Sicurezza di Distributed ReplayDistributed Replay Security

In questo argomento si applica a: SìSQL ServernonDatabase SQL di AzurenonAzure SQL Data Warehouse non Parallel Data WarehouseTHIS TOPIC APPLIES TO: yesSQL ServernoAzure SQL DatabasenoAzure SQL Data Warehouse noParallel Data Warehouse Prima di installare e utilizzare il MicrosoftMicrosoft SQL ServerSQL Server funzionalità di riesecuzione distribuita, è necessario rivedere le informazioni di sicurezza importanti in questo argomento. Before you install and use the MicrosoftMicrosoft SQL ServerSQL Server Distributed Replay feature, you should review the important security information in this topic. In questo argomento vengono descritti i passaggi per la configurazione della sicurezza post-installazione che è necessario eseguire prima di poter utilizzare Distributed Replay.This topic describes the post-installation security configuration steps that are required before you can use Distributed Replay. Questo argomento illustra anche considerazioni importanti sulla protezione dei dati e importanti passaggi relativi alla rimozione.This topic also describes important considerations with regard to data protection and important removal steps.

Account utente e di servizioUser and Service Accounts

Nella tabella seguente vengono descritti gli account utilizzati per Distributed Replay.The following table describes the accounts that are used for Distributed Replay. Dopo l'installazione di Distributed Replay, è necessario assegnare le entità di sicurezza con cui verranno eseguiti gli account dei servizi controller e client.After the Distributed Replay installation, you must assign the security principals that the controller and client service accounts will run as. È pertanto consigliabile configurare gli account utente di dominio corrispondenti prima di installare le funzionalità di Distributed Replay.Therefore, we recommend that you configure the corresponding domain user accounts before you install the Distributed Replay features.

Account utenteUser Account RequisitiRequirements
SQL ServerSQL Server Account del servizio controller di Riesecuzione distribuita Distributed Replay controller service account Può essere un account utente di dominio o locale.Can be a domain user account or local user account. Se si utilizza un account utente locale, lo strumento di amministrazione, il controller e il client devono essere tutti eseguiti nello stesso computer.If you use a local user account, the administration tool, controller, and client must all be running on the same computer.

** Nota sulla sicurezza *\* È consigliabile evitare che l'account sia un membro del gruppo Administrators locale in Windows.** Security Note *\* We recommend that the account is not a member of the local Administrators group in Windows.
SQL ServerSQL Server Account del servizio client di Riesecuzione distribuita Distributed Replay client service account Può essere un account utente di dominio o locale.Can be a domain user account or local user account. Se si utilizza un account utente locale, il controller, il client e l'istanza di SQL Server di destinazione devono essere tutti eseguiti nello stesso computer.If you use a local user account, the controller, client, and target SQL Server must all be running on the same computer.

** Nota sulla sicurezza *\* È consigliabile evitare che l'account sia un membro del gruppo Administrators locale in Windows.** Security Note *\* We recommend that the account is not a member of the local Administrators group in Windows.
Account utente interattivo utilizzato per eseguire lo strumento Distributed Replay Administration ToolInteractive user account that is used to run the Distributed Replay administration tool Può essere un account utente locale o di dominio.Can be either a local user or a domain user account. Per utilizzare un account utente locale, lo strumento di amministrazione e il controller devono essere eseguiti nello stesso computer.To use a local user account, the administration tool and controller must be running on the same computer.

Importante: quando si configura il controller di Riesecuzione distribuita, è possibile specificare uno o più account utente da usare per eseguire i servizi client Riesecuzione distribuita.Important: When you configure Distributed Replay controller, you can specify one or more user accounts that will be used to run the Distributed Replay client services. Di seguito viene fornito l'elenco degli account supportati:The following is the list of supported accounts:

  • Account utente di dominioDomain user account

  • Account utente locale creato dall'utenteUser created local user account

  • AmministratoreAdministrator

  • Account virtuale e account del servizio gestitoVirtual account and MSA (Managed Service Account)

  • Servizi di rete, Servizi locali e SistemaNetwork Services, Local Services, and System

    Gli account di gruppo (locale o dominio) e gli altri account predefiniti (come Everyone) non sono accettati.Group accounts (local or domain) and other built-in accounts (like Everyone) are not accepted.

