WPROWADZENIE

Program Microsoft SQL Server 2005 instalacyjny tworzy grupę lokalną systemu Windows dla każdej instalowanej usługi. Program konfiguracji programu SQL Server 2005 dodaje konto dla każdej usługi w odpowiedniej grupie. Dla instalacji klastra pracy awaryjnej programu SQL Server grupy domeny systemu Windows są używane w taki sam sposób. Te grupy domeny musi zostać utworzony przez administratora domeny przed uruchomieniem programu konfiguracji programu SQL Server 2005. Wszystkie systemu Windows NT prawa i uprawnienia, które są wymagane przez określoną usługę są dodawane przez system listy kontroli dostępu (SACL) do każdej grupy systemu Windows. Administrator domeny udziela uprawnienia bezpośrednio do konta usługi.

Ponadto grup systemu Windows, które utworzono dla programu SQL Server 2005, SQL Server Agent i grupy BUILTIN\Administratorzy są przyznawane logowania do programu SQL Server 2005, które są udostępniane w roli serwera SYSADMIN programu SQL Server 2005. Ta konfiguracja umożliwia dowolnego konta, które jest członkiem tych grup do logowania się do programu SQL Server 2005 przy użyciu połączenia uwierzytelnione systemu Windows NT. Ponieważ użytkownik nie ma członkostwa grupy w roli serwera SYSADMIN serwera SQL, użytkownik jest zalogowany do programu SQL Server 2005 jako administrator systemów SQL Server 2005. (Użytkownik jest zalogowany przy użyciu konta administratora systemu). Następnie użytkownik ma nieograniczony dostęp do instalacji programu SQL Server 2005 i jego danych. Ponadto każdy użytkownik, który wie, że hasło dla wystąpienia programu SQL Server 2005 lub konta usługi programu SQL Server Agent może korzystać z usługi konta do logowania się do komputera. Następnie użytkownik może nawiązać połączenie uwierzytelnione systemu Windows NT do programu SQL Server 2005 jako administratora programu SQL Server.

Grupy systemu Windows, które utworzono dla programu SQL Server 2005 Reporting Services (SSRS) i usługi wyszukiwania pełnotekstowego są również przyznawane logowania do programu SQL Server. Usługi Reporting Services i Usługa wyszukiwania pełnotekstowego nie są jednak zaopatrzona w roli serwera SYSADMIN.

Niektórzy administratorzy programu SQL Server 2005 ma role funkcjonalne, administrator bazy danych i administrator systemu operacyjnego być ściśle oddzielone. Administratorzy tych chcesz chronić przed nieautoryzowanym dostępem przez administrator systemu operacyjnego programu SQL Server 2005.

Więcej informacji

Jak utrudnić niepożądanego dostępu do programu SQL Server 2005 przez administrator systemu operacyjnego

Aby utrudnić niepożądanego dostępu do programu SQL Server 2005 przez administrator systemu operacyjnego, należy usunąć uprawnienia logowania, które zostały przyznane do grupy BUILTIN\Administratorzy. Następnie należy udzielić logowania się do konta usługi programu SQL Server 2005 i SQL Server Agent. Następnie, należy umożliwić logowania w roli serwera SYSADMIN. Na koniec należy usunąć logowania, które zostały przyznane do ich odpowiednich grup systemu Windows. Aby to zrobić, wykonaj następujące kroki:

  1. Upewnij się, że konta, które jest członkiem roli serwera SYSADMIN. To konto nie przyznano uprawnienie logowania programu SQL Server 2005 będąc członkiem grupy BUILTIN\Administratorzy.

  2. Usuń uprawnienia logowania, które zostały przyznane do grupy BUILTIN\Administratorzy. Aby to zrobić, wykonaj następujące kroki:

    1. Zaloguj się do programu SQL Server 2005 przy użyciu konta użytkownika, które ma uprawnienia logowania dowolnego ALTER.

    2. Rozwiń węzeł Zabezpieczenia, rozwiń węzeł logowania, kliknij prawym przyciskiem myszy BUILTIN\Administratorzyi kliknij przycisk Usuń.

