Aracılığıyla paylaş

  • Makale

SQL Server 2008 R2'in güvenlik değişiklikleri

İçinde başlayan SQL Server 2005, önemli değişiklikler emin için uygulanan SQL Server olan daha güvenli daha önceki sürümleri.Sunucu örnek ve veritabanlarını güvenlik saldırılarından korunmasına yardımcı olmak için tasarlanmış bir "güvenli tasarım gereği, varsayılan olarak güvenli ve güvenli olarak Dağıtım" stratejisi değişiklikleri dahil.

SQL Server 2008ek güvenlik geliştirmeleri sunmaktadır. SQL Server 2008 de yararlanır değişikliklerinin en son işletim sistemlerinden Microsoft, kullanıcı hesabı denetimi (uac) bulunan gibi Windows Vista ve Windows Server 2008. Aşağıdaki geliştirmeler SQL Server 2008 azaltmak için yüzey ve saldırı alanı SQL Server ve veritabanlarını instituting "en az ayrıcalıklı" bir ilke tarafından ve Windows Yöneticiler arasındaki ayrımı artırmak ve SQL Server yöneticileri:

  • By default, the local Windows Group BUILTIN\Administrator is no longer included in the SQL Server sysadmin fixed server role on new SQL Server 2008 installations.

    Önemli notÖnemli

    Kod veya işlemler Windows BUILTIN\Administrator grubuna yerel Grup erişimi bağlı ise, oturum izni açıkça vermeniz gerekir SQL Server.Hesapları artık otomatik olarak erişim izni SQL Server nedeniyle üyeliklerine Windows Yönetici grubu.En az bir kullanıcı eklemek için hata sysadmin rolü, örnek dışında kilit SQL Server.Daha fazla bilgi için bkz: Veritabanı Altyapısı yapılandırması - hesap sağlama ve Analysis Services Yapılandırması - hesap sağlama.

  • Kullanmak için oluşturulan Windows grupları tarafından SQL Server SQLServerMSSQLUser$ bilgisayaradı $ ÖRNEKADI gibi hizmet ve SQLServerSQLAgentUser$ bilgisayaradı $ ÖRNEKADI artık dahil sysadmin sabit sunucu rolü.Bunun yerine, başlatmak için kullanılan hizmet hesabı SQL Server hizmet ve SQL Server Aracısı hizmeti ayrı ayrı verilen sysadmin hakları SQL Server.Zaman SQL Server yüklü olduğu Windows Server 2008 veya Windows Vista işletim sistemleri, bir hizmet SID üye olarak hazırlanan sysadmin sabit sunucu rolü.Daha fazla bilgi için bkz: Windows Hizmeti Hesaplarını Ayarlama.

  • Yüzey alanı yapılandırması (sac) araç kaldırıldı ve ilke tabanlı yönetimi özelliği ve değişiklikler ile değiştirilmiş SQL Server Yapılandırma Yöneticisi araç.

  • Kerberos kimlik doğrulaması için destek genişletilmiştir ve şimdi adlandırılmış yöneltmeler ve TCP/IP ek olarak, paylaşılan bellek içerir.

Bu değişiklikler için planlama güvenliğinizi etkiler SQL Serverve sistem. için daha kapsamlı bir güvenlik profili oluşturmak

Windows yerel Grup değişiklikleri

Birkaç Windows yerel grupların sırasında oluşturulan SQL Server Kurulum işlemi.Başlatmak için kullanılan hizmet hesaplarını SQL Server Hizmetleri (veya uygun hallerde SID'ler hizmet) bu yerel grupların içine yerleştirin. Bu hizmet grupları bir erişim denetimi mekanizması olarak erişmek için kullanılan SQL Server–owned kaynaklar ve uygun haklara veya hakları verilmiş bunların Kurulum sırasında. Sadece SQL Server hizmet ve SQL Server Üyelik Aracısı hizmeti hesaplarına verilen sysadmin sabit sunucu rolü. Daha fazla bilgi için bkz: Windows Hizmeti Hesaplarını Ayarlama.

Yüzey denetim araçları değişiklikleri

Olarak SQL Server 2005, Surface Area Configuration etkinleştirmek veya devre dışı bırakmak, özelliklere erişim hakkı verilen SQL Server bileşenleri ve yapılandırma seçenekleri.

İçinde başlayan SQL Server 2008, Surface Area Configuration araç kaldırıldı.Surface Area Configuration'in özelliklerini denetleyen araç SQL Server davranış değiştirilecek ve büyük ölçüde Gelişmiş ilke tabanlı yönetimi özelliği.Bu özellik, ilkeleri oluşturmanıza olanak verir SQL Server bileşenleri ve bunların sorumluları ve roller uygulama granularly SQL Server.İlkeye dayalı yönetim özelliği hakkında daha fazla bilgi için bkz: İlke tabanlı Yönetimi kullanarak sunucuları yönetme.

Surface Area Configuration bağlantı yönetimi özelliklerini araç Yapılandırma Yöneticisi'ni kullanarak kullanılabilir araç.Bu araç hakkında daha fazla bilgi için bkz: SQL Server Configuration Manager.

Kerberos kimlik doğrulaması

İçinde başlayan SQL Server 2008, destek için Kerberos kimlik doğrulaması adlandırılmış yöneltmeler kapsayacak şekilde genişletilmiş ve paylaşılan bellek iletişim kuralları.Buna ek olarak, Kerberos, Windows Active Directory gerek kalmadan kullanılabilir.Daha fazla bilgi için bkz: Kerberos kimlik doğrulaması ile SQL Server.

Kimlik doğrulaması için genişletilmiş koruma

İle başlayan SQL Server 2008 R2 kanal bağlama kullanarak kimlik doğrulaması için genişletilmiş koruma için destek ve hizmet bağlama için kullanıma hazır işletim sistemlerini destekleyen Genişletilmiş koruma.Daha fazla bilgi için bkz: Veritabanı Altyapısı genişletilmiş koruma kullanarak bağlanma.