    Per impostare gli account di servizio o le relative password dopo aver installato Distributed Replay, è possibile utilizzare lo strumento Servizi Windows.To set the service accounts or their passwords after you install Distributed Replay, you can use the Windows Services tool. Per modificare gli account di servizio associati ai servizi di Distributed Replay Controller o Client, effettuare le operazioni seguenti:To change the service accounts associated with the Distributed Replay controller or client services, follow these steps:

  1. Effettuare una delle operazioni seguenti a seconda del sistema operativo in uso:Do either of the following, depending on the operating system:

    • Fare clic sul menu Start, digitare services.msc nella casella Cerca , quindi premere INVIO.Click Start, type services.msc in the Search box, and then press ENTER.

    • Fare clic sul menu Start, scegliere Esegui, digitare services.msc, quindi premere INVIO.Click Start, click Run, type services.msc, and then press ENTER.

  2. Nella finestra di dialogo Servizi fare clic con il pulsante destro del mouse sul servizio che si vuole configurare, quindi scegliere Proprietà.In the Services dialog box, right-click the service that you want to configure, and then click Properties.

  3. Nella scheda Accedi fare clic su Account seguente.On the Log On tab, click This account.

  4. Configurare l'account utente che si desidera utilizzare.Configure the user account that you want to use.

Autorizzazioni per file e cartelleFile and Folder Permissions

Dopo aver specificato gli account del servizio, è necessario concedere le necessarie autorizzazioni per file e cartelle a tali account del servizio.After the service accounts have been specified, you must grant the necessary file and folder permissions to those service accounts. Configurare le autorizzazioni per file e cartelle in base alla tabella seguente:Configure file and folder permissions according to the following table:

AccountAccount Autorizzazioni per le cartelleFolder Permissions
SQL ServerSQL Server Account del servizio controller di Riesecuzione distribuita Distributed Replay controller service account <Controller_Installation_Path>\DReplayController (Lettura, Scrittura, Eliminazione)<Controller_Installation_Path>\DReplayController (Read, Write, Delete)

DReplayServer.xml file (Lettura, Scrittura)DReplayServer.xml file (Read, Write)
SQL ServerSQL Server Account del servizio client di Riesecuzione distribuita Distributed Replay client service account <Client_Installation_Path>\DReplayClient (Lettura, Scrittura, Eliminazione)<Client_Installation_Path>\DReplayClient (Read, Write, Delete)

DReplayClient.xml file (Lettura, Scrittura)DReplayClient.xml file (Read, Write)

Le directory di lavoro e dei risultati, secondo quanto specificato nel file di configurazione del client rispettivamente tramite gli elementi WorkingDirectory e ResultDirectory .The working and result directories, as specified in the client configuration file by the WorkingDirectory and ResultDirectory elements, respectively. (Lettura, Scrittura)(Read, Write)

Autorizzazioni DCOMDCOM Permissions

DCOM viene utilizzato per la comunicazione RPC (Remote Procedure Call) tra il controller e lo strumento di amministrazione e tra il controller e tutti i client.DCOM is used for remote procedure call (RPC) communication between the controller and the administration tool, and between the controller and all clients. È necessario configurare le autorizzazioni DCOM a livello di computer e specifiche dell'applicazione sul controller dopo l'installazione delle funzionalità di Distributed Replay.You must configure computer-wide and application-specific DCOM permissions on the controller after the Distributed Replay features have been installed.

Per configurare le autorizzazioni DCOM del controller, effettuare le seguenti operazioni:To configure the controller DCOM permissions, follow these steps:

  1. Aprire dcomcnfg.exe, lo snap-in Servizi componenti: si tratta dello strumento usato per configurare le autorizzazioni DCOM.Open dcomcnfg.exe, the Component Services snap-in: This is the tool that is used to configure DCOM permissions.