    3. W oknie dialogowym Usuń obiekt kliknij przycisk OK.

    Uwaga Po usunięciu logowania, który został przyznany grupy BUILTIN\Administratorzy dowolnego konta, który opiera się wyłącznie na członkostwo w tej grupie zalogować się do programu SQL Server 2005 nie będą możliwe korzystanie z programu SQL Server 2005.

    Aby uzyskać informacje o koncie usługi Microsoft Cluster Service (MSCS) zobacz sekcję "Konto usługi Microsoft Cluster Service (MSCS)".

  3. Użyj konta, które ma uprawnienia logowania dowolnego zmieniać, aby jawnie udzielić logowania do programu SQL Server 2005 bezpośrednio do kont usług, które są używane przez program SQL Server 2005 i SQL Server Agent. Aby to zrobić, należy wykonać następującą instrukcję SQL.

    CREATE LOGIN [<Domain Name>\<SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    CREATE LOGIN [<Domain Name >\<SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
  4. Użyj konta, które jest członkiem SYSADMIN ustalonej roli serwera do ustanawiania nazw logowania, które zostało dodane w kroku 2 w SYSADMIN ustalonej roli serwera.

    EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Service Account> ', @rolename = N'sysadmin'
    EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Agent Service Account> ', @rolename = N'sysadmin'
  5. Użyj konta, które ma uprawnienia logowania dowolnego ALTER do usuwać identyfikatory logowania, które zostały przyznane do grupy SQL Server 2005 i SQL Server Agent Windows grupy.

    DROP LOGIN [<Computer Name>\<SQLServer2005SQLServerUser>$<Computer Name>$MSSQLSERVER]
    DROP LOGIN [<Computer Name>\<SQLServer2005AgentUser>$<Computer Name>$MSSQLSERVER]

Nawet po wykonaniu tych kroków hasło dla konta usługi programu SQL Server 2005 i SQL Server Agent konta usługi musi być ujawniana administrator systemu operacyjnego. Jeśli konto usługi MSCS została przygotowana w stałej roli serwera SYSADMIN, hasło konta usługi MSCS musi również być ujawniana administrator systemu operacyjnego. Jeśli administrator systemu operacyjnego zna hasło dla konta usługi programu SQL Server 2005 lub SQL Server Agent konta usługi, administrator systemu operacyjnego można użyć konta usługi do logowania się do komputera. Po administrator systemu operacyjnego loguje się do komputera, administrator systemu operacyjnego można połączyć się z wystąpieniem programu SQL Server 2005 jako administratora programu SQL Server.

Aby zachować administrator systemu operacyjnego z uczenia się hasło konta usług, które są używane przez program SQL Server 2005 i SQL Server Agent, administrator systemu SQL Server musi mieć możliwość ustawienia nowego hasła dla konta usługi. W większości przypadków administrator systemu SQL Server 2005 nie jest administrator systemu operacyjnego. W związku z tym narzędzie specjalne muszą być zapisane do tej funkcji. Na przykład można utworzyć usługę zaufanych, które administrator systemu SQL Server 2005 można użyć do zmiany hasła dla kont usług, które są używane przez program SQL Server 2005. Firma Microsoft oferuje obecnie tej usługi.

Konto usługi Microsoft Cluster Service (MSCS)

W przypadku instalacji klastra pracy awaryjnej programu SQL Server 2005 konta usługi MSCS opiera się na przynależność do grupy BUILTIN\Administratorzy zalogować się do programu SQL Server 2005, aby uruchomić sprawdzanie działa typu zasobu. Usunięcie grupy BUILTIN\Administratorzy z klastra pracy awaryjnej, należy jawnie udzielić uprawnienia konta usługi MSCS, aby zalogować się do klastra pracy awaryjnej programu SQL Server 2005. Aby to zrobić, należy wykonać następującą instrukcję SQL w wystąpieniu programu SQL Server 2005.

