Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Службой управления правами создаются и используются три базы данных, которые характеризуются различными требованиями к безопасности.
- Службы каталогов. Эта база данных кэширует результаты запросов, касающихся членства в группе Active Directory. Поскольку в ней содержатся сведения только об Active Directory, она не нуждается в дополнительных мерах безопасности сверх тех мер, что предпринимаются автоматически во время подготовки службы управления правами.
- Журнал. Сведения в этой базе данных более уязвимы, чем те, которые хранятся в базе данных служб каталогов, так как их разглашение может повлиять на защищенность конфиденциальных данных пользователя. Корпорация Майкрософт прилагает максимальные усилия, чтобы гарантировать невозможность попадания личных данных пользователя в журналы и надежную защиту любых сведений, хранящихся в этой базе данных. До тех пор пока база данных не перемещена на другой компьютер с SQL-сервером, дополнительные меры для изменения уровня безопасности этой базы данных не требуются. Если база данных перемещается на другой сервер, необходимо реализовать те же механизмы защиты, которые обычно используются в новой среде.
- Конфигурация. Эта база данных, как и закрытые ключи сервера, является самым важным и ценным ресурсом, который используется в развертывании службы управления правами. В ней содержатся конфиденциальные и очень важные сведения, которые должны быть тщательно защищены. Кроме данных о конфигурации, она хранит все сертификаты и ключи, зашифрованный секретный ключ сервера (если не использовалось рекомендованное аппаратное шифрование), а также хеш-код пароля секретного ключа.
Когда служба управления правами создает базу данных конфигурации, она устанавливает разрешения, которые ограничивают доступ и позволяют обеспечить безопасность базы данных.
Повышение безопасности базы данных
Для повышения общей безопасности этих баз данных можно использовать следующие дополнительные шаги, которые выполняются в рамках сети и среды сервера:
- Запустите сервер баз данных на компьютере, на котором установлена система Windows Server 2003. По умолчанию эта операционная система более безопасна, чем система Windows 2000 Server. Несмотря на то, что компьютер сервера Windows 2000 Server можно заблокировать, этот процесс может быть связан с затратами времени, кроме того, существует вероятность возникновения ошибок, которыми могут воспользоваться злоумышленники для получения доступа к базе данных.
- Ограничьте физический доступ к серверу базы данных.
- Обеспечьте, чтобы разрешения базы данных и списки разграничительного контроля доступа, имеющиеся в файлах базы данных, разрешали доступ только уполномоченному персоналу. Надежными являются разрешения по умолчанию и списки DACL, настроенные службой управления правами. Следует соблюдать осторожность при изменении любых параметров по умолчанию.
- Не запускайте лишние службы на сервере базы данных, например службы IIS, службу очередей сообщений или службы терминалов.
- Кроме баз данных службы управления правами, не следует запускать на сервере баз данных никакие другие базы данных.
Необходимо защитить базы данных SQL Server, настроив службу SSL или IPsec для создания зашифрованных каналов. Шифрование каналов связи с базами данных позволяет предотвратить запись или изменение зарегистрированных данных злоумышленниками.
Дополнительные сведения о настройке протокола SSL для SQL Server см. на веб-узле MSDN (http://go.microsoft.com/fwlink/?LinkId=17060).
Дополнительные сведения о настройке IPsec для SQL Server 2000 см. на веб-узле MSDN (http://go.microsoft.com/fwlink/?LinkId=17061).
Для получения дополнительных сведений о защите семейства операционных систем Microsoft Windows Server 2003 загрузите "Руководство по безопасности Windows Server 2003" из Центра загрузки корпорации Майкрософт (http://go.microsoft.com/fwlink/?LinkId=36719).