    1. Nel computer controller fare clic sul menu Start.On the controller computer, click Start.

    2. Digitare dcomcnfg.exe nella casella Cerca .Type dcomcnfg.exe in the Search box.

    3. Premere INVIO.Press ENTER.

  2. Configurare le autorizzazioni DCOM a livello di computer: concedere le autorizzazioni DCOM a livello di computer corrispondenti per ogni account elencato nella tabella seguente.Configure computer-wide DCOM permissions: Grant the corresponding computer-wide DCOM permissions for each account listed in the following table. Per altre informazioni sull'impostazione di autorizzazioni a livello di computer, vedere Elenco di controllo: Gestire le applicazioni DCOM.For more information about how to set computer-wide permissions, see Checklist: Manage DCOM Applications.

  3. Configurare le autorizzazioni DCOM specifiche dell'applicazione: concedere le autorizzazioni DCOM corrispondenti specifiche dell'applicazione per ogni account elencato nella tabella seguente.Configure application-specific DCOM permissions: Grant the corresponding application-specific DCOM permissions for each account listed in the following table. Il nome dell'applicazione DCOM per il servizio controller è DReplayController.The DCOM application name for the controller service is DReplayController. Per altre informazioni sull'impostazione di autorizzazioni specifiche dell'applicazione, vedere Elenco di controllo: Gestire le applicazioni DCOM.For more information about how to set application-specific permissions, see Checklist: Manage DCOM Applications.

    Nella tabella seguente sono descritte le autorizzazioni DCOM richieste per l'account utente interattivo dello strumento di amministrazione e per gli account del servizio client:The following table describes which DCOM permissions are required for the administration tool interactive user account and the client service accounts:

FunzionalitàFeature AccountAccount Autorizzazioni DCOM necessarie sul controllerRequired DCOM Permissions on Controller
Distributed Replay Administration ToolDistributed Replay administration tool Account utente interattivoThe interactive user account Accesso localeLocal Access

Accesso remotoRemote Access

Avvio localeLocal Launch

Avvio remotoRemote Launch

Attivazione localeLocal Activation

Attivazione remotaRemote Activation
Client Riesecuzione distribuitaDistributed Replay client SQL ServerSQL Server Account del servizio client di Riesecuzione distribuita Distributed Replay client service account Accesso localeLocal Access

Accesso remotoRemote Access

Avvio localeLocal Launch

Avvio remotoRemote Launch

Attivazione localeLocal Activation

Attivazione remotaRemote Activation

Importante

Per facilitare la protezione da query dannose o attacchi Denial of Service, accertarsi di utilizzare solo un account utente attendibile per l'account del servizio client.To help protect against malicious queries or denial of service attacks, make sure that you only use a trusted user account for the client service account. Questo account sarà in grado di connettersi e riprodurre i carichi di lavoro sull'istanza di destinazione di SQL ServerSQL Server.This account will be able to connect and replay workloads against the target instance of SQL ServerSQL Server.

Autorizzazioni di SQL ServerSQL Server Permissions

Gli account del servizio client di Riesecuzione distribuita di SQL ServerSQL Server vengono usati per la connessione all'istanza di destinazione del carico di lavoro di SQL ServerSQL Server.The SQL ServerSQL Server Distributed Replay client service accounts are used to connect to the workload's target instance of SQL ServerSQL Server. Per queste connessioni è supportata solo la modalità Autenticazione di Windows.Only Windows Authentication mode is supported for these connections.

Dopo avere installato il servizio client di Riesecuzione distribuita di SQL ServerSQL Server in un set di computer, all'entità di sicurezza usata per tali account di servizio è necessario concedere il ruolo del server sysadmin per l'istanza di SQL ServerSQL Server in cui si prevede di riprodurre il carico di lavoro dei file di traccia.After you install the SQL ServerSQL Server Distributed Replay client service on a set of computers, the security principal used for those service accounts must be granted the sysadmin server role on the instance of SQL ServerSQL Server that you intend to replay the trace workload against. Questo passaggio non viene eseguito automaticamente durante l'esecuzione del programma di installazione di Distributed Replay.This step is not performed automatically during Distributed Replay Setup.

