ÚVOD

Microsoft SQL Server 2005 instalační program vytvoří místní skupinu systému Windows pro každou službu, kterou instalujete. SQL Server 2005 instalační program přidá účet služby pro každou službu příslušnou skupinu. Instalace clusteru převzetí služeb při selhání serveru SQL Server skupiny domény systému Windows používají stejným způsobem. Tyto skupiny domény musí být vytvořeny správcem domény před spuštěním programu nastavení SQL Server 2005. Windows NT práva a oprávnění, které jsou vyžadované konkrétní službu jsou přidány pomocí seznamu řízení přístupu systému (SACL) pro každou skupinu systému Windows. Správce domény neuděluje oprávnění k účtu služby.

Navíc jsou vytvořené pro SQL Server 2005, SQL Server Agent a skupiny BUILTIN\Administrators skupiny systému Windows uděleno přihlášení serveru SQL Server 2005, které jsou zřízeny v SQL Server 2005 pevné role serveru SYSADMIN. Tato konfigurace umožňuje pro libovolný účet, který je členem těchto skupin k přihlášení k serveru SQL Server 2005 pomocí ověřování systému Windows NT. Vzhledem k tomu, že uživatel má členství ve skupinách v SQL Server SYSADMIN pevné role serveru, je uživatel přihlášen do serveru SQL Server 2005 jako správce systému serveru SQL Server 2005. (Uživatel je přihlášen pomocí účtu správce systému). Uživatel pak má neomezený přístup, instalace serveru SQL Server 2005 a jeho data. Každý uživatel, který ví, že heslo pro instanci serveru SQL Server 2005 nebo účet služby Agent serveru SQL Server pomocí služby také účet pro přihlášení k počítači. Uživatele můžete pak proveďte Windows NT ověřit připojení serveru SQL Server 2005 jako správce serveru SQL Server.

Skupiny systému Windows, které jste vytvořili pro SQL Server 2005 Reporting Services (SSRS) a službu fulltextového vyhledávání jsou také uděleno přihlášení serveru SQL Server. Však služby Reporting Services a služba fulltextového vyhledávání nejsou v zajištěna podpora role dlouhodobého serveru SYSADMIN.

Někteří správci serveru SQL Server 2005 má funkční role správce databáze a operační správce systému striktně oddělit. Tito správci chcete chránit před nežádoucím přístupem podle operační správce systému serveru SQL Server 2005.

Další informace

Jak chcete-li nežádoucí přístup SQL Server 2005 operační správce systému obtížnější

Chcete-li provést nežádoucí přístup SQL Server 2005 operační správce systému obtížnější, musíte odebrat přihlašovací oprávnění, která byla udělena skupiny BUILTIN\Administrators. Potom je nutné udělit přihlášení přímo na účty služby pro SQL Server 2005 a SQL Server Agent. Dále je třeba zřídit přihlášení v roli SYSADMIN dlouhodobého serveru. Nakonec je nutné odstranit přihlášení, která byla udělena jejich příslušných skupin systému Windows. Chcete-li to provést, postupujte takto:

  1. Ujistěte se, zda máte účet, který je členem role SYSADMIN dlouhodobého serveru. Tento účet není uděleno oprávnění k přihlášení serveru SQL Server 2005 pouze tím, že je členem skupiny BUILTIN\Administrators.

  2. Odeberte přihlašovací oprávnění, která byla udělena skupiny BUILTIN\Administrators. Chcete-li to provést, postupujte takto:

    1. Přihlaste se k serveru SQL Server 2005 pomocí uživatelského účtu, který má oprávnění ALTER jakékoliv LOGIN.

    2. Rozbalte zabezpečení, rozbalte přihlášení, klepněte pravým tlačítkem myši BUILTIN\Administratorsa potom klepněte na příkaz Odstranit.

    3. V dialogovém okně Odstranit objekt klepněte na tlačítko OK.

    Poznámka: Po odstranění přihlášení, která byla udělena skupiny BUILTIN\Administrators libovolného účtu, který je založen pouze na členství v této skupině se přihlásit k serveru SQL Server 2005 budou nadále moci přístup SQL Server 2005.

    Informace o účtu služby Microsoft Cluster Service (MSCS) naleznete v části "Účet služby Microsoft Cluster Service (MSCS)".

  3. Používáte účet, který má oprávnění ALTER jakékoliv LOGIN explicitně udělit přihlášení serveru SQL Server 2005 přímo na účty služby, které používají SQL Server 2005 a SQL Server Agent. Chcete-li to provést, spusťte následující příkaz SQL.

    CREATE LOGIN [<Domain Name>\<SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    CREATE LOGIN [<Domain Name >\<SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
  4. Pomocí účtu, který je členem SYSADMIN pevné zajištění přihlášení, které jste přidali v kroku 2 SYSADMIN role serveru dlouhodobého role serveru.

    EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Service Account> ', @rolename = N'sysadmin'
    EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Agent Service Account> ', @rolename = N'sysadmin'
  5. Používáte účet, který má oprávnění ALTER jakékoliv LOGIN odstranit přihlášení, která byla poskytnuta ke skupině SQL Server 2005 a do skupiny Windows Agent serveru SQL.

    DROP LOGIN [<Computer Name>\<SQLServer2005SQLServerUser>$<Computer Name>$MSSQLSERVER]
    DROP LOGIN [<Computer Name>\<SQLServer2005AgentUser>$<Computer Name>$MSSQLSERVER]

I po provedení těchto kroků heslo účtu služby SQL Server 2005 a účet služby SQL Server Agent musí být uchovávány tajný z operační správce systému. Pokud účet služby MSCS byla vytvořena v SYSADMIN pevné role serveru, heslo účtu služby MSCS musí také být uchovávány tajný z operační správce systému. Pokud operační správce systému zná heslo pro účet služby SQL Server 2005 nebo účet služby Agent serveru SQL Server, operační správce systému pomocí účtu služby přihlásit k počítači. Po operační správce systému přihlásí k počítači, můžete operační správce systému připojit k instanci serveru SQL Server 2005 jako správce serveru SQL Server.

Pokud chcete zachovat operační správce systému učení hesla účtů služeb, které používají SQL Server 2005 a SQL Server Agent, správce systému serveru SQL Server musí být schopen nastavit nové heslo pro účet služby. Ve většině případů správce systému serveru SQL Server 2005 není operační správce systému. Speciální nástroj proto musí být napsány pro tyto funkce poskytují. Můžete například vytvořit důvěryhodnou službu, která správce systému serveru SQL Server 2005, můžete použít ke změně hesla pro účty služby, které používají SQL Server 2005. Společnost Microsoft nyní tuto službu nenabízí.

Účet služby Microsoft Cluster Service (MSCS)

V instalaci clusteru převzetí služeb při selhání serveru SQL Server 2005 účet služby MSCS závisí na členství ve skupině BUILTIN\Administrators přihlášení k serveru SQL Server 2005 spustit kontrolu IsAlive. Pokud je skupiny BUILTIN\Administrators odebrat z clusteru převzetí služeb při selhání, je nutné explicitně udělit oprávnění účtu služby MSCS přihlásit k serveru SQL Server 2005 převzetí služeb při selhání clusteru. Chcete-li to provést, spusťte následující příkaz SQL v instanci serveru SQL Server 2005.

CREATE LOGIN [<Domain Name>\<MSCS Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]

SQL Server 2005 Service Pack 2 přidány nové možnosti diagnostiky pro SQL Server 2005 převzetí služeb při selhání clustery. Diagnostika automaticky zachytit stav prostředku clusteru SQL Server 2005 před selhání clusteru. Knihovny DLL prostředků serveru SQL Server 2005 (DLL) provede tento diagnostických dat snadnější, shromažďování takto:

  • Prostředek SQL Server 2005 spustí instanci nástroje Sqlcmd.exe kontextu zabezpečení účtu služby MSCS. Zdroj SQL Server 2005 spustí SQL scriptu vzorky různých zobrazení dynamické správy (DMV) vyhrazený Správce připojení (DAC).

  • SQL Server 2005 prostředku zachycení uživatelského souboru výpisu stavu procesu serveru SQL Server 2005 před selhání clusteru.

Vzhledem k tomu, že připojení vyhrazený správce umožňuje shromažďovat diagnostická data, účet služby MSCS musí být zřízena v roli SYSADMIN dlouhodobého serveru. Pokud postupy zabezpečení vaší organizace znamená, že nelze zřídit účet služby MSCS v SYSADMIN pevné role serveru, účet služby MSCS mohou být udělena, že přihlášení serveru SQL Server, který není zřízena v SYSADMIN pevné role serveru. V tomto scénáři diagnostické nástroje, které jsou obvykle zachycené nástrojem Sqlcmd.exe nezdaří, protože nástroj Sqlcmd.exe se nelze přihlásit k serveru SQL Server 2005. SQL Server 2005 prostředku DLL budou moci shromažďovat uživatelského souboru výpisu stavu bez ohledu na to, zda účet služby SQL Server 2005 prostředku, který knihovny DLL je zřízena v SYSADMIN pevné role serveru.

Pokud chcete, přihlaste se k serveru SQL Server 2005 pomocí účtu, který je členem SYSADMIN, pevné role serveru. Potom spusťte následující příkaz SQL chcete-li přidat účet služby MSCS role dlouhodobého serveru SYSADMIN.

EXEC master.sp_addsrvrolemember @loginame = N'<Domain Name>\<MSCS Service Account> ', @rolename = N'sysadmin'

Jak změnit účty služeb

Ačkoli předchozí kroky může ztížit více operační správce systému připojit k serveru SQL Server 2005, předchozí kroky umožňují více komplikací, chcete-li změnit účty služby SQL Server 2005 a SQL Server Agent. Chcete-li změnit účty služby SQL Server 2005 a SQL Server Agent, postupujte takto:

  1. Přidáte nový účet služby nebo účty služeb do skupiny systému Windows nebo skupiny vytvořené pro SQL Server a SQL Server Agent.

