不要なアクセスする SQL Server 2005 は、オペレーティング システムの管理者により困難にする方法

文書翻訳 文書翻訳
文書番号: 932881
すべて展開する | すべて折りたたむ

目次

はじめに

Microsoft SQL Server 2005年のセットアップ プログラムは、インストールする各サービスのローカル Windows グループを作成します。SQL Server 2005 のセットアップ プログラムは、それぞれのグループに各サービスのサービス アカウントを追加します。SQL Server のフェールオーバー クラスター インストールは、Windows ドメイン グループと同様に使用されます。SQL Server 2005 のセットアップ プログラムを実行する前に、ドメイン管理者がこれらのドメイン グループを作成してください。すべての Windows NT の権利とは、特定のサービスで必要なアクセス許可は、システム アクセス制御リスト (SACL) 各 Windows グループに追加されます。ドメイン管理者のアクセス許可をサービス アカウントに直接付与しません。

また、SQL Server 2005 は、エージェントの SQL Server、および BUILTIN\Administrators グループの作成、Windows グループ、SQL Server 2005 の SYSADMIN 固定サーバー ロールに準備された SQL Server 2005 ログインが与えられます。この構成では、SQL Server 2005 には、Windows NT の認証された接続を使用してログオンするこれらのグループのメンバーであるアカウントをできます。SQL Server の SYSADMIN 固定サーバー ロールは、グループのメンバーシップがあるため、ユーザーは SQL Server 2005 には、SQL Server 2005 のシステム管理者として記録されます。(が、sa アカウントを使用してログインされます)。その後、ユーザーを SQL Server 2005 のインストールとそのデータに無制限にアクセスが。また、サービスが使用できる SQL Server 2005 のインスタンスや、SQL Server エージェント サービス アカウントのパスワードを知っているすべてのユーザーがコンピューターにログオンするアカウントします。その後、ユーザー接続を認証する Windows NT SQL Server 2005 として、SQL Server 管理者ことができます。

Windows グループを SQL Server 2005 レポート サービス (SSRS)」および「フルテキスト検索サービスの作成も SQL Server ログインに与えられます。ただし、レポート サービスと、フルテキスト検索サービスの SYSADMIN 固定サーバー ロールは準備されません。

SQL Server 2005 管理者によって厳密に分離するのには、オペレーティング システム管理者およびデータベース管理者の機能的な役割をします。これらの管理者は、不要なアクセスは、オペレーティング システムの管理者に SQL Server 2005 を保護するためにします。

詳細

不要なアクセスする SQL Server 2005 は、オペレーティング システムの管理者により困難にする方法

不要なアクセスする SQL Server 2005 は、オペレーティング システムの管理者にはより困難にするには、BUILTIN\Administrators のグループに与えられているか、ログオンのアクセス許可を削除してください。その後、SQL Server エージェントと SQL Server 2005 のサービス アカウントに直接ログインを与える必要があります。次に、SYSADMIN 固定サーバー ロールにログインを準備する必要があります。最後がそれぞれの Windows グループに与えられているか、ログインを削除する必要があります。これを行うには、次の手順を実行します。
  1. アカウントが、SYSADMIN 固定サーバー ロールのメンバーであるかどうかを確認します。このアカウントは、SQL Server 2005 のログオン アクセス許可、BUILTIN\Administrators グループのメンバーだけが付与されていません。
  2. BUILTIN\Administrators グループに与えられているか、ログオンのアクセス許可を削除します。これを行うには、次の手順を実行します。
    1. 任意のログインを変更する権限を持つユーザー アカウントを使用して SQL Server 2005 にログオンします。
    2. 展開 セキュリティを展開 ログインを右クリックして BUILTIN\Administrators、し 削除.
    3. で、 オブジェクトを削除します。 ダイアログ ボックス、クリックして [OK].
    メモ BUILTIN\Administrators のグループに与えられたログインを削除するは SQL Server 2005 へのログオン時にこのグループのメンバーシップのみに依存するすべてのアカウントは SQL Server 2005 にアクセスすることができますできなくなります。

    Microsoft クラスター サービス (MSCS) のサービス アカウントの詳細については、「サービス アカウントの Microsoft クラスター サービス (MSCS)」を参照してください。
  3. 明示的に SQL Server 2005 のログインに SQL Server 2005 と SQL Server のエージェントによって使用されるサービス アカウントに直接付与する任意のログインを変更する権限を持つアカウントを使用します。これを行うには、SQL の次のステートメントを実行します。
    CREATE LOGIN [<Domain Name>\<SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    CREATE LOGIN [<Domain Name >\<SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    
  4. 固定サーバー ロールの SYSADMIN のステップ 2 で追加のログインを提供するサーバーの役割は、SYSADMIN のメンバーであるアカウントを解決する使用します。
    EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Service Account> ', @rolename = N'sysadmin'
    EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Agent Service Account> ', @rolename = N'sysadmin'
    
