INFO: Zabezpieczenia i uwierzytelnianie w aparacie MSDE

Zastrzeżenie dotyczące zawartości wycofanych artykułów z bazy wiedzy

Ten artykuł dotyczy produktów, dla których firma Microsoft nie oferuje już pomocy technicznej. Dlatego jest on udostępniany „taki, jaki jest” i nie będzie już aktualizowany.

Ważne Ten artykuł zawiera informacje na temat modyfikowania rejestru. Przed zmodyfikowaniem rejestru wykonaj jego kopię zapasową. Upewnij się, że wiesz, jak przywrócić rejestr w przypadku pojawienia się problemu. Aby uzyskać informacje dotyczące wykonywania kopii zapasowej, przywracania i modyfikowania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
256986 Opis rejestru systemu Microsoft Windows

W TYM ARTYKULE

Streszczenie

Administratorzy systemów i programiści muszą uwzględniać kwestie bezpieczeństwa i uwierzytelniania, ponieważ nieuprawnieni użytkownicy mogą niszczyć, wykradać lub w inny sposób wykorzystywać dane. W tym artykule jest omówiona problematyka zabezpieczeń i uwierzytelniania w aparacie MSDE (Microsoft Desktop Engine) oraz znajduje się wiele cennych wskazówek pomocnych w zwiększaniu bezpieczeństwa danych.

Więcej informacji

Zabezpieczenia

Aby skutecznie chronić bazę danych, należy dobrze poznać użytkowników. Użytkownicy mogą łączyć się z bazą danych z wielu różnych powodów. Mają możliwość odczytu, modyfikacji, usuwania i dodawania nowych danych. Pierwszym krokiem prowadzącym do zabezpieczenia bazy danych jest ustalenie, jakie działania na bazie danych będzie mógł wykonywać każdy użytkownik.


Użytkownicy, grupy i role

W programie SQL Server i aparacie MSDE funkcjonują użytkownicy, grupy i role, za pośrednictwem których można sterować poziomem zabezpieczeń bazy danych. Jeśli pewna grupa użytkowników ma jedynie odczytywać dane zawarte w bazie, można utworzyć grupę o nazwie TylkoOdczyt, a następnie dodać do niej odpowiednich użytkowników. Użytkownicy należący do tej grupy będą mogli jedynie odczytywać dane, lecz nie będą mogli ich modyfikować, celowo czy przypadkiem.

Więcej informacji na temat użytkowników, grup i ról można znaleźć w podręcznikach online poświęconych oprogramowaniu SQL Server. Aby dodać użytkowników, grupy i role dla bazy danych MSDE, użyj narzędzia OSQL.

Hasło konta administratora systemu

Inną prostą czynnością zwiększającą bezpieczeństwo bazy danych jest sprawdzenie, czy hasło konta administratora systemu jest bezpieczne. Wielu programistów i administratorów systemu nie określa tego hasła, przez co umożliwia każdej osobie dostęp do bazy danych.

Aby zmienić hasło konta administratora systemu w bazie danych MSDE, wykonaj następujące kroki:
 1. Na komputerze obsługującym wystąpienie aparatu MSDE, z którym się łączysz, otwórz okno wiersza polecenia.
 2. Wpisz następujące polecenie, a następnie naciśnij klawisz ENTER:

  osql -U sa

  To polecenie spowoduje nawiązanie połączenia z lokalnym, domyślnym wystąpieniem aparatu MSDE przy użyciu konta administratora systemu.
 3. W osobnych wierszach wpisz następujące polecenia, a następnie naciśnij klawisz ENTER:

  sp_password null
  'nowe_hasło'
  'sa'

  Uwaga W miejsce 'nowe_hasło' wpisz nowe hasło.

  Zauważ, że zostanie wyświetlony następujący komunikat informujący o pomyślnej zmianie hasła:
  Hasło zostało zmienione.
Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

325003 JAK: Zarządzanie aparatem SQL Server Desktop Engine (MSDE 2000) przy użyciu narzędzia Osql

Bezpieczeństwo stron ASP

Bezpieczeństwo stron Active Server Page jest równie istotne, jak bezpieczeństwo programów systemu Windows.Aby uzyskać dodatkowe informacje, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

