MSDE ασφαλείας και ελέγχου ταυτότητας

Αποποίηση ευθυνών για περιεχόμενο της Γνωσιακής βάσης που έχει αποσυρθεί

Αυτό το άρθρο αφορά προϊόντα για τα οποία η Microsoft δεν παρέχει πλέον υποστήριξη. Συνεπώς, το παρόν άρθρο παρέχεται "ως έχει" και δεν θα ενημερώνεται πλέον.

Σύνοψη

Οι διαχειριστές συστήματος και οι προγραμματιστές πρέπει να σκεφτείτε την ασφάλεια και ζητήματα ελέγχου ταυτότητας επειδή οι χρήστες που δεν είναι εξουσιοδοτημένοι να καταστρέψει, κλοπή ή διαφορετικά να αποκτήσει πρόσβαση σε δεδομένα. Αυτό το άρθρο παρέχει μια επισκόπηση της ασφάλειας της Microsoft Desktop Engine (MSDE) και ελέγχου ταυτότητας και ορισμένες χρήσιμες συμβουλές σχετικά με τον τρόπο για να μετατρέψετε τα δεδομένα σας πιο ασφαλή.

Περισσότερες πληροφορίες

Ασφάλεια

Για να ασφαλίσετε τη βάση δεδομένων σας, πρέπει να κατανοήσετε τους χρήστες σας. Οι χρήστες μπορεί να έχει πολλούς διαφορετικούς σκοπούς, όταν συνδέεται με τη βάση δεδομένων σας. Χρήστες να ανάγνωση των δεδομένων, να αλλάξετε τα δεδομένα, να διαγράψετε τα δεδομένα και να εισαγάγει περισσότερα δεδομένα. Το πρώτο βήμα για να ασφαλίσετε τη βάση δεδομένων σας είναι να αποφασίσετε ποιες δραστηριότητες κάθε χρήστης επιτρέπεται να εκτελέσετε στη βάση δεδομένων.


Οι χρήστες, ομάδες και ρόλοι

SQL Server και MSDE έχει χρήστες, ομάδες και ρόλων που μπορείτε να χρησιμοποιήσετε για να ελέγξετε το επίπεδο ασφαλείας για τη βάση δεδομένων. Εάν έχετε μόνο μια συγκεκριμένη ομάδα χρηστών για να διαβάσετε τα δεδομένα από τη βάση δεδομένων, μπορείτε να δημιουργήσετε μια ομάδα με το όνομα OnlyReaders και, στη συνέχεια, προσθέστε τους χρήστες σε αυτήν την ομάδα. Οι χρήστες που είναι μέλη αυτής της ομάδας μπορεί να διαβάσει μόνο τα δεδομένα. δεν μπορούν να αλλάζουν τα δεδομένα, εάν σκόπιμα ή κατά λάθος.

Για να μάθετε περισσότερα σχετικά με τους χρήστες, τις ομάδες και τους ρόλους, δείτε το SQL Server Books Online. Για να προσθέσετε χρήστες, ομάδες και τους ρόλους σε μια βάση δεδομένων MSDE, χρησιμοποιήστε το βοηθητικό πρόγραμμα OSQL.

Ο κωδικός πρόσβασης λογαριασμού SA

Άλλο ένα απλό βήμα για να κάνετε πιο ασφαλή βάση δεδομένων είναι να βεβαιωθείτε ότι ο λογαριασμός SA έχει ενός ασφαλούς κωδικού πρόσβασης. Πολλοί προγραμματιστές και διαχειριστές συστημάτων, αφήστε τον λογαριασμό κωδικό πρόσβασης SA κενό, που επιτρέπει σε οποιονδήποτε να αποκτήσει πρόσβαση στη βάση δεδομένων.

Για να αλλάξετε τον κωδικό πρόσβασης του λογαριασμού SA στη βάση δεδομένων MSDE, ακολουθήστε τα εξής βήματα:
  1. Στον υπολογιστή που φιλοξενεί την περίοδο λειτουργίας του MSDE με την οποίο συνδέεστε, ανοίξτε ένα παράθυρο γραμμής εντολών.
  2. Πληκτρολογήστε την ακόλουθη εντολή και, στη συνέχεια, πιέστε το πλήκτρο ENTER:

    osql - U sa

    Η εντολή αυτή σας συνδέει με την τοπική, προεπιλεγμένη εμφάνιση του MSDE χρησιμοποιώντας το λογαριασμό SA.
  3. Πληκτρολογήστε τις ακόλουθες εντολές σε ξεχωριστές γραμμές και στη συνέχεια πιέστε το πλήκτρο ENTER:

    sp_password null
    'mynewpassword'
    'sa'

    Σημείωση Αντικαταστήστε το 'mynewpassword' με τον νέο κωδικό πρόσβασης.

