Istenmeyen erişimi SQL Server 2005'in işletim sistemini yönetici tarafından daha zor hale nasıl kullanılır

Makale çevirileri Makale çevirileri
Makale numarası: 932881 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

Giriş

Microsoft SQL Server 2005 Kurulum programı, yüklediğiniz her hizmet için yerel bir Windows grubu oluşturur. SQL Server 2005 Kurulum programı, her hizmetin hizmet hesabını karşılık gelen gruba ekler. SQL Server başarısızlık küme yükleme için Windows etki alanı gruplarını aynı şekilde kullanılır. SQL Server 2005 Kurulum programı çalıştırmadan önce etki alanı yöneticisi olarak, bu etki alanı grupları oluşturulmalıdır. Sistem erişim denetim listesi (SACL), tüm Windows NT haklara ve izinlere göre belirli bir hizmet için gerekli olan her bir Windows grubuna eklenir. Etki alanı Yöneticisi hizmet hesabı izinleri verin.

Buna ek olarak, SQL Server 2005, SQL Server Agent ve buıltın\administrators grubu için oluşturduğunuz Windows grupları sağlanan içindeki SQL Server 2005 SYSADMIN sabit sunucu rolü SQL Server 2005'in oturum açma izni verilir. Bu yapılandırma, Windows NT, kimliği doğrulanmış bir bağlantıyı kullanarak SQL Server 2005'e oturum açmak için bu grupların üyesi olan herhangi bir hesabı sağlar. Kullanıcı bir grup üyeliği SQL Server SYSADMIN (ingilizce) sabit sunucu rolü olduğundan, kullanıcı SQL Server 2005 ile ilgili güvenlik açıklarına karşı bir SQL Server 2005 sistem yöneticisi olarak kaydedilir. (Kullanıcı sa hesabını kullanarak oturum). Sonra kullanıcı SQL Server 2005 yüklemesi ve verileri sınırsız erişimi. Ayrıca, parolası, SQL Server Agent hizmet hesabı veya SQL Server 2005 örneği için hizmetin kullanabileceği bilen herhangi bir kullanıcı hesabı bilgisayarda oturum açmak için. Kullanıcı SQL Server 2005'e bir SQL Server yöneticisi olarak daha sonra Windows NT, kimliği doğrulanmış bir bağlantı yapabilirsiniz.

Tam metin arama hizmeti için SQL Server 2005 Reporting Services (SSRS) ve oluşturduğunuz Windows grupları, SQL Server oturumu de verilir. Ancak, Reporting Services'ı ve tam metin arama hizmeti SYSADMIN sabit sunucu rolü sağlanan değil.

Bazı SQL Server 2005'in yöneticilere, veritabanı yöneticisi ve işletim sistemi Yöneticisi kesinlikle ayrılması için işlevsel roller istiyorsunuz. Bu yöneticilerin, işletim sistemi Yöneticisi tarafından istenmeyen erişimi SQL Server 2005 karşı istiyorsunuz.

Daha fazla bilgi

Istenmeyen erişimi SQL Server 2005'in işletim sistemini yönetici tarafından daha zor hale nasıl kullanılır

Istenmeyen erişimi SQL Server 2005'in işletim sistemini yönetici tarafından daha zor yapmak için <a0></a0>, oturum açma buıltın\administrators gruba verilmiş izinler kaldırmanız gerekir. Ardından, SQL Server 2005 ve SQL Server Agent hizmet hesaplarının oturuma vermelisiniz. Ardından, SYSADMIN sabit sunucu rolü açılan oturumların sağlama gerekir. Son olarak, kendi ilgili Windows gruplarına verilmiş oturumların silmelisiniz. Bunu yapmak için şu adımları izleyin:
  1. SYSADMIN sabit sunucu rolü üyesi olan bir hesabın sahip olduğunuzdan emin olun. Bu hesap, SQL Server 2005'in oturum açma izni yalnızca buıltın\administrators grubu üye olarak atanmadığı.
  2. Oturum açma buıltın\administrators gruba verilmiş izinler'i kaldırın. Bunu yapmak için şu adımları izleyin:
    1. SQL Server 2005 için ALTER ANY oturum AÇMA iznine sahip bir kullanıcı hesabı kullanarak oturum açın.
    2. Güvenlik ' i genişletin, Oturumlar ' ı genişletin, buıltın\administrators sağ tıklatın ve sonra da <a2>Sil</a2>'i tıklatın.
    3. Nesneyi Sil iletişim kutusunda, <a3>Tamam</a3>'ı tıklatın.
    Not Buıltın\administrators grubu için verilen oturum açma sildikten sonra yalnızca SQL Server 2005'e oturum açmak için bu grup üyeliği dayanan herhangi bir hesabı artık erişimi SQL Server 2005 mümkün olacaktır.

