersi alla seguente procedura:
  1. Assicurarsi di disporre di un account che Ŕ un membro del ruolo del server SYSADMIN. Questo account non Ŕ concesso l'autorizzazione di accesso di SQL Server 2005 solo da membri del gruppo BUILTIN\Administrators.
  2. Rimuovere le autorizzazioni di accesso concesse al gruppo BUILTIN\Administrators. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Accedere a SQL Server 2005 utilizzando un account utente che dispone dell'autorizzazione ALTER ANY LOGIN.
    2. Espandere protezione , espandere account di accesso , fare clic con il pulsante destro del mouse su BUILTIN\Administrators e quindi fare clic su Elimina .
    3. Nella finestra di dialogo Elimina oggetto , fare clic su OK .
    Nota Dopo aver eliminato l'account di accesso che Ŕ stato concesso al gruppo BUILTIN\Administrators, qualsiasi account a cui si basa solo l'appartenenza a questo gruppo per accedere a SQL Server 2005 non saranno in grado di accesso SQL Server 2005.

    Per informazioni sull'account di servizio Microsoft Cluster Service (MSCS), vedere la sezione "Account del servizio Microsoft Cluster Service (MSCS)".
  3. Utilizzare un account che disponga dell'autorizzazione ALTER ANY LOGIN per concedere l'accesso di SQL Server 2005 direttamente agli account di servizio che vengono utilizzati da SQL Server 2005, Agente SQL Server in modo esplicito. A tale scopo, eseguire l'istruzione SQL.
    CREATE LOGIN [<Domain Name>\<SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    CREATE LOGIN [<Domain Name >\<SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    
  4. Utilizzare un account che fa parte il SYSADMIN fisso ruolo del server per effettuare gli accessi a aggiunto nel passaggio 2, nel SYSADMIN il provisioning di ruolo server predefinito.
    EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Service Account> ', @rolename = N'sysadmin'
    EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Agent Service Account> ', @rolename = N'sysadmin'
    
  5. Utilizzare un account che dispone dell'autorizzazione ALTER ANY LOGIN per eliminare l'account di accesso concesse al gruppo di SQL Server 2005 e al gruppo Windows di agente.
    DROP LOGIN [<Computer Name>\<SQLServer2005SQLServerUser>$<Computer Name>$MSSQLSERVER]
    DROP LOGIN [<Computer Name>\<SQLServer2005AgentUser>$<Computer Name>$MSSQLSERVER]
    
Anche dopo eseguito la procedura, la password dell'account del servizio SQL Server 2005 e l'account del servizio Agente SQL Server deve essere tenuta segreta dall'amministratore del sistema operativo. Se l'account del servizio MSCS Ŕ stato eseguito il provisioning nel ruolo del server SYSADMIN, la password dell'account servizio MSCS deve inoltre essere tenuta segreta dall'amministratore del sistema operativo. Se l'amministratore del sistema operativo conosce la password dell'account del servizio SQL Server 2005 o l'account del servizio Agente SQL Server, l'amministratore del sistema operativo Ŕ in pu˛ di utilizzare l'account del servizio accesso a un computer. Dopo che l'amministratore del sistema operativo ha effettuato al computer, l'amministratore del sistema operativo pu˛ connettersi all'istanza di SQL Server 2005 come amministratore di SQL Server.

Per mantenere l'amministratore del sistema operativo di apprendere la password degli account di servizio utilizzati da SQL Server 2005 e da Agente SQL Server, l'amministratore di sistema di SQL Server deve poter impostare una nuova password per l'account del servizio. Nella maggior parte dei casi, l'amministratore di sistema SQL Server 2005 non Ŕ un amministratore del sistema operativo. Di conseguenza, Ŕ necessario scrivere un'utilitÓ di scopi specifici per fornire questa funzionalitÓ. Ad esempio, Ŕ possibile creare un servizio attendibile che l'amministratore di sistema di SQL Server 2005 pu˛ utilizzare per modificare le password per l'account di servizio sono utilizzati da SQL Server 2005. Attualmente, Microsoft non offre questo servizio.

