Sicherheitserweiterungen (Datenbankmodul)
Die Sicherheitserweiterungen in SQL Server Database Engine (Datenbankmodul) umfassen die Bereitstellung während des Setups, neue SEARCH PROPERTY LIST-Berechtigungen, neue benutzerdefinierte Serverrollen und neue Methoden für die Verwaltung von Server- und Datenbankrollen.
Bereitstellen während des Setups
Um die Rollentrennung zu verbessern, werden VORDEFINIERT\Administratoren und Lokales System (NT AUTHORITY\SYSTEM) in der festen Serverrolle sysadmin nicht automatisch bereitgestellt. Lokale Administratoren können im Einzelbenutzermodus nach wie vor auf das Database Engine (Datenbankmodul) zugreifen.
SQL Server unterstützt jetzt Verwaltete Dienstkonten und Virtuelle Konten, wenn es unter Windows 7 oder Windows Server 2008 R2 installiert wird. Weitere Informationen finden Sie unter Konfigurieren von Windows-Dienstkonten und -Berechtigungen.
Der Schutz von laufenden Diensten unter einer Pro-Dienst-SID wurde nun auf alle Betriebssysteme erweitert. Weitere Informationen finden Sie unter Konfigurieren von Windows-Dienstkonten und -Berechtigungen.
Neue Berechtigungen
In Database Engine (Datenbankmodul) 19 neue Berechtigungen verfügbar. Führen Sie die folgende Anweisung aus, um alle Berechtigungen anzuzeigen.
SELECT * FROM sys.fn_builtin_permissions('');
Die neuen Berechtigungen lauten wie folgt:
Neue Berechtigungen GRANT, DENY und REVOKE für CONTROL/VIEW DEFINTION/TAKE OWNERSHIP/REFERENCES/ALTER für eine Sucheigenschaftenliste sind verfügbar.
Neue Berechtigungen GRANT, DENY und REVOKE für ALTER ANY SERVER ROLE, CREATE SERVER ROLE und CONTROL/VIEW DEFINTION/TAKE OWNERSHIP/ALTER für eine Serverrolle.
Neue Berechtigungen GRANT, DENY und REVOKE für ALTER ANY AVAILABILITY GROUP, CREATE AVAILABILITY GROUP und CONTROL/VIEW DEFINTION/TAKE OWNERSHIP/ALTER für eine Verfügbarkeitsgruppe.
Neue Berechtigungen GRANT, DENY und REVOKE für die Berechtigung CREATE SEQUENCE.
Neue Berechtigungen GRANT, DENY und REVOKE für die Berechtigung ALTER ANY EVENT SESSION.
Neue Rollenverwaltung
Jetzt sind benutzerdefinierte Serverrollen verfügbar. Verwenden Sie zum Verwalten benutzerdefinierter Serverrollen Sie CREATE SERVER ROLE, ALTER SERVER ROLE und DROP SERVER ROLE. Verwenden Sie zum Hinzufügen oder Entfernen von Mitgliedern für alle Serverrollen ALTER SERVER ROLE … WITH ADD MEMBER. sp_addsrvrolemember und sp_dropsrvrolemember sind veraltet.
ALTER ROLE wurde geändert, um Mitglieder mit ADD MEMBER-Syntax zu Rollen hinzuzufügen oder aus Rollen zu entfernen. sp_addrolemember und sp_droprolemember sind veraltet.
Zum Überprüfen der Mitgliedschaft bei Datenbankrollen wurde IS_ROLEMEMBER hinzugefügt.
Standardschema für Gruppen
Sie können jetzt für eine Windows-Gruppe ein Standardschema definieren. Wenn ein Objekt von einem Windows-Benutzer erstellt wird, wenn kein Standardschema angegeben wird, erstellt SQL Server nicht mehr automatisch ein Schema. Weitere Informationen zu Standardschemas finden Sie unter CREATE USER.
SQL Server Audit-Erweiterungen
Die Unterstützung der Überwachung auf Serverebene wird erweitert, damit alle Editionen von SQL Server eingeschlossen werden. Die Überwachung auf Datenbankebene ist auf die Editionen Enterprise, Developer und Evaluation beschränkt.
SQL Server Audit bietet nun eine höhere Ausfallsicherheit beim Schreiben von Daten in das Überwachungsprotokoll. Wenn sich das Zielverzeichnis zum Beispiel auf einer Remotefreigabe befindet und das Netzwerk ausfällt, kann SQL Server Audit nun wiederhergestellt werden, sobald die Netzwerkverbindung erneut eingerichtet wird. Außerdem wurde eine neue Option eingeführt, die das Fehlschlagen eine Vorgangs ermöglicht, da andernfalls ein Überwachungsereignis in ein fehlerhaftes Überwachungsziel geschrieben werden würde. Weitere Informationen finden Sie in der FAIL_OPERATION-Option für das ON_FAILURE-Ereignis in CREATE SERVER AUDIT.
