ID do artigo: 932881 - �ltima revis�o: sexta-feira, 13 de fevereiro de 2009 - Revis�o: 3.1

Como tornar mais dif�cil acesso indesejado para o SQL Server 2005 por um administrador de sistema operacional

Clique aqui para exibir o artigo traduzido e o artigo original em ingl�s, lado a lado.

Exibir Aviso de Isen��o de Tradu��o Autom�tica

Exibir os produtos aos quais esse artigo se aplica.

Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que est� a utilizar. Foi desactivado o conte�do do artigo, que pode n�o ser relevante para si.

O programa de instala��o do Microsoft SQL Server 2005 cria um grupo Windows local para cada servi�o que voc� instalar. O programa de instala��o do SQL Server 2005 adiciona a conta servi�o para cada servi�o para seu respectivo grupo. Para uma instala��o de cluster de failover do SQL Server, os grupos de dom�nio do Windows s�o usados da mesma maneira. Esses grupos de dom�nio devem ser criados por um administrador de dom�nio antes de executar o programa de instala��o do SQL Server 2005. Todos os direitos do Windows NT e permiss�es que s�o exigidas por um servi�o espec�fico s�o adicionadas pela lista de controle de acesso do sistema (SACL) a cada grupo do Windows. O administrador de dom�nio n�o concede permiss�es diretamente � conta de servi�o.

Al�m disso, os grupos do Windows que voc� criou para o SQL Server 2005, SQL Server Agent e o grupo BUILTIN\Administradores recebem logons do SQL Server 2005 que configurado na fun��o de servidor fixa SYSADMIN do SQL Server 2005. Essa configura��o torna poss�vel para qualquer conta que seja membro desses grupos para fazer logon no SQL Server 2005 usando uma conex�o autenticada do Windows NT. Porque o usu�rio tem uma associa��o de grupo na fun��o de servidor fixa SYSADMIN do SQL Server, o usu�rio � registrado no SQL Server 2005 como um administrador de sistemas SQL Server 2005. (O usu�rio � conectado usando a conta sa). Em seguida, o usu�rio tem acesso irrestrito para a instala��o do SQL Server 2005 e a seus dados. Al�m disso, qualquer usu�rio que conhece a senha para a inst�ncia do SQL Server 2005 ou para a conta de servi�o do SQL Server Agent pode usar o servi�o de conta para fazer logon computador. Em seguida, o usu�rio pode fazer uma conex�o autenticada do Windows NT para o SQL Server 2005 como um administrador do SQL Server.

Os grupos do Windows que voc� criou para SQL Server 2005 Reporting Services (SSRS) e para o servi�o de pesquisa de texto completo tamb�m recebem logins do SQL Server. No entanto, Reporting Services e o servi�o de pesquisa de texto completo n�o est�o configurados na fun��o de servidor fixa SYSADMIN.

Alguns administradores do SQL Server 2005 que as fun��es funcionais do administrador do banco de dados e do administrador do sistema operacional a ser estritamente separados. Esses administradores desejam proteger o SQL Server 2005 contra acesso indesejado pelo administrador do sistema operacional.

Voltar para o in�cio

Mais Informa��es

Como tornar mais dif�cil acesso indesejado para o SQL Server 2005 por um administrador de sistema operacional

Para tornar mais dif�cil acesso indesejado para o SQL Server 2005 por um administrador de sistema operacional, voc� deve remover as permiss�es de logon que foram concedidas ao grupo BUILTIN\Administradores. Em seguida, voc� deve conceder logons diretamente para as contas de servi�o para SQL Server 2005 e SQL Server Agent. Em seguida, voc� deve configurar os logons na fun��o de servidor fixa SYSADMIN. Finalmente, voc� deve excluir os logons que foram concedidos a seus respectivos grupos. Para fazer isso, execute as seguintes etapas:

Verifique se voc� tem uma conta que � um membro da fun��o de servidor fixa SYSADMIN. Essa conta n�o � concedida a permiss�o de logon do SQL Server 2005 somente por ser um membro do grupo BUILTIN\Administradores.
Remova as permiss�es de logon que foram concedidas ao grupo BUILTIN\Administradores. Para fazer isso, execute as seguintes etapas:
1. Fazer logon no SQL Server 2005 usando uma conta de usu�rio que tenha a permiss�o ALTER ANY LOGIN.
2. Expanda seguran�a , expanda logons , clique com o bot�o direito do mouse BUILTIN\Administrators e, em seguida, clique em Excluir .
3. Na caixa de di�logo Excluir objeto , clique em OK .
Observa��o Depois de excluir o logon foi concedido ao grupo BUILTIN\Administradores, qualquer conta que depende somente da participa��o neste grupo para fazer logon no SQL Server 2005 n�o ser� capaz de acesso SQL Server 2005.

