Como tornar o acesso indesejável ao SQL Server 2005 por um administrador de sistema operativo mais difíceis

Traduções de Artigos Traduções de Artigos
Artigo: 932881 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

INTRODUÇÃO

O programa de configuração do Microsoft SQL Server 2005 cria um grupo Windows local para cada serviço que está a instalar. O programa de configuração do SQL Server 2005 adiciona a conta de serviço para cada serviço ao seu grupo respectivo. Para uma instalação de clusters de activação pós-falha do SQL Server, os grupos de domínio do Windows são utilizados da mesma forma. Estes grupos de domínio tem de ser criados por um administrador de domínio antes de executar o programa de configuração do SQL Server 2005. Todos os direitos do Windows NT e permissões que são necessários para um serviço específico são adicionadas pela lista de controlo de acesso de sistema (SACL, System Access Control List) para cada grupo do Windows. O administrador do domínio não lhe concede permissões directamente à conta de serviço.

Além disso, os grupos do Windows que criado para o SQL Server 2005, SQL Server Agent e o grupo BUILTIN\Administradores são concedidos inícios de sessão SQL Server 2005 que disponibilizado na função de servidor fixa SYSADMIN do SQL Server 2005. Esta configuração torna possível para qualquer conta que seja membro destes grupos para iniciar sessão no SQL Server 2005 utilizando uma ligação autenticada do Windows NT. Uma vez que o utilizador tem uma associação a grupos na função de servidor fixa SYSADMIN do SQL Server, o utilizador é iniciado no SQL Server 2005 como um administrador de sistemas do SQL Server 2005. (O utilizador é registado no utilizando a conta sa). Em seguida, o utilizador tem acesso ilimitado para a instalação do SQL Server 2005 e aos respectivos dados. Além disso, qualquer utilizador que saiba a palavra-passe para a instância do SQL Server 2005 ou para a conta do serviço SQL Server Agent pode utilizar o serviço conta para iniciar sessão computador. Em seguida, o utilizador pode efectuar uma ligação autenticada do Windows NT SQL Server 2005 como administrador do SQL Server.

Os grupos do Windows que criou para SQL Server 2005 Reporting Services (SSRS) e para o serviço de procura em texto completo também são concedidos inícios de sessão do SQL Server. No entanto, Reporting Services e o serviço de procura em texto completo não são disponibilizados na função de servidor fixa SYSADMIN.

Alguns administradores de SQL Server 2005 pretende as funções funcionais do administrador de base de dados e o administrador do sistema operativo para ser estritamente separados. Estes administradores pretendam proteger o acesso indesejável pelo administrador do sistema operativo SQL Server 2005.

Mais Informação

Como tornar o acesso indesejável ao SQL Server 2005 por um administrador de sistema operativo mais difíceis

Para tornar mais difícil acesso indesejável ao SQL Server 2005 por um administrador de sistema operativo, terá de remover as permissões de início de sessão que foram concedidas ao grupo BUILTIN\Administradores. Em seguida, tem de conceder inícios de sessão directamente para as contas de serviço para o SQL Server 2005 e SQL Server Agent. Em seguida, tem de fornecer os inícios de sessão na função de servidor fixa SYSADMIN. Finalmente, tem de eliminar inícios de sessão que foram concedidos os respectivos grupos do Windows. Para o fazer, siga estes passos:
  1. Certifique-se de que tem uma conta que é um membro da função de servidor fixa SYSADMIN. Esta conta não é concedida a permissão de início de sessão do SQL Server 2005 apenas por ser um membro do grupo BUILTIN\Administradores.
  2. Remova as permissões de início de sessão que foram concedidas ao grupo BUILTIN\Administradores. Para o fazer, siga estes passos:
    1. Inicie sessão SQL Server 2005 utilizando uma conta de utilizador que tenha a permissão de ALTER ANY início de sessão.
    2. Expanda segurança , expanda inícios de sessão , clique com o botão direito do rato BUILTIN\Administradores e, em seguida, clique em Eliminar .
    3. Na caixa de diálogo Eliminar objecto , clique em OK .
    Nota Depois de eliminar o início de sessão foi concedido ao grupo BUILTIN\Administradores, qualquer conta depende apenas os membros deste grupo para iniciar sessão no SQL Server 2005 já não conseguirá aceder SQL Server 2005.

