Du kan bruke innstillingen for TRUSTWORTHY-databasen til å angi om forekomsten av Microsoft SQL Server klarerer databasen og innholdet i databasen. Som standard er denne innstillingen satt til AV. Du kan imidlertid sette den til PÅ ved hjelp av SETNINGEN ALTER DATABASE. Vi anbefaler at du lar denne innstillingen være satt til AV for å redusere visse trusler som kan være til stede når en database er knyttet til serveren, og følgende betingelser er oppfylt:

  • Databasen inneholder skadelige samlinger som har en EXTERNAL_ACCESS eller USIKKER tillatelsesinnstilling. Hvis du vil ha mer informasjon, kan du gå til følgende Microsoft Developer Network (MSDN) nettsted:

    CLR Integration Security
     

  • Databasen inneholder skadelige moduler som er definert til å kjøre som brukere som er medlemmer av en gruppe som har administrative credentails. Hvis du vil ha mer informasjon, kan du gå til følgende MSDN-nettsted:

    Utvide databaserepresentasjon ved hjelp av EXECUTE AS

Obs! Som standard er trustworthy-innstillingen satt til PÅ for MSDB-databasen. Hvis du endrer denne innstillingen fra standardverdien, kan det føre til uventet virkemåte av SQL Server-komponenter som bruker MSDB-databasen.

Hvis trustworthy-innstillingen er satt til PÅ, og hvis eieren av databasen er medlem av en gruppe som har administrativ legitimasjon, for eksempel sysadmin-gruppen, kan eieren av databasen opprette og kjøre usikre samlinger som kan kompromittere forekomsten av SQL Server.

Mer informasjon

I et Internett-leverandørmiljø (for eksempel i en nettvertstjeneste) har hver kunde tillatelse til å administrere sin egen database og er begrenset fra å få tilgang til systemdatabaser og andre brukerdatabaser. Databasene til to konkurrerende firmaer kan for eksempel driftes av samme Internett-leverandør og finnes i samme forekomst av SQL Server. Farlig kode kan legges til i en brukerdatabase når databasen ble knyttet til den opprinnelige forekomsten, og koden ble aktivert på ISP-forekomsten da databasen ble distribuert. Denne situasjonen gjør det avgjørende å kontrollere tilgang på tvers av databaser.

Hvis den samme generelle enheten eier og administrerer hver database, er det fortsatt ikke god praksis å etablere en klareringsrelasjon med en database, med mindre en programspesifikk funksjon, for eksempel tjenestemeglerkommunikasjon på tvers av databaser, er nødvendig. En klareringsrelasjon mellom databaser kan opprettes ved å aktivere kjeder for eierskap på tvers av databaser eller ved å merke en database som klarert av forekomsten ved hjelp av trustworthy-egenskapen. Theis_trustworthy_on i sys.databases-katalogvisningen angir om en database har biten TRUSTWORTHY angitt.

Anbefalte fremgangsmåter for eierskap og klarering av databaser omfatter følgende:

• Ha distinkte eiere for databaser. Ikke alle databaser skal eies av systemansvarlig.
• Begrens antall eiere for hver database.
• Klarering av konferanser selektivt.
• La innstillingen for kjedering av eierskap på tvers av databaser være satt til AV, med mindre flere databaser distribueres på én enkelt enhet.
• Overføre bruk til selektiv klarering i stedet for å bruke trustworthy-egenskapen.

Følgende kodeeksemp kan brukes til å hente en liste over databaser som har PÅLITELIG bit PÅ og som har databaseeieren som tilhører serverrollen sysadmin.

SELECT SUSER_SNAME(owner_sid) AS DBOWNER, d.name AS DATABASENAME

FROM sys.server_principals r

INNER JOIN sys.server_role_members m ON r.principal_id = m.role_principal_id

INNER JOIN sys.server_principals p ON

p.principal_id = m.member_principal_id

inner join sys.databases d on suser_sname(d.owner_sid) = p.name

WHERE is_trustworthy_on = 1 OG d.name NOT IN ('MSDB') og r.type = 'R' og r.name = N'sysadmin'

Du kan kjøre følgende spørring for å fastslå egenskapen TRUSTWORTHY for MSDB-databasen:

velg navn, TrustWorthySetting =
sak is_trustworthy_on
når 1 deretter 'TrustWorthy-innstillingen er PÅ for MSDB'
ELSE 'TrustWorthy-innstilling er AV for MSDB'
END
fra sys.databaser der database_id = 4 

Hvis denne spørringen viser at egenskapen TRUSTWORTHY er satt til AV, kan du kjøre følgende spørring for å angi egenskapen TRUSTWORTHY til standardverdien.

ALTER DATABASE MSDB SET trustworthy ON

Tabellen nedenfor gir mer informasjon om produktene eller verktøyene som automatisk kontrollerer denne betingelsen for forekomsten av SQL Server og versjonene av SQL Server-produktet som regelen evalueres mot.

Regelprogramvare

Regeltittel

Regelbeskrivelse

Produktversjoner som regelen evalueres mot

System Center Advisor

SQL Server msdb-systemdatabase har et pålitelig alternativ satt til AV

System Center Advisor kontrollerer om databasealternativet Trustworthy er satt til AV for msdb-systemdatabasen for denne forekomsten av SQL Server. Hvis den er satt til AV, genererer rådgiveren et varsel. Se gjennom informasjonen i delen Informasjon som innhentes i varselet fra rådgiveren, og følg løsningene i denne artikkelen.

SQL Server 2008
SQL Server 2008
R2

SQL Server 2008 R2 Best Practice Analyzer (SQL Server 2008 R2 BPA

Pålitelig bit

SQL Server 2008 R2 Best Practice Analyzer (SQL Server 2008 R2 BPA) inneholder en regel for å oppdage når en database har egenskapen TRUSTWORTHY satt til PÅ og om eieren av databasen er medlem av sysadmin-servergruppen. Hvis du kjører BPA-verktøyet og mottar en advarsel med tittelen «Motor – pålitelig bit», anbefaler vi at du kjører spørringen som er oppført i forrige del, for å identifisere databasen som har pålitelig bit angitt, og at du vurderer å endre innstillingen til AV.

SQL Server 2008
SQL Server 2008
R2

SQL Server 2012 Best Practice Analyzer (SQL Server 2012 BPA)

Pålitelig bit

SQL Server 2012 Best Practice Analyzer (SQL Server 2012 BPA) inneholder en regel for å oppdage når en database har egenskapen TRUSTWORTHY satt til PÅ og om eieren av databasen er medlem av sysadmin-servergruppen. Hvis du kjører BPA-verktøyet og mottar en advarsel med tittelen «Motor – pålitelig bit», anbefaler vi at du kjører spørringen som er oppført i forrige del, for å identifisere databasen som har pålitelig bit angitt, og at du vurderer å endre innstillingen til AV.

SQL Server 2012

Trenger du mer hjelp?

Utvid ferdighetene dine
Utforsk opplæring
Vær først ute med de nye funksjonene
Bli med i Microsoft Insiders

Var denne informasjonen nyttig?

Hvor fornøyd er du med kvaliteten på oversettelsen?
Hva påvirket opplevelsen din?

Takk for tilbakemeldingen!

×