SQL Server 2008 安全性變更
從 SQL Server 2005 開始就已經實作一些重大變更,以便確保 SQL Server 比舊版更安全。變更包含「依設計維護安全、依預設維護安全以及在部署中維護安全」策略,其設計目的是要協助保護伺服器執行個體和它的資料庫免受安全性攻擊。
SQL Server 2008 導入了其他安全性改進。SQL Server 2008 也會運用 Microsoft 最新作業系統中的變更,例如在 Windows Vista 和 Windows Server 2008 中提供的使用者帳戶控制 (UAC)。SQL Server 2008 中的下列改進會藉由設立「最低權限」的原則並增加 Windows 管理員與 SQL Server 管理員之間的分隔,減少 SQL Server 及其資料庫的介面和攻擊區域。
根據預設,新 SQL Server 2008 安裝的 SQL Server 系統管理員 (sysadmin) 固定伺服器角色已不再包含本機 Windows 群組 BUILTIN\Administrator。
重要事項 如果您的處理序或程式碼相依於 Windows BUILTIN\Administrator 本機群組存取權,您就必須明確授與登入 SQL Server 的權限。由於這些帳戶的成員資格位於 Windows Administrator 群組中,因此這些帳戶將不再自動被授與 SQL Server 的存取權。如果沒有至少在系統管理員 (sysadmin) 角色中加入一位使用者,就會將您鎖在 SQL Server 執行個體外部。如需詳細資訊,請參閱<Database Engine 組態 - 帳戶提供>和<Analysis Services 組態 - 帳戶提供>。
系統管理員 (sysadmin) 固定伺服器角色已不再包含建立供 SQL Server 服務使用的 Windows 群組,例如 SQLServerMSSQLUser$ COMPUTERNAME $ INSTANCENAME和 SQLServerSQLAgentUser$ COMPUTERNAME $ INSTANCENAME。不過,用來啟動 SQL Server 服務的服務帳戶和 SQL Server Agent 服務會分別在 SQL Server 中被授與系統管理員 (sysadmin) 權限。當 SQL Server 安裝在 Windows Server 2008 或 Windows Vista 作業系統上時,服務 SID 就會提供成系統管理員 (sysadmin) 固定伺服器角色的成員。如需詳細資訊,請參閱<設定 Windows 服務帳戶>。
介面區組態 (SAC) 工具已經移除,而且已經由以原則為基礎的管理功能和 SQL Server 組態管理員工具中的變更所取代。
Kerberos 驗證的支援已經擴展,而且除了 TCP/IP 以外,現在還包含具名管道和共用記憶體。
這些變更將會影響您對於 SQL Server 的安全性規劃,而且可讓您為系統建立更完整的安全性設定檔。
Windows 本機群組變更
許多 Windows 本機群組都是在 SQL Server 的安裝程序期間建立的。用來啟動 SQL Server 服務的服務帳戶 (或可用的服務 SID) 都置於這些本機群組中。這些服務群組會當做存取控制機制使用,以便存取 SQL Server 擁有的資源,而且適當的權限會在安裝期間授與它們。只有 SQL Server 服務和 SQL Server Agent 服務帳戶會被授與系統管理員 (sysadmin) 固定伺服器角色的成員資格。如需詳細資訊,請參閱<設定 Windows 服務帳戶>。
介面控制工具變更
在 SQL Server 2005 中導入的介面區組態可讓您啟用或停用授與 SQL Server 元件和組態選項之存取權的功能。
從 SQL Server 2008 開始,已經移除介面區組態工具。控制 SQL Server 行為之介面區組態工具的功能已經被取代,而且在以原則為基礎的管理功能中大幅強化。這項功能可讓您針對 SQL Server 元件建立原則,並且以細微的方式將它們套用至 SQL Server 內部的主體和角色。如需有關以原則為基礎之管理功能的詳細資訊,請參閱<使用以原則為基礎的管理來管理伺服器>。
您可以使用組態管理員工具來存取介面區組態工具的連接管理功能。如需有關這項工具的詳細資訊,請參閱<SQL Server 組態管理員>。
Kerberos 驗證
從 SQL Server 2008 開始,Kerberos 驗證的支援已擴展成包含具名管道和共用記憶體通訊協定。此外,您不需要 Windows Active Directory 就可以使用 Kerberos。如需詳細資訊,請參閱<Kerberos 驗證和 SQL Server>。