Dağıtılmış Replay güvenlik
Yüklemek ve kullanmak için önce Microsoft SQL ServerDağıtılmış Replay özelliği, bu konudaki önemli güvenlik bilgileri gözden geçirmelisiniz. Dağıtılmış tekrar kullanabilmeniz için gerekli olan yükleme sonrası güvenlik yapılandırma adımları açıklanmıştır. Bu konuda da önemli hususlar veri koruma ve önemli kaldırma adımları açıklanmaktadır.
Kullanıcı ve hizmet hesapları
Dağıtılmış Replay için kullanılan hesapları aşağıdaki tabloda açıklanmaktadır. Replay dağıtılmış yükleme işleminden sonra denetleyici ve müşteri hizmet hesapları olarak çalışacak olan güvenlik sorumlularının atamanız gerekir. Bu nedenle, yeniden dağıtılan özellikleri yüklemeden önce karşılık gelen etki alanı kullanıcı hesapları yapılandırmanızı öneririz.
Kullanıcı hesabı |
Gereksinimler |
---|---|
SQL ServerDağıtılmış Replay denetleyicisi hizmet hesabı |
Bir etki alanı kullanıcı hesabı veya yerel kullanıcı hesabı olabilir. Yerel kullanıcı hesabı yönetim aracı, denetleyici ve istemci kullanıyorsanız aynı bilgisayarda çalıştırması gerekir. ![]()
Hesap Windows yerel Administrators grubunun bir üyesi değil öneririz.
|
SQL ServerDağıtılmış Replay istemci hizmeti hesabı |
Bir etki alanı kullanıcı hesabı veya yerel kullanıcı hesabı olabilir. Eğer bir yerel kullanıcı hesabı, denetleyici, istemci kullanın ve SQL Server hedef bilgisayarda aynı çalıştırması gerekir. ![]()
Hesap Windows yerel Administrators grubunun bir üyesi değil öneririz.
|
Replay Dağıtılmış Yönetim Aracı'nı çalıştırmak için kullanılan etkileşimli kullanıcı hesabı |
Yerel kullanıcı veya etki alanı kullanıcı hesabı olabilir. Yerel kullanıcı hesabı kullanmak için yönetim aracı ve denetleyici aynı bilgisayarda çalışmalıdır. |
Önemli: Dağıtılmış Replay denetleyicisi yapılandırdığınızda, Replay Dağıtılmış istemci hizmetleri çalıştırmak için kullanılan bir veya daha fazla kullanıcı hesapları belirtebilirsiniz. Desteklenen hesaplarının listesi aşağıdadır:
Etki alanı kullanıcı hesabı
Yerel kullanıcı hesabı kullanıcı
Yönetici
Sanal hesap ve msa (yönetilen hizmet hesabı)
Ağ Hizmetleri, yerel hizmetler ve sistem
Grup (Yerel veya etki alanı) ve diğer yerleşik hesapları (herkes gibi) kabul edilmez.
Dağıtılmış yeniden yükledikten sonra hizmet hesaplarını veya parolalarını ayarlamak için Windows Hizmetleri aracını kullanabilirsiniz. Dağıtılmış Replay denetleyicisi veya müşteri hizmetleri ile ilgili hizmet hesaplarını değiştirmek için şu adımları izleyin:
İşletim sisteminize bağlı olarak aşağıdakilerden birini yapın:
Tıklayın Start, türü services.msc içinde Ara kutusuna ve sonra enter tuşuna basın.
Tıklayın Start, tıklayın çalıştırmak, türü services.msc, yazıp enter tuşuna basın.
İçinde Hizmetleri iletişim kutusunda, yapılandırmak ve tıklatın istediğiniz hizmeti sağ tıklatıp Özellikler.
Tarih Oturum sekmesinde, tıklayın Bu hesap.
Kullanmak istediğiniz kullanıcı hesabını yapılandırın.
Dosya ve klasör izinleri
Hizmet hesaplarını belirttikten sonra bu hizmet hesapları için gerekli dosya ve klasör izinleri vermeniz gerekir. Aşağıdaki tabloya göre dosya ve klasör izinlerini yapılandırın:
Hesap |
Klasör izinleri |
---|---|
SQL ServerDağıtılmış Replay denetleyicisi hizmet hesabı |
|
SQL ServerDağıtılmış Replay istemci hizmeti hesabı |
|
dcom izinleri
dcom uzaktan yordam çağrısı (rpc) iletişim denetleyicisi ve yönetim aracı ve denetleyici ve tüm istemciler arasında kullanılır. Dağıtılmış Replay özellikler yüklendikten sonra kumanda üzerindeki bilgisayar genelindeki ve uygulamaya özel dcom izinlerini yapılandırmanız gerekir.
Denetleyici dcom izinlerini yapılandırmak için şu adımları izleyin:
Açık dcomcnfg.exe, Bileşen Hizmetleri ek bileşenini: Bu dcom izinlerini yapılandırmak için kullanılan bir araçtır.
Denetleyicisi bilgisayara tıklayın Start.
Türü dcomcnfg.exe içinde Ara kutusu.
