Статья
04/01/2012

Изменения в системе безопасности SQL Server 2008

Начиная с SQL Server 2005, в SQL Server были внесены значительные изменения, позволяющие обеспечить большую защищенность этой версии по сравнению с предыдущими. Все изменения были подчинены общей стратегии «защищенного проектирования, защищенного развертывания и защищенной настройки по умолчанию», способствующей повышению защищенности сервера и развернутых на нем баз данных от угроз безопасности.

В SQL Server 2008 реализованы дополнительные улучшения безопасности. SQL Server 2008 также позволяет получить выигрыш от новшеств, появившихся в последних версиях операционных систем Майкрософт, например от контроля учетных записей (UAC) в Windows Vista и Windows Server 2008. Описанные ниже улучшения в SQL Server 2008 при использовании политики «Наименьшие необходимые права доступа» сокращают контактную зону и уязвимую область экземпляра SQL Server и его баз данных, повышают степень изоляции администраторов Windows и администраторов SQL Server.

По умолчанию локальная группа Windows BUILTIN\Administrator больше не включается в предопределенную роль сервера sysadmin экземпляра SQL Server в новой версии SQL Server 2008.

Важно!
Если процесс или код предполагает доступ членов локальной группы Windows BUILTIN\Administrator, то необходимо предоставить разрешение входа на SQL Server явным образом. Учетным записям автоматически больше не предоставляется доступ к SQL Server на основании членства в группе администраторов Windows. Если в роль sysadmin не включен ни один из пользователей, то это приведет к блокировке экземпляра SQL Server. Дополнительные сведения см. в разделах Настройка компонента Database Engine — провизионирование учетных записей и Настройка служб Analysis Services — провизионирование учетных записей.

Если процесс или код предполагает доступ членов локальной группы Windows BUILTIN\Administrator, то необходимо предоставить разрешение входа на SQL Server явным образом. Учетным записям автоматически больше не предоставляется доступ к SQL Server на основании членства в группе администраторов Windows. Если в роль sysadmin не включен ни один из пользователей, то это приведет к блокировке экземпляра SQL Server. Дополнительные сведения см. в разделах Настройка компонента Database Engine — провизионирование учетных записей и Настройка служб Analysis Services — провизионирование учетных записей.

Группы Windows, создаваемые для использования службами SQL Server (например, SQLServerMSSQLUser$ COMPUTERNAME $ INSTANCENAMEи SQLServerSQLAgentUser$ COMPUTERNAME $ INSTANCENAME), не включаются в предопределенную роль сервера sysadmin. Вместо этого учетной записи службы, используемой для запуска службы SQL Server и агента SQL Server, права доступа sysadmin предоставляются в SQL Server в индивидуальном порядке. Если SQL Server установлен в операционной системе Windows Server 2008 или Windows Vista, то идентификатор безопасности службы назначается членом предопределенной роли сервера sysadmin. Дополнительные сведения см. в разделе Настройка учетных записей служб Windows.
Средство настройки контактной зоны удалено и заменено функцией управления на основе политик. Кроме того, внесены изменения в диспетчер конфигурации SQL Server.
Поддержка проверки подлинности протокола Kerberos расширена и теперь, кроме протокола TCP/IP, включает именованные каналы и общую память.

Эти изменения сыграют свою роль при планировании безопасности SQL Server и помогут создать более полноценный профиль безопасности для системы.

Изменения в локальных группах Windows

В процессе установки SQL Server создаются несколько локальных групп Windows. Учетные записи, используемые для запуска служб SQL Server (или идентификаторы безопасности, если они доступны), помещаются в локальные группы. Эти группы используются в качестве механизма управления доступом к ресурсам SQL Server, соответствующие разрешения или права на эти ресурсы предоставляются во время установки. Членство в предопределенной роли сервера sysadmin предоставляется только учетным записям службы SQL Server и службы агента SQL Server. Дополнительные сведения см. в разделе Настройка учетных записей служб Windows.

Изменения в средствах управления контактной зоной

Средство «Настройка контактной зоны», появившееся в SQL Server 2005, позволяло включать и отключать функции, предоставлявшие доступ к компонентам SQL Server и параметрам конфигурации.

Начиная с SQL Server 2008, средство настройки контактной зоны было удалено. Функции средства настройки контактной зоны, управлявшие поведением SQL Server, были заменены и значительно улучшены функцией «Управление на основе политики». Эта функция позволяет создавать политики для компонентов SQL Server и детально применять их к участникам и ролям в SQL Server. Дополнительные сведения о функции «Управление на основе политики» см. в разделе Администрирование серверов с помощью управления на основе политик.

Функции управления соединениями из средства настройки контактной зоны доступны с помощью средства «Диспетчер конфигурации». Дополнительные сведения об этом средстве см. в разделе Диспетчер конфигурации SQL Server.

Проверка подлинности Kerberos

Начиная с SQL Server 2008, поддержка проверки подлинности протокола Kerberos расширена и включает теперь именованные каналы и протоколы общей памяти. Кроме того, протокол Kerberos можно использовать без службы каталогов Windows Active Directory. Дополнительные сведения см. в разделе SQL Server и проверка подлинности по протоколу Kerberos.

Расширенная защита для проверки подлинности

Начиная с версии SQL Server 2008 R2, доступна поддержка расширенной защиты для проверке подлинности с помощью привязки каналов и привязки служб в операционных системах, поддерживающих расширенную защиту. Дополнительные сведения см. в разделе Соединение с компонентом Database Engine с использованием расширенной защиты.

См. также

Задания

Как подключиться к SQL Server из Windows Vista

Основные понятия

Обеспечение безопасности SQL Server

Основные сведения о настройке контактной зоны