Para obter informa��es sobre a conta de servi�o MSCS (Microsoft Cluster Service), consulte a se��o "Conta de servi�o do Microsoft Cluster Service (MSCS)".
Use uma conta que tenha a permiss�o ALTER ANY LOGIN para conceder explicitamente logons do SQL Server 2005 diretamente para as contas de servi�o que s�o usadas pelo SQL Server 2005 e pelo SQL Server Agent. Para fazer isso, execute a seguinte instru��o SQL.
CREATE LOGIN [<Domain Name>\<SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master] CREATE LOGIN [<Domain Name >\<SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]

Use uma conta que seja membro de SYSADMIN fixo fun��o de servidor para configurar os logons que voc� adicionou na etapa 2 do SYSADMIN fixo fun��o de servidor.

EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Service Account> ', @rolename = N'sysadmin'
EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Agent Service Account> ', @rolename = N'sysadmin'

Usar uma conta que tenha a permiss�o ALTER ANY LOGIN para excluir os logons que foram concedidos ao grupo do SQL Server 2005 e ao grupo do Windows do SQL Server Agent.

DROP LOGIN [<Computer Name>\<SQLServer2005SQLServerUser>$<Computer Name>$MSSQLSERVER]
DROP LOGIN [<Computer Name>\<SQLServer2005AgentUser>$<Computer Name>$MSSQLSERVER]

Mesmo depois de seguir essas etapas, a senha para a conta de servi�o do SQL Server 2005 e para a conta de servi�o do SQL Server Agent deve ser mantida secreta do administrador do sistema operacional. Se a conta de servi�o MSCS tiver sido configurada no SYSADMIN fun��o de servidor fixa, a senha da conta servi�o MSCS deve tamb�m ser mantida em segredo do administrador do sistema operacional. Se o administrador do sistema operacional sabe a senha para a conta de servi�o do SQL Server 2005 ou para a conta de servi�o do SQL Server Agent, o administrador do sistema operacional pode usar a conta de servi�o para fazer logon em um computador. Depois que o administrador do sistema operacional fizer logon no computador, o administrador do sistema operacional pode se conectar � inst�ncia do SQL Server 2005 como um administrador do SQL Server.

Para impedir que o administrador do sistema operacional aprendendo a senha das contas de servi�o s�o usados pelo SQL Server 2005 e pelo SQL Server Agent, o administrador do sistema do SQL Server deve poder definir uma nova senha para a conta de servi�o. Na maioria dos casos, o administrador do sistema SQL Server 2005 n�o � um administrador do sistema operacional. Portanto, um utilit�rio de prop�sito especial deve ser escrito para fornecer essa funcionalidade. Por exemplo, voc� pode criar um servi�o confi�vel que o administrador do sistema SQL Server 2005 pode usar para alterar as senhas das contas de servi�o s�o usadas pelo SQL Server 2005. A Microsoft atualmente n�o oferece esse servi�o.

Voltar para o in�cio

Conta de servi�o MSCS (Microsoft Cluster Service)

Em instala��o de cluster de failover uma SQL Server 2005, a conta de servi�o MSCS depende de participa��o no grupo BUILTIN\Administrators para fazer logon no SQL Server 2005 para executar a verifica��o de IsAlive. Se voc� remover o grupo BUILTIN\Administradores de um cluster de failover, voc� deve conceder explicitamente as permiss�es de conta de servi�o MSCS para fazer logon no cluster de failover do SQL Server 2005. Para fazer isso, execute a seguinte instru��o SQL na inst�ncia do SQL Server 2005.