ENTER tuşuna basın.
Bilgisayar genelindeki dcom izinlerini yapılandırmak: Grant karşılık gelen bilgisayar genelindeki dcom izinleri her hesap için aşağıdaki tabloda listelenen. Bilgisayar genelindeki izinlerini ayarlama hakkında daha fazla bilgi için bkz: Denetim listesi: dcom uygulamalarını yönetme.
Uygulamaya özgü dcom izinlerini yapılandırmak: Grant ilgili uygulamaya özgü dcom izinleri her hesap için aşağıdaki tabloda listelenen. dcom Uygulama adı denetleyicisi hizmeti ProfilerServer. Uygulamaya özgü izinleri ayarlama hakkında daha fazla bilgi için bkz: Denetim listesi: dcom uygulamalarını yönetme.
dcom izinleri yönetim aracı etkileşimli kullanıcı hesabı ve müşteri hizmet hesapları için gerekli olan aşağıdaki tabloda açıklanmaktadır:
Özellik |
Hesap |
Gereken dcom izinleri denetleyicisi |
---|---|---|
Dağıtılmış Replay yönetim aracı |
Etkileşimli kullanıcı hesabı |
Yerel erişim Uzaktan erişim Yerel başlatma Uzaktan başlatma Yerel etkinleştirme Uzak etkinleştirme |
Dağıtılmış Replay istemci |
SQL ServerDağıtılmış Replay istemci hizmeti hesabı |
Yerel erişim Uzaktan erişim Yerel başlatma Uzaktan başlatma Yerel etkinleştirme Uzak etkinleştirme |
![]() |
---|
Zararlı sorgular veya hizmet reddi saldırılarına karşı korumak için yalnızca istemci hizmeti hesabı için bir güvenilen kullanıcı hesabı kullandığınızdan emin olun. Bu hesaba bağlanmak ve iş yüklerine karşı hedef örneğini tekrar edebilecektir SQL Server. |
SQL Server izinlerini
SQL ServerTekrar Dağıtılmış istemci hizmeti hesapları iş yükünü 's hedef örneğine bağlanmak için kullanılan SQL Server. Yalnızca Windows kimlik doğrulaması modu, bu bağlantılar için desteklenir.
Yükledikten sonra SQL Serveryeniden Dağıtılmış istemci hizmeti bilgisayar, bu hizmet hesapları için kullanılan güvenlik sorumlusu olmalıdır verilmiş sysadminsunucu rolü örneği SQL Serverkarşı izleme yükünü yeniden oynama niyetinde. Bu adım, dağıtılmış tekrar kurulum sırasında otomatik olarak yapılmaz.
Veri koruma
Replay dağıtılmış ortamında, aşağıdaki kullanıcı hesapları hedef sunucu örneği için tam erişim verilir SQL Server, giriş veri izleme ve izleme dosyaları neden:
Yönetim Aracı'nı çalıştırmak için kullanılan etkileşimli kullanıcı hesabı.
Denetleyicisi hizmet hesabı.
Müşteri hizmet hesabı.
Denetleyicisindeki yerel Yöneticiler grubunun üyeleri.
İstemcilere yerel Yöneticiler grubunun üyeleri.
Önemli
Bu hesaplardan herhangi bir kişisel kimliğinizi ortaya koyabilecek bilgiler (PII) tam erişiminiz veya izleme, deneyimli, sevk hassas bilgiler veya SQL ServerDağıtılmış Replay tarafından kullanılan veri dosyaları.
Aşağıdaki güvenlik önlemleri almak öneririz:
Giriş izleme verileri, çıkış izleme sonuçları ve veritabanı dosyaları ntfs dosya sistemi (ntfs) kullanan bir konumda depolayabilir ve uygun erişim denetim listeleri (ACL) uygulayın. Gerektiğinde, depolanan verileri şifrelemek SQL Serverbilgisayar. Unutmayın ki SQL Server Profilerdeğil ACL izleme dosyalarına uygulamak veya herhangi bir tür veri maskeleme veya gizleme gerçekleştirmek. Bu dosyaların kullanımdan sonra hızla silmelisiniz.
Uygun ACL'leri ve tüm ara bekletme ilkesine ve dağıtılmış Replay tarafından oluşturulan dağıtım dosyaları uygulanır.
Ağ aktarımı korumak için Güvenli Yuva Katmanı (ssl) kullanın. Daha fazla bilgi için, bkz. Encrypting Connections to SQL Server.
Önemli kaldırma adımları
Yalnızca sınama ortamında dağıtılmış tekrar kullanmanızı öneririz. Testi tamamladıktan sonra ve bu bilgisayarlar farklı görev için sağlamadan önce aşağıdakileri yaptığınızdan emin olun:
Dağıtılmış Replay özelliklerini kaldırmak ve denetleyici ve tüm istemciler ilgili yapılandırma dosyaları çıkarın.
Herhangi bir iz, deneyimli, gönderme, silmek ve SQL Serververitabanı, test için kullanılan dosyalar. Orta ve gönderim dosyalar saklanır çalışma dizini denetleyicisi ve istemci, sırasıyla.