Account del servizio Microsoft Cluster Service (MSCS)

In un'installazione cluster di failover di SQL Server 2005, l'account del servizio MSCS si basa sull'appartenenza al gruppo BUILTIN\Administrators per accedere a SQL Server 2005 per eseguire il controllo IsAlive. Se si rimuove il gruppo BUILTIN\Administrators di un cluster di failover, Ŕ necessario concedere esplicitamente le autorizzazioni di account servizio MSCS per accedere al cluster di failover SQL Server 2005. A tale scopo, eseguire l'istruzione SQL nell'istanza di SQL Server 2005.
CREATE LOGIN [<Domain Name>\<MSCS Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
SQL Server 2005 Service Pack 2 aggiunto nuove funzionalitÓ di diagnostica per i cluster di failover SQL Server 2005. La diagnostica acquisizione automaticamente lo stato della risorsa cluster SQL Server 2005 prima di failover del cluster. Libreria a collegamento dinamico (DLL) risorse SQL Server 2005 consente di raccogliere questo dati di diagnostici pi¨ semplici, come indicato di seguito:
  • La risorsa di SQL Server 2005 avvia un'istanza dell'utilitÓ Sqlcmd.exe nel contesto di protezione dell'account del servizio MSCS. Quindi, la risorsa di SQL Server 2005 eseguito uno script SQL tramite una connessione amministratore dedicata (DAC) esempi di diverse visualizzazioni di gestione dinamica (DMV).
  • La risorsa di SQL Server 2005 consente di acquisire un file di dettagli utente del processo di SQL Server 2005 prima che il cluster di failover.
PoichÚ una connessione amministrativa dedicata viene utilizzata per raccogliere alcuni dati di diagnostiche, l'account del servizio MSCS deve essere eseguito il provisioning nel ruolo server fisso SYSADMIN. Se le procedure di protezione dell'organizzazione significa che l'account del servizio MSCS non pu˛ essere preparato nel ruolo del server SYSADMIN, l'account del servizio MSCS Ŕ possibile concedere un accesso di SQL Server non Ŕ eseguito il provisioning in SYSADMIN il ruolo server predefinito. In questo scenario, la diagnostica che in genere viene acquisita dall'utilitÓ Sqlcmd.exe non riuscirÓ perchÚ l'utilitÓ Sqlcmd.exe Impossibile accedere a SQL Server 2005. La risorsa di SQL Server 2005 DLL sarÓ in grado di raccogliere un file di dump utenti indipendentemente dal ruolo server predefinito l'account di servizio di DLL Ŕ eseguito il provisioning nel SYSADMIN la risorsa di SQL Server 2005 se.

Se si desidera, accedere a SQL Server 2005 utilizzando un account che fa parte il ruolo del server SYSADMIN. Quindi, eseguire l'istruzione SQL per aggiungere l'account di servizio MSCS al ruolo del server SYSADMIN.
EXEC master.sp_addsrvrolemember @loginame = N'<Domain Name>\<MSCS Service Account> ', @rolename = N'sysadmin'

Come modificare gli account di servizio

Sebbene i passaggi precedenti potrebbero rendere pi¨ difficile per un amministratore del sistema operativo per connettersi a SQL Server 2005, i passaggi precedenti rendono pi¨ complesso cambiare gli account di servizio per SQL Server 2005 e per agente SQL Server. Per modificare gli account di servizio per SQL Server 2005 e per agente SQL Server, attenersi alla seguente procedura:
  1. ╚ possibile aggiungere gli account di servizio le nuovo account di servizio al gruppo di Windows o i gruppi creati per SQL Server e Agente SQL Server.
  2. Utilizzare un account che disponga dell'autorizzazione ALTER ANY LOGIN per creare un account di accesso SQL Server 2005 per il nuovo account di servizio. A tale scopo, eseguire l'istruzione SQL dall'account che disponga dell'autorizzazione ALTER ANY LOGIN.
    CREATE LOGIN [<Domain Name>\<New SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    CREATE LOGIN [<Domain Name>\<New SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    
  3. Utilizzare un account che viene eseguito il provisioning nel ruolo server fisso SYSADMIN per eseguire la seguente istruzione SQL. master
    EXEC master..sp_addsrvrolemember @loginame = N? <Domain Name>\<New SQL Server Service Account> ', @rolename = N'sysadmin'
    EXEC master..sp_addsrvrolemember @loginame = N? <Domain Name>\<New SQL Server Agent Service Account> ', @rolename = N'sysadmin'
    