    Para obter informações sobre a conta do serviço Microsoft Cluster Service (MSCS), consulte a secção "Conta de serviço do serviço Microsoft Cluster (MSCS)".
  3. Utilize uma conta que tenha a permissão de ALTER ANY início de sessão para lhes conceder explicitamente inícios de sessão SQL Server 2005 directamente às contas de serviço que são utilizados por SQL Server 2005 e SQL Server Agent. Para efectuar este procedimento, execute a seguinte instrução de SQL.
    CREATE LOGIN [<Domain Name>\<SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    CREATE LOGIN [<Domain Name >\<SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    
  4. Utilizar uma conta que faz parte de SYSADMIN fixo a função de servidor para fornecer os inícios de sessão que adicionou no passo 2 de SYSADMIN fixo a função de servidor.
    EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Service Account> ', @rolename = N'sysadmin'
    EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Agent Service Account> ', @rolename = N'sysadmin'
    
  5. Utilizar uma conta que tenha a permissão de ALTER ANY início de sessão para inícios de sessão que foram concedidos ao grupo do SQL Server 2005 e ao grupo do SQL Server Agent Windows eliminar.
    DROP LOGIN [<Computer Name>\<SQLServer2005SQLServerUser>$<Computer Name>$MSSQLSERVER]
    DROP LOGIN [<Computer Name>\<SQLServer2005AgentUser>$<Computer Name>$MSSQLSERVER]
    
Mesmo depois de seguir estes passos, a palavra-passe para a conta do serviço SQL Server 2005 e para a conta do serviço SQL Server Agent deve ser mantida em segredo do administrador do sistema operativo. Se a conta do serviço MSCS foram aprovisionada de SYSADMIN fixo a função de servidor, a palavra-passe da conta do serviço MSCS também pode ser mantida secreta do administrador do sistema operativo. Se o administrador do sistema operativo conhecer a palavra-passe para a conta do serviço SQL Server 2005 ou para a conta do serviço SQL Server Agent, o administrador do sistema operativo pode utilizar a conta de serviço para iniciar um computador. Depois do administrador do sistema operativo iniciar sessão no computador, o administrador do sistema operativo pode ligar a instância do SQL Server 2005 como administrador do SQL Server.

Para impedir que o administrador do sistema operativo saber a palavra-passe das contas de serviço que são utilizados por SQL Server 2005 e SQL Server Agent, o administrador de sistema do SQL Server tem de poder definir uma nova palavra-passe para a conta de serviço. Na maioria dos casos, o administrador de sistema SQL Server 2005 não é um administrador de sistema operativo. Por este motivo, um utilitário de finalidade especial deve ser escrito fornece esta funcionalidade. Por exemplo, pode criar um serviço fidedigno que o administrador de sistema SQL Server 2005 pode utilizar para alterar as palavras-passe para as contas de serviço que são utilizadas pelo SQL Server 2005. A Microsoft actualmente não oferece este serviço.

Conta do serviço Microsoft Cluster Service (MSCS)