Protezione dei datiData Protection

Nell'ambiente Distributed Replay, agli account utente seguenti viene concesso l'accesso completo all'istanza del server di destinazione di SQL ServerSQL Server, ai dati di traccia di input e ai file di traccia dei risultati:In the Distributed Replay environment, the following user accounts are granted full access to the target server instance of SQL ServerSQL Server, the input trace data and result trace files:

  • Account utente interattivo utilizzato per eseguire lo strumento di amministrazione.The interactive user account that is used to run the administration tool.

  • Account del servizio Controller.The controller service account.

  • Account del servizio Client.The client service account.

  • Membri del gruppo Administrators locale sul controller.Members of the local Administrators group on the controller.

  • Membri del gruppo Administrators locale sui client.Members of the local Administrators group on the clients.

    Importante

    Questi account dispongono dell'accesso completo alle informazioni personali o alle informazioni riservate contenute nei file di dati di traccia, intermedi, di recapito o di SQL ServerSQL Server utilizzati da Distributed Replay.These accounts have full access to any personally identifiable information (PII) or sensitive information that is contained in the trace, intermediate, dispatch, or SQL ServerSQL Server data files that were used by Distributed Replay.

    È consigliabile adottare le seguenti precauzioni relative alla sicurezza:We recommend that you take the following security precautions:

  • Archiviare i dati di traccia di input, i risultati di traccia di output e i file di database in un percorso che utilizza il file system NTFS (NTFS) e applicare gli elenchi di controllo di accesso (ACL) appropriati.Store the input trace data, output trace results, and database files in a location that uses the NTFS file system (NTFS), and apply the appropriate access control lists (ACLs). Se è necessario, crittografare i dati archiviati nel computer che esegue SQL ServerSQL Server .If it is needed, encrypt the data that is stored on the SQL ServerSQL Server computer. Tenere presente che gli ACL non vengono applicati ai file di traccia e non viene eseguito alcun tipo di mascheramento dei dati.Be aware that ACLs are not applied to the trace files and there is no data masking or obfuscation. Questi file dovranno essere eliminati rapidamente una volta utilizzati.You should delete these files quickly after use.

  • Applicare gli ACL e i criteri di conservazione appropriati a tutti i file intermedi e di recapito generati da Distributed Replay.Apply the appropriate ACLs and retention policy to all intermediate and dispatch files that are generated by Distributed Replay.

  • Utilizzare SSL (Secure Sockets Layer) per proteggere il trasporto di rete.Use Secure Sockets Layer (SSL) to help secure the network transport.

Importanti passaggi relativi alla rimozioneImportant Removal Steps

È consigliabile utilizzare Distributed Replay solo in un ambiente di testing.We recommend that you only use Distributed Replay in a test environment. Dopo avere completato i test e prima di eseguire il provisioning di tali computer per un'attività diversa, accertarsi di effettuare le operazioni seguenti:After you have completed testing, and before you provision those computers for a different task, make sure that you do the following:

  • Disinstallare le funzionalità di Distributed Replay e rimuovere i file di configurazione correlati dal controller e da tutti i client.Uninstall the Distributed Replay features and remove the related configuration files from the controller and all clients.

  • Eliminare qualsiasi file di traccia, intermedio, di recapito e di database di SQL ServerSQL Server utilizzati per i test.Delete any trace, intermediate, dispatch, and SQL ServerSQL Server database files that were used for testing. I file intermedi e di recapito vengono archiviati nella directory di lavoro rispettivamente nel controller e nel client.The intermediate and dispatch files are stored in the working directory on the controller and client, respectively.

Vedere ancheSee Also

SQL Server Distributed Replay SQL Server Distributed Replay
Install Distributed Replay - OverviewInstall Distributed Replay - Overview