Como tornar o acesso indesejável para SQL Server 2005 por um administrador de sistema operativo mais difíceis

INTRODUÇÃO

O programa de configuração do Microsoft SQL Server 2005 cria um grupo Windows local para cada serviço que instalar. O programa de configuração do SQL Server 2005 adiciona a conta de serviço para cada serviço ao seu grupo respectivo. Para uma instalação de cluster de activação pós-falha do SQL Server, os grupos de domínio do Windows são utilizados da mesma forma. Estes grupos de domínio têm de ser criados por um administrador de domínio antes de executar o programa de configuração do SQL Server 2005. Todos os direitos do Windows NT e permissões que são necessários para um serviço específico são adicionadas por lista de controlo de acesso de sistema (SACL) para cada grupo do Windows. O administrador do domínio não concede permissões directamente para a conta de serviço.

Além disso, os grupos do Windows que criou para o SQL Server 2005, SQL Server Agent e para o grupo BUILTIN\Administradores. são concedidos inícios de sessão do SQL Server 2005 que forem aprovisionados na função de servidor fixa SYSADMIN do SQL Server 2005. Esta configuração torna possível a qualquer conta que seja membro destes grupos para iniciar sessão no SQL Server 2005 utilizando uma ligação autenticada do Windows NT. Uma vez que o utilizador tem uma associação a grupos na função de servidor fixa SYSADMIN do servidor de SQL, o utilizador é registado no SQL Server 2005 como um administrador de sistemas do SQL Server 2005. (O utilizador é registado no utilizando a conta sa). Em seguida, o utilizador tem acesso ilimitado à instalação do SQL Server 2005 e aos respectivos dados. Além disso, qualquer utilizador que saiba a palavra-passe para a instância do SQL Server 2005 ou para a conta de serviço do agente do SQL Server pode utilizar o serviço da conta para iniciar sessão no computador. Em seguida, o utilizador pode efectuar uma ligação autenticada do Windows NT para o SQL Server 2005 como administrador do servidor de SQL.

Os grupos do Windows que criou para o SQL Server 2005 Reporting Services (SSRS) e para o serviço de procura em texto completo também são concedidos os inícios de sessão do SQL Server. No entanto, o Reporting Services e o serviço de procura em texto completo não estão aprovisionadas do perfil fixo sysadmin.

Alguns administradores de SQL Server 2005 pretende as funções funcionais do administrador da base de dados e do administrador de sistema operativo a ser estritamente separada. Estes administradores pretendem proteger o SQL Server 2005 contra o acesso indesejado pelo administrador do sistema operativo.

Mais informações

Como tornar o acesso indesejável para SQL Server 2005 por um administrador de sistema operativo mais difíceis

Para tornar mais difícil acesso indesejável a SQL Server 2005 por um administrador de sistema operativo, terá de remover as permissões de início de sessão que foram concedidas ao grupo BUILTIN\Administradores.. Em seguida, tem de conceder os inícios de sessão directamente para as contas de serviço para o SQL Server 2005 e SQL Server Agent. Em seguida, tem de aprovisioná inícios de sessão na função de servidor fixa SYSADMIN. Finalmente, tem de eliminar os inícios de sessão que foram concedidos aos seus respectivos grupos do Windows. Para tal, siga estes passos:

  1. Certifique-se de que tem uma conta que seja um membro da função de servidor fixa SYSADMIN. Esta conta não é concedida a permissão de início de sessão do SQL Server 2005 apenas pelo facto de ser membro do grupo BUILTIN\Administradores..

  2. Remova as permissões de início de sessão que foram concedidas ao grupo BUILTIN\Administradores.. Para tal, siga estes passos:

    1. Inicie sessão no SQL Server 2005, utilizando uma conta de utilizador que tenha a permissão alterar qualquer início de sessão.

    2. Expanda Security, expanda os inícios de sessão, com o botão direito BUILTIN\Administradorese, em seguida, clique em Eliminar.