    Microsoft Küme hizmeti (MSCS) hizmet (SRV) hizmet hesabı hakkında daha fazla bilgi için "Microsoft Cluster Service (MSCS) hizmet hesabı" bölümüne bakın.
  3. SQL Server 2005 oturuma doğrudan SQL Server 2005 ve SQL Server Agent tarafından kullanılan hizmet hesaplarını açıkça vermek ALTER ANY oturum AÇMA iznine sahip bir hesap kullanın. Bunu yapmak için <a0></a0>, aşağıdaki SQL deyimi Yürüt.
    CREATE LOGIN [<Domain Name>\<SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    CREATE LOGIN [<Domain Name >\<SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    
  4. Kullanım SYSADMIN üyesi olan bir hesabın sabit sunucu rolü'adım 2'de, SYSADMIN eklediğiniz oturumların sağlama için sabit sunucu rolü.
    EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Service Account> ', @rolename = N'sysadmin'
    EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Agent Service Account> ', @rolename = N'sysadmin'
    
  5. SQL Server 2005 grubuna ve SQL Server Agent Windows grubuna verilen oturumların silmek için ALTER ANY oturum AÇMA iznine sahip bir hesap kullanın.
    DROP LOGIN [<Computer Name>\<SQLServer2005SQLServerUser>$<Computer Name>$MSSQLSERVER]
    DROP LOGIN [<Computer Name>\<SQLServer2005AgentUser>$<Computer Name>$MSSQLSERVER]
    
Bu adımları izledikten sonra SQL Server Agent hizmet hesabı ve SQL Server 2005 hizmet hesabı için parola işletim sistemi yöneticinizden gizli tutulmalıdır. MSCS hizmetin hesabın SYSADMIN sabit sunucu rolü sağlanan, MSCS hizmeti hesap parolasını da işletim sistem yöneticisinden gizli tutulmalıdır. Işletim sistemi Yöneticisi SQL Server Agent hizmet hesabı veya SQL Server 2005 hizmet hesabı için parolayı biliyor, işletim sistemi Yöneticisi, hizmet hesabının oturum kullanabilirsiniz bir bilgisayarda. Işletim sistemi yönetici bilgisayarda oturum açtıktan sonra işletim sistem yöneticisi, bir SQL Server yönetici olarak SQL Server 2005 örneğine bağlanabilirsiniz.

Işletim sistemi Yöneticisi parolası, SQL Server 2005 ve SQL Server Agent tarafından kullanılan hizmet hesaplarını öğrenme karşı korumak için <a0></a0>, SQL Server sistem yöneticisinin yeni bir hizmet hesabı parolasını ayarlamak için olması gerekir. Çoğu durumda, SQL Server 2005 Sistem Yöneticisi, işletim sistemi yönetici değil. Bu nedenle, bu işlevselliği sağlamak için bir özel amaçlı yardımcı program yazılmalıdır. Örneğin, SQL Server 2005 sistem yöneticiniz tarafından SQL Server 2005 kullanılan hizmet hesaplarının parolalarını değiştirmek için kullanabileceğiniz bir güvenilen hizmet oluşturabilirsiniz. Microsoft, şu anda bu hizmet sağlamamaktadır.

