Як зробити небажаних доступ до операційної системи адміністратор сервера SQL Server 2005 досить складно


ВСТУП


Програму інсталяції Microsoft SQL Server 2005 програма створює, до локальної групи Windows для кожної служби, які інсталювати. Програму інсталяції SQL Server-2005 додає її відповідної групи обліковий запис служби для кожної служби. Для SQL Server після відмови кластера інсталяції групи домену Windows, які використовуються так само, як. Ці групи, домен має створено адміністратор домену, перш ніж запустити програму інсталяції SQL Server-2005. Windows NT права та дозволи, необхідні для певної служби додаються системи список керування доступом (SACL), для кожної групи у Windows. Адміністратор домену, не надавати дозволи безпосередньо на обліковий запис служби.

Крім того, SQL Server 2005 облікових записів, що реєструються у ролі фіксована сервера SQL Server 2005-системний АДМІНІСТРАТОР надаються групи Windows, створений для SQL Server 2005, агента SQL Server і BUILTIN\Administrators групи. Ця конфігурація дозволяє для облікового запису, який входить до складу цих груп для входу до SQL Server 2005, за допомогою Windows NT, автентифікацію підключення. Тому, що користувач у групах у ролі фіксована сервера SQL Server, АДМІНІСТРАТОР, користувач записується в SQL Server 2005 адміністратора системи SQL Server 2005. (Користувач буде увійти в систему за допомогою облікового запису sa). Після цього користувач має необмежений доступ для інсталяції SQL Server 2005 і дані. Крім того, будь-який користувач, який знає, що пароль для екземпляра SQL Server 2005 або обліковий запис служби агента SQL Server, можна скористатися службою обліковий запис для входу до системи. Після цього користувач може встановити підключення Windows NT, автентифікацію для SQL Server 2005 як адміністратор сервера SQL Server.

Групи Windows, створений для SQL Server 2005 служби звітування (SSRS) і служби повнотекстового пошуку надається вхід з SQL Server. Проте служб звітування та служба повнотекстового пошуку не реєструються в фіксована серверної ролі "АДМІНІСТРАТОР".

Деякі адміністратори для SQL Server 2005, потрібно функціональні ролей адміністратора бази даних і чітко виділити адміністратор операційної системи. Ці адміністратори, потрібно захистити SQL Server 2005 від небажаних доступу адміністратора операційної системи.

Додаткові відомості


Як зробити небажаних доступ до операційної системи адміністратор сервера SQL Server 2005 досить складно

Внесення небажаних доступ до операційної системи адміністратор сервера SQL Server 2005 досить складно, необхідно видалити дозволи входу до системи, які надаються BUILTIN\Administrators групи. Після цього потрібно надати вхід, безпосередньо до облікових записів служби для SQL Server 2005 і агента SQL Server. Після цього потрібно передачі даних облікових записів, у визначені серверної ролі "АДМІНІСТРАТОР". Після цього потрібно видалити вхід з надано їх відповідної групи у Windows. Щоб це зробити, виконайте такі дії:
  1. Переконайтеся, що у вас є обліковий запис, який входить до складу фіксована серверної ролі "АДМІНІСТРАТОР". Цей обліковий запис не надається дозвіл вхід до SQL Server 2005 лише учасник групи BUILTIN\Administrators.
  2. Видаліть дозволи входу до системи, які надаються BUILTIN\Administrators групи. Щоб це зробити, виконайте такі дії:
    1. Увійдіть до сервера SQL Server 2005, за допомогою облікового запису користувача, який має дозвіл ЗМІНЮВАТИ будь-якого входу.
    2. Розширення безпеки, розгорніть облікових записів, BUILTIN\Administrators, клацніть правою кнопкою миші та натисніть Видалити.
    3. У діалоговому вікні Об'єкта, видалити натисніть кнопку " OK".
    Примітка. Після видалення входу до системи, надані BUILTIN\Administrators групи, обліковий запис, який використовує лише членства в цій групі, щоб увійти до SQL Server 2005 не буде можливість доступу SQL Server 2005.

    Щоб отримати відомості про обліковий запис служби Microsoft служби кластера (MSCS) див. розділ "Обліковий запис служби Microsoft кластера, служби (MSCS)".
  3. Використання облікового запису, який має дозвіл ЗМІНЮВАТИ будь-якого входу надавати явно SQL Server 2005 входи безпосередньо до облікових записів служби, яка використовується SQL Server 2005 і агент SQL Server. Для цього, виконайте наступні інструкції SQL.
    CREATE LOGIN [<Domain Name>\<SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]CREATE LOGIN [<Domain Name >\<SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]

  4. Використання з обліковим записом, який входить до складу АДМІНІСТРАТОРУ виправлено, роль сервера, щоб підготувати вхід, додані на кроці 2 у АДМІНІСТРАТОРУ виправлено, роль сервера.
    EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Service Account> ', @rolename = N'sysadmin'EXEC master..sp_addsrvrolemember @loginame = N'<Domain Name>\<SQL Server Agent Service Account> ', @rolename = N'sysadmin'