Numa instalação SQL Server 2005 clusters de activação pós-falha, a conta do serviço MSCS depende dos membros do grupo BUILTIN\Administradores para iniciar sessão no SQL Server 2005 para executar a verificação IsAlive. Se remover o grupo BUILTIN\Administradores de um cluster de activação pós-falha, tem de conceder explicitamente as permissões de conta de serviço do MSCS para sessão ao cluster de activação pós-falha do SQL Server 2005. Para efectuar este procedimento, execute a seguinte instrução de SQL na instância do SQL Server 2005.
CREATE LOGIN [<Domain Name>\<MSCS Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
SQL Server 2005 Service Pack 2 adicionado novas capacidades de diagnóstico para clusters de activação pós-falha do SQL Server 2005. O diagnóstico captura automaticamente o estado do recurso de cluster do SQL Server 2005 antes do cluster falha sobre. A biblioteca de ligação dinâmica do SQL Server 2005 recursos (DLL) efectua recolher estes dados de diagnóstico mais fácil, da seguinte forma:
  • O recurso de SQL Server 2005 inicia uma instância do utilitário sqlcmd.exe no contexto de segurança da conta de serviço MSCS. Em seguida, o recurso de SQL Server 2005 executa um script SQL através de uma ligação de administrador dedicada (DAC) que samples várias vistas de gestão dinâmica (DMV).
  • O recurso de SQL Server 2005 captura um ficheiro de informação de utilizador do processo SQL Server 2005 antes do cluster falha sobre.
Uma vez que uma ligação de administrador dedicada é utilizada para recolher alguns dados de diagnóstico, a conta do serviço MSCS tem de ser disponibilizada na função de servidor fixa SYSADMIN. Se as práticas de segurança da organização significam que a conta do serviço MSCS não pode ser disponibilizada em SYSADMIN fixo a função de servidor, a conta do serviço MSCS pode ser concedida um início de sessão do SQL Server não é disponibilizado no SYSADMIN fixo função de servidor. Neste cenário, os diagnósticos normalmente são capturados pelo utilitário sqlcmd.exe falhará porque o utilitário sqlcmd.exe não é possível iniciar sessão no SQL Server 2005. O recurso de SQL Server 2005 DLL deverá conseguir reunir um ficheiro de informação de utilizador independentemente se a conta serviço do SQL Server 2005 recurso que dll é disponibilizado no SYSADMIN fixo em função de servidor.

Se pretender, inicie sessão no SQL Server 2005 utilizando uma conta que seja membro de SYSADMIN fixo a função de servidor. Em seguida, execute a seguinte instrução de SQL para adicionar a conta do serviço MSCS à função de servidor fixa SYSADMIN.
EXEC master.sp_addsrvrolemember @loginame = N'<Domain Name>\<MSCS Service Account> ', @rolename = N'sysadmin'

Como alterar as contas de serviço

Apesar dos passos anteriores poderão tornar mais difícil para um administrador de sistema operativo para ligar ao SQL Server 2005, os passos anteriores tornam mais complicado para alterar as contas de serviço para o SQL Server 2005 e SQL Server Agent. Para alterar as contas de serviço para o SQL Server 2005 e SQL Server Agent, siga estes passos:
  1. Adicione a nova conta de serviço ou contas de serviço ao grupo do Windows ou grupos que criou para o SQL Server e o SQL Server Agent.
  2. Utilize uma conta que tenha a permissão de ALTER ANY início de sessão para criar um login do SQL Server 2005 para as novas contas de serviço. Para efectuar este procedimento, execute a seguinte instrução de SQL da conta que tenha a permissão de ALTER ANY início de sessão.
    CREATE LOGIN [<Domain Name>\<New SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    CREATE LOGIN [<Domain Name>\<New SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    
  3. Utilize uma conta que é disponibilizada na função de servidor fixa SYSADMIN para executar a seguinte instrução de SQL.
    EXEC master..sp_addsrvrolemember @loginame = N? <Domain Name>\<New SQL Server Service Account> ', @rolename = N'sysadmin'
    EXEC master..sp_addsrvrolemember @loginame = N? <Domain Name>\<New SQL Server Agent Service Account> ', @rolename = N'sysadmin'
    