  2. Používáte účet, který má oprávnění ALTER jakékoliv LOGIN k vytvoření přihlašovacího jména serveru SQL Server 2005 pro nové účty služeb. Chcete-li to provést, spusťte následující příkaz SQL z účtu, který má oprávnění ALTER jakékoliv LOGIN.

    CREATE LOGIN [<Domain Name>\<New SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    CREATE LOGIN [<Domain Name>\<New SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
  3. Používáte účet, který je vytvořen v roli SYSADMIN dlouhodobého serveru spustit následující příkaz SQL.

    EXEC master..sp_addsrvrolemember @loginame = N’ <Domain Name>\<New SQL Server Service Account> ', @rolename = N'sysadmin'
    EXEC master..sp_addsrvrolemember @loginame = N’ <Domain Name>\<New SQL Server Agent Service Account> ', @rolename = N'sysadmin'

    Poznámka: Tento příkaz přidá účet služby SQL Server 2005 a účet služby Agent serveru SQL Server SYSADMIN pevné role serveru.

  4. Změna účtu služby pro příslušnou službu pomocí Správce konfigurace serveru SQL. Chcete-li to provést, postupujte takto:

    1. V SQL Server Správce konfigurace, klepněte na příkaz SQL Server 2005 Services.

    2. Klepněte pravým tlačítkem myši službu, kterou chcete změnit a potom klepněte na příkaz Vlastnosti.

    3. Klepněte Na kartu přihlášení a potom zadejte informace o uživatelském účtu má služba používat.

    4. Po dokončení zadávání informací o účtu, klepněte na tlačítko OK .

    Poznámka: Při změně účtu služby SQL Server Správce konfigurace zobrazí výzvu k restartování služby.

  5. Používáte účet, který má oprávnění ALTER jakékoliv LOGIN odstranit přihlášení, která byla použita jako účet služby serveru SQL Server 2005 a účet služby SQL Server Agent. Chcete-li to provést, spusťte následující příkaz SQL.

    DROP LOGIN [<Domain Name>\<Old SQL Server Service Account>]
    DROP LOGIN [<Domain Name>\<Old SQL Server Agent Service Account>]

Poznámka: Není nutné poskytnout jakékoli nové Windows NT práva a oprávnění pro nové účty služby, protože přidat nové účty služeb do jejich příslušných skupin systému Windows v kroku 1.

Doporučení auditovat procesy

Pokud chcete chránit před nežádoucím přístupem správci operačního systému SQL Server, by měl také auditovat následující procesy:

  • Auditování spuštění a zastavení serveru se systémem Windows.

  • Auditu spouští a zastavuje služby SQL Server 2005 a SQL Server Agent služby.

  • Auditovat přístup k adresářům, ve které SQL Server jsou uloženy soubory databáze, soubory dat, soubory protokolu a záložních souborů databáze.

  • Auditovat změny účtu služby SQL Server 2005 a účet služby SQL Server Agent.

  • Účet služby SQL Server 2005, SQL Server Agent účet služby nebo účet služby MSCS auditu přihlášení k síti a přihlášení k počítači.

Pomocí účtu NT AUTHORITY\SYSTEM

Pomocí účtu NT AUTHORITY\SYSTEM také uděleno přihlášení serveru SQL Server. V roli SYSADMIN dlouhodobého serveru je vytvořena pomocí účtu NT AUTHORITY\SYSTEM. Tento účet odstranit nebo odebrat z role dlouhodobého serveru SYSADMIN. Účet NTAUTHORITY\SYSTEM se používá Microsoft Update a Microsoft SMS použít k instalaci serveru SQL Server 2005 aktualizace service Pack a opravy hotfix. Služba SQL Zapisovatel se také používá účet NTAUTHORITY\SYSTEM.

Také pokud SQL Server 2005 je spuštěna v režimu jednoho uživatele, každý uživatel, který má členství ve skupině BUILTIN\Administrators můžete připojit k serveru SQL Server 2005 jako správce serveru SQL Server. Uživatel může připojit bez ohledu na to, zda skupiny BUILTIN\Administrators uděleno přihlášení serveru, která je zřízena v SYSADMIN pevné role serveru. Toto chování je záměrné. Toto chování je určena pro scénáře zotavení data.

Další informace o doporučených postupech zabezpečení pro SQL Server 2005 naleznete v tématu "Zabezpečení důležité informace za účelem SQL Server instalace" v SQL Server 2005 Books Online.

Odkazy

Další informace o zabezpečení pro instalaci serveru SQL Server naleznete na následujícím webu Microsoft TechNet společnosti:

http://technet.microsoft.com/en-us/library/ms144228.aspx

Potřebujete další pomoc?

Rozšiřte své znalosti a dovednosti
Projít školení
Získejte nové funkce jako první
Připojit se k programu Microsoft Insider

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?

Děkujeme vám za zpětnou vazbu.

×