Zuvor konnten Überwachungsprotokolle eine unbestimmte Anzahl von Protokolldateien enthalten, bzw. andernfalls bestand die Möglichkeit, nach einer vordefinierten Anzahl ein Rollover auszuführen. Eine neue Option wurde eingeführt, um die Anzahl von Überwachungsdateien ohne ein Rollover auszuführen, um Kunden zu erlauben, die Menge an gesammelten Überwachungsinformationen zu steuern, ohne Überwachungsdatensätze zu verlieren. Weitere Informationen finden Sie in der MAX_FILES-Option in CREATE SERVER AUDIT.
Wenn möglich, enthält das Überwachungsprotokoll zusätzliche Transact-SQL-Stapelrahmeninformationen. In vielen Fällen können Prüfende nun bestimmen, ob eine Abfrage durch eine gespeicherte Prozedur oder direkt durch eine Anwendung ausgegeben wurde.
SQL Server Audit-Spezifikationen unterstützen nun eine benutzerdefinierte Überwachungsgruppe. Überwachte Ereignisse können mit der neuen sp_audit_write (Transact-SQL)-Prozedur in das Überwachungsprotokoll geschrieben werden. Mithilfe benutzerdefinierter Überwachungsereignisse können Anwendungen benutzerdefinierte Informationen in das Überwachungsprotokoll schreiben, z. B. den Namen des Anwendungsbenutzers, der in Fällen, in denen eine allgemeine Anmeldung zum Verbinden mit SQL Server verwendet wird, eine Verbindung hergestellt hat.
Neue Spalten werden sys.server_file_audits, sys.server_audits und sys.fn_get_audit_file hinzugefügt, um benutzerdefinierte Überwachungsereignisse nachzuverfolgen.
SQL Server Audit unterstützt nun die Fähigkeit zum Filtern von Überwachungsereignissen, bevor sie in das Überwachungsprotokoll geschrieben werden. Weitere Informationen finden Sie in der WHERE-Klausel in CREATE SERVER AUDIT und ALTER SERVER AUDIT.
Neue Überwachungsgruppen unterstützen die Überwachung von Benutzern eigenständiger Datenbanken.
Die neuen Überwachungsoptionen wurden den Überwachungsdialogfeldern in Management Studio hinzugefügt.
Datenbankmodulzugriff ist über die eigenständigen Datenbanken möglich.
Der Zugriff auf eigenständige Datenbanken ist durch Benutzer der eigenständigen Datenbanken erlaubt, die keine Logins benötigen. SQL Server-Systemadministratoren sollten verstehen, auf welche Weise eigenständige Datenbanken das SQL Server-Sicherheitsmodell ändern. Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit eigenständiger Datenbanken.
Hashalgorithmen
Die HASHBYTES-Funktion unterstützt jetzt den SHA2_256-Algorithmus und den SHA2_512-Algorithmus.
Weitere Veraltung von RC4
Der RC4-Algorithmus wird nur aus Gründen der Abwärtskompatibilität unterstützt. Neues Material kann nur mit RC4 oder RC4_128 verschlüsselt werden, wenn die Datenbank den Kompatibilitätsgrad 90 oder 100 besitzt. (Nicht empfohlen.) Verwenden Sie stattdessen einen neueren Algorithmus, z. B. einen der AES-Algorithmen. In SQL Server 2012 kann mit RC4 oder RC4_128 verschlüsseltes Material in jedem Kompatibilitätsgrad entschlüsselt werden.
Zertifikatschlüssellänge
Beim Erstellen von Zertifikaten wird die maximale Länge privater Schlüssel, die aus einer externen Quelle importiert wurden, von 3456 auf 4096 Bits erhöht.
Die Verschlüsselung des Diensthauptschlüssels und Datenbank-Hauptschlüssels wird von 3DES in AES geändert.
SQL Server 2012 schützt den Diensthauptschlüssel (Service Master Key, SMK) und den Datenbank-Hauptschlüssel (Database Master Key, DMK) mithilfe des AES-Verschlüsselungsalgorithmus. AES ist ein neuerer Verschlüsselungsalgorithmus als der in früheren Versionen verwendete 3DES-Algorithmus. Nach dem Aktualisieren einer Instanz vom Database Engine (Datenbankmodul) auf SQL Server 2012 sollten SMK und DMK erneut generiert werden, um die Hauptschlüssel auf AES zu aktualisieren. Weitere Informationen zum Neugenerieren des SMK finden Sie unter ALTER SERVICE MASTER KEY (Transact-SQL) und ALTER MASTER KEY (Transact-SQL).
Zertifikate können binär erstellt werden
CREATE CERTIFICATE (Transact-SQL) verfügt über die FROM BINARY-Option zur Angabe der binären Beschreibung eines ASN-codierten Zertifikats. Neue Funktionen CERTENCODED (Transact-SQL) und CERTPRIVATEKEY (Transact-SQL) können zum Extrahieren einer binären Beschreibung aus einem vorhandenen Zertifikat verwendet werden.