CREATE LOGIN [<Domain Name>\<MSCS Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]

SQL Server 2005 Service Pack 2 adicionado novos recursos de diagn�stico para clusters de failover do SQL Server 2005. O diagn�stico captura automaticamente o estado do recurso de cluster do SQL Server 2005 antes do cluster de failover. A biblioteca de v�nculo din�mico de recurso SQL Server 2005 (DLL) faz coletar esses dados de diagn�stico mais f�cil, da seguinte maneira:

O recurso do SQL Server 2005 inicia uma inst�ncia do utilit�rio Sqlcmd.exe no contexto de seguran�a da conta de servi�o do MSCS. Em seguida, o recurso do SQL Server 2005 executa um script SQL em uma conex�o administrador dedicada (DAC) exemplos v�rias exibi��es de gerenciamento din�mico de (DMV).
O recurso do SQL Server 2005 captura um arquivo de despejo do usu�rio do processo do SQL Server 2005 antes do cluster de failover.

Como uma conex�o dedicada do administrador � usada para coletar alguns dados de diagn�stico, a conta de servi�o MSCS deve ser configurada na fun��o de servidor fixa SYSADMIN. Se as pr�ticas de seguran�a da sua organiza��o significam que a conta de servi�o MSCS n�o pode ser configurada no SYSADMIN fun��o de servidor fixa, a conta de servi�o MSCS pode ser concedida um logon do SQL Server que n�o est� configurado no SYSADMIN fixo fun��o de servidor. Nesse cen�rio, o diagn�stico que geralmente � capturado pelo utilit�rio Sqlcmd.exe falhar� porque o utilit�rio Sqlcmd.exe n�o pode fazer logon no SQL Server 2005. O recurso do SQL Server 2005 DLL deve ser capaz coletar um arquivo de despejo do usu�rio independentemente se a conta de servi�o do SQL Server 2005 recurso que dll � configurado no SYSADMIN fixo fun��o de servidor.

Se desejar, fazer logon no SQL Server 2005 usando uma conta que seja membro de SYSADMIN fun��o de servidor fixa. Em seguida, execute a seguinte instru��o SQL para adicionar a conta de servi�o MSCS a fun��o de servidor fixa SYSADMIN.

EXEC master.sp_addsrvrolemember @loginame = N'<Domain Name>\<MSCS Service Account> ', @rolename = N'sysadmin'

Voltar para o in�cio

Como alterar as contas de servi�o

Embora as etapas anteriores podem tornar mais dif�cil para um administrador do sistema operacional para se conectar ao SQL Server 2005, as etapas anteriores tornam mais complicado para alterar as contas de servi�o para SQL Server 2005 e SQL Server Agent. Para alterar as contas de servi�o para SQL Server 2005 e SQL Server Agent, execute estas etapas:

Adicione a nova conta de servi�o ou contas de servi�o para o grupo do Windows ou grupos que voc� criou para o SQL Server e para SQL Server Agent.
Use uma conta que tenha a permiss�o ALTER ANY LOGIN para criar um logon do SQL Server 2005 para novas contas de servi�o. Para fazer isso, execute a seguinte instru��o SQL da conta que tenha a permiss�o ALTER ANY LOGIN.
CREATE LOGIN [<Domain Name>\<New SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master] CREATE LOGIN [<Domain Name>\<New SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
Use uma conta que � configurada na fun��o de servidor fixo SYSADMIN para executar a instru��o SQL a seguir.
EXEC master..sp_addsrvrolemember @loginame = N? <Domain Name>\<New SQL Server Service Account> ', @rolename = N'sysadmin' EXEC master..sp_addsrvrolemember @loginame = N? <Domain Name>\<New SQL Server Agent Service Account> ', @rolename = N'sysadmin'
Observa��o essa instru��o adiciona a conta de servi�o do SQL Server 2005 e a conta de servi�o do SQL Server Agent � fun��o de servidor fixa SYSADMIN.
Altere a conta de servi�o para o servi�o apropriado usando SQL Server Configuration Manager. Para fazer isso, execute as seguintes etapas:
1. No SQL Server Configuration Manager, clique em Servi�os do SQL Server 2005 .
2. Clique com o bot�o direito do mouse no servi�o que voc� deseja modificar e, em seguida, clique em Propriedades .
3. Clique na guia Logon e digite as informa��es de conta de usu�rio que voc� deseja que o servi�o usar.
4. Clique em OK quando terminar de inserir as informa��es da conta.
Observa��o Quando voc� altera a conta de servi�o, o SQL Server Configuration Manager solicita que voc� reinicie o servi�o.
Use uma conta que tenha a permiss�o ALTER ANY LOGIN para excluir os logons que foram usados pela conta de servi�o do SQL Server 2005 e pela conta de servi�o do SQL Server Agent. Para fazer isso, execute a seguinte instru��o SQL.
DROP LOGIN [<Domain Name>\<Old SQL Server Service Account>] DROP LOGIN [<Domain Name>\<Old SQL Server Agent Service Account>]

Observa��o N�o � necess�rio conceder quaisquer novos direitos do Windows NT ou permiss�es para as novas contas de servi�o, pois voc� adicionou novas contas de servi�o ao seus respectivos grupos Windows na etapa 1.

