Artigo: 932881 - �ltima revis�o: sexta-feira, 13 de Fevereiro de 2009 - Revis�o: 3.1

Como tornar o acesso indesej�vel ao SQL Server 2005 por um administrador de sistema operativo mais dif�ceis

Clique aqui para exibir o artigo traduzido e o artigo original em ingl�s, lado a lado.

Ver isen��o de responsabilidades para tradu��o autom�tica

Ver produtos para os quais este artigo se aplica.

Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que est� a utilizar. Foi desactivado o conte�do do artigo, que pode n�o ser relevante para si.

O programa de configura��o do Microsoft SQL Server 2005 cria um grupo Windows local para cada servi�o que est� a instalar. O programa de configura��o do SQL Server 2005 adiciona a conta de servi�o para cada servi�o ao seu grupo respectivo. Para uma instala��o de clusters de activa��o p�s-falha do SQL Server, os grupos de dom�nio do Windows s�o utilizados da mesma forma. Estes grupos de dom�nio tem de ser criados por um administrador de dom�nio antes de executar o programa de configura��o do SQL Server 2005. Todos os direitos do Windows NT e permiss�es que s�o necess�rios para um servi�o espec�fico s�o adicionadas pela lista de controlo de acesso de sistema (SACL, System Access Control List) para cada grupo do Windows. O administrador do dom�nio n�o lhe concede permiss�es directamente � conta de servi�o.

Al�m disso, os grupos do Windows que criado para o SQL Server 2005, SQL Server Agent e o grupo BUILTIN\Administradores s�o concedidos in�cios de sess�o SQL Server 2005 que disponibilizado na fun��o de servidor fixa SYSADMIN do SQL Server 2005. Esta configura��o torna poss�vel para qualquer conta que seja membro destes grupos para iniciar sess�o no SQL Server 2005 utilizando uma liga��o autenticada do Windows NT. Uma vez que o utilizador tem uma associa��o a grupos na fun��o de servidor fixa SYSADMIN do SQL Server, o utilizador � iniciado no SQL Server 2005 como um administrador de sistemas do SQL Server 2005. (O utilizador � registado no utilizando a conta sa). Em seguida, o utilizador tem acesso ilimitado para a instala��o do SQL Server 2005 e aos respectivos dados. Al�m disso, qualquer utilizador que saiba a palavra-passe para a inst�ncia do SQL Server 2005 ou para a conta do servi�o SQL Server Agent pode utilizar o servi�o conta para iniciar sess�o computador. Em seguida, o utilizador pode efectuar uma liga��o autenticada do Windows NT SQL Server 2005 como administrador do SQL Server.

Os grupos do Windows que criou para SQL Server 2005 Reporting Services (SSRS) e para o servi�o de procura em texto completo tamb�m s�o concedidos in�cios de sess�o do SQL Server. No entanto, Reporting Services e o servi�o de procura em texto completo n�o s�o disponibilizados na fun��o de servidor fixa SYSADMIN.

Alguns administradores de SQL Server 2005 pretende as fun��es funcionais do administrador de base de dados e o administrador do sistema operativo para ser estritamente separados. Estes administradores pretendam proteger o acesso indesej�vel pelo administrador do sistema operativo SQL Server 2005.

Voltar ao topo

Mais Informa��o

Como tornar o acesso indesej�vel ao SQL Server 2005 por um administrador de sistema operativo mais dif�ceis

Para tornar mais dif�cil acesso indesej�vel ao SQL Server 2005 por um administrador de sistema operativo, ter� de remover as permiss�es de in�cio de sess�o que foram concedidas ao grupo BUILTIN\Administradores. Em seguida, tem de conceder in�cios de sess�o directamente para as contas de servi�o para o SQL Server 2005 e SQL Server Agent. Em seguida, tem de fornecer os in�cios de sess�o na fun��o de servidor fixa SYSADMIN. Finalmente, tem de eliminar in�cios de sess�o que foram concedidos os respectivos grupos do Windows. Para o fazer, siga estes passos:

Certifique-se de que tem uma conta que � um membro da fun��o de servidor fixa SYSADMIN. Esta conta n�o � concedida a permiss�o de in�cio de sess�o do SQL Server 2005 apenas por ser um membro do grupo BUILTIN\Administradores.
Remova as permiss�es de in�cio de sess�o que foram concedidas ao grupo BUILTIN\Administradores. Para o fazer, siga estes passos:
1. Inicie sess�o SQL Server 2005 utilizando uma conta de utilizador que tenha a permiss�o de ALTER ANY in�cio de sess�o.
2. Expanda seguran�a , expanda in�cios de sess�o , clique com o bot�o direito do rato BUILTIN\Administradores e, em seguida, clique em Eliminar .
3. Na caixa de di�logo Eliminar objecto , clique em OK .
Nota Depois de eliminar o in�cio de sess�o foi concedido ao grupo BUILTIN\Administradores, qualquer conta depende apenas os membros deste grupo para iniciar sess�o no SQL Server 2005 j� n�o conseguir� aceder SQL Server 2005.