    3. Na caixa de diálogo Eliminar objecto , clique em OK.

    Nota Depois de eliminar o início de sessão que foi concedido ao grupo BUILTIN\Administradores., qualquer conta de que depende apenas os membros deste grupo para iniciar sessão no SQL Server 2005 já não será possível ao access SQL Server 2005.

    Para obter informações sobre a conta do serviço Microsoft Cluster Service (MSCS), consulte a secção de "Conta de serviço do serviço Microsoft Cluster (MSCS)".

  3. Utilize uma conta que tenha a permissão alterar qualquer início de sessão para inícios de sessão do SQL Server 2005 directamente para as contas de serviço que são utilizados pelo SQL Server 2005 e pelo SQL Server Agent lhes conceder explicitamente. Para tal, execute a seguinte instrução de SQL.

    CREATE LOGIN [<Domain Name>\<SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]CREATE LOGIN [<Domain Name >\<SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]

  4. Utilizar uma conta que seja membro de SYSADMIN fixo a função de servidor para aprovisionar os inícios de sessão que adicionou no passo 2 no SYSADMIN fixado a função de servidor.

    EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Service Account> ', @rolename = N'sysadmin'EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Agent Service Account> ', @rolename = N'sysadmin'

  5. Utilize uma conta que tenha a permissão alterar qualquer início de sessão para eliminar os inícios de sessão que foram concedidos ao grupo do SQL Server 2005 e ao grupo do Windows de agente do SQL Server.

    DROP LOGIN [<Computer Name>\<SQLServer2005SQLServerUser>$<Computer Name>$MSSQLSERVER]DROP LOGIN [<Computer Name>\<SQLServer2005AgentUser>$<Computer Name>$MSSQLSERVER]

Mesmo depois de seguir estes passos, a palavra-passe para a conta do serviço SQL Server 2005 e para a conta do serviço SQL Server Agent deve ser mantida em segredo do administrador de sistema operativo. Se a conta de serviço MSCS ter sido aprovisionada no fixa a função de servidor SYSADMIN, a palavra-passe da conta do serviço MSCS também pode ser mantida secreta o administrador do sistema operativo. Se o administrador do sistema operativo conhecer a palavra-passe para a conta do serviço SQL Server 2005 ou para a conta do serviço SQL Server Agent, o administrador do sistema operativo pode utilizar a conta de serviço para iniciar sessão no computador. Depois do administrador do sistema operativo inicia sessão no computador, o administrador do sistema operativo pode ligar à instância do SQL Server 2005 como administrador do servidor de SQL.

Para impedir que o administrador do sistema operativo saber a palavra-passe das contas de serviço que são utilizados pelo SQL Server 2005 e pelo SQL Server Agent, o administrador de sistema do SQL Server tem de ser possível definir uma nova palavra-passe para a conta de serviço. Na maioria dos casos, o administrador de sistema do SQL Server 2005 não é um administrador de sistema operativo. Por conseguinte, um utilitário de finalidade especial deve ser escrito para fornecer esta funcionalidade. Por exemplo, pode criar um serviço fidedigno que o administrador de sistema do SQL Server 2005 pode utilizar para alterar as palavras-passe para as contas de serviço que são utilizadas pelo SQL Server 2005. Actualmente, a Microsoft não oferece este serviço.

Conta do serviço Microsoft Cluster Service (MSCS)

Numa instalação de cluster de activação pós-falha de SQL Server 2005, a conta de serviço MSCS depende de ser membro do grupo BUILTIN\Administradores. para iniciar sessão no SQL Server 2005 para executar a verificação de IsAlive. Se remover o grupo BUILTIN\Administradores. de um cluster de activação pós-falha, tem de conceder explicitamente as permissões de conta de serviço do MSCS para iniciar sessão para o cluster de activação pós-falha do SQL Server 2005. Para tal, execute a seguinte instrução de SQL na instância do SQL Server 2005.