CREATE LOGIN [<Domain Name>\<MSCS Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]

SQL Server 2005 z dodatkiem Service Pack 2 dodaje nowe możliwości diagnostyczne dotyczące klastrów pracy awaryjnej programu SQL Server 2005. Diagnostyka automatycznie przechwytywania stanu zasobu klastra programu SQL Server 2005, zanim klaster zostanie przejęta awaryjnie. SQL Server 2005 zasobów biblioteki dołączanej (dynamicznie DLL) sprawia, że gromadzenia danych diagnostycznych łatwiejsze, w następujący sposób:

  • Zasób programu SQL Server 2005 zaczyna się wystąpienie narzędzie Sqlcmd.exe w kontekście zabezpieczeń konta Usługa MSCS. Następnie zasobów programu SQL Server 2005 uruchamia skrypt SQL przez dedykowanego połączenia (administracyjnego DAC), która różnych widoków dynamicznego zarządzania (DMV).

  • Zasób programu SQL Server 2005 przechwytuje plik zrzutu użytkownika procesu SQL Server 2005, zanim klaster zostanie przejęta awaryjnie.

Ponieważ dedykowanego połączenia jest używany do zbierania niektóre dane diagnostyczne, konto usługi MSCS musi być zaopatrzona w roli serwera SYSADMIN. Jeśli wskazówki dotyczące zabezpieczeń organizacji oznacza, że konto usługi MSCS nie może być zaopatrzona w stałej roli serwera SYSADMIN, konto usługi MSCS można można przyznać logowania programu SQL Server, który nie jest zaopatrzona w SYSADMIN ustalonej roli serwera. W tym scenariuszu Diagnostyka, które zazwyczaj są przechwytywane przez narzędzie Sqlcmd.exe będzie działać, ponieważ narzędzie Sqlcmd.exe nie można zalogować się do programu SQL Server 2005. Zasób programu SQL Server 2005 DLL powinny mieć możliwość zbierania plik zrzutu użytkownika, niezależnie od tego, czy konto usługi zasobów programu SQL Server 2005, które biblioteki DLL jest zaopatrzona w SYSADMIN ustalonej roli serwera.

Jeśli chcesz, zaloguj się do programu SQL Server 2005 przy użyciu konta, które jest członkiem stałej roli serwera SYSADMIN. Następnie należy wykonać następującą instrukcję SQL, aby dodać konto usługi MSCS do roli serwera SYSADMIN.

EXEC master.sp_addsrvrolemember @loginame = N'<Domain Name>\<MSCS Service Account> ', @rolename = N'sysadmin'

Jak zmienić konta usług

Mimo że poprzednie kroki może jeszcze bardziej utrudnić dla administrator systemu operacyjnego nawiązać połączenie programu SQL Server 2005, poprzednie kroki stał się bardziej złożona, zmienianie konta usługi programu SQL Server 2005 i SQL Server Agent. Aby zmienić konta usług programu SQL Server 2005 i SQL Server Agent, wykonaj następujące kroki:

  1. Dodawanie nowego konta usługi lub konta usług do grupy systemu Windows lub grupy utworzone dla programu SQL Server i SQL Server Agent.

  2. Użyj konta, które ma uprawnienia zmienić dowolny identyfikator logowania, aby utworzyć identyfikator logowania do programu SQL Server 2005 dla nowych kont usług. Aby to zrobić, należy wykonać następującą instrukcję SQL z konta, które ma uprawnienia logowania dowolnego ALTER.

    CREATE LOGIN [<Domain Name>\<New SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
    CREATE LOGIN [<Domain Name>\<New SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
  3. Użyj konta, które jest zaopatrzona w roli serwera SYSADMIN Aby wykonać następującą instrukcję SQL.

    EXEC master..sp_addsrvrolemember @loginame = N’ <Domain Name>\<New SQL Server Service Account> ', @rolename = N'sysadmin'
    EXEC master..sp_addsrvrolemember @loginame = N’ <Domain Name>\<New SQL Server Agent Service Account> ', @rolename = N'sysadmin'

    Uwaga Ta instrukcja dodaje konto usługi programu SQL Server 2005 i SQL Server Agent konta usługi do stałej roli serwera SYSADMIN.