  5. Використання облікового запису, який має дозвіл ЗМІНЮВАТИ будь-якого вхід для видалення облікових записів, які отримали групу SQL Server 2005 та SQL Server Agent-Windows-групи.
    DROP LOGIN [<Computer Name>\<SQLServer2005SQLServerUser>$<Computer Name>$MSSQLSERVER]DROP LOGIN [<Computer Name>\<SQLServer2005AgentUser>$<Computer Name>$MSSQLSERVER]

Після виконання цих дій пароль для облікового запису служби SQL Server 2005 і обліковий запис служби агента SQL Server має зберігати таємницю з операційної системи адміністратор. Якщо обліковий запис служби MSCS було підготовлено системний АДМІНІСТРАТОР, виправлені роль сервера, MSCS пароль облікового запису служби потрібно також мати таємницю від адміністратора операційної системи. Якщо адміністратор операційної системи і знає пароль для облікового запису служби SQL Server 2005 або обліковий запис служби агента SQL Server, адміністратор операційної системи можна використовувати обліковий запис служби, щоб увійти на комп'ютер. Після того, як адміністратор операційної системи входу до системи комп'ютера, операційна система, адміністратор може підключитися до екземпляра SQL Server 2005 як адміністратор сервера SQL Server.

Щоб адміністратор операційну систему від навчання пароля для облікових записів служби, яка використовується SQL Server 2005 і агент SQL Server, системний адміністратор сервера SQL Server має бути можливість встановити новий пароль для облікового запису служби. У більшості випадків SQL Server 2005, системний адміністратор не є адміністратором для операційної системи. Таким чином, спеціальні утиліта записується надати таку функціональність. Наприклад, можна створити надійне служба системний адміністратор сервера SQL Server 2005, можна змінити паролі облікових записів служби, які використовуються для SQL Server 2005. Корпорація Майкрософт наразі не пропонує цю послугу.

Обліковий запис служби в Microsoft служби кластера (MSCS)

У SQL Server 2005 або відновлення після відмови кластера інсталяції членство у групі BUILTIN\Administrators для входу до SQL Server 2005, для запуску перевірки IsAlive використовує обліковий запис служби MSCS. Якщо видалити групу BUILTIN\Administrators із відновлення після відмови кластера, явно, необхідно надати дозволи облікового запису служби MSCS для входу до SQL Server 2005 або відновлення після відмови кластера. Для цього слід виконати наступні інструкції SQL у екземпляра SQL Server 2005.
CREATE LOGIN [<Domain Name>\<MSCS Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]
Пакетом оновлень 2 для SQL Server 2005, додані нові можливості діагностики, для SQL Server 2005 відмовостійких кластерів. Діагностика автоматично захоплення стану ресурс кластера SQL Server 2005, перш ніж кластера не вдається виконати через. SQL Server 2005 ресурсів бібліотеку динамічного компонування (DLL), забезпечує збирання, це діагностичних даних зручніше, наступним чином:
  • Буде запущено екземпляр програми Sqlcmd.exe. exe в контексті безпеки облікового запису служби MSCS ресурс SQL Server 2005. Після цього ресурсу SQL Server 2005 працює SQL-сценарії присвячений адміністратора з'єднання (КСР), зразки погляди динамічного керування (DMV).
  • Ресурси для SQL Server 2005 запис файлу дампа користувача, процес SQL Server 2005, перш ніж кластера не вдається виконати через.
Через те, що присвячений адміністратора з'єднання використовується для збирання даних, деякі діагностичні MSCS обліковий запис служби потрібно підготувати у визначені серверної ролі "АДМІНІСТРАТОР". Якщо вашої організації, поради безпеки означає, що MSCS обліковий запис служби не можна підготувати в системний АДМІНІСТРАТОР, виправлені серверної ролі, обліковий запис служби MSCS може бути наданий входу SQL Server, які не підготовлено АДМІНІСТРАТОРУ виправлено, роль сервера. У цьому випадку діагностики, які зазвичай вводяться Sqlcmd.exe. exe не через те, що Sqlcmd.exe. exe не вдається ввійти до SQL Server 2005. Ресурси для SQL Server 2005 DLL повинні мати змогу зібрати файлу дампа користувача, незалежно від того, чи обліковий запис служби SQL Server 2005 ресурсів DLL підготовлено АДМІНІСТРАТОРУ виправлено, роль сервера.