176377 INFO: Accessing SQL Server with Integrated Security from ASP

Poprawki zabezpieczeń

W celu zachowania odpowiedniego poziomu bezpieczeństwa nie tylko trzeba właściwie zarządzać użytkownikami, grupami i rolami, ale także należy pilnować, aby na serwerze bazy danych były zainstalowane najnowsze poprawki. Można pobrać dostępne poprawki zabezpieczeń do oprogramowania SQL Server i MSDE. Firma Microsoft zaleca instalowanie poprawek natychmiast po ich udostępnieniu. Aby uzyskać więcej informacji, odwiedź następującą witrynę firmy Microsoft w sieci Web: Jest to poprawka zbiorcza, zawierająca funkcje wszystkich poprawek opublikowanych wcześniej dla programu SQL Server 2000. Poprawka usuwa także trzy nowo odkryte luki w zabezpieczeniach, które wypływają na działanie programów SQL Server 2000 i SQL Server Desktop Engine (znanego także pod nazwą MSDE 2000). Luki nie wpływają na działanie żadnych poprzednich wersji programów SQL Server i MSDE.
 • Luka polegająca na przepełnieniu buforu w procedurze używanej do szyfrowania informacji zawartych w poświadczeniach programu SQL Server. Nieuprawniony użytkownik może wykorzystać tę lukę w celu zdobycia znacznej kontroli nad bazą danych. Może on również przejąć kontrolę nad serwerem, ale zależy to od konta wykorzystywanego przez program SQL Server.
 • Luka polegająca na przepełnieniu buforu w procedurze związanej ze zbiorczym wstawianiem danych do tabel programu SQL Server. Nieuprawniony użytkownik może wykorzystać tę lukę w celu zdobycia znacznej kontroli nad bazą danych. Może on również przejąć kontrolę nad serwerem.
 • Luka umożliwiająca podwyższenie poziomu poświadczeń do szczebla administracyjnego, spowodowana nieprawidłowymi prawami w kluczu Rejestru przechowującym informacje o koncie usługi SQL Server. Nieuprawniony użytkownik może wykorzystać tę lukę i uzyskać większe prawa do systemu niż przypisane do jego konta przez administratora systemu. Użytkownik może nawet zdobyć takie same prawa, jak administrator systemu operacyjnego. Aby uzyskać więcej informacji, odwiedź następującą witrynę firmy Microsoft w sieci Web:
Podczas instalowania programu SQL Server 7.0 (w tym MSDE 1.0), SQL Server 2000 lub dodatku Service Pack dla programu SQL Server 7.0 lub SQL Server 2000 informacje podawane na potrzeby procesu instalacji są gromadzone i przechowywane w pliku instalacyjnym o nazwie Setup.iss. Plik Setup.iss może być wykorzystany do zautomatyzowania instalacji kolejnych wersji programu SQL Server.

Program SQL Server 2000 umożliwia także rejestrowanie w pliku Setup.iss procedur instalacji nienadzorowanej, która nie wymaga udziału użytkownika w procesie instalacji. Administrator konfigurujący komputer, na którym będzie działał program SQL Server, może określić hasło uruchamiania procedury instalacyjnej w jednym z dwóch kontekstów:
 • Jeśli program SQL Server zostanie skonfigurowany do korzystania z uwierzytelniania w trybie mieszanym, należy podać hasło konta administratora programu SQL Server (konta administratora systemu).
 • Jeśli program SQL Server będzie działał w trybie uwierzytelniania mieszanego lub uwierzytelniania systemu Windows, można określić, aby do uaktywnienia konta usługi SQL Server był wymagany identyfikator użytkownika i hasło.
W każdym przypadku hasło jest przechowywane w pliku Setup.iss. Przed wydaniem dodatku Service Pack 4 dla programu SQL Server 7.0 hasła były przechowywane jako zwykły tekst. W wersji programu SQL Server 7.0 z dodatkiem Service Pack 4 oraz w programie SQL Server 2000 z dodatkiem Service Pack 1 i 2 przed zapisaniem hasła są szyfrowane. Ponadto w trakcie procesu instalacji jest tworzony plik dziennika pokazujący przebieg instalacji. Dziennik zawiera wszelkie hasła, jakie zostały zapisane w pliku Setup.iss.

Uwierzytelnianie

Uwierzytelnianie to wykorzystywany przez programy SQL Server i MSDE sposób na sprawdzenie danych logowania w celu weryfikacji, czy użytkownik może łączyć się z serwerem. Wymienione programy mogą korzystać z dwóch trybów uwierzytelniania: uwierzytelniania systemu Windows i uwierzytelniania w trybie mieszanym.

Uwierzytelnianie systemu Windows

Uwierzytelnianie systemu Windows wykorzystuje do łączenia z aparatem MSDE usługę NTLM. Jeśli użytkownik loguje się do komputera jako administrator, aparat MSDE próbuje uwierzytelnić go jako administratora.