    Nota esta instrução adiciona a conta do serviço SQL Server 2005 e a conta do serviço SQL Server Agent à função de servidor fixa SYSADMIN.
  4. Alterar a conta de serviço para o serviço apropriado, utilizando o SQL Server Configuration Manager. Para o fazer, siga estes passos:
    1. No Gestor de configuração de servidor de SQL, clique em Serviços do SQL Server 2005 .
    2. Clique com o botão direito do rato no serviço que pretende modificar e, em seguida, clique em Propriedades .
    3. Clique no separador Iniciar sessão no e, em seguida, introduza as informações de conta de utilizador que pretende utilizar o serviço.
    4. Clique em OK quando acabar de introduzir as informações da conta.
    Nota Quando alterar a conta de serviço, o Gestor de configuração do SQL Server pede-lhe para reiniciar o serviço.
  5. Utilize uma conta que tenha a permissão de ALTER ANY início de sessão para eliminar inícios de sessão que foram utilizados pela conta do serviço SQL Server 2005 e a conta do serviço SQL Server Agent. Para efectuar este procedimento, execute a seguinte instrução de SQL.
    DROP LOGIN [<Domain Name>\<Old SQL Server Service Account>]
    DROP LOGIN [<Domain Name>\<Old SQL Server Agent Service Account>]
    
Nota Não é necessário conceder quaisquer novos direitos do Windows NT ou permissões para as novas contas de serviço porque adicionadas novas contas de serviço aos respectivos grupos do Windows no passo 1.

Recomendação processos de auditoria

Se pretender proteger o acesso indesejável por administradores de sistema operativo do SQL Server, também deve auditar os seguintes processos:
  • Auditar inicia e pára de servidor baseado no Windows.
  • Auditoria inicia e pára os serviços do SQL Server 2005 e dos serviços do SQL Server Agent.
  • Auditar o acesso a directórios em que o SQL Server ficheiros da base de dados, ficheiros de dados, ficheiros de registo e ficheiros de cópia de segurança da base de dados são armazenados.
  • Auditar alterações para a conta do serviço SQL Server 2005 e para a conta do serviço SQL Server Agent.
  • Auditar inícios de sessão de rede e inícios de sessão do computador, a conta do serviço SQL Server 2005, a conta do serviço SQL Server Agent ou a conta do serviço MSCS.

A conta NT AUTHORITY\SYSTEM

A conta NT AUTHORITY\SYSTEM também é concedida um início de sessão do SQL Server. A conta NT AUTHORITY\SYSTEM é disponibilizada na função de servidor fixa SYSADMIN. Não elimine esta conta ou remover da função de servidor fixa SYSADMIN. A conta NTAUTHORITY\SYSTEM é utilizada pelo Microsoft Update e pelo Microsoft SMS para aplicar service packs e correcções para uma instalação do SQL Server 2005. A conta NTAUTHORITY\SYSTEM também é utilizada pelo serviço de escritor SQL.

Além disso, se o SQL Server 2005 é iniciado no modo de utilizador único, qualquer utilizador que é membro do grupo BUILTIN\Administradores poderão ligar ao SQL Server 2005 como administrador do SQL Server. O utilizador pode ligar independentemente se o grupo BUILTIN\Administradores foi concedido um login do servidor que é disponibilizado no SYSADMIN fixo a função de servidor. Este comportamento ocorre por predefinição. Este comportamento destina-se a ser utilizado para cenários de recuperação de dados.

Para obter mais informações sobre os procedimentos recomendados de segurança para o SQL Server 2005, consulte o tópico "Segurança considerações para um SQL Server instalação" no SQL Server 2005 Books Online.

Referências

Para obter mais informações sobre considerações de segurança para uma instalação do SQL Server, visite o seguinte site da Web da Microsoft TechNet:
http://technet.microsoft.com/en-us/library/ms144228.aspx

Propriedades

Artigo: 932881 - Última revisão: 13 de fevereiro de 2009 - Revisão: 3.1
A informação contida neste artigo aplica-se a:
  • Microsoft SQL 2005 Server Enterprise
  • Microsoft SQL Server 2005 Enterprise X64 Edition
  • Microsoft SQL Server 2005 Enterprise Edition for Itanium Based Systems
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Standard X64 Edition
Palavras-chave: 
kbmt kbpubtypekc kbcode kbinfo kbhowto KB932881 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 932881

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com