Рассылка закрыта
При закрытии подписчики были переданы в рассылку "Вопросы и ответы по MS SQL Server" на которую и рекомендуем вам подписаться.
Вы можете найти рассылки сходной тематики в Каталоге рассылок.
MS SQL Server - дело тонкое...
Информационный Канал Subscribe.Ru |
#142<< #143 |
СОДЕРЖАНИЕ
Безопасность Microsoft SQL Server 2000 (ПРОДОЛЖЕНИЕ) По материалам статьи Richard Waymire и Ben Thomas: Microsoft SQL Server 2000 Security
1. Введение 7. Безопасность инсталляции SQL Server 2000 Информация в этом разделе относится к SQL Server 2000, устанавливаемому на Windows NT или Windows 2000. Windows 98 и Windows Ме не поддерживают описываемые тут особенности безопасности. Предполагается, что SQL Server 2000 использует Windows Authentication Mode, чтобы обеспечивать самый высокий уровень безопасности (заданная по умолчанию установка). 7.1. Не используйте учетную запись sa
Рекомендуется, чтобы все администраторы сервера баз данных получали доступ к SQL Server через группу
Windows, и что бы эта та группа была включена в серверную роль sysadmin. Этот подход имеет один
незначительный недостаток; Администратор Windows может дать любому пользователю права уровня
sysadmin, поскольку он может добавить его в соответствующую группу Windows. 7.2. Учетные записи для запуска сервисов SQL Server 2000 использует три сервиса (службы) Windows:
·MSSQLServer (или MSSQL$INSTANCENAME для именованного экземпляра) - движок, обеспечивающий основные
функциональные возможности SQL Server. ·Local service account ·Local user account ·Domain user account
Выбор зависит от функциональных возможностей, которые требуются для SQL Server 2000. Обе службы могут
использовать одну и ту же учетную запись. 7.3. Учетная запись Local System
SQL Server 2000 может запускаться от учетной записи локальной системы, если SQL Server не использует
репликацию и не требуется доступ к ресурсам сети.
·Full Control на каталог SQL Server (по умолчанию\Program Files\Microsoft SQL Server\MSSQL)
HKEY_LOCAL_MACHINE\Software\Microsoft\MSSQLServer 7.4. Учетная запись локального пользователя Если SQL Server 2000 запускается из-под учетной записи локального пользователя Windows, применяются те же самые ограничения, как и для Local System, с небольшим дополнением (инсталлятор устанавливает эти права по умолчанию): ·Учетной записи пользователя нужно предоставить право на Log On As A Service. 7.5. Учетная запись пользователя домена Если SQL Server 2000 запускается из-под учетной записи пользователя домена, обеспечивается самая большая гибкость. Некоторые примеры функциональных возможностей, доступных только при запуске сервисов от учётной записи пользователя домена представлены в этом списке:
·Репликация. Для SQL Server 2000, чтобы использовать перечисленные выше задачи, учетная запись пользователя домена должна быть настроена также, как описанная ранее учетная запись локального пользователя. Однако, некоторые дополнительные функциональные возможности доступны только, если будут даны дополнительные права. Эти права представлены в таблице:
Чтобы задействовать максимальные функциональные возможности SQL Server 2000, рекомендуется включить учётную запись пользователя домена в локальную группа Administrators.
Windows обеспечивает хорошую структуру безопасности для защиты объектов операционной системы, таких, как файлы.
Рекомендуется, чтобы права в NTFS устанавливались на файлы данных и журналов всех баз данных. Учетной записи
пользователя, от имени которой стартует SQL Server 2000, нужно дать право Full Control на файлы баз данных.
Все файлы SQL Server 2000, включая исполняемые программы и динамические библиотеки (DLL), должны быть защищены,
чтобы пользователи не могли иметь к ним доступ. Права на эти файлы (Full Control) должны быть только у учётной записи
сервиса SQL Server, группы Administrators и у учётной записи локальной системы. Никто другой не должен иметь на эти
файлы никаких прав.
Чтобы при инсталляции SQL Server 2000 защитится от не санкционированных действий пользователей, которые имеют
права на вход в систему сервера, есть смысл установить ограничения на доступ к ключам системного реестра Windows,
которые используются для настроек SQL Server 2000.
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\MSSQLServer
Права для группы everyone на эти ключи должны быть удалены, а права Full Control добавлены для группы администраторов,
учетной записи локальной системны или для учетной записи службы SQL Server. При установке необходимые права выдаются
автоматически для учетных записей сервисов, указанных в мастере установки. SQL Server 2000 может вести аудит входа в систему сервера, который сохраняется в Windows event log. Уровень аудита можно выбрать в SQL Server Enterprise Manager или используя расширенную хранимую процедуру xp_loginconfig. Возможные параметры настройки аудита:
·None. Не регистрируется никакая информация аудита. Информация аудита сохраняется в файлы регистрации ошибок SQL Server 2000. 7.9. Аудит средствами SQL Profiler
SQL Server 2000 Profiler позволяет анализировать широкий спектр внутренних событий SQL Server, включая события
безопасности и аудита.
·Действия конечных пользователей (все SQL команды, вход/выход из системы, использование ролей приложений). Эта информация является очень полезной, если нужно установить, кто, что и когда делал в базе данных. Другим режимом аудита является аудит уровня C2. Аудит C2 фиксирует все связанные с аудитом события и все столбцы данных этих событий. Если за короткий интервал времени обрабатывается очень большое количество данных, включать аудит C2 для SQL Server 2000 не рекомендуется. ПРОДОЛЖЕНИЕ СЛЕДУЕТ Статьи на русском языке
Особенности построения информационных хранилищ
Новые технические статьи Microsoft
PRB: A
"Database log truncated" Error is Logged in the Event Log When You
Try to Back Up the Transaction Log
A CONCEPTUAL META-MODEL FOR UNSTRUCTURED DATA
Самые популярные темы недели
Междумордие
dbbind и DBMONEY4 проблема с вывовдом.
Материалы семинара: "Оптимизация приложений баз данных и Microsoft SQL Server 2000" 29 апреля 2003 года в Учебно-консультационном центре Группы компаний прошел пятый ежемесячный семинар, посвященный СУБД Microsoft SQL Server. На семинаре были представлены доклады:
|
#142<< #143 |
http://subscribe.ru/
E-mail: ask@subscribe.ru |
Отписаться
Убрать рекламу |
В избранное | ||