  5. グループに SQL Server 2005 との SQL Server エージェントの Windows グループに与えられているか、ログインを削除するのには、任意のログインを変更するアクセス許可を持つアカウントを使用します。
    DROP LOGIN [<Computer Name>\<SQLServer2005SQLServerUser>$<Computer Name>$MSSQLSERVER]
    DROP LOGIN [<Computer Name>\<SQLServer2005AgentUser>$<Computer Name>$MSSQLSERVER]
    
これらの手順を実行すると、SQL Server 2005 のサービス アカウントと、SQL Server エージェント サービス アカウントのパスワードをオペレーティング システムの管理者から秘密にしなければなりません。MSCS サービス アカウントは、SYSADMIN 固定サーバー ロールに準備されている場合は、MSCS サービス アカウントのパスワードをまたオペレーティング システム管理者から秘密維持しなければなりません。オペレーティング システムの管理者は、SQL Server 2005 サービス アカウントまたは SQL Server エージェント サービス アカウントのパスワードを知っている場合は、オペレーティング システムの管理者をログに記録するのには、サービス アカウントを使用できます、コンピューターにログオンします。オペレーティング システムの管理者がコンピューターにログオンすると、オペレーティング システムの管理者として、SQL Server 管理者は SQL Server 2005 のインスタンスを接続できます。

SQL Server エージェントと SQL Server 2005 で使用されるサービス アカウントのパスワードの学習から、オペレーティング システムの管理者を保つには、SQL Server のシステム管理者をサービス アカウントの新しいパスワードを設定できる必要があります。ほとんどの場合、SQL Server 2005 のシステム管理者は、オペレーティング システムの管理者ありません。このため、専用のユーティリティはこの機能を提供する記述があります。たとえば、SQL Server 2005 で使用されるサービス アカウントのパスワードを変更するのには、SQL Server 2005 のシステム管理者が使用できる、信頼できるサービスを作成できませんでした。マイクロソフトは、このサービスは現在提供していません。

Microsoft クラスター サービス (MSCS) のサービス アカウント

SQL Server 2005 フェールオーバー クラスター インストールでは、MSCS サービス アカウント BUILTIN\Administrators SQL Server 2005 に、IsAlive チェックを実行するのには、ログオン時にグループ メンバーシップを依存しています。BUILTIN\Administrators グループは、フェールオーバー クラスターから削除する場合は、SQL Server 2005 のフェールオーバー クラスターにログオンするときに、MSCS サービス アカウントのアクセス許可を明示的に付与する必要があります。これを行うには、SQL Server 2005 のインスタンスで、SQL の次のステートメントを実行します。
CREATE LOGIN [<Domain Name>\<MSCS Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
SQL Server 2005 Service Pack 2 新しい診断機能を SQL Server 2005 フェールオーバー クラスターを追加します。クラスターがフェールオーバーする前に、SQL Server 2005 のクラスター リソースの状態を診断を自動的にキャプチャします。SQL Server 2005 リソース ダイナミック リンク ライブラリ (DLL) は次のように簡単に診断データを収集しています。
  • SQL Server 2005 リソース、MSCS サービス アカウントのセキュリティ コンテキストで Sqlcmd.exe ユーティリティのインスタンスを起動します。次に、SQL Server 2005 リソース、SQL スクリプトは、各種の動的管理ビュー (DMV) をサンプリング、専用管理者接続上 (DAC) を実行します。
  • クラスターがフェールオーバーする前に、SQL Server 2005 リソースは、SQL Server 2005 のプロセスのユーザー ダンプ ファイルをキャプチャします。
専用管理者接続を使用していくつかの診断データを収集するためには、MSCS サービス アカウントは、SYSADMIN 固定サーバー ロールのプロビジョニングが必要があります。MSCS サービス アカウントを SYSADMIN 固定サーバー ロールに作成できません、組織のセキュリティのベスト プラクティスを意味する場合は、固定サーバー ロールの SYSADMIN で準備されていない、SQL Server ログイン、MSCS サービス アカウントを付与できます。Sqlcmd.exe ユーティリティは SQL Server 2005 にログオンできないためこのシナリオでは、通常 Sqlcmd.exe ユーティリティでキャプチャできる診断に失敗します。SQL Server 2005 リソース DLL かどうか、サービス アカウントを SYSADMIN の DLL を提供する SQL Server 2005 リソースを固定サーバー ロールに関係なく、ユーザー ダンプ ファイルを収集することができます。

必要な場合は、固定サーバー ロール SYSADMIN のメンバーであるアカウントを使用して SQL Server 2005 にログオンします。その後、MSCS サービス アカウントは、SYSADMIN 固定サーバー ロールに追加するのには、次の SQL ステートメントを実行します。
EXEC master.sp_addsrvrolemember @loginame = N'<Domain Name>\<MSCS Service Account> ', @rolename = N'sysadmin'