Para obter informa��es sobre a conta do servi�o Microsoft Cluster Service (MSCS), consulte a sec��o "Conta de servi�o do servi�o Microsoft Cluster (MSCS)".
Utilize uma conta que tenha a permiss�o de ALTER ANY in�cio de sess�o para lhes conceder explicitamente in�cios de sess�o SQL Server 2005 directamente �s contas de servi�o que s�o utilizados por SQL Server 2005 e SQL Server Agent. Para efectuar este procedimento, execute a seguinte instru��o de SQL.
CREATE LOGIN [<Domain Name>\<SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master] CREATE LOGIN [<Domain Name >\<SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]

Utilizar uma conta que faz parte de SYSADMIN fixo a fun��o de servidor para fornecer os in�cios de sess�o que adicionou no passo 2 de SYSADMIN fixo a fun��o de servidor.

EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Service Account> ', @rolename = N'sysadmin'
EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Agent Service Account> ', @rolename = N'sysadmin'

Utilizar uma conta que tenha a permiss�o de ALTER ANY in�cio de sess�o para in�cios de sess�o que foram concedidos ao grupo do SQL Server 2005 e ao grupo do SQL Server Agent Windows eliminar.
DROP LOGIN [<Computer Name>\<SQLServer2005SQLServerUser>$<Computer Name>$MSSQLSERVER] DROP LOGIN [<Computer Name>\<SQLServer2005AgentUser>$<Computer Name>$MSSQLSERVER]

Mesmo depois de seguir estes passos, a palavra-passe para a conta do servi�o SQL Server 2005 e para a conta do servi�o SQL Server Agent deve ser mantida em segredo do administrador do sistema operativo. Se a conta do servi�o MSCS foram aprovisionada de SYSADMIN fixo a fun��o de servidor, a palavra-passe da conta do servi�o MSCS tamb�m pode ser mantida secreta do administrador do sistema operativo. Se o administrador do sistema operativo conhecer a palavra-passe para a conta do servi�o SQL Server 2005 ou para a conta do servi�o SQL Server Agent, o administrador do sistema operativo pode utilizar a conta de servi�o para iniciar um computador. Depois do administrador do sistema operativo iniciar sess�o no computador, o administrador do sistema operativo pode ligar a inst�ncia do SQL Server 2005 como administrador do SQL Server.

Para impedir que o administrador do sistema operativo saber a palavra-passe das contas de servi�o que s�o utilizados por SQL Server 2005 e SQL Server Agent, o administrador de sistema do SQL Server tem de poder definir uma nova palavra-passe para a conta de servi�o. Na maioria dos casos, o administrador de sistema SQL Server 2005 n�o � um administrador de sistema operativo. Por este motivo, um utilit�rio de finalidade especial deve ser escrito fornece esta funcionalidade. Por exemplo, pode criar um servi�o fidedigno que o administrador de sistema SQL Server 2005 pode utilizar para alterar as palavras-passe para as contas de servi�o que s�o utilizadas pelo SQL Server 2005. A Microsoft actualmente n�o oferece este servi�o.

Voltar ao topo

Conta do servi�o Microsoft Cluster Service (MSCS)

Numa instala��o SQL Server 2005 clusters de activa��o p�s-falha, a conta do servi�o MSCS depende dos membros do grupo BUILTIN\Administradores para iniciar sess�o no SQL Server 2005 para executar a verifica��o IsAlive. Se remover o grupo BUILTIN\Administradores de um cluster de activa��o p�s-falha, tem de conceder explicitamente as permiss�es de conta de servi�o do MSCS para sess�o ao cluster de activa��o p�s-falha do SQL Server 2005. Para efectuar este procedimento, execute a seguinte instru��o de SQL na inst�ncia do SQL Server 2005.

