Como tornar mais difícil acesso indesejado para o SQL Server 2005 por um administrador de sistema operacional

Traduções deste artigo Traduções deste artigo
ID do artigo: 932881 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

INTRODUÇÃO

O programa de instalação do Microsoft SQL Server 2005 cria um grupo Windows local para cada serviço que você instalar. O programa de instalação do SQL Server 2005 adiciona a conta serviço para cada serviço para seu respectivo grupo. Para uma instalação de cluster de failover do SQL Server, os grupos de domínio do Windows são usados da mesma maneira. Esses grupos de domínio devem ser criados por um administrador de domínio antes de executar o programa de instalação do SQL Server 2005. Todos os direitos do Windows NT e permissões que são exigidas por um serviço específico são adicionadas pela lista de controle de acesso do sistema (SACL) a cada grupo do Windows. O administrador de domínio não concede permissões diretamente à conta de serviço.

Além disso, os grupos do Windows que você criou para o SQL Server 2005, SQL Server Agent e o grupo BUILTIN\Administradores recebem logons do SQL Server 2005 que configurado na função de servidor fixa SYSADMIN do SQL Server 2005. Essa configuração torna possível para qualquer conta que seja membro desses grupos para fazer logon no SQL Server 2005 usando uma conexão autenticada do Windows NT. Porque o usuário tem uma associação de grupo na função de servidor fixa SYSADMIN do SQL Server, o usuário é registrado no SQL Server 2005 como um administrador de sistemas SQL Server 2005. (O usuário é conectado usando a conta sa). Em seguida, o usuário tem acesso irrestrito para a instalação do SQL Server 2005 e a seus dados. Além disso, qualquer usuário que conhece a senha para a instância do SQL Server 2005 ou para a conta de serviço do SQL Server Agent pode usar o serviço de conta para fazer logon computador. Em seguida, o usuário pode fazer uma conexão autenticada do Windows NT para o SQL Server 2005 como um administrador do SQL Server.

Os grupos do Windows que você criou para SQL Server 2005 Reporting Services (SSRS) e para o serviço de pesquisa de texto completo também recebem logins do SQL Server. No entanto, Reporting Services e o serviço de pesquisa de texto completo não estão configurados na função de servidor fixa SYSADMIN.

Alguns administradores do SQL Server 2005 que as funções funcionais do administrador do banco de dados e do administrador do sistema operacional a ser estritamente separados. Esses administradores desejam proteger o SQL Server 2005 contra acesso indesejado pelo administrador do sistema operacional.

Mais Informações

Como tornar mais difícil acesso indesejado para o SQL Server 2005 por um administrador de sistema operacional

Para tornar mais difícil acesso indesejado para o SQL Server 2005 por um administrador de sistema operacional, você deve remover as permissões de logon que foram concedidas ao grupo BUILTIN\Administradores. Em seguida, você deve conceder logons diretamente para as contas de serviço para SQL Server 2005 e SQL Server Agent. Em seguida, você deve configurar os logons na função de servidor fixa SYSADMIN. Finalmente, você deve excluir os logons que foram concedidos a seus respectivos grupos. Para fazer isso, execute as seguintes etapas:
  1. Verifique se você tem uma conta que é um membro da função de servidor fixa SYSADMIN. Essa conta não é concedida a permissão de logon do SQL Server 2005 somente por ser um membro do grupo BUILTIN\Administradores.
  2. Remova as permissões de logon que foram concedidas ao grupo BUILTIN\Administradores. Para fazer isso, execute as seguintes etapas:
    1. Fazer logon no SQL Server 2005 usando uma conta de usuário que tenha a permissão ALTER ANY LOGIN.
    2. Expanda segurança , expanda logons , clique com o botão direito do mouse BUILTIN\Administrators e, em seguida, clique em Excluir .
    3. Na caixa de diálogo Excluir objeto , clique em OK .
    Observação Depois de excluir o logon foi concedido ao grupo BUILTIN\Administradores, qualquer conta que depende somente da participação neste grupo para fazer logon no SQL Server 2005 não será capaz de acesso SQL Server 2005.

    Para obter informações sobre a conta de serviço MSCS (Microsoft Cluster Service), consulte a seção "Conta de serviço do Microsoft Cluster Service (MSCS)".
  3. Use uma conta que tenha a permissão ALTER ANY LOGIN para conceder explicitamente logons do SQL Server 2005 diretamente para as contas de serviço que são usadas pelo SQL Server 2005 e pelo SQL Server Agent. Para fazer isso, execute a seguinte instrução SQL.
    CREATE LOGIN [<Domain Name>\<SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    CREATE LOGIN [<Domain Name >\<SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    
  4. Use uma conta que seja membro de SYSADMIN fixo função de servidor para configurar os logons que você adicionou na etapa 2 do SYSADMIN fixo função de servidor.
    EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Service Account> ', @rolename = N'sysadmin'
    EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Agent Service Account> ', @rolename = N'sysadmin'
    
