Как сделать сложнее нежелательного доступа к SQL Server 2005, администратор операционной системы

Переводы статьи Переводы статьи
Код статьи: 932881 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

ВВЕДЕНИЕ

Программа установки Microsoft SQL Server 2005 создает локальную группу Windows для каждой службы, установки. Программа установки SQL Server 2005 добавляет учетную запись службы для каждой службы в ее соответствующую группу. Для установки отказоустойчивого кластера SQL Server группы домена Windows используются таким же образом. Эти группы домена должны быть созданы администратором домена перед запуском программы установки SQL Server 2005. Windows NT права и разрешения, необходимые для определенной службы добавляются путем системный список управления доступом (SACL) для каждой группы Windows. Администратор домена не предоставляйте разрешения непосредственно для учетной записи службы.

Кроме того группы Windows, созданные для SQL Server 2005, агент SQL Server и группа «BUILTIN\Администраторы», получают имена входа SQL Server 2005, которые подготовлены в SQL Server 2005 фиксированной серверной роли. Такая конфигурация позволяет любой учетной записи, являющейся членом этих групп для входа на SQL Server 2005, используя проверку подлинности Windows NT подключение. Поскольку членство в фиксированной серверной роли SQL Server SYSADMIN, пользователь вошел в SQL Server 2005 как системный администратор SQL Server 2005. (Пользователь находится в системе с помощью учетной записи sa). После этого пользователь имеет неограниченный доступ для установки SQL Server 2005 и его данные. Кроме того любой пользователь, который знает пароль для экземпляра SQL Server 2005 или учетной записи службы агента SQL Server могут использовать службу учетной записи входа систему. Затем пользователь сделал соединения проверку подлинности Windows NT для SQL Server 2005 как администратор SQL Server.

Группы Windows, созданные для SQL Server 2005 Reporting Services (SSRS) и службой полнотекстового поиска, также получают имена входа SQL Server. Тем не менее службы Reporting Services и служба полнотекстового поиска не подготовлено в фиксированной серверной роли SYSADMIN.

Некоторые администраторы SQL Server 2005 требуется функциональные роли администратора базы данных и администратор операционной системы исключительно отделить. Эти Администраторы нужно защититься от нежелательного доступа администратор операционной системы SQL Server 2005.

Дополнительная информация

Как сделать сложнее нежелательного доступа к SQL Server 2005, администратор операционной системы

Чтобы затруднить нежелательного доступа к SQL Server 2005, администратор операционной системы, необходимо удалить права доступа, которые были предоставлены группе BUILTIN\Администраторы. Затем необходимо предоставить входы непосредственно на учетные записи служб SQL Server 2005 и агента SQL Server. Далее необходимо предоставить учетных записей в фиксированной серверной роли SYSADMIN. Наконец необходимо удалить имена входа, которые были предоставлены их соответствующих групп Windows. Чтобы сделать это, выполните следующие действия.
  1. Убедитесь, что учетная запись, которая является членом фиксированной серверной роли SYSADMIN. Эта учетная запись не предоставляется разрешение входа в систему SQL Server 2005 только путем входит группа «BUILTIN\Администраторы».
  2. Удалите права доступа, которые были предоставлены группе BUILTIN\Администраторы. Чтобы сделать это, выполните следующие действия.
    1. Войдите в систему SQL Server 2005 с помощью учетной записи пользователя, имеющего разрешение ALTER ANY LOGIN.
    2. Разверните узел Безопасность, разверните узел Имена входа, щелкните правой кнопкой мыши BUILTIN\Администраторы, а затем нажмите кнопку Удалить.
    3. В Удалить объект диалоговое окно, нажмите кнопку ОК.
    Примечание После удаления имени входа, предоставленное группе BUILTIN\Администраторы любая учетная запись, зависит только от членства в этой группе для входа на SQL Server 2005 будет возможность доступа к SQL Server 2005.

    Для получения сведений об учетной записи службы кластеров Microsoft (MSCS) в разделе «Учетная запись службы кластеров Microsoft (MSCS)».
  3. Используйте учетную запись, имеющую разрешение ALTER ANY LOGIN на явным образом предоставить имена входа SQL Server 2005 непосредственно для учетных записей служб, которые используются SQL Server 2005 и агента SQL Server. Чтобы сделать это, выполните следующую инструкцию SQL.
    CREATE LOGIN [<Domain Name>\<SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    CREATE LOGIN [<Domain Name >\<SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    
  4. Использование учетной записи, которая является членом роли sysadmin фиксированной серверной роли подготовить имена входа, которая была добавлена на шаге 2 в SYSADMIN фиксированной серверной роли.
    EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Service Account> ', @rolename = N'sysadmin'
    EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Agent Service Account> ', @rolename = N'sysadmin'
    