Microsoft Küme hizmeti (MSCS) hizmet (SRV) hizmet hesabı

SQL Server 2005 başarısızlık küme kurulumunda ısalive denetlemek için SQL Server 2005'e oturum açmak için buıltın\administrators grubu üyeliği MSCS hizmet hesabını kullanır. Yerine çalışma kümeden buıltın\administrators grubu kaldırırsanız, SQL Server 2005 başarısızlık küme oturum MSCS hizmet hesabı izinleri açıkça vermeniz gerekir. Bunu yapmak için <a0></a0>, SQL Server 2005 örneğinde aşağıdaki SQL deyimi Yürüt.
CREATE LOGIN [<Domain Name>\<MSCS Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
SQL Server 2005'in yerine çalışma kümeleri için yeni bir tanılama yeteneğine SQL Server 2005 Service Pack 2 eklendi. Küme yerine çalışma işlemini yapmadan önce tanılar, SQL Server 2005 küme kaynağının durumu otomatik olarak yakalayın. SQL Server 2005 kaynak dinamik bağlantı kitaplığı (DLL) gibi daha kolay, bu tanılama verileri toplanıyor yapar:
  • SQL Server 2005 kaynak sqlCmd.exe yardımcı programı MSCS hizmet hesabının güvenlik bağlamında bir örneğini başlatır. Ardından, SQL Server 2005 kaynak, çeşitli dinamik yönetimi görünümleri (DMV) örnekler bir özel yönetici bağlantısı (DAC) bir SQL komut dosyasını çalıştırır.
  • SQL Server 2005 kaynağı, küme yerine çalışma işlemini yapmadan önce bir kullanıcı döküm dosyası SQL Server 2005 işleminin yakalar.
Bazı tanı verilerini toplamak için bir özel yönetici bağlantısı kullanıldığından MSCS hizmetin hesabın SYSADMIN sabit sunucu rolü sağlanan gerekir. MSCS hizmetin hesabın SYSADMIN sabit sunucu rolü sağlanan edemiyor kuruluşunuzun güvenlik uygulamalarını anlama, MSCS hizmetin hesabın SYSADMIN içinde sağlanan bir SQL Server oturumu sabit sunucu rolü verilebilir. Bu senaryoda, sqlCmd.exe yardımcı programı SQL Server 2005'e oturum açamıyor, çünkü genellikle sqlCmd.exe yardımcı programı tarafından yakalanan tanılama başarısız olur. SQL Server 2005 kaynak DLL SQL Server 2005 kaynak DLL SYSADMIN sağlanan hizmet hesabı sabit sunucu rolü olup olmadığını dikkate almadan bir kullanıcı döküm dosyası toplanacak başlatabilmeniz gerekir.

Isterseniz, SQL Server 2005'e SYSADMIN sabit sunucu rolü üyesi olan bir hesabı kullanarak oturum açın. Sonra SYSADMIN sabit sunucu rolü için MSCS hizmet hesabı eklemek için aşağıdaki SQL deyimi Yürüt.
EXEC master.sp_addsrvrolemember @loginame = N'<Domain Name>\<MSCS Service Account> ', @rolename = N'sysadmin'

Hizmet hesaplarını değiştirme

Yukarıdaki adımları daha zor bir işletim sistemi yöneticinin, SQL Server 2005'e bağlanmak yapabilir, ancak önceki adımları, SQL Server 2005 ve SQL Server Agent hizmet hesaplarını değiştirmek için daha hantal sağlar. SQL Server 2005 ve SQL Server Agent hizmet hesaplarını değiştirmek için <a0></a0>, aşağıdaki adımları izleyin:
  1. Windows Grup veya gruplar, SQL Server ve SQL Server Agent oluşturduğunuz yeni hizmet hesabı ya da hizmet hesaplarını ekleyin.
  2. Yeni hizmet hesaplarının bir SQL Server 2005 oturumu oluşturmak için ALTER ANY oturum AÇMA iznine sahip bir hesap kullanın. Bunu yapmak için <a0></a0>, ALTER ANY oturum AÇMA izni olan hesabın aşağıdaki SQL deyimi Yürüt.
    CREATE LOGIN [<Domain Name>\<New SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    CREATE LOGIN [<Domain Name>\<New SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    
  3. Aşağıdaki SQL deyimini yürütmek için SYSADMIN sabit sunucu rolü sağlanan bir hesap kullanın.
    EXEC master..sp_addsrvrolemember @loginame = N’ <Domain Name>\<New SQL Server Service Account> ', @rolename = N'sysadmin'
    EXEC master..sp_addsrvrolemember @loginame = N’ <Domain Name>\<New SQL Server Agent Service Account> ', @rolename = N'sysadmin'
    