サービス アカウントを変更する方法

前の手順では、SQL Server 2005 に接続するのには、オペレーティング システムの管理者は難しく可能性がありますが、前の手順では、複雑 SQL Server エージェントと SQL Server 2005 のサービス アカウントを変更するください。SQL Server エージェントと SQL Server 2005 のサービス アカウントを変更するには、次の手順を実行します。
  1. Windows グループまたはグループは、SQL Server および SQL Server のエージェントを作成するには、新しいサービス アカウントまたはサービス アカウントを追加します。
  2. SQL Server 2005 は、新しいサービス アカウントのログインを作成するのには、任意のログインを変更するアクセス許可を持つアカウントを使用します。これを行うには、任意のログインを変更するアクセス許可を持つアカウントから、SQL の次のステートメントを実行します。
    CREATE LOGIN [<Domain Name>\<New SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    CREATE LOGIN [<Domain Name>\<New SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    
  3. SQL の次のステートメントを実行するのには、SYSADMIN 固定サーバー ロールに準備されているアカウントを使用します。
    EXEC master..sp_addsrvrolemember @loginame = N’ <Domain Name>\<New SQL Server Service Account> ', @rolename = N'sysadmin'
    EXEC master..sp_addsrvrolemember @loginame = N’ <Domain Name>\<New SQL Server Agent Service Account> ', @rolename = N'sysadmin'
    
    メモ このステートメントは、SYSADMIN 固定サーバー ロールに、SQL Server 2005 のサービス アカウントと、SQL Server エージェントのサービス アカウントを追加します。
  4. SQL Server の構成マネージャーを使用して該当するサービスのサービス アカウントを変更します。これを行うには、次の手順を実行します。
    1. SQL Server の構成マネージャーでをクリックします。 SQL Server 2005 のサービス.
    2. 変更、および、クリックするサービスを右クリックします。 プロパティ.
    3. クリックして、 ログオンします。 タブし、サービスが使用するように、ユーザー アカウント情報を入力します。
    4. クリックしてください。 [OK] アカウント情報の入力が完了したら。
    メモ サービス アカウントを変更すると、SQL Server の構成マネージャー サービスを再起動するように求められます。
  5. SQL Server 2005 のサービス アカウントと、SQL Server エージェントのサービス アカウントを使用したログインを削除するのには、任意のログインを変更するアクセス許可を持つアカウントを使用します。これを行うには、SQL の次のステートメントを実行します。
    DROP LOGIN [<Domain Name>\<Old SQL Server Service Account>]
    DROP LOGIN [<Domain Name>\<Old SQL Server Agent Service Account>]
    
メモ 手順 1 がそれぞれの Windows グループに、新しいサービス アカウントを追加するため、新しい Windows NT の権限またはを新しいサービス アカウントのアクセス許可を与えることはありません。

プロセスを監査することが望ましい

SQL Server オペレーティング システム管理者によって望ましくないアクセスから保護する場合は、次のプロセスを監査することも必要があります。
  • 起動し、Windows ベースのサーバーの停止を監査します。
  • 監査の開始またはおよび SQL Server エージェント サービスは、SQL Server 2005 サービスの停止
  • どの SQL Server ではデータベース ・ ファイル、データ ファイル、ログ ファイル、およびデータベースのバックアップ ファイルに格納されているディレクトリへのアクセスを監査します。
  • SQL Server エージェントのサービス アカウントに、SQL Server 2005 のサービス アカウントの変更を監査します。
  • SQL Server 2005 のサービス アカウントで、SQL Server エージェントのサービス アカウント、または MSCS サービス アカウント ログインのネットワークとコンピューターのログインを監査します。

NT AUTHORITY\SYSTEM アカウント

AUTHORITY\SYSTEM の NT アカウントも、SQL Server のログインに与えられます。NT AUTHORITY\SYSTEM アカウントは、SYSADMIN 固定サーバー ロールに準備されています。このアカウントを削除したり、SYSADMIN 固定サーバー ロールから削除しないでください。NTAUTHORITY\SYSTEM アカウントは、SQL Server 2005 のインストールに service pack および修正プログラムを適用するのには、Microsoft Update および Microsoft SMS でが使用されます。NTAUTHORITY\SYSTEM アカウントは、SQL のライター サービスによっても使用されます。

また、シングル ユーザー モードで SQL Server 2005 を起動すると、BUILTIN\Administrators グループのメンバーシップを持つユーザーとして、SQL Server 管理者への SQL Server 2005 を接続できます。かどうかは、BUILTIN\Administrators グループ サーバー ログイン SYSADMIN 固定サーバー ロールに準備されて与えられているに関係なく、ユーザーが接続できます。この動作は仕様です。この現象はデータの回復に使用するものです。

SQL Server 2005 セキュリティのベスト プラクティスの詳細については、セキュリティ上の考慮事項は、SQL Server「インストール」の「SQL Server 2005 Books online を参照してください。

関連情報

SQL Server をインストールする場合のセキュリティに関する考慮事項の詳細については、次のマイクロソフト Web サイトを参照してください。
http://technet.microsoft.com/en-us/library/ms144228.aspx

プロパティ

文書番号: 932881 - 最終更新日: 2011年8月9日 - リビジョン: 7.0
キーワード:?
kbhowto kbinfo kbcode kbpubtypekc kbmt KB932881 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:932881
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com