SQL Server 2008 安全更改

iSQlServer發表於2008-11-25

從 SQL Server 2005 開始,為了確保 SQL Server 比其早期版本更為安全,進行了一些重大的更改。這些更改秉承了“設計安全、預設安全、部署安全”的策略,目的在於幫助保護伺服器例項及其資料庫免受安全攻擊。

SQL Server 2008 引入了其他安全改進。SQL Server 2008 還利用 Microsoft 推出的最新作業系統中的更改,例如 Windows Vista 和 Windows Server 2008 中的使用者帳戶控制 (UAC)。SQL Server 2008 中引入的以下更改可減少 SQL Server 及其資料庫的外圍應用和攻擊區域(通過制定“最低特權”策略),並可提高 Windows 管理員與 SQL Server 管理員之間的分離程度:

預設情況下,本地 Windows 組 BUILTIN\Administrator 不再包含在新的 SQL Server 2008 安裝上的 SQL Server sysadmin 固定伺服器角色中。
重要提示:
如果您的程式或程式碼依賴於 Windows BUILTIN\Administrator 本地組訪問許可權,則您必須顯式授予登入 SQL Server 的許可權。屬於 Windows Administrator 組的帳戶將不再自動獲得對 SQL Server 的訪問許可權。如果 sysadmin 角色中不包括任何使用者,您將無法使用 SQL Server 例項。有關詳細資訊,請參閱資料庫引擎配置 - 帳戶設定和 Analysis Services 配置 – 帳戶設定。
 


sysadmin 固定伺服器角色不再包含為了用於 SQL Server 服務而建立的 Windows 組,如 SQLServerMSSQLUser$ COMPUTERNAME $ INSTANCENAME 和 SQLServerSQLAgentUser$ COMPUTERNAME $ INSTANCENAME。在 SQL Server 中,會分別為用於啟動 SQL Server 服務和 SQL Server 代理服務的服務帳戶授予 sysadmin 許可權。當在 Windows Server 2008 或 Windows Vista 作業系統上安裝 SQL Server 時,服務 SID 是作為 sysadmin 固定伺服器角色的成員進行設定的。有關詳細資訊,請參閱設定 Windows 服務帳戶。

已刪除外圍應用配置器 (SAC) 工具,取而代之的是 SQL Server 配置管理器工具中的基於策略的管理功能和更改。

對 Kerberos 身份驗證的支援已擴充套件,現在除了包括 TCP/IP,還包括 named pipes 和共享記憶體。

這些更改將影響您的 SQL Server 安全規劃,並使您可為系統建立更全面的安全配置檔案。

 Windows 本地組更改
SQL Server 安裝過程中會建立幾個 Windows 本地組。以前用於啟動 SQL Server 服務的服務帳戶(或者服務 SID,如可用)放在這些本地組中。這些服務組用作訪問 SQL Server 所擁有資源的訪問控制機制,並會在安裝期間為這些服務組授予適當的許可權。僅向 SQL Server 服務和 SQL Server 代理服務帳戶授予 sysadmin 固定伺服器角色的成員身份。有關詳細資訊,請參閱設定 Windows 服務帳戶。

 外圍控制工具更改
外圍應用配置器在 SQL Server 2005 中引入,用於啟用或禁用授予對 SQL Server 元件和配置選項的許可權的功能。

從 SQL Server 2008 開始,已刪除外圍應用配置器工具。外圍應用配置器工具中控制 SQL Server 行為的功能已被基於策略的管理功能取代,後者功能大大增強。使用此功能,可以為 SQL Server 元件建立策略,並從較細的層面將它們應用於 SQL Server 內的主體和角色。有關基於策略的管理功能的詳細資訊,請參閱使用基於策略的管理來管理伺服器。

通過使用配置管理器工具可以使用外圍應用配置器工具的連線管理功能。有關此工具的詳細資訊,請參閱 SQL Server 配置管理器。

 Kerberos 身份驗證
從 SQL Server 2008 開始,對 Kerberos 身份驗證的支援已擴充套件,現在包括 named pipes 和 Shared Memory 協議。此外,無需 Windows Active Directory 即可使用 Kerberos。有關詳細資訊,請參閱Kerberos 身份驗證與 SQL Server。

 

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/16436858/viewspace-503149/,如需轉載,請註明出處,否則將追究法律責任。

相關文章