  5. Используйте учетную запись, имеющую разрешение ALTER ANY LOGIN на удаление учетных записей, которые были предоставлены в SQL Server 2005 группы и группы Windows для агента SQL Server.
    DROP LOGIN [<Computer Name>\<SQLServer2005SQLServerUser>$<Computer Name>$MSSQLSERVER]
    DROP LOGIN [<Computer Name>\<SQLServer2005AgentUser>$<Computer Name>$MSSQLSERVER]
    
Даже после выполнения этих действий пароль для учетной записи службы SQL Server 2005 и учетной записи службы агента SQL Server необходимо хранить в секрете от администратор операционной системы. Если учетной записи службы MSCS, предоставленных в фиксированной серверной роли SYSADMIN, пароль учетной записи службы MSCS необходимо также хранить в секрете от администратор операционной системы. Если администратор операционной системы известен пароль для учетной записи службы SQL Server 2005 или учетной записи службы агента SQL Server, администратор операционной системы можно использовать учетную запись службы входа в систему на компьютере. После операционной системы администратор входит в систему, администратор операционной системы можно подключиться к экземпляру SQL Server 2005 как администратор SQL Server.

Для предотвращения обучения паролей учетных записей служб, которые используются SQL Server 2005 и агента SQL Server администратор операционной системы, системный администратор SQL Server должен иметь возможность установить новый пароль для учетной записи службы. В большинстве случаев системный администратор SQL Server 2005 не администратор операционной системы. Таким образом специальная программа должна быть написана для реализации этой функции. Например можно создать надежные службы, системный администратор SQL Server 2005 можно использовать для изменения паролей для учетных записей служб, которые используются SQL Server 2005. В настоящее время корпорация Майкрософт предлагает этой службы.

Учетная запись службы кластеров Microsoft (MSCS)

При установке отказоустойчивого кластера SQL Server 2005 учетной записи службы MSCS опирается на членство в группе BUILTIN\Администраторы для входа на SQL Server 2005, чтобы выполнить проверку IsAlive. Если группа «BUILTIN\Администраторы» удалить из отказоустойчивого кластера, необходимо явно предоставить разрешения учетной записи службы MSCS войти в систему для отказоустойчивого кластера SQL Server 2005. Чтобы сделать это, выполните следующую инструкцию SQL в экземпляре SQL Server 2005.
CREATE LOGIN [<Domain Name>\<MSCS Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
SQL Server 2005 с пакетом обновления 2 добавлены новые возможности диагностики для отказоустойчивых кластеров SQL Server 2005. Диагностика автоматически записывать состояние ресурса кластера SQL Server 2005 до кластера при сбое. Динамически подключаемой библиотеки (DLL) ресурсов SQL Server 2005 обеспечивает сбор диагностических данных проще, следующим образом:
  • Ресурс SQL Server 2005 запускается экземпляр программы Sqlcmd.exe в контексте безопасности учетной записи службы MSCS. Затем ресурс SQL Server 2005 выполняется сценарий SQL через выделенное административное соединение (DAC), примеры различных динамические административные представления (DMV).
  • Ресурс SQL Server 2005 собирает пользовательский файл дампа процесса SQL Server 2005 до кластера при сбое.
Так как выделенное административное соединение используется для сбора диагностических данных, учетной записи службы MSCS должен быть подготовлен в фиксированной серверной роли SYSADMIN. Если рекомендации по обеспечению безопасности вашей организации означает, что учетной записи службы MSCS не могут быть подготовлены в фиксированной серверной роли SYSADMIN, учетной записи службы MSCS могут быть предоставлены имени входа SQL Server, не подготовлено в SYSADMIN фиксированной серверной роли. В этом сценарии диагностики, который обычно перехватываются программы Sqlcmd.exe удастся, так как программы Sqlcmd.exe не разрешен вход на SQL Server 2005. Ресурс SQL Server 2005 DLL должны иметь возможность собирать пользовательский файл дампа, независимо от того, ли учетная запись ресурса SQL Server 2005, подготовлено DLL в SYSADMIN фиксированной серверной роли.

Если вы хотите войти в систему SQL Server 2005 с помощью учетной записи, которая является членом фиксированной серверной роли SYSADMIN. Затем выполните следующую инструкцию SQL для добавления учетной записи службы MSCS фиксированной серверной роли SYSADMIN.
EXEC master.sp_addsrvrolemember @loginame = N'<Domain Name>\<MSCS Service Account> ', @rolename = N'sysadmin'