    Nota questa istruzione aggiunge l'account del servizio SQL Server 2005 e l'account del servizio Agente SQL Server ruolo del server SYSADMIN.
  4. Modificare l'account del servizio per il servizio appropriato utilizzando SQL Server Configuration Manager. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. In SQL Server Configuration Manager scegliere SQL Server 2005 Services .
    2. Fare clic con il pulsante destro del mouse sul servizio che si desidera modificare e quindi fare clic su ProprietÓ .
    3. Fare clic Sulla scheda connessione e quindi immettere le informazioni sull'account utente che si desidera utilizzare il servizio.
    4. Fare clic su OK dopo aver immesso le informazioni relative all'account.
    Nota Quando si modifica l'account del servizio, Gestione configurazione SQL Server consente di riavviare il servizio.
  5. Utilizzare un account che disponga dell'autorizzazione ALTER ANY LOGIN per eliminare gli account di accesso che sono stati utilizzati dall'account del servizio SQL Server 2005 e dall'account del servizio Agente SQL Server. A tale scopo, eseguire l'istruzione SQL.
    DROP LOGIN [<Domain Name>\<Old SQL Server Service Account>]
    DROP LOGIN [<Domain Name>\<Old SQL Server Agent Service Account>]
    
Nota Non Ŕ necessario concedere autorizzazioni ai nuovi account servizio eventuali nuovi diritti di Windows, in quanto aggiunto nuovi account di servizio i rispettivi gruppi di Windows nel passaggio 1.

Consigli per controllare i processi

Se si desidera proteggere l'accesso non autorizzato da amministratori del sistema operativo di SQL Server, Ŕ necessario controllare anche i seguenti processi:
  • Controllare l'avvio e interruzione del server basato su Windows.
  • Controllo Avvia e interrompe i servizi di SQL Server 2005 e i servizi Agente SQL Server.
  • Controllare l'accesso alle directory in cui SQL Server sono memorizzati i file di database, file di dati, i file di registro e file di backup del database.
  • Controllare le modifiche all'account di servizio di SQL Server 2005 e all'account del servizio Agente SQL Server.
  • Controllare gli accessi di rete e gli account di accesso di computer dall'account del servizio SQL Server 2005, dall'account del servizio Agente SQL Server o l'account del servizio MSCS.

L'account NT AUTHORITY\SYSTEM

Anche un account di accesso di SQL Server concede all'account di NT AUTHORITY\SYSTEM. L'account NT AUTHORITY\SYSTEM viene eseguito il provisioning nel ruolo server fisso SYSADMIN. Non eliminare questo account nÚ rimuoverlo dal ruolo del server SYSADMIN. L'account NTAUTHORITY\SYSTEM consente da Microsoft Update, Microsoft SMS per applicare service pack e aggiornamenti rapidi a un'installazione di SQL Server 2005. L'account NTAUTHORITY\SYSTEM viene utilizzato anche dal servizio writer SQL.

Inoltre, se SQL Server 2005 viene avviato in modalitÓ utente singolo, qualsiasi utente che ha l'appartenenza del gruppo BUILTIN\Administrators pu˛ connettersi a SQL Server 2005 come amministratore di SQL Server. L'utente pu˛ connettersi indipendentemente da se il gruppo BUILTIN\Administrators Ŕ stato concesso un login di server viene eseguito il provisioning nel ruolo del server SYSADMIN. Questo comportamento legato alla progettazione. Questo comportamento Ŕ destinato a essere utilizzato per scenari di recupero dati.

Per ulteriori informazioni sulle procedure consigliate di protezione per SQL Server 2005, vedere l'argomento di "Security Considerations for un SQL Server Installation" nella documentazione in linea di SQL Server 2005.

Riferimenti

Per ulteriori informazioni sulle considerazioni di protezione per un'installazione di SQL Server, visitare il seguente sito Web Microsoft TechNet:
http://technet.microsoft.com/en-us/library/ms144228.aspx

ProprietÓ

Identificativo articolo: 932881 - Ultima modifica: venerdý 13 febbraio 2009 - Revisione: 3.1
Le informazioni in questo articolo si applicano a:
  • Microsoft SQL Server 2005 Enterprise Edition
  • Microsoft SQL Server 2005 Enterprise X64 Edition
  • Microsoft SQL Server 2005 Enterprise Edition for Itanium Based Systems
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Standard X64 Edition
Chiavi:á
kbmt kbpubtypekc kbcode kbinfo kbhowto KB932881 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 932881
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com