CREATE LOGIN [<Domain Name>\<MSCS Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]

SQL Server 2005 Service Pack 2 adicionado novas capacidades de diagnóstico para clusters de activação pós-falha do SQL Server 2005. O diagnóstico captura automaticamente o estado do recurso de cluster do SQL Server 2005 antes do cluster executa a activação pós-falha. A biblioteca de ligação dinâmica de recursos do SQL Server 2005 (DLL) faz a recolha destes dados de diagnóstico mais fácil, do seguinte modo:

  • O recurso de SQL Server 2005 inicia uma instância do utilitário Sqlcmd.exe no contexto de segurança da conta de serviço MSCS. Em seguida, o recurso de SQL Server 2005 executa um script SQL através de uma ligação de administrador dedicada (DAC) amostras várias vistas de gestão dinâmica (das DMV).

  • O recurso de SQL Server 2005 captura um ficheiro de informação de utilizador do processo de SQL Server 2005 antes do cluster executa a activação pós-falha.

Uma vez que uma ligação de administrador dedicada é utilizada para recolher alguns dados de diagnóstico, a conta de serviço MSCS tem de ser aprovisionada na função de servidor fixa SYSADMIN. Se as práticas de segurança da sua organização significam que a conta de serviço MSCS não pode ser aprovisionada fixada a função de servidor SYSADMIN, pode ser concedida a conta de serviço MSCS um início de sessão do SQL Server não está aprovisionado no SYSADMIN fixo a função de servidor. Neste cenário, o diagnóstico que normalmente é capturado pelo utilitário Sqlcmd.exe falhará porque o utilitário de Sqlcmd.exe não é possível iniciar sessão no SQL Server 2005. O recurso de SQL Server 2005 DLL deve ser capaz de recolher um ficheiro de informação de utilizador independentemente se a conta de serviço do SQL Server 2005 recurso que dll é aprovisionado numa SYSADMIN fixo a função de servidor.

Se pretender, inicie sessão no SQL Server 2005, utilizando uma conta que seja um membro da função de servidor de fixa SYSADMIN. Em seguida, execute a seguinte instrução de SQL para adicionar a conta de serviço do MSCS para a função de servidor fixa SYSADMIN.

EXEC master.sp_addsrvrolemember @loginame = N'<Domain Name>\<MSCS Service Account> ', @rolename = N'sysadmin'

Como alterar as contas de serviço

Apesar dos passos anteriores podem tornar mais difícil para um administrador de sistema operativo ligar ao SQL Server 2005, os passos anteriores tornam mais complexo para alterar as contas de serviço para o SQL Server 2005 e SQL Server Agent. Para alterar as contas de serviço SQL Server 2005 e de agente do SQL Server, siga estes passos:

  1. Adicione a nova conta de serviço ou contas de serviço para o grupo do Windows ou grupos que criou para o SQL Server e para o SQL Server Agent.

  2. Utilize uma conta que tenha a permissão alterar qualquer início de sessão para criar um início de sessão do SQL Server 2005 para as novas contas de serviço. Para tal, execute a seguinte instrução de SQL da conta que tenha a permissão alterar qualquer início de sessão.

    CREATE LOGIN [<Domain Name>\<New SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]CREATE LOGIN [<Domain Name>\<New SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]

  3. Utilize uma conta que é aprovisionada numa função de servidor fixa SYSADMIN para executar a seguinte instrução SQL.

    EXEC master..sp_addsrvrolemember @loginame = N’ <Domain Name>\<New SQL Server Service Account> ', @rolename = N'sysadmin'EXEC master..sp_addsrvrolemember @loginame = N’ <Domain Name>\<New SQL Server Agent Service Account> ', @rolename = N'sysadmin'

    Nota Esta declaração adiciona a conta do serviço SQL Server 2005 e a conta do serviço SQL Server Agent fixada a função de servidor SYSADMIN.

  4. Altere a conta de serviço para o serviço adequado utilizando o Gestor de configuração do SQL Server. Para tal, siga estes passos:

    1. No Gestor de configuração de servidor de SQL, clique em Serviços do SQL Server 2005.

    2. Botão direito do rato no serviço que pretende modificar e, em seguida, clique em Propriedades.

    3. Clique No separador Iniciar sessão e, em seguida, introduza as informações da conta de utilizador que pretende que o serviço para utilizar.

    4. Quando acabar de introduzir as informações da conta, clique em OK .

    Nota Quando altera a conta de serviço, o Gestor de configuração do SQL Server pede-lhe para reiniciar o serviço.

  5. Utilize uma conta que tenha a permissão alterar qualquer início de sessão para eliminar os inícios de sessão que foram utilizados por conta de serviço do SQL Server 2005 e por conta de serviço do SQL Server Agent. Para tal, execute a seguinte instrução de SQL.

    DROP LOGIN [<Domain Name>\<Old SQL Server Service Account>]DROP LOGIN [<Domain Name>\<Old SQL Server Agent Service Account>]

Nota Não tem de conceder novos direitos de Windows NT ou permissões para as novas contas de serviço, uma vez que adicionou as novas contas de serviço aos seus respectivos grupos de Windows no passo 1.

Recomendação para processos de auditoria

Se pretender proteger o servidor de SQL contra o acesso indesejado por administradores de sistema operativo, deve também auditar os seguintes processos:

  • Auditoria inicia e pára do servidor baseado no Windows.

  • Auditoria inicia e pára os serviços do SQL Server 2005 e dos serviços SQL Server Agent.

  • Auditar o acesso aos directórios no qual o servidor SQL são armazenados ficheiros de base de dados, ficheiros de dados, ficheiros de registo e ficheiros de cópia de segurança da base de dados.

  • Auditar alterações para a conta do serviço SQL Server 2005 e para a conta do serviço SQL Server Agent.

  • Auditoria a inícios de sessão de rede e inícios de sessão do computador através da conta de serviço do SQL Server 2005, a conta do serviço SQL Server Agent ou por conta de serviço MSCS.

A conta NT AUTHORITY\SYSTEM

A conta NT AUTHORITY\SYSTEM é igualmente concedida um início de sessão do SQL Server. A conta NT AUTHORITY\SYSTEM é aprovisionada numa função de servidor fixa SYSADMIN. Não eliminar esta conta ou removê-lo a partir do perfil fixo sysadmin. A conta NTAUTHORITY\SYSTEM é utilizada pelo Microsoft Update e pelo Microsoft SMS para aplicar service packs e correcções para uma instalação do SQL Server 2005. A conta NTAUTHORITY\SYSTEM também é utilizada pelo serviço de escritor SQL.

Além disso, se o SQL Server 2005 é iniciado no modo de utilizador único, qualquer utilizador que seja membro do grupo BUILTIN\Administradores. pode ligar ao SQL Server 2005 como administrador do servidor de SQL. O utilizador pode ligar-se independentemente de se o grupo BUILTIN\Administradores. tenha sido concedido um início de sessão do servidor é aprovisionado numa função de servidor de fixa SYSADMIN. Este comportamento ocorre por predefinição. Este comportamento destina-se a ser utilizado para cenários de recuperação de dados.

Para mais informações sobre procedimentos recomendados de segurança para o SQL Server 2005, consulte o tópico "Segurança considerações para um SQL Server instalação" no SQL Server 2005 Books Online.

Referências

Para mais informações sobre considerações de segurança para uma instalação do SQL Server, visite o seguinte Web site Microsoft TechNet:

http://technet.microsoft.com/en-us/library/ms144228.aspx

Precisa de mais ajuda?

Aumente os seus conhecimentos
Explore as formações
Seja o primeiro a obter novas funcionalidades
Aderir ao Microsoft insiders

As informações foram úteis?

Obrigado pelos seus comentários!

Obrigado pelo seu feedback! Parece que poderá ser benéfico reencaminhá-lo para um dos nossos agentes de suporte do Office.

×