Aby wskazać, czy wystąpienie programu Microsoft SQL Server zaufanej bazy danych i jej zawartość, można użyć ustawienia GODNA ZAUFANIA. Domyślnie to ustawienie jest wyłączone. Można jednak ustawić dla niego wartość ON przy użyciu instrukcji ALTER DATABASE. Zalecamy pozostawienie tego ustawienia ustawionego na wartość WYŁ., aby zminimalizować niektóre zagrożenia, które mogą wystąpić po dołączeniu bazy danych do serwera i spełnione są następujące warunki:

  • Baza danych zawiera złośliwe zestawy, dla których jest EXTERNAL_ACCESS lub NIEBEZPIECZNE. Aby uzyskać więcej informacji, odwiedź następującą witrynę internetową Microsoft Developer Network (MSDN):

    CLR Integration Security
     

  • Baza danych zawiera złośliwe moduły zdefiniowane w taki sposób, aby wykonywać je jako użytkownicy, którzy są członkami grupy administracyjnej z ograniczeniami administracyjnymi. Aby uzyskać więcej informacji, odwiedź następującą witrynę sieci Web MSDN:

    Rozszerzanie personifikacji bazy danych przy użyciu instrukcji EXECUTE AS

Uwaga 16. Domyślnie dla bazy danych MSDB ustawienie NACH.ZAUFANE jest ustawione na wartość WŁĄCZONE. Zmiana tego ustawienia na wartość domyślną może spowodować nieoczekiwane zachowanie składników programu SQL Server, które korzystają z bazy danych MSDB.

Jeśli ustawienie ZAUFANE ma wartość WŁ., a właściciel bazy danych jest członkiem grupy z poświadczeniami administracyjnymi, takiej jak grupa administratorów systemu, właściciel bazy danych może utworzyć i uruchomić niebezpieczne zestawy, które mogą naruszyć wystąpienie programu SQL Server.

Więcej informacji

W środowisku usługi Internet usługodawca (ISP) (na przykład w usłudze hostingu sieci Web) każdy klient może zarządzać własną bazą danych i ma ograniczenia dostępu do systemowych baz danych i innych baz danych użytkowników. Na przykład bazy danych dwóch konkurencyjnej firmy mogą być hostowane przez tego samego isp i istnieć w tym samym wystąpieniu programu SQL Server. Niebezpieczny kod może zostać dodany do bazy danych użytkowników, gdy baza danych została dołączona do swojego pierwotnego wystąpienia, a kod zostałby włączony w wystąpieniu swojego isp podczas wdrażania bazy danych. W takiej sytuacji kontrolowanie dostępu między bazami danych ma kluczowe znaczenie.

Jeśli ta sama jednostka ogólna jest właścicielem każdej bazy danych i zarządza ją, nadal nie jest dobrym rozwiązaniem ustanawianie "relacji zaufania" z bazą danych, o ile nie jest wymagana funkcja specyficzna dla aplikacji, taka jak komunikacja między bazami danych brokera usług. Relację zaufania między bazami danych można określić, włączając łańcuch własności między bazami danych lub oznaczając bazę danych jako zaufaną przez wystąpienie przy użyciu właściwości TRUSTED. Theis_trustworthy_on widoku wykazu sys.databases wskazuje, czy w bazie danych ustawiono bit NA GODNY ZAUFANIA.

Do najlepszych rozwiązań w zakresie własności i zaufania bazy danych należą:

• Mieć odrębnych właścicieli baz danych. Nie wszystkie bazy danych powinny być własnością administrator systemu.
• Ogranicz liczbę właścicieli poszczególnych baz danych.
• Zaufanie selektywne.
• W ustawieniu Łańcuch własności między bazami danych pozostaw ustawienie WYŁ., chyba że w jednej jednostce wdrożono wiele baz danych.
• Przeprowadzenie migracji w celu selektywnego zaufania zamiast używania właściwości TRUSTWORTHY.

Za pomocą poniższego przykładu kodu można uzyskać listę baz danych, w których bit ZAUFANE jest ON i którego właściciel bazy danych należy do roli serwera administratora systemu.

SELECT SUSER_SNAME(owner_sid) AS DBOWNER, d.name AS DATABASENAME

FROM sys.server_principals r

INNER JOIN sys.server_role_members m ON r.principal_id = m.role_principal_id

INNER JOIN sys.server_principals p ON

p.principal_id = m.member_principal_id

Sys.databases sprzężenia wewnętrznego d na suser_sname(d.owner_sid) = p.name

WHERE is_trustworthy_on = 1 AND d.name NOT IN ('MSDB') and r.type = 'R' and r.name = N'sysadmin'

Aby ustalić właściwość ZAUFANE bazy danych MSDB, można uruchomić następujące zapytanie:

select name, TrustWorthySetting =
Przykłady is_trustworthy_on
gdy 1, to ustawienie "TrustWorthy" ma ustawienie ON (WŁ.) dla pliku MSDB
Else 'TrustWorthy setting is OFF for MSDB'
END
z sys.databases, gdzie database_id = 4 

Jeśli to zapytanie wskazuje, że właściwość ZAUFANE jest ustawiona na wartość WYŁ., można uruchomić następujące zapytanie, aby ustawić wartość domyślną właściwości TRUSTWORTHY.

ALTER DATABASE MSDB SET godny zaufania ON

przejdź

W poniższej tabeli przedstawiono więcej informacji na temat produktów lub narzędzi, które automatycznie sprawdzają ten warunek w przypadku wystąpienia programu SQL Server i wersji produktu SQL Server, dla których jest sprawdzana reguła.

Oprogramowanie do reguł

Tytuł reguły

Opis reguły

Wersje produktów, dla których jest sprawdzana reguła

Doradca centrum systemowego

W bazie danych programu SQL Server msdb dla zaufanej opcji jest ustawiona wartość WYŁ.

Program System Center Advisor sprawdza, czy dla tego wystąpienia programu SQL Server dla bazy danych systemu msdb jest ustawiona wartość Zaufane. Jeśli ta wartość jest ustawiona na WYŁ., doradca generuje alert. Przejrzyj informacje podane w sekcji "Zbierane informacje" alertu doradcy i postępuj zgodnie z rozwiązaniami, które zostały podane w tym artykule.

SQL Server 2008
SQL Server 2008
R2

Analizator najlepszych rozwiązań programu SQL Server 2008 R2 (SQL Server 2008 R2 BPA)

Godny zaufania bit

Analizator najlepszych rozwiązań programu SQL Server 2008 R2 (SQL Server 2008 R2 BPA) udostępnia regułę wykrywania, kiedy baza danych ma dla właściwości TRUSTWORTHY ustawioną wartość ON i czy właściciel bazy danych jest członkiem grupy serwera sysadmin. Jeśli po uruchomieniu narzędzia BPA zostanie wyświetlone ostrzeżenie o treści "Aparat — wiarygodny bit", zaleca się uruchomienie zapytania wymienionego w poprzedniej sekcji w celu zidentyfikowania bazy danych, w przypadku których ustawiono bit GODNY ZAUFANIA i rozważyć zmianę tego ustawienia na WYŁ..

SQL Server 2008
SQL Server 2008
R2

Analizator najlepszych rozwiązań programu SQL Server 2012 (SQL Server 2012 BPA)

Godny zaufania bit

Analizator najlepszych rozwiązań programu SQL Server 2012 (SQL Server 2012 BPA) udostępnia regułę wykrywania, kiedy baza danych ma właściwość TRUSTWORTHY ustawioną na WARTOŚĆ ON i czy właściciel bazy danych jest członkiem grupy serwera sysadmin. Jeśli po uruchomieniu narzędzia BPA zostanie wyświetlone ostrzeżenie o treści "Aparat — wiarygodny bit", zaleca się uruchomienie zapytania wymienionego w poprzedniej sekcji w celu zidentyfikowania bazy danych, w przypadku których ustawiono bit GODNY ZAUFANIA i rozważyć zmianę tego ustawienia na WYŁ..

SQL Server 2012

Potrzebna dalsza pomoc?

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów firmy Microsoft

Czy te informacje były pomocne?

Jaka jest jakość języka?
Co wpłynęło na Twoje wrażenia?

Dziękujemy za opinię!

×