  4. Zmienianie konta usługi dla usługi odpowiednie za pomocą Menedżer konfiguracji programu SQL Server. Aby to zrobić, wykonaj następujące kroki:

    1. W Menedżer konfiguracji programu SQL Server kliknij przycisk Usług SQL Server 2005.

    2. Kliknij prawym przyciskiem myszy usługę, którą chcesz zmodyfikować, a następnie kliknij polecenie Właściwości.

    3. Na karcie Logowanie kliknij opcję, a następnie wprowadź informacje o koncie użytkownika ma usługę do używania.

    4. Po zakończeniu wprowadzania informacji o koncie, kliknij przycisk OK .

    Uwaga Po zmianie konta usługi, Menedżer konfiguracji programu SQL Server monituje użytkownika o ponowne uruchomienie usługi.

  5. Użyj konta, które ma uprawnienia logowania dowolnego ALTER do usuwać identyfikatory logowania, które były używane przez konto usługi programu SQL Server 2005 i konto usługi programu SQL Server Agent. Aby to zrobić, należy wykonać następującą instrukcję SQL.

    DROP LOGIN [<Domain Name>\<Old SQL Server Service Account>]
    DROP LOGIN [<Domain Name>\<Old SQL Server Agent Service Account>]

Uwaga Nie masz udzielenia wszelkie nowe prawa systemu Windows NT lub uprawnienia do nowego konta usługi, ponieważ nowe konta usługi jest dodawane do każdej z grup systemu Windows w kroku 1.

Zalecenia dla kontroli procesów

Jeśli chcesz chronić przed dostępem niepowołanych administratorów systemu operacyjnego, programu SQL Server, powinny również podlegać inspekcji następujące procesy:

  • Inspekcja uruchamiania i zatrzymywania serwera systemu Windows.

  • Inspekcja uruchamia i zatrzymuje usługi programu SQL Server 2005 i usług SQL Server Agent.

  • Przeprowadź inspekcję dostępu do katalogów, w których SQL Server są przechowywane pliki baz danych, plików danych, plików dziennika i plików kopii zapasowej bazy danych.

  • Inspekcja zmian do konta usługi programu SQL Server 2005 i konto usługi programu SQL Server Agent.

  • Konta usługi programu SQL Server 2005, konto usługi programu SQL Server Agent lub konta usługi MSCS inspekcji logowania do sieci i logowania do komputera.

Konta NT AUTHORITY\SYSTEM

Konto Zarządzanie NT\System również ma uprawnienia logowania programu SQL Server. Konta NT AUTHORITY\SYSTEM jest zaopatrzona w roli serwera SYSADMIN. Nie należy usuwać tego konta ani go usunąć z roli serwera SYSADMIN. Konto NTAUTHORITY\SYSTEM jest używany w witrynie Microsoft Update oraz program Microsoft SMS do zastosowania dodatków service pack i poprawki instalacji programu SQL Server 2005. Konto NTAUTHORITY\SYSTEM jest również używane przez usługę modułu zapisującego programu SQL Server.

Również Jeśli program SQL Server 2005 jest uruchomiona w trybie pojedynczego użytkownika, każdy użytkownik, który jest członkiem grupy BUILTIN\Administratorzy można nawiązać połączenia programu SQL Server 2005 jako administratora programu SQL Server. Użytkownik może połączyć niezależnie od tego, czy grupy BUILTIN\Administratorzy przyznano logowania serwera, który jest zaopatrzona w stałej roli serwera SYSADMIN. To zachowanie jest zgodne z projektem. To zachowanie jest przeznaczony do użycia dla scenariuszy odzyskiwania danych.

Aby uzyskać więcej informacji na temat najważniejsze wskazówki dotyczące zabezpieczeń programu SQL Server 2005 zobacz temat "Zabezpieczenia zagadnienia do programu SQL Server instalacji" w dokumentacji programu SQL Server 2005 Books Online.

Powiązane artykuły

Aby uzyskać więcej informacji o kwestiach zabezpieczeń instalacji programu SQL Server odwiedź następującą witrynę Microsoft TechNet w sieci Web:

http://technet.microsoft.com/en-us/library/ms144228.aspx

Potrzebna dalsza pomoc?

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów firmy Microsoft

Czy te informacje były pomocne?

Jaka jest jakość języka?
Co wpłynęło na Twoje wrażenia?

Dziękujemy za opinię!

×