Uwierzytelnianie w trybie mieszanym

W przypadku uwierzytelniania w trybie mieszanym można zalogować się w aparacie MSDE przy użyciu uwierzytelniania systemu Windows lub uwierzytelniania programu SQL Server. Uwierzytelnienie programu SQL Server pozwala tworzyć użytkowników w aparacie MSDE. Podczas opracowywania programów programista umieszcza w ciągu połączenia identyfikator użytkownika i hasło, które należy podać podczas łączenia z aparatem MSDE. Aby uzyskać więcej informacji na temat trybów uwierzytelniania, odwiedź następującą witrynę firmy Microsoft w sieci Web:

Włączanie uwierzytelniania w trybie mieszanym podczas instalacji

W czasie instalacji można zmienić tryb uwierzytelniania używany przez aparat MSDE. W tym celu po rozpoczęciu instalacji należy podać następujący parametr polecenia:
SECURITYMODE=SQL
Powoduje on, że aparat MSDE jest instalowany z zastosowaniem uwierzytelniania w trybie mieszanym. W tym trybie uwierzytelniania można się łączyć z aparatem MSDE przy użyciu uwierzytelniania systemu Windows lub uwierzytelniania programu SQL Server.

Uwaga W systemach Windows NT i nowszych aparat MSDE jest domyślnie instalowany przy użyciu uwierzytelniania systemu Windows. Na komputerach z systemem Windows 98 aparat MSDE stosuje uwierzytelnianie SQL.

Włączanie uwierzytelniania w trybie mieszanym po zainstalowaniu aparatu MSDE

Ostrzeżenie Niepoprawne zmodyfikowanie rejestru za pomocą Edytora rejestru lub innej metody może stać się przyczyną poważnych problemów. Problemy te mogą spowodować, że konieczna będzie ponowna instalacja systemu operacyjnego. Firma Microsoft nie może zagwarantować, że rozwiązanie tych problemów będzie możliwe. Możesz modyfikować rejestr na własną odpowiedzialność.

Domyślnie wartość podklucza LoginMode rejestru systemu Windows wynosi 1. Oznacza to uwierzytelnianie systemu Windows. Aby po zainstalowaniu aparatu MSDE włączyć uwierzytelnianie w trybie mieszanym, należy zmienić tę wartość na 2. Położenie podklucza LoginMode zależy od tego, czy aparat MSDE został zainstalowany jako wystąpienie domyślne, czy jako wystąpienie nazwane.
 • Jeśli aparat MSDE został zainstalowany jako wystąpienie domyślne, podklucz LoginMode znajduje się następującym podkluczu rejestru:
  HKLM\Software\Microsoft\MSSqlserver\MSSqlServer\LoginMode
 • Jeśli aparat MSDE został zainstalowany jako wystąpienie nazwane, podklucz LoginMode znajduje się następującym podkluczu rejestru:
  HKLM\Software\Microsoft\Microsoft SQL Server\nazwa_wystąpienia \MSSQLServer\LoginMode
Aby zmienić wartość podklucza LoginMode na 2, wykonaj następujące kroki:
 1. W Panelu sterowania otwórz narzędzie Usługi, a następnie zatrzymaj usługę MSSQLSERVER i inne związanie z nią usługi (na przykład SQLSERVERAgent).
 2. W menu Start kliknij polecenie Uruchom, wpisz polecenie regedt32, a następnie kliknij przycisk OK, aby uruchomić Edytor rejestru.
 3. Zlokalizuj jeden z poniższych podkluczy (w zależności od tego, czy aparat MSDE został zainstalowany jako wystąpienie domyślne, czy jako wystąpienie nazwane):
  • HKEY_LOCAL_MACHINE\Software\Microsoft\MSSqlserver\MSSqlServer\

   -lub-
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft SQL Server\nazwa_wystąpienia\MSSQLServer\
 4. W prawym okienku kliknij dwukrotnie podklucz LoginMode.
 5. W oknie dialogowym Edytor DWORD ustaw dla tego podklucza wartość 2, sprawdź, czy opcja Hex jest zaznaczona, a następnie kliknij przycisk OK.
 6. Ponownie uruchom usługę MSSQLSERVER i SQLSERVERAgent, co spowoduje zastosowanie wprowadzonych zmian.

Materiały referencyjne

Aby uzyskać więcej informacji, odwiedź następujące witryny firmy Microsoft w sieci Web:
Zarządzanie zabezpieczeniami programu Microsoft SQL Server z programu Microsoft Access
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnacc2k2/html/odc_sssec.asp
Dokument poświęcony zabezpieczeniom w programie SQL Server 2000
http://www.microsoft.com/technet/prodtechnol/sql/2000/maintain/sp3sec00.mspx
Aby uzyskać więcej informacji, kliknij numery artykułów poniżej w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:

259710 PRB: SQL Server Agent Fails to start on Windows 9x when you change the SA password

319930 How to connect to Microsoft Desktop Engine

313418 PRB: Unsecured SQL Server with blank (NULL) SA password leaves vulnerability to a worm

285097 INF: How to change the default login authentication mode to SQL while installing SQL Server 2000 Desktop Engine by using Windows Installer

248683 INF: Microsoft Data Engine Security recommendations for ISVs

321698 PRB: Cannot connect to MSDE by using ADO.NET with SQL authentication

Właściwości

Identyfikator artykułu: 325022 — ostatni przegląd: 24.11.2008 — zmiana: 1

Opinia