CREATE LOGIN [<Domain Name>\<MSCS Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]

SQL Server 2005 Service Pack 2 adicionado novas capacidades de diagn�stico para clusters de activa��o p�s-falha do SQL Server 2005. O diagn�stico captura automaticamente o estado do recurso de cluster do SQL Server 2005 antes do cluster falha sobre. A biblioteca de liga��o din�mica do SQL Server 2005 recursos (DLL) efectua recolher estes dados de diagn�stico mais f�cil, da seguinte forma:

O recurso de SQL Server 2005 inicia uma inst�ncia do utilit�rio sqlcmd.exe no contexto de seguran�a da conta de servi�o MSCS. Em seguida, o recurso de SQL Server 2005 executa um script SQL atrav�s de uma liga��o de administrador dedicada (DAC) que samples v�rias vistas de gest�o din�mica (DMV).
O recurso de SQL Server 2005 captura um ficheiro de informa��o de utilizador do processo SQL Server 2005 antes do cluster falha sobre.

Uma vez que uma liga��o de administrador dedicada � utilizada para recolher alguns dados de diagn�stico, a conta do servi�o MSCS tem de ser disponibilizada na fun��o de servidor fixa SYSADMIN. Se as pr�ticas de seguran�a da organiza��o significam que a conta do servi�o MSCS n�o pode ser disponibilizada em SYSADMIN fixo a fun��o de servidor, a conta do servi�o MSCS pode ser concedida um in�cio de sess�o do SQL Server n�o � disponibilizado no SYSADMIN fixo fun��o de servidor. Neste cen�rio, os diagn�sticos normalmente s�o capturados pelo utilit�rio sqlcmd.exe falhar� porque o utilit�rio sqlcmd.exe n�o � poss�vel iniciar sess�o no SQL Server 2005. O recurso de SQL Server 2005 DLL dever� conseguir reunir um ficheiro de informa��o de utilizador independentemente se a conta servi�o do SQL Server 2005 recurso que dll � disponibilizado no SYSADMIN fixo em fun��o de servidor.

Se pretender, inicie sess�o no SQL Server 2005 utilizando uma conta que seja membro de SYSADMIN fixo a fun��o de servidor. Em seguida, execute a seguinte instru��o de SQL para adicionar a conta do servi�o MSCS � fun��o de servidor fixa SYSADMIN.

EXEC master.sp_addsrvrolemember @loginame = N'<Domain Name>\<MSCS Service Account> ', @rolename = N'sysadmin'

Voltar ao topo

Como alterar as contas de servi�o

Apesar dos passos anteriores poder�o tornar mais dif�cil para um administrador de sistema operativo para ligar ao SQL Server 2005, os passos anteriores tornam mais complicado para alterar as contas de servi�o para o SQL Server 2005 e SQL Server Agent. Para alterar as contas de servi�o para o SQL Server 2005 e SQL Server Agent, siga estes passos:

Adicione a nova conta de servi�o ou contas de servi�o ao grupo do Windows ou grupos que criou para o SQL Server e o SQL Server Agent.
Utilize uma conta que tenha a permiss�o de ALTER ANY in�cio de sess�o para criar um login do SQL Server 2005 para as novas contas de servi�o. Para efectuar este procedimento, execute a seguinte instru��o de SQL da conta que tenha a permiss�o de ALTER ANY in�cio de sess�o.
CREATE LOGIN [<Domain Name>\<New SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master] CREATE LOGIN [<Domain Name>\<New SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
Utilize uma conta que � disponibilizada na fun��o de servidor fixa SYSADMIN para executar a seguinte instru��o de SQL.
EXEC master..sp_addsrvrolemember @loginame = N? <Domain Name>\<New SQL Server Service Account> ', @rolename = N'sysadmin' EXEC master..sp_addsrvrolemember @loginame = N? <Domain Name>\<New SQL Server Agent Service Account> ', @rolename = N'sysadmin'
Nota esta instru��o adiciona a conta do servi�o SQL Server 2005 e a conta do servi�o SQL Server Agent � fun��o de servidor fixa SYSADMIN.
Alterar a conta de servi�o para o servi�o apropriado, utilizando o SQL Server Configuration Manager. Para o fazer, siga estes passos:
1. No Gestor de configura��o de servidor de SQL, clique em Servi�os do SQL Server 2005 .
2. Clique com o bot�o direito do rato no servi�o que pretende modificar e, em seguida, clique em Propriedades .
3. Clique no separador Iniciar sess�o no e, em seguida, introduza as informa��es de conta de utilizador que pretende utilizar o servi�o.
4. Clique em OK quando acabar de introduzir as informa��es da conta.
Nota Quando alterar a conta de servi�o, o Gestor de configura��o do SQL Server pede-lhe para reiniciar o servi�o.
Utilize uma conta que tenha a permiss�o de ALTER ANY in�cio de sess�o para eliminar in�cios de sess�o que foram utilizados pela conta do servi�o SQL Server 2005 e a conta do servi�o SQL Server Agent. Para efectuar este procedimento, execute a seguinte instru��o de SQL.
DROP LOGIN [<Domain Name>\<Old SQL Server Service Account>] DROP LOGIN [<Domain Name>\<Old SQL Server Agent Service Account>]

Nota N�o � necess�rio conceder quaisquer novos direitos do Windows NT ou permiss�es para as novas contas de servi�o porque adicionadas novas contas de servi�o aos respectivos grupos do Windows no passo 1.