Voltar para o in�cio

Recomenda��o para processos de auditoria

Se voc� desejar proteger o SQL Server contra acesso indesejado por administradores de sistema operacional, voc� deve auditar tamb�m os seguintes processos:

Auditoria inicia e p�ra de servidor baseado em Windows.
Auditoria inicia e interrompe os servi�os do SQL Server 2005 e dos servi�os do SQL Server Agent.
Auditar o acesso a diret�rios no qual SQL Server arquivos de banco de dados, arquivos de dados, arquivos de log e arquivos de backup do banco de dados s�o armazenados.
Auditar altera��es � conta de servi�o SQL Server 2005 e � conta de servi�o SQL Server Agent.
Auditoria logons de rede e computador logons pela conta de servi�o do SQL Server 2005, pela conta de servi�o do SQL Server Agent ou pela conta de servi�o do MSCS.

Voltar para o in�cio

A conta NT AUTHORITY\SYSTEM

A conta NT AUTHORITY\SYSTEM tamb�m recebe um login do SQL Server. A conta NT AUTHORITY\SYSTEM � configurada na fun��o de servidor fixa SYSADMIN. Isso n�o exclua essa conta nem remov�-lo da fun��o de servidor fixa SYSADMIN. A conta NTAUTHORITY\SYSTEM � usada pelo Microsoft Update e pelo Microsoft SMS para aplicar service packs e hotfixes a uma instala��o do SQL Server 2005. A conta NTAUTHORITY\SYSTEM tamb�m � usada pelo servi�o do gravador do SQL.

Al�m disso, se o SQL Server 2005 for iniciado no modo de usu�rio �nico, qualquer usu�rio que tenha participa��o no grupo BUILTIN\Administrators pode se conectar ao SQL Server 2005 como um administrador do SQL Server. O usu�rio pode conectar-se independentemente se o grupo BUILTIN\Administradores recebeu um logon de servidor � configurado no SYSADMIN fun��o de servidor fixa. Esse comportamento � por design. Esse comportamento � se destina a ser usada para cen�rios de recupera��o de dados.

Para obter mais informa��es sobre as pr�ticas recomendadas de seguran�a para o SQL Server 2005, consulte o t�pico "Seguran�a considera��es para um SQL Server instala��o" nos manuais online do SQL Server 2005.

Voltar para o in�cio

Refer�ncias

Para obter mais informa��es sobre considera��es de seguran�a para uma instala��o do SQL Server, visite o seguinte site da Microsoft TechNet:

http://technet.microsoft.com/en-us/library/ms144228.aspx (http://technet.microsoft.com/en-us/library/ms144228.aspx)

Voltar para o in�cio

A informa��o contida neste artigo aplica-se a:

Microsoft SQL Server 2005 Enterprise Edition
Microsoft SQL Server 2005 Enterprise X64 Edition
Microsoft SQL Server 2005 Enterprise Edition for Itanium Based Systems
Microsoft SQL Server 2005 Developer Edition
Microsoft SQL Server 2005 Standard Edition
Microsoft SQL Server 2005 Standard X64 Edition

Voltar para o in�cio

kbmt kbpubtypekc kbcode kbinfo kbhowto KB932881 KbMtpt

Voltar para o in�cio

Tradu��o autom�tica

IMPORTANTE: Este artigo foi traduzido por um sistema de tradu��o autom�tica (tamb�m designado por Machine Translation ou MT), n�o tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplica��es (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em portugu�s a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradu��o autom�tica n�o � sempre perfeita, podendo conter erros de vocabul�rio, sintaxe ou gram�tica. A Microsoft n�o � respons�vel por incoer�ncias, erros ou preju�zos ocorridos em decorr�ncia da utiliza��o dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualiza��es freq�entes ao software de tradu��o autom�tica (MT). Obrigado.

Clique aqui para ver a vers�o em Ingl�s deste artigo: 932881� (http://support.microsoft.com/kb/932881/en-us/ )

Voltar para o in�cio