  5. Usar uma conta que tenha a permissão ALTER ANY LOGIN para excluir os logons que foram concedidos ao grupo do SQL Server 2005 e ao grupo do Windows do SQL Server Agent.
    DROP LOGIN [<Computer Name>\<SQLServer2005SQLServerUser>$<Computer Name>$MSSQLSERVER]
    DROP LOGIN [<Computer Name>\<SQLServer2005AgentUser>$<Computer Name>$MSSQLSERVER]
    
Mesmo depois de seguir essas etapas, a senha para a conta de serviço do SQL Server 2005 e para a conta de serviço do SQL Server Agent deve ser mantida secreta do administrador do sistema operacional. Se a conta de serviço MSCS tiver sido configurada no SYSADMIN função de servidor fixa, a senha da conta serviço MSCS deve também ser mantida em segredo do administrador do sistema operacional. Se o administrador do sistema operacional sabe a senha para a conta de serviço do SQL Server 2005 ou para a conta de serviço do SQL Server Agent, o administrador do sistema operacional pode usar a conta de serviço para fazer logon em um computador. Depois que o administrador do sistema operacional fizer logon no computador, o administrador do sistema operacional pode se conectar à instância do SQL Server 2005 como um administrador do SQL Server.

Para impedir que o administrador do sistema operacional aprendendo a senha das contas de serviço são usados pelo SQL Server 2005 e pelo SQL Server Agent, o administrador do sistema do SQL Server deve poder definir uma nova senha para a conta de serviço. Na maioria dos casos, o administrador do sistema SQL Server 2005 não é um administrador do sistema operacional. Portanto, um utilitário de propósito especial deve ser escrito para fornecer essa funcionalidade. Por exemplo, você pode criar um serviço confiável que o administrador do sistema SQL Server 2005 pode usar para alterar as senhas das contas de serviço são usadas pelo SQL Server 2005. A Microsoft atualmente não oferece esse serviço.

Conta de serviço MSCS (Microsoft Cluster Service)

Em instalação de cluster de failover uma SQL Server 2005, a conta de serviço MSCS depende de participação no grupo BUILTIN\Administrators para fazer logon no SQL Server 2005 para executar a verificação de IsAlive. Se você remover o grupo BUILTIN\Administradores de um cluster de failover, você deve conceder explicitamente as permissões de conta de serviço MSCS para fazer logon no cluster de failover do SQL Server 2005. Para fazer isso, execute a seguinte instrução SQL na instância do SQL Server 2005.
CREATE LOGIN [<Domain Name>\<MSCS Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
SQL Server 2005 Service Pack 2 adicionado novos recursos de diagnóstico para clusters de failover do SQL Server 2005. O diagnóstico captura automaticamente o estado do recurso de cluster do SQL Server 2005 antes do cluster de failover. A biblioteca de vínculo dinâmico de recurso SQL Server 2005 (DLL) faz coletar esses dados de diagnóstico mais fácil, da seguinte maneira:
  • O recurso do SQL Server 2005 inicia uma instância do utilitário Sqlcmd.exe no contexto de segurança da conta de serviço do MSCS. Em seguida, o recurso do SQL Server 2005 executa um script SQL em uma conexão administrador dedicada (DAC) exemplos várias exibições de gerenciamento dinâmico de (DMV).
  • O recurso do SQL Server 2005 captura um arquivo de despejo do usuário do processo do SQL Server 2005 antes do cluster de failover.
Como uma conexão dedicada do administrador é usada para coletar alguns dados de diagnóstico, a conta de serviço MSCS deve ser configurada na função de servidor fixa SYSADMIN. Se as práticas de segurança da sua organização significam que a conta de serviço MSCS não pode ser configurada no SYSADMIN função de servidor fixa, a conta de serviço MSCS pode ser concedida um logon do SQL Server que não está configurado no SYSADMIN fixo função de servidor. Nesse cenário, o diagnóstico que geralmente é capturado pelo utilitário Sqlcmd.exe falhará porque o utilitário Sqlcmd.exe não pode fazer logon no SQL Server 2005. O recurso do SQL Server 2005 DLL deve ser capaz coletar um arquivo de despejo do usuário independentemente se a conta de serviço do SQL Server 2005 recurso que dll é configurado no SYSADMIN fixo função de servidor.

Se desejar, fazer logon no SQL Server 2005 usando uma conta que seja membro de SYSADMIN função de servidor fixa. Em seguida, execute a seguinte instrução SQL para adicionar a conta de serviço MSCS a função de servidor fixa SYSADMIN.
EXEC master.sp_addsrvrolemember @loginame = N'<Domain Name>\<MSCS Service Account> ', @rolename = N'sysadmin'