    Σημειώστε ότι λαμβάνετε το ακόλουθο μήνυμα, το οποίο δηλώνει ότι ο κωδικός πρόσβασης άλλαξε με επιτυχία:
    Αλλαγή του κωδικού πρόσβασης.
Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

325003 Τρόπος διαχείρισης SQL Server Desktop Engine (MSDE 2000), χρησιμοποιώντας το βοηθητικό πρόγραμμα Osql

Ασφάλεια σε σελίδες ASP

Ασφάλεια σε ενεργές σελίδες διακομιστή είναι σημαντική με την ασφάλεια για προγράμματα που βασίζονται στα Windows. Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

176377 πρόσβαση στον SQL Server με ενσωματωμένη ασφάλεια από την ASP

Ενημερωμένες εκδόσεις κώδικα ασφαλείας

Για λόγους ασφαλείας, δεν αρκεί για να διαχειριστείτε τους χρήστες, τις ομάδες και τους ρόλους, αλλά πρέπει επίσης να βεβαιωθείτε ότι έχετε εγκαταστήσει τις πιο πρόσφατες ενημερωμένες εκδόσεις κώδικα στο διακομιστή της βάσης δεδομένων σας. Ενημερωμένες εκδόσεις κώδικα ασφαλείας είναι διαθέσιμες για λήψη για SQL Server και MSDE. Η Microsoft συνιστά να εγκαταστήσετε αυτές τις ενημερωμένες εκδόσεις κώδικα αμέσως. Για περισσότερες πληροφορίες, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
Ενημερωτικό δελτίο για θέματα ασφαλείας της Microsoft MS02-034
http://www.microsoft.com/technet/security/bulletin/MS02-034.mspx

Σημείωση Συνιστούμε να εγκαταστήσετε SQL Server 2000 Service Pack 3 (SP3) ή του SQL Server 2000 SP4. Τα Service Pack περιλαμβάνουν περισσότερες ενημερωμένες εκδόσεις και τα δύο service pack περιεχόμενο ενημερωτικό δελτίο για θέματα ασφαλείας της Microsoft MS02-034. Για περισσότερες πληροφορίες σχετικά με τον τρόπο απόκτησης του SQL Server 2000 SP3 ή SQL Server 2000 SP4, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
290211 τον τρόπο απόκτησης του τελευταίου service pack του SQL Server 2000