Якщо потрібно, увійдіть до SQL Server 2005, за допомогою облікового запису, який входить до складу системний АДМІНІСТРАТОР, виправлені роль сервера. Після цього для виконання таких оператора SQL, щоб додати обліковий запис служби MSCS фіксована серверної ролі "АДМІНІСТРАТОР".
EXEC master.sp_addsrvrolemember @loginame = N'<Domain Name>\<MSCS Service Account> ', @rolename = N'sysadmin'

Зміна облікових записів служби

Хоча наведені вище кроки зробити може досить складно для операційної системи адміністратора для підключення до SQL Server 2005, наведені вище кроки зробити більш громіздким змінення облікових записів служби, для SQL Server 2005 і агента SQL Server. Щоб змінити облікові записи служб для SQL Server 2005 та SQL Server Agent, виконайте такі дії:
  1. Додати новий обліковий запис, служби, або облікових записів служби Windows групу або групи, створені для SQL Server і агента SQL Server.
  2. Використання облікового запису, який має дозвіл ЗМІНЮВАТИ будь-якого вхід для створення увійти нових записів служби SQL Server 2005. Для цього слід виконати наступні інструкції SQL з облікового запису, який має дозвіл ЗМІНЮВАТИ будь-якого входу.
    CREATE LOGIN [<Domain Name>\<New SQL Server Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]CREATE LOGIN [<Domain Name>\<New SQL Server Agent Service Account>] FROM WINDOWS WITH DEFAULT_DATABASE=[master]

  3. Використання облікового запису, який підготування в ролі фіксована сервер системний АДМІНІСТРАТОР, виконати наступні інструкції SQL.
    EXEC master..sp_addsrvrolemember @loginame = N’ <Domain Name>\<New SQL Server Service Account> ', @rolename = N'sysadmin'EXEC master..sp_addsrvrolemember @loginame = N’ <Domain Name>\<New SQL Server Agent Service Account> ', @rolename = N'sysadmin'

    Примітка. Це твердження додає обліковий запис служби SQL Server 2005 і обліковий запис служби агента SQL Server системний АДМІНІСТРАТОР, виправлені роль сервера.
  4. Змінити обліковий запис служби служби, за допомогою Диспетчер конфігурацій SQL Server. Щоб це зробити, виконайте такі дії:
    1. У Диспетчер конфігурацій SQL Server, клацніть Служб SQL Server 2005.
    2. Пакет, який потрібно змінити, клацніть правою кнопкою миші та виберіть пункт Властивості.
    3. Відкрийте вкладку Вхід і введіть відомостей облікового запису користувача, потрібно використовувати служби.
    4. Натисніть кнопку " OK ", коли введення відомостей для облікового запису.
    Примітка. Якщо змінити обліковий запис служби, диспетчер конфігурацій SQL Server буде запропоновано перезапустити службу.
  5. Використання облікового запису, який має дозвіл будь-якого входу, ЗМІНЮВАТИ, видаляти облікових записів, які використовувалися в обліковий запис служби SQL Server 2005 і обліковий запис служби агента SQL Server. Для цього, виконайте наступні інструкції SQL.
    DROP LOGIN [<Domain Name>\<Old SQL Server Service Account>]DROP LOGIN [<Domain Name>\<Old SQL Server Agent Service Account>]

Примітка. Немає надання будь-яких нових права для Windows NT або дозволи на доступ до нових облікових записів служби в тому, що нові облікові записи служби, доданий до своїх відповідної групи Windows, на кроці 1.

Рекомендації з аудиту процесів

Якщо потрібно захистити SQL Server, від небажаних доступу Системні адміністратори, ви також має аудиту нижче процеси:
  • Аудит починається і припиняє сервера під керуванням ОС Windows.
  • Аудит починається і припиняє служби SQL Server 2005 а також служби агента SQL Server.
  • Аудит доступу до каталогів, в яких SQL Server зберігаються файли бази даних, файли даних, файли журналів та файли з резервної копії бази даних.
  • Аудит зміни до облікового запису служби SQL Server 2005 а також обліковий запис служби агента SQL Server.
  • Вхід з перевірки мережі і вхід на комп'ютер, обліковий запис служби SQL Server 2005, обліковий запис служби агента SQL Server або MSCS обліковий запис служби.

Обліковий запис NT AUTHORITY\SYSTEM

Обліковий запис NT AUTHORITY\SYSTEM надається вхід до SQL Server. Обліковий запис NT AUTHORITY\SYSTEM, передбаченому в фіксована серверної ролі "АДМІНІСТРАТОР". Не видалити обліковий запис або видалити його з фіксована серверної ролі "АДМІНІСТРАТОР". NTAUTHORITY\SYSTEM обліковий запис використовується Microsoft Update і Microsoft SMS стосується пакети оновлень та виправлення під час інсталяції сервера SQL Server 2005. NTAUTHORITY\SYSTEM обліковий запис використовується служба Укладач SQL.

Крім того, якщо SQL Server 2005, працює в режимі одного користувача, будь-який користувач, який має членство у групі BUILTIN\Administrators може підключитися до сервера SQL Server 2005 як адміністратор сервера SQL Server. Користувач може підключитися, незалежно від того, чи групи BUILTIN\Administrators було надано сервер увійти, підготовлено системний АДМІНІСТРАТОР, виправлені серверної ролі. Така поведінка передбачена. Така поведінка, призначений для сценаріїв з відновлення даних.

Щоб отримати додаткові відомості про безпеку поради щодо ефективного використання SQL Server 2005 див. розділ "Інсталяція системи безпеки рекомендації для на SQL Server", у SQL Server 2005 Books Online.

Посилання


Щоб отримати додаткові відомості про безпеку рекомендації для інсталяції SQL Server, відвідайте Microsoft TechNet веб-вузлі: