現在オフラインです。再接続するためにインターネットの接続を待っています

SQL Server 2000 Desktop Engine (MSDE 2000) のインストール時に強力な sa パスワードを指定する方法

サポート期間が終了した「サポート技術情報」資料に関する免責事項
この資料は、マイクロソフトでサポートされていない製品について記述したものです。そのため、この資料は現状ベースで提供されており、今後更新されることはありません。
概要
この資料では、SQL Server Desktop Engine (別名 MSDE 2000) のインストール時に強力な sa パスワードを指定する方法について説明します。
詳細
SQL Server 2000 Desktop Engine (MSDE 2000) のインスタンスをインストールするときは、sa アカウントに強力なパスワードを割り当てる必要があります。インスタンスで Windows 認証モードを使用している場合にも、この操作を行う必要があります。Windows 認証モードで実行しているときに、sa アカウントを使用することはできませんが、後でインスタンスを混合モードに切り替えて、sa アカウントをアクティブなログインにすることができるからです。

MSDE 2000 のインスタンスを混合モードに切り替えたとき、sa アカウントのパスワードに、null、空白、単純な文字列、またはよく知られた語が設定されていると、認証されていないユーザーが MSDE インスタンスにアクセスできる場合があります。sa アカウントは削除できないため、承認されていないアクセスを制限するのに役立つ強力なパスワードを使用して、常に sa アカウントを保護する必要があります。sa アカウントを使用して MSDE 2000 のインスタンスへのアクセスを取得したユーザーは、その MSDE のインスタンスに対してフル コントロールを取得して、MSDE サービス アカウントが保持しているすべてのリソースにアクセスできる可能性があります。デフォルトでは、MSDE サービス アカウントは、組み込みのセキュリティ アカウントの LocalSystem です。

強力なパスワードの詳細については、次のマイクロソフト Web サイトを参照してください。カスタム アプリケーション コードを使用して MSDE をインストールできます。アプリケーション コードでは、以下の 2 つの方法のいずれかを使用して sa パスワードを設定する必要があります。
  • ユーザーが混合モードで MSDE をセットアップし、sa アカウントを使用する予定の場合は、そのユーザーに、sa アカウントに強力なパスワードを指定するように要求します。その強力なパスワードを MSDE のセットアップに使用します。
  • sa アカウントを使用しない場合は、ランダムな文字列を生成して、その文字列を sa パスワードとして MSDE のセットアップに渡します。
セキュリティを強化するため、Setup.ini ファイルのパラメータまたはコマンド (.cmd) ファイルのコマンド プロンプト スイッチに、セットアップ時に割り当てられた sa パスワードをハード コードしないでください。また、MSI ファイルのプロパティに sa パスワードを含めたり、パスワードがテキスト形式で公開される可能性のある他の方法を使用して sa パスワードを含めたりしないでください。パスワードは、アプリケーションのセットアップ プログラムの実行時に動的に生成し、以下のいずれかの方法で MSDE のセットアップ プロセスに渡す必要があります。
  • アプリケーションのセットアップ コード から MSDE setup.exe を実行し、引数の SAPWD 値を指定します。

    たとえば、.NET Framework の Process クラスを使用してセットアップを実行し、ProcessStartInfo Arguments プロパティで SAPWD を指定します。または、Win32 の CreateProcess 関数を使用してセットアップを実行し、lpCommandLine パラメータで SAPWD を指定します。


    SAPWD コマンド ライン パラメータの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    810826 MSDE Service Pack 3 セットアップの新しいスイッチ
  • Windows インストーラ ベースのカスタム セットアップで、MSDE のマージ モジュールを使用する場合、カスタム操作を実行して強力なパスワードを渡します。

: Windows 認証モードを使用した場合、MSDE 2000 のセットアップ中に sa アカウントのパスワードを設定することはできません。この事例では、セットアップ完了後にパスワードを設定する必要があります。MSDE 2000 をインストールする際には、最新の Service Pack を使用することを強くお勧めします。

ランダムなパスワードを生成する際には、以下のような Crypto API 関数を使用することをお勧めします。
  • CryptAcquireContext
  • CryptGenRandom
  • CryptCreateHash
  • CryptHashData
ネイティブ コードを使用している場合は、CryptReleaseContext を使用します。

マネージ コードを使用している場合は、System.Security.Cryptography.RNGCryptoServiceProvider を使用してランダムなエンコードされた文字列を取得し、その後 System.Security.Cryptography.SHA1 クラスの ComputeHash メソッドを使用して、返された値をハッシュします。ランダムな文字列は 7 ~ 20 文字の可変長である必要があります。

sa パスワードを忘れた場合、または sa パスワードが不明で、インスタンスを混合モードに変更した場合、以前のパスワードがわからなくても、sysadmin 固定サーバー ロールのメンバは sa パスワードをリセットできます。デフォルトでは、ローカル Administrators グループのメンバに追加されているすべてのユーザーが sysadmin ロールのメンバになります。sysadmin ロールのメンバは、MSDE のインスタンスを Windows 認証モードから混合モードに変更したり、その逆の操作を行うことができます。また、sa パスワードを変更することもできます。そのため、セキュリティ上の理由から、Administrators グループを sysadmin ロールから削除することもできます。

Administrators グループを sysadmin ロールから削除する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
263712 Windows NT Administrators でクラスタ化された SQL Server を管理できないようにする方法


sa アカウントのパスワードの変更の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
322336 MSDE システム管理者のパスワードを検証および変更する方法
: この資料で説明した、インストール中に sa パスワードを変更する方法は、MSDE の新規インストールのみに適用されます。

以下の手順では、サンプル ソース コードを使用してランダムな sa パスワードを生成して、MSDE のインストールを開始します。

Microsoft Visual C++ .NET を使用する場合

  1. [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[Microsoft Visual Studio .NET]、[Visual Studio .NET ツール] を順にポイントし、[Visual Studio .NET コマンド プロンプト] をクリックします。
  2. メモ帳を開きます。
  3. メモ帳に以下のコードを貼り付けます。
    #pragma once#define WIN32_LEAN_AND_MEAN // Exclude rarely-used stuff from Windows headers.#define UNICODE#include <stdio.h>#include <windows.h>#include <wincrypt.h>#ifdef UNICODE	#define STRNCPY	wcsncpy#else	#define STRNCPY strncpy#endif#include <atlenc.h>#define SAPWDSWITCH _T("SAPWD=")#define INSTANCENAME _T("INSTANCENAME=MSDETEST")BOOL GenPwd(TCHAR*, int);void DisplayError (DWORD);int main(void){		//Generate random length for password, between 7 and 20 characters. 	int nPwdLen = ((rand() % 20) + 7) + 1;	//Extra character for null	TCHAR* pPwd = new TCHAR[nPwdLen];	UINT uRes = 0;	DWORD dwRes = 0;	if (!GenPwd(pPwd, nPwdLen))	{		//Failed to generate a password, log the error and return failure.		dwRes = GetLastError();		DisplayError(dwRes);		return dwRes;	}        STARTUPINFO si;        PROCESS_INFORMATION pi;        ZeroMemory( &si, sizeof(si) );        si.cb = sizeof(si);        ZeroMemory( &pi, sizeof(pi) );	//Allocate a string for the command line.	LPTSTR lpCommand = new TCHAR[nPwdLen + _tcslen(INSTANCENAME) + _tcslen(SAPWDSWITCH) + 2];	_stprintf(lpCommand, _T("%s %s%s"),INSTANCENAME,  SAPWDSWITCH, pPwd);// Specify the complete path of Setup.exe.	if (!CreateProcess(_T("setup.exe"), lpCommand, NULL, NULL, FALSE, 				0, NULL, NULL, &si, &pi))	{		dwRes = GetLastError();		DisplayError(dwRes);	}	return 0;}//Generates a Random string of length nLen - 1.  Buffer ppwd must allocate an extra character for null terminator.//Returns TRUE if successful, FALSE if fails.//Extended error information can be obtained from GetLastError().BOOL GenPwd(TCHAR* ppwd, int nLen){	BOOL bResult = FALSE;	//assume failure	HCRYPTPROV hProv = NULL;	HCRYPTHASH hHash = NULL;		//Storage for random string 4 times longer than the resulting password.	DWORD dwBufSize = nLen*4;	DWORD dwSize = Base64EncodeGetRequiredLength((int)dwBufSize);	LPSTR pEncodedString = NULL;	LPBYTE pRandomBuf = NULL;	TCHAR* pTRandomPwd = NULL;		try	{		pEncodedString = new char[dwSize];		pRandomBuf = new BYTE[dwBufSize];				// Try to acquire context to Crypto provider.		if (!CryptAcquireContext(&hProv, NULL, NULL, PROV_RSA_FULL, CRYPT_SILENT))		{			if (GetLastError() == NTE_BAD_KEYSET) // Test for non-existent keyset			{				if (!CryptAcquireContext(&hProv, NULL, NULL, PROV_RSA_FULL, CRYPT_SILENT | CRYPT_NEWKEYSET))					throw(GetLastError());			}			else				throw(GetLastError());		}		//Generate a random sequence.		if (!CryptGenRandom(hProv, dwBufSize, pRandomBuf))		{			throw(GetLastError());		}		//Get a handle to a hash, then hash the random stream.		if (!CryptCreateHash(hProv, CALG_SHA1, 0, 0, &hHash))		{			throw(GetLastError());		}		if (!CryptHashData(hHash, pRandomBuf, dwBufSize, NULL))		{			throw(GetLastError());		}			// Destroy the hash object.		CryptDestroyHash(hHash);		//Release Provider context		CryptReleaseContext(hProv, 0);				//Encode the hash value to base64.		if (!Base64Encode(pRandomBuf, dwBufSize, pEncodedString, (int*) &dwSize, 0))		{			throw(GetLastError());		}			//Determine how many tchars you need to convert string to base64.		int nTchars = (int) strlen(pEncodedString);			pTRandomPwd = new TCHAR[nTchars];	#ifdef UNICODE		if (MultiByteToWideChar(CP_UTF8, 0, pEncodedString, nTchars, pTRandomPwd, nTchars) == 0)		{			throw(GetLastError());		}#else		STRNCPY( pTRandomPwd, pEncodedString, nLen);#endif		//Copy the first x characters of random string to output buffer.		STRNCPY(ppwd, pTRandomPwd, nLen);		//Add null terminator to ppwd string.		ppwd[nLen] = _T('\0');		bResult = TRUE;	}	catch (DWORD)	{		//Set return value to false.		bResult = FALSE;	}	catch (...)	{		//Unknown error, throw.		throw;	}	//Clean up memory.	if (pRandomBuf)	{		delete pRandomBuf;		pRandomBuf = NULL;	}	if (pEncodedString)	{		delete pEncodedString;		pEncodedString = NULL;	}	if (pTRandomPwd)	{		delete pTRandomPwd;		pTRandomPwd = NULL;	}	return bResult;}void DisplayError (DWORD dwError){	//Resolve the error code to a message string.	LPCTSTR MessageBuffer;	DWORD dwBufferLength = FormatMessage( FORMAT_MESSAGE_ALLOCATE_BUFFER | FORMAT_MESSAGE_IGNORE_INSERTS | FORMAT_MESSAGE_FROM_SYSTEM,		NULL, // module to get message from (NULL == system)		dwError,		MAKELANGID(LANG_NEUTRAL, SUBLANG_DEFAULT), // Default language.		(LPTSTR) &MessageBuffer,		0,		NULL		);	DWORD dwBytesWritten;	// Output message string on stderr.	WriteFile(		GetStdHandle(STD_ERROR_HANDLE),		MessageBuffer,		dwBufferLength,		&dwBytesWritten,		NULL		);}
  4. ファイルに StrongSA.cpp という名前を付けて保存します。
  5. コマンド プロンプトで次のコマンドを入力し、コードをコンパイルします。

    cl strongSA.cpp
  6. コマンド プロンプトで次のコマンドを入力し、コードを実行します。

    strongSA.exe

Microsoft C#.NET を使用する場合

  1. Visual Studio .NET で、新しい Visual C# コンソール アプリケーション プロジェクトを作成します。
  2. Main 関数を含むクラス ファイルに、以下のコードを貼り付けます。

    ファイル内の既存のすべてのコードが、以下のコードに置き換えられたことを確認します。
    using System;using System.Diagnostics;using System.IO;using System.Resources;using Microsoft.Win32;using System.Security.Cryptography;class InstMSDE{	static void Main(string[] args)	{		try		{   						// Generate random password.			RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider();			byte[] encodedSeed = new byte[512];			rng.GetBytes(encodedSeed);			SHA1 sha1 = SHA1.Create();			byte[] hashval = sha1.ComputeHash(encodedSeed);			String base64HashVal = Convert.ToBase64String(hashval);			// Trim "=" off the end.			base64HashVal = base64HashVal.TrimEnd('=');							string msdeINI = "setup.ini";			// You have to set startInfo parameters values as appropriate for your installation.			ProcessStartInfo startInfo = new ProcessStartInfo();			// Setup.exe for MSDE sp3.			startInfo.FileName = "setup.exe"; 			// Pass the SA password to the setup program.			startInfo.Arguments = "/settings \"" + msdeINI + "\"" + " SAPWD=" + base64HashVal + " /qr+ "; 			startInfo.WindowStyle = ProcessWindowStyle.Normal;			// Substitute the workdir with complete path of installation folder. 			startInfo.WorkingDirectory = "c:\\Workingdir";							Process.Start(startInfo);								}		catch (Exception e)		{			Console.WriteLine("Unable to execute program due to the following error: " + e.Message);			return;		}  	}}
  3. F5 キーを押してコンパイルし、プログラムを実行します。
関連情報
カスタム アプリケーションのセットアップに MSDE を埋め込む方法の詳細については、次のマイクロソフト Web サイトを参照してください。
プロパティ

文書番号:814463 - 最終更新日: 10/13/2005 05:03:32 - リビジョン: 1.3

Microsoft SQL Server 2000 Desktop Engine (Windows)

  • kbsetup kbsecurity kblogin kbauthentication kbsample kbguidelines kbcode kbinfo KB814463
フィードバック
r="var m=document.createElement('meta');m.name='ms.dqp0';m.content='true';document.getElementsByTagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?">