Como alterar as contas de serviço

Embora as etapas anteriores podem tornar mais difícil para um administrador do sistema operacional para se conectar ao SQL Server 2005, as etapas anteriores tornam mais complicado para alterar as contas de serviço para SQL Server 2005 e SQL Server Agent. Para alterar as contas de serviço para SQL Server 2005 e SQL Server Agent, execute estas etapas:
  1. Adicione a nova conta de serviço ou contas de serviço para o grupo do Windows ou grupos que você criou para o SQL Server e para SQL Server Agent.
  2. Use uma conta que tenha a permissão ALTER ANY LOGIN para criar um logon do SQL Server 2005 para novas contas de serviço. Para fazer isso, execute a seguinte instrução SQL da conta que tenha a permissão ALTER ANY LOGIN.
    CREATE LOGIN [<Domain Name>\<New SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    CREATE LOGIN [<Domain Name>\<New SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    
  3. Use uma conta que é configurada na função de servidor fixo SYSADMIN para executar a instrução SQL a seguir.
    EXEC master..sp_addsrvrolemember @loginame = N? <Domain Name>\<New SQL Server Service Account> ', @rolename = N'sysadmin'
    EXEC master..sp_addsrvrolemember @loginame = N? <Domain Name>\<New SQL Server Agent Service Account> ', @rolename = N'sysadmin'
    
    Observação essa instrução adiciona a conta de serviço do SQL Server 2005 e a conta de serviço do SQL Server Agent à função de servidor fixa SYSADMIN.
  4. Altere a conta de serviço para o serviço apropriado usando SQL Server Configuration Manager. Para fazer isso, execute as seguintes etapas:
    1. No SQL Server Configuration Manager, clique em Serviços do SQL Server 2005 .
    2. Clique com o botão direito do mouse no serviço que você deseja modificar e, em seguida, clique em Propriedades .
    3. Clique na guia Logon e digite as informações de conta de usuário que você deseja que o serviço usar.
    4. Clique em OK quando terminar de inserir as informações da conta.
    Observação Quando você altera a conta de serviço, o SQL Server Configuration Manager solicita que você reinicie o serviço.
  5. Use uma conta que tenha a permissão ALTER ANY LOGIN para excluir os logons que foram usados pela conta de serviço do SQL Server 2005 e pela conta de serviço do SQL Server Agent. Para fazer isso, execute a seguinte instrução SQL.
    DROP LOGIN [<Domain Name>\<Old SQL Server Service Account>]
    DROP LOGIN [<Domain Name>\<Old SQL Server Agent Service Account>]
    
Observação Não é necessário conceder quaisquer novos direitos do Windows NT ou permissões para as novas contas de serviço, pois você adicionou novas contas de serviço ao seus respectivos grupos Windows na etapa 1.

Recomendação para processos de auditoria

Se você desejar proteger o SQL Server contra acesso indesejado por administradores de sistema operacional, você deve auditar também os seguintes processos:
  • Auditoria inicia e pára de servidor baseado em Windows.
  • Auditoria inicia e interrompe os serviços do SQL Server 2005 e dos serviços do SQL Server Agent.
  • Auditar o acesso a diretórios no qual SQL Server arquivos de banco de dados, arquivos de dados, arquivos de log e arquivos de backup do banco de dados são armazenados.
  • Auditar alterações à conta de serviço SQL Server 2005 e à conta de serviço SQL Server Agent.
  • Auditoria logons de rede e computador logons pela conta de serviço do SQL Server 2005, pela conta de serviço do SQL Server Agent ou pela conta de serviço do MSCS.

A conta NT AUTHORITY\SYSTEM

A conta NT AUTHORITY\SYSTEM também recebe um login do SQL Server. A conta NT AUTHORITY\SYSTEM é configurada na função de servidor fixa SYSADMIN. Isso não exclua essa conta nem removê-lo da função de servidor fixa SYSADMIN. A conta NTAUTHORITY\SYSTEM é usada pelo Microsoft Update e pelo Microsoft SMS para aplicar service packs e hotfixes a uma instalação do SQL Server 2005. A conta NTAUTHORITY\SYSTEM também é usada pelo serviço do gravador do SQL.

Além disso, se o SQL Server 2005 for iniciado no modo de usuário único, qualquer usuário que tenha participação no grupo BUILTIN\Administrators pode se conectar ao SQL Server 2005 como um administrador do SQL Server. O usuário pode conectar-se independentemente se o grupo BUILTIN\Administradores recebeu um logon de servidor é configurado no SYSADMIN função de servidor fixa. Esse comportamento é por design. Esse comportamento é se destina a ser usada para cenários de recuperação de dados.

Para obter mais informações sobre as práticas recomendadas de segurança para o SQL Server 2005, consulte o tópico "Segurança considerações para um SQL Server instalação" nos manuais online do SQL Server 2005.

Referências

Para obter mais informações sobre considerações de segurança para uma instalação do SQL Server, visite o seguinte site da Microsoft TechNet:
http://technet.microsoft.com/en-us/library/ms144228.aspx

Propriedades

ID do artigo: 932881 - Última revisão: sexta-feira, 13 de fevereiro de 2009 - Revisão: 3.1
A informação contida neste artigo aplica-se a:
  • Microsoft SQL Server 2005 Enterprise Edition
  • Microsoft SQL Server 2005 Enterprise X64 Edition
  • Microsoft SQL Server 2005 Enterprise Edition for Itanium Based Systems
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Standard X64 Edition
Palavras-chave: 
kbmt kbpubtypekc kbcode kbinfo kbhowto KB932881 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 932881

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com