    Not bu deyimi SYSADMIN sabit sunucu rolü için SQL Server 2005 hizmet hesabı ve SQL Server Agent hizmet hesabı ekler.
  4. SQL Server Configuration Manager'ı kullanarak, uygun hizmetin hizmet hesabını değiştirin. Bunu yapmak için şu adımları izleyin:
    1. SQL Server 2005 Hizmetleri, SQL Server Configuration Manager'ı tıklatın.
    2. Değiştirmek istediğiniz hizmeti sağ tıklatın ve sonra da Özellikler ' i tıklatın.
    3. Oturum açma sekmesini tıklatın ve sonra da hizmetin kullanmak istediğiniz kullanıcı hesabı bilgilerini girin.
    4. Hesap bilgileri girmeyi bitirdiğinizde Tamam ' ı tıklatın.
    Not Hizmet hesabını değiştirdiğinizde, SQL Server Configuration Manager hizmeti yeniden başlatmanızı ister.
  5. SQL Server 2005 hizmet hesabı ve SQL Server Agent hizmet hesabı için kullanılmış olan oturumların silmek için ALTER ANY oturum AÇMA iznine sahip bir hesap kullanın. Bunu yapmak için <a0></a0>, aşağıdaki SQL deyimi Yürüt.
    DROP LOGIN [<Domain Name>\<Old SQL Server Service Account>]
    DROP LOGIN [<Domain Name>\<Old SQL Server Agent Service Account>]
    
Not Yeni hizmet hesaplarını, ilgili Windows gruplarına 1. adımda eklediğiniz olduğundan yeni bir Windows NT hakları ya da yeni hizmet hesapları için izinleri vermek zorunda değildir.

Öneri işlemlerini denetlemek için

SQL Server, işletim sistemi yöneticilerle istenmeyen erişime karşı korumak, aşağıdaki işlemleri Denetim:
  • Başlatır ve durdurur Windows-tabanlı sunucunun denetim.
  • Denetim başlatır ve SQL Server 2005 Hizmetleri ve SQL Server Agent hizmetlerini durdurur.
  • Hangi SQL Server veritabanı dosyalarını, veri dosyalarını, günlük dosyalarının ve veritabanı yedek dosyaları olarak depolanan dizinlerine erişimini.
  • SQL Server 2005 hizmet hesabı ve SQL Server Agent hizmet hesabı için değişiklikleri denetleyin.
  • Ağ oturumu ve bilgisayarda oturum açma, SQL Server 2005 hizmet hesabı, SQL Server Agent hizmet hesabı veya MSCS hizmet hesabına göre denetleyin.

NT AUTHORITY\SYSTEM hesabı

NT AUTHORITY\SYSTEM hesap, SQL Server oturum açma adı da verilir. NT AUTHORITY\SYSTEM hesabın SYSADMIN sabit sunucu rolü sağlanan. Değil bu hesabı silmek veya SYSADMIN sabit sunucu rolü kaldırın. NTAUTHORITY\SYSTEM hesabın, Microsoft Update ve Microsoft SMS, hizmet paketleri ve düzeltmeleri için bir SQL Server 2005 yüklemesi'ni uygulamak için kullanılır. NTAUTHORITY\SYSTEM hesap, SQL yazıcısı hizmet tarafından da kullanılır.

Ayrıca, SQL Server 2005, tek kullanıcı modunda başlatılırsa, SQL Server 2005'e bir SQL Server yönetici olarak buıltın\administrators grubunda üyeliği olan herhangi bir kullanıcı bağlanabilirsiniz. Kullanıcı olup buıltın\administrators grubu SYSADMIN sabit sunucu rolü sağlanan bir sunucunun oturum açma izni atanmış olursa olsun bağlantı kurabilirsiniz. Bu davranış tasarım yüzündendir. Bu davranış, veri kurtarma senaryolarına için kullanılması amaçlanır.

SQL Server 2005 için en iyi güvenlik yöntemleri hakkında daha fazla bilgi için SQL Server 2005 Books Online'da "Güvenlik konuları için bir SQL Server yükleme" konusuna bakın.

Referanslar

Bir SQL Server yükleme ile ilgili güvenlik konuları hakkında daha fazla bilgi için aşağıdaki Microsoft TechNet Web sitesini ziyaret edin:
http://technet.microsoft.com/en-us/library/ms144228.aspx

Özellikler

Makale numarası: 932881 - Last Review: 13 Şubat 2009 Cuma - Gözden geçirme: 3.1
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft SQL 2005 Server Enterprise
  • Microsoft SQL Server 2005 Enterprise X64 Edition
  • Microsoft SQL Server 2005 Enterprise Edition for Itanium Based Systems
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Standard X64 Edition
Anahtar Kelimeler: 
kbmt kbpubtypekc kbcode kbinfo kbhowto KB932881 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:932881

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com