Share via

  • Artykuł

Zmiany zabezpieczeń programu SQL Server 2008 R2

Począwszy od SQL Server 2005, znaczące zmiany zostały wprowadzone, aby upewnić się, że SQL Server jest bezpieczniejsze niż wcześniejsze wersje.Zmiany zawarte strategii "bezpiecznego według projektów, domyślnie bezpieczne i bezpieczne w wdrażania", pomagają chronić przed atakami zabezpieczeń wystąpienie serwera i bazy danych.

SQL Server 2008Wprowadzono ulepszenia dodatkowych zabezpieczeń. SQL Server 2008 wykorzystuje również zmian w najnowszych systemów operacyjnych z Microsoft, takich jak Kontrola konta użytkownika (UAC) można znaleźć w Windows Vista i Windows Server 2008. Następujące ulepszenia w SQL Server 2008 zmniejszyć obszar powierzchni i ataku SQL Server i jego bazy danych przez wszczynający polityki "co najmniej uprzywilejowanych" i zwiększyć oddzielenie Administratorzy systemu Windows i SQL Server Administratorzy:

  • By default, the local Windows Group BUILTIN\Administrator is no longer included in the SQL Server sysadmin fixed server role on new SQL Server 2008 installations.

    Ważna informacjaWażne:

    Jeżeli procesy lub kod zależą od dostępu grupy lokalnej BUILTIN\Administrator systemu Windows, należy jawnie uprawnienia do logowania się na SQL Server.Kont nie będzie automatycznie uzyskają dostęp do SQL Server z powodu przynależności do grupy Administrator systemu Windows.Niepowodzenie obejmują co najmniej jednego użytkownika w sysadmin rola będzie blokada się o wystąpienie SQL Server.Aby uzyskać więcej informacji, zobacz Baza danych konfiguracji silnika - konto zastrzegania i Analysis ServicesKonfiguracja - konto zastrzegania.

  • The Windows groups that are created for use by the SQL Server service, such as SQLServerMSSQLUser$ COMPUTERNAME $ INSTANCENAME and SQLServerSQLAgentUser$ COMPUTERNAME $ INSTANCENAME, are no longer included in the sysadmin fixed server role.Zamiast tego konta usługi, który jest używany do uruchamiania SQL Server usługi i SQL Server przyznawane są indywidualnie Usługa agenta sysadmin praw w SQL Server.Gdy SQL Server jest zainstalowany na Windows Server 2008 lub Windows Vista systemy operacyjne, usługa SID jest zaopatrzona w element członkowski z sysadmin stałe roli serwera.Aby uzyskać więcej informacji, zobacz Konfigurowanie kont usług systemu Windows.

  • Narzędzie konfiguracji obszaru powierzchni (SAC) została usunięta i zastąpione funkcja zarządzania opartego na zasadach i zmiany w SQL Server Menedżer konfiguracji narzędzia.

  • Obsługa uwierzytelnianie Kerberos został rozbudowany i zawiera teraz potoków nazwanych i pamięci współużytkowanej oprócz TCP/IP.

Zmiany te wpłyną planowania dla bezpieczeństwa SQL Serveri umożliwiają tworzenie bardziej wszechstronnego profil zabezpieczeń systemu.

Zmiany grupy lokalne systemu Windows

Kilka lokalnych grup systemu Windows są tworzone podczas SQL Server procesu instalacji.Kont usług, które były używane do uruchamiania SQL Server usługa (lub obsługi identyfikatorów SID, gdy są dostępne) są umieszczane w tych grupach lokalnych. Grupy te usługa są używane jako mechanizm kontroli dostępu, dostęp do SQL Server–owned zasobów i odpowiednie uprawnienia lub uprawnienia są przyznawane im podczas instalacji. Tylko SQL Server usługa i SQL Server kont usługa Agent są przyznane członkostwo w sysadmin stała rola serwera. Aby uzyskać więcej informacji, zobacz Konfigurowanie kont usług systemu Windows.

Zmiany narzędzia sterowania powierzchni

Wprowadzone w SQL Server 2005, dozwolone Surface Area konfiguracja, można włączyć lub wyłączyć funkcje, które przyznany dostęp do SQL Server składniki i opcje konfiguracja.

Począwszy od SQL Server 2008, narzędzie Konfiguracja obszaru powierzchni została usunięta.Funkcje Surface Area Configuration narzędzie tego formantu SQL Server zachowanie zastąpione i znacznie rozszerzona w funkcję zarządzania opartego na zasadach.Ta funkcja umożliwia tworzenie zasad dla SQL Server składniki i ich częściami stosuje się do podmiotów i ról w SQL Server.Aby uzyskać więcej informacji na temat funkcji zarządzania opartego na zasadach Zobacz Administrowanie serwerami za pomocą zarządzania opartego na zasadach.

Funkcje zarządzania łącznością Surface Area Configuration narzędzie są dostępne przy użyciu narzędzie Menedżer konfiguracji.Aby uzyskać więcej informacji na ten temat narzędzie, zobacz SQL Server Menedżer konfiguracji.

Uwierzytelnianie Kerberos

Począwszy od SQL Server 2008, obsługę protokołu Kerberos, uwierzytelnianie jest rozszerzona w celu uwzględnienia nazwanych potoków i współużytkowane pamięci protokołów.Ponadto można Kerberos bez konieczności korzystania z usługi Active Directory systemu Windows.Aby uzyskać więcej informacji, zobacz Uwierzytelnianie Kerberos i SQL Server.

Ochrona rozszerzona na potrzeby uwierzytelniania

Począwszy od SQL Server 2008 R2 obsługę ochrony rozszerzonej do uwierzytelniania przy użyciu powiązania kanału i powiązanie usługa są dostępne dla systemów operacyjnych, które obsługują rozszerzone ochrony.Aby uzyskać więcej informacji, zobacz Łączenie z aparatu bazy danych, używając rozszerzonej ochrony.