Изменение учетных записей служб

Несмотря на то, что предыдущие шаги могут усложнить администратор операционной системы для подключения к SQL Server 2005, ранее сделать его более громоздким для изменения учетных записей служб SQL Server 2005 и агента SQL Server. Изменение учетных записей служб SQL Server 2005 и агента SQL Server, выполните следующие действия.
  1. Добавьте новую учетную запись службы и учетные записи служб Windows группы или группы, созданные для SQL Server и агент SQL Server.
  2. Эта учетная запись имеет разрешение ALTER ANY LOGIN, чтобы создать имя входа SQL Server 2005 для новых учетных записей служб. Чтобы сделать это, выполните следующую инструкцию SQL из учетной записи, имеющей разрешение ALTER ANY LOGIN.
    CREATE LOGIN [<Domain Name>\<New SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    CREATE LOGIN [<Domain Name>\<New SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    
  3. Эта учетная запись будет подготовлено в фиксированной серверной роли SYSADMIN, чтобы выполнить следующую инструкцию SQL.
    EXEC master..sp_addsrvrolemember @loginame = N’ <Domain Name>\<New SQL Server Service Account> ', @rolename = N'sysadmin'
    EXEC master..sp_addsrvrolemember @loginame = N’ <Domain Name>\<New SQL Server Agent Service Account> ', @rolename = N'sysadmin'
    
    Примечание Этот оператор добавляет учетную запись службы SQL Server 2005 и учетная запись службы агента SQL Server к фиксированной серверной роли SYSADMIN.
  4. Изменение учетной записи службы для соответствующей службы с помощью диспетчера конфигурации SQL Server. Чтобы сделать это, выполните следующие действия.
    1. Щелкните в диспетчере конфигурации SQL Server Службы SQL Server 2005.
    2. Щелкните правой кнопкой мыши службу, которую требуется изменить и нажмите кнопку Свойства.
    3. Нажмите кнопку Войдите в систему вкладки, а затем введите данные учетной записи пользователя, необходимо использовать службу.
    4. Нажмите кнопку ОК После завершения ввода данных учетной записи.
    Примечание При изменении учетной записи службы, диспетчер конфигурации SQL Server предлагает перезапустить службу.
  5. Используйте учетную запись, имеющую разрешение ALTER ANY LOGIN на удаление учетных записей, которые использовались для учетной записи службы SQL Server 2005, а учетная запись службы агента SQL Server. Чтобы сделать это, выполните следующую инструкцию SQL.
    DROP LOGIN [<Domain Name>\<Old SQL Server Service Account>]
    DROP LOGIN [<Domain Name>\<Old SQL Server Agent Service Account>]
    
Примечание Не предоставлять новые права Windows NT или разрешения для новых учетных записей служб, потому что добавлены новые учетные записи служб для их соответствующих групп Windows на шаге 1.

Рекомендации по аудиту процессов

Если вы хотите защитить от нежелательного доступа администраторов операционной системы SQL Server, можно также аудит следующих процессов:
  • Аудит запуска и остановки сервера под управлением Windows.
  • Аудит запуск и остановка служб SQL Server 2005 и служб агента SQL Server.
  • Аудит доступа к каталогам, в которых SQL Server хранятся файлы базы данных, файлы данных, файлы журналов и файлы резервных копий базы данных.
  • Аудит изменения учетной записи службы SQL Server 2005 и учетная запись службы агента SQL Server.
  • Аудит сетевых имен пользователей и учетных записей компьютера учетной записи службы SQL Server 2005, учетная запись службы агента SQL Server или учетной записи службы MSCS.

Учетной записи NT AUTHORITY\SYSTEM

Имя входа SQL Server предоставляется также учетной записи NT AUTHORITY\SYSTEM. Учетной записи NT AUTHORITY\SYSTEM подготовлено в фиксированной серверной роли SYSADMIN. Не удаляйте эту учетную запись и удалить его из фиксированной серверной роли SYSADMIN. Учетная запись NTAUTHORITY\SYSTEM используется службой Microsoft Update и сервером Microsoft SMS для установки пакетов обновления и исправления для установки SQL Server 2005. NTAUTHORITY\SYSTEM учетная запись также используется служба SQL Writer.

Также если SQL Server 2005 запущен в однопользовательском режиме, любой пользователь, имеющий членство в группе BUILTIN\Администраторы можно подключиться к SQL Server 2005 администратора SQL Server. Пользователь может подключиться независимо от ли группа «BUILTIN\Администраторы» обладает имя входа на сервер, предоставленный в фиксированной серверной роли SYSADMIN. Данное поведение является особенностью. Такое поведение предназначен для использования в сценариях восстановления данных.

Для получения дополнительных сведений о рекомендации по безопасности для SQL Server 2005 см. раздел «Безопасность соображения для экземпляров SQL Server» в электронной документации по SQL Server 2005.

Ссылки

Для получения дополнительных сведений о вопросах безопасности для установки SQL Server посетите следующий веб-узел Microsoft TechNet Web:
http://TechNet.Microsoft.com/en-us/library/ms144228.aspx

Свойства

Код статьи: 932881 - Последний отзыв: 18 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft SQL Server 2005 Enterprise Edition
  • Microsoft SQL Server 2005 Enterprise X64 Edition
  • Microsoft SQL Server 2005 Enterprise Edition for Itanium Based Systems
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Standard X64 Edition
Ключевые слова: 
kbPubTypeKC kbcode kbinfo kbhowto kbmt KB932881 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:932881

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com