Voltar ao topo

Recomenda��o processos de auditoria

Se pretender proteger o acesso indesej�vel por administradores de sistema operativo do SQL Server, tamb�m deve auditar os seguintes processos:

Auditar inicia e p�ra de servidor baseado no Windows.
Auditoria inicia e p�ra os servi�os do SQL Server 2005 e dos servi�os do SQL Server Agent.
Auditar o acesso a direct�rios em que o SQL Server ficheiros da base de dados, ficheiros de dados, ficheiros de registo e ficheiros de c�pia de seguran�a da base de dados s�o armazenados.
Auditar altera��es para a conta do servi�o SQL Server 2005 e para a conta do servi�o SQL Server Agent.
Auditar in�cios de sess�o de rede e in�cios de sess�o do computador, a conta do servi�o SQL Server 2005, a conta do servi�o SQL Server Agent ou a conta do servi�o MSCS.

Voltar ao topo

A conta NT AUTHORITY\SYSTEM

A conta NT AUTHORITY\SYSTEM tamb�m � concedida um in�cio de sess�o do SQL Server. A conta NT AUTHORITY\SYSTEM � disponibilizada na fun��o de servidor fixa SYSADMIN. N�o elimine esta conta ou remover da fun��o de servidor fixa SYSADMIN. A conta NTAUTHORITY\SYSTEM � utilizada pelo Microsoft Update e pelo Microsoft SMS para aplicar service packs e correc��es para uma instala��o do SQL Server 2005. A conta NTAUTHORITY\SYSTEM tamb�m � utilizada pelo servi�o de escritor SQL.

Al�m disso, se o SQL Server 2005 � iniciado no modo de utilizador �nico, qualquer utilizador que � membro do grupo BUILTIN\Administradores poder�o ligar ao SQL Server 2005 como administrador do SQL Server. O utilizador pode ligar independentemente se o grupo BUILTIN\Administradores foi concedido um login do servidor que � disponibilizado no SYSADMIN fixo a fun��o de servidor. Este comportamento ocorre por predefini��o. Este comportamento destina-se a ser utilizado para cen�rios de recupera��o de dados.

Para obter mais informa��es sobre os procedimentos recomendados de seguran�a para o SQL Server 2005, consulte o t�pico "Seguran�a considera��es para um SQL Server instala��o" no SQL Server 2005 Books Online.

Voltar ao topo

Refer�ncias

Para obter mais informa��es sobre considera��es de seguran�a para uma instala��o do SQL Server, visite o seguinte site da Web da Microsoft TechNet:

http://technet.microsoft.com/en-us/library/ms144228.aspx (http://technet.microsoft.com/en-us/library/ms144228.aspx)

Voltar ao topo

A informa��o contida neste artigo aplica-se a:

Microsoft SQL 2005 Server Enterprise
Microsoft SQL Server 2005 Enterprise X64 Edition
Microsoft SQL Server 2005 Enterprise Edition for Itanium Based Systems
Microsoft SQL Server 2005 Developer Edition
Microsoft SQL Server 2005 Standard Edition
Microsoft SQL Server 2005 Standard X64 Edition

Voltar ao topo

kbmt kbpubtypekc kbcode kbinfo kbhowto KB932881 KbMtpt

Voltar ao topo

Tradu��o autom�tica

IMPORTANTE: Este artigo foi traduzido por um sistema de tradu��o autom�tica (tamb�m designado por Machine translation ou MT), n�o tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplica��es (MT) e artigos traduzidos por tradutores profissionais. O objectivo � simples: oferecer em Portugu�s a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradu��o autom�tica n�o � sempre perfeita. Esta pode conter erros de vocabul�rio, sintaxe ou gram�tica? erros semelhantes aos que um estrangeiro realiza ao falar em Portugu�s. A Microsoft n�o � respons�vel por incoer�ncias, erros ou estragos realizados na sequ�ncia da utiliza��o dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualiza��es frequentes ao software de tradu��o autom�tica (MT). Obrigado.

Clique aqui para ver a vers�o em Ingl�s deste artigo: 932881� (http://support.microsoft.com/kb/932881/en-us/ )

Voltar ao topo