Αυτή είναι μια αθροιστική ενημερωμένη έκδοση κώδικα που περιλαμβάνει τη λειτουργικότητα όλων των τις ενημερωμένες εκδόσεις κώδικα που έχουν κυκλοφορήσει προηγουμένως για τον SQL Server 2000. Επίσης, αυτή η ενημέρωση κώδικα διορθώνει παρακάτω τρεις νέους τύπους ευπάθειας που επηρεάζουν το SQL Server 2000 και SQL Server Desktop Engine (γνωστό και ως το MSDE 2000). (Αυτά τα θέματα ευπάθειας δεν επηρεάζει τις προηγούμενες εκδόσεις του SQL Server ή MSDE.):
  • Ένα θέμα ευπάθειας υπέρβασης του buffer σε μια διαδικασία που χρησιμοποιείται για την κρυπτογράφηση πληροφοριών διαπιστευτηρίων του SQL Server. Ένας χρήστης που δεν έχει εξουσιοδότηση να χρησιμοποιήσετε αυτό το θέμα ευπάθειας να αποκτήσει σημαντικό έλεγχο της βάσης δεδομένων. Είναι πιθανό για το χρήστη να αποκτήσει έλεγχο από το ίδιο το διακομιστή, αλλά αυτό εξαρτάται από το λογαριασμό που χρησιμοποιεί το SQL Server.
  • Μια ευπάθεια υπέρβασης buffer σε μια διαδικασία που σχετίζεται με την μαζική εισαγωγή δεδομένων σε πίνακες του SQL Server.
    Ένας χρήστης που δεν έχει εξουσιοδότηση να χρησιμοποιήσετε αυτό το θέμα ευπάθειας να αποκτήσει σημαντικό έλεγχο της βάσης δεδομένων. Είναι πιθανό για το χρήστη να αποκτήσει έλεγχο από το ίδιο το διακομιστή.
  • Μια ευπάθεια απόκτησης ανώτερων δικαιωμάτων πιστοποιήσεις διαχείρισης που οφείλεται σε εσφαλμένα δικαιώματα στο κλειδί μητρώου που αποθηκεύει τις πληροφορίες λογαριασμού υπηρεσίας SQL Server. Ένας χρήστης που δεν έχει εξουσιοδότηση να χρησιμοποιήσει αυτήν την ευπάθεια για να αποκτήσει περισσότερα δικαιώματα στο σύστημα από το διαχειριστή του συστήματος έχει δίνουν στο λογαριασμό του χρήστη. Είναι πιθανό ο χρήστης για να λάβετε τα ίδια δικαιώματα με το λειτουργικό σύστημα. Για περισσότερες πληροφορίες, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
    Ενημερωτικό δελτίο για θέματα ασφαλείας της Microsoft MS02-035
    http://www.microsoft.com/technet/security/bulletin/MS02-035.mspx
Κατά την εγκατάσταση (συμπεριλαμβανομένων των MSDE 1.0) του SQL Server 7.0, SQL Server 2000 ή ένα service pack για το SQL Server 7.0 ή SQL Server 2000, οι πληροφορίες που παρέχετε για τη διαδικασία εγκατάστασης συλλέγονται και αποθηκεύονται σε ένα αρχείο εγκατάστασης ονομάζεται Setup.iss. Μπορείτε να χρησιμοποιήσετε το αρχείο Setup.iss για να αυτοματοποιήσετε την εγκατάσταση των πρόσθετων συστημάτων του SQL Server.

SQL Server 2000 περιλαμβάνει επίσης τη δυνατότητα για να καταγράψετε μια εγκατάσταση χωρίς παρακολούθηση για το αρχείο Setup.iss χωρίς να χρειάζεται να εκτελεί στην πραγματικότητα εγκατάσταση. Ο διαχειριστής που ρυθμίζει τον υπολογιστή που εκτελεί τον SQL Server να δώσετε έναν κωδικό πρόσβασης για τη ρουτίνα εγκατάστασης υπό τις ακόλουθες συνθήκες:
  • Εάν ορίσετε SQL Server για να έχετε μεικτή κατάσταση λειτουργίας ελέγχου ταυτότητας, πρέπει να δώσετε έναν κωδικό πρόσβασης για το λογαριασμό διαχειριστή (ο λογαριασμός SA) του SQL Server.
  • Εάν εκτελείτε το SQL Server σε μεικτή λειτουργία ή σε λειτουργία ελέγχου ταυτότητας των Windows, μπορείτε να ζητήσετε ένα Αναγνωριστικό χρήστη και έναν κωδικό πρόσβασης για να ξεκινήσετε ένα λογαριασμό υπηρεσίας του SQL Server.
Σε κάθε περίπτωση, ο κωδικός πρόσβασης αποθηκεύεται στο αρχείο Setup.iss. Πριν από την κυκλοφορία του SQL Server 7.0 Service Pack 4, οι κωδικοί πρόσβασης έχουν αποθηκευτεί σε μορφή απλού κειμένου. Για το SQL Server 7.0 Service Pack 4 και SQL Server 2000 Service Pack 1 και 2 οι κωδικοί πρόσβασης είναι κρυπτογραφημένα και αποθηκευμένα στη συνέχεια. Επιπλέον, κατά τη διαδικασία εγκατάστασης, ένα αρχείο καταγραφής δημιουργείται που εμφανίζει τα αποτελέσματα της εγκατάστασης. Το αρχείο καταγραφής περιλαμβάνουν κωδικούς πρόσβασης που έχουν αποθηκευτεί στο αρχείο Setup.iss.

Ο έλεγχος ταυτότητας

Ο έλεγχος ταυτότητας είναι ένας τρόπος για SQL Server και MSDE για να ελέγξετε τις συνδέσεις για να βεβαιωθείτε ότι επιτρέπεται στο χρήστη να συνδεθεί με το διακομιστή. Υπάρχουν δύο λειτουργίες ασφαλείας που χρησιμοποιούν SQL Server και MSDE: έλεγχος ταυτότητας των Windows και η μεικτή κατάσταση λειτουργίας.

Έλεγχος ταυτότητας των Windows

Έλεγχος ταυτότητας των Windows χρησιμοποιεί NTLM για να συνδεθείτε σε MSDE. Εάν συνδεθείτε ως διαχειριστής στον υπολογιστή σας, το MSDE προσπαθεί να ελέγξει την ταυτότητά σας ως διαχειριστής.

Η μεικτή κατάσταση λειτουργίας ελέγχου ταυτότητας

Μεικτή κατάσταση λειτουργίας ελέγχου ταυτότητας σας επιτρέπει να συνδεθείτε σε MSDE χρησιμοποιώντας έλεγχο ταυτότητας των Windows ή του SQL Server ελέγχου ταυτότητας. Τον έλεγχο ταυτότητας SQL Server σας επιτρέπει να δημιουργήσετε χρήστες στο MSDE. Κατά την ανάπτυξη προγραμμάτων, που περιλαμβάνουν το Αναγνωριστικό χρήστη και τον κωδικό πρόσβασης στη συμβολοσειρά σύνδεσης κατά τη σύνδεση σε MSDE. Για περισσότερες πληροφορίες σχετικά με τις λειτουργίες ελέγχου ταυτότητας, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
Λειτουργίες ελέγχου ταυτότητας
http://msdn2.microsoft.com/en-us/library/aa905171(SQL.80).aspx

Ενεργοποιήσετε μεικτή λειτουργία ελέγχου ταυτότητας κατά τη διάρκεια της εγκατάστασης

Κατά τη διάρκεια της εγκατάστασης, μπορείτε να αλλάξετε τη λειτουργία ελέγχου ταυτότητας που χρησιμοποιεί το MSDE, εκτελώντας την εγκατάσταση με την ακόλουθη παράμετρο εντολής:
SECURITYMODE=SQL
Αυτή η παράμετρος εντολή προκαλεί MSDE εγκατάστασης με μεικτή κατάσταση λειτουργίας ελέγχου ταυτότητας. Με αυτήν την κατάσταση λειτουργίας ελέγχου ταυτότητας, μπορείτε να συνδεθείτε σε MSDE χρησιμοποιώντας έλεγχο ταυτότητας των Windows ή τον έλεγχο ταυτότητας του SQL Server.

Σημείωση Από προεπιλογή, για τα Windows NT και νεότερες εκδόσεις, MSDE εγκαθιστά χρησιμοποιώντας έλεγχο ταυτότητας των Windows. Σε υπολογιστές με Windows 98, το MSDE χρησιμοποιεί έλεγχο ταυτότητας SQL.

Ενεργοποίηση μεικτή κατάσταση λειτουργίας ελέγχου ταυτότητας μετά την εγκατάσταση του MSDE

Σημαντικό Αυτή η ενότητα, μέθοδος ή εργασία περιέχει βήματα που σας καθοδηγούν να τροποποιήσετε το μητρώο. Ωστόσο, ενδέχεται να προκύψουν σοβαρά προβλήματα εάν δεν τροποποιήσετε σωστά το μητρώο. Επομένως, βεβαιωθείτε ότι ακολουθείτε προσεκτικά αυτά τα βήματα. Για επιπλέον προστασία, δημιουργήστε αντίγραφα ασφαλείας του μητρώου πριν να το τροποποιήσετε. Στη συνέχεια, μπορείτε να επαναφέρετε το μητρώο εάν προκύψει κάποιο ζήτημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
322756 Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows


Από προεπιλογή, η τιμή του δευτερεύοντος κλειδιού LoginMode Windows μητρώου ορίζεται σε 1 για έλεγχο ταυτότητας των Windows. Για την ενεργοποίηση ελέγχου ταυτότητας μεικτής λειτουργίας μετά την εγκατάσταση του MSDE, πρέπει να αλλάξετε αυτήν την τιμή 2. Η θέση του δευτερεύοντος κλειδιού LoginMode εξαρτάται από το αν έχετε εγκαταστήσει το MSDE ως προεπιλεγμένη περίοδο λειτουργίας MSDE ή ως περίοδο λειτουργίας με όνομα.
  • Εάν έχετε εγκαταστήσει το MSDE ως προεπιλεγμένη περίοδο λειτουργίας, το δευτερεύον κλειδί LoginMode βρίσκεται στο ακόλουθο δευτερεύον κλειδί μητρώου:
    HKLM\Software\Microsoft\MSSqlserver\MSSqlServer\LoginMode
  • Εάν έχετε εγκαταστήσει το MSDE ως περίοδο λειτουργίας με όνομα, το δευτερεύον κλειδί LoginMode βρίσκεται στο ακόλουθο δευτερεύον κλειδί μητρώου:
    HKLM\Software\Microsoft\Microsoft SQL Server\ \MSSQLServer\LoginModeόνομα παρουσίας
Για να αλλάξετε την τιμή της LoginMode 2, ακολουθήστε τα εξής βήματα:
  1. Στον πίνακα ελέγχου, ανοίξτε το εργαλείο Services και στη συνέχεια να διακόψετε MSSQLSERVER και όλων των υπόλοιπων σχετικών υπηρεσιών (όπως την υπηρεσία SQLSERVERAgent).
  2. Στο μενού " Έναρξη ", κάντε κλικ στην εντολή Εκτέλεση, πληκτρολογήστε regedt32και, στη συνέχεια, κάντε κλικ στο κουμπί OK για να ξεκινήσετε τον Επεξεργαστή μητρώου.
  3. Εντοπίστε οποιοδήποτε από τα ακόλουθα δευτερεύοντα κλειδιά (ανάλογα με το αν έχετε εγκαταστήσει το MSDE ως προεπιλεγμένη περίοδο λειτουργίας MSDE ή ως περίοδο λειτουργίας με όνομα):
    • HKEY_LOCAL_MACHINE\Software\Microsoft\MSSqlserver\MSSqlServer\

      - ή -
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\ \MSSQLServer\όνομα παρουσίας
  4. Στο δεξιό τμήμα του παραθύρου, κάντε διπλό κλικ στο δευτερεύον κλειδί LoginMode .
  5. Στο παράθυρο διαλόγου του Επεξεργαστής DWORD , ορίστε την τιμή αυτού του δευτερεύοντος κλειδιού σε 2, βεβαιωθείτε ότι είναι ενεργοποιημένη η επιλογή Hex και, στη συνέχεια, κάντε κλικ στο κουμπί OK.
  6. Ξεκινήστε πάλι την υπηρεσία MSSQLSERVER και η υπηρεσία υπηρεσία SQLSERVERAgent για να ισχύσει αυτή η αλλαγή.

Αναφορές

Για περισσότερες πληροφορίες, επισκεφθείτε τις ακόλουθες τοποθεσίες της Microsoft στο Web:
Ασφάλεια & απόρρητο
http://www.microsoft.com/security
Διαχείριση της ασφάλειας του διακομιστή Microsoft SQL με την Microsoft Access
http://msdn2.microsoft.com/en-us/library/aa140013(office.10).aspx
Λευκή βίβλος του SQL Server 2000 ασφάλειας
http://www.microsoft.com/technet/prodtechnol/sql/2000/maintain/sp3sec00.mspx
Για περισσότερες πληροφορίες, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft:

259710 PRB: SQL Server Agent δεν εκκίνηση στα Windows 9 x όταν αλλάξετε τον κωδικό πρόσβασης SA

319930 Τρόπος σύνδεσης με Microsoft Desktop Engine

313418 PRB: μη ασφαλής SQL Server με κενό κωδικό πρόσβασης (NULL) SA δημιουργεί ζήτημα ευπάθειας απέναντι σε ιό τύπου worm

285097 τρόπος για να αλλάξετε την προεπιλεγμένη λειτουργία ελέγχου ταυτότητας σύνδεσης σε SQL κατά την εγκατάσταση του SQL Server 2000 Desktop Engine με τη χρήση του Windows Installer

248683 συστάσεις ασφαλείας μηχανισμός δεδομένων της Microsoft για ανεξάρτητους προμηθευτές λογισμικού

321698 δεν είναι δυνατό να συνδεθείτε σε MSDE 2000 χρησιμοποιώντας ADO.NET με έλεγχο ταυτότητας SQL

Ιδιότητες

Αναγνωριστικό άρθρου: 325022 - Τελευταία αναθεώρηση: 17 Ιαν 2017 - Αναθεώρηση: 1

Σχόλια