Безопасность распределенного воспроизведения
Область применения:
SQL Server 2016 (13.x), SQL Server 2017 (14.x) и SQL Server 2019 (15.x)
Важно!
SQL Server распределенное воспроизведение недоступно с SQL Server 2022 (16.x).
Перед установкой и использованием компонента распределенного воспроизведения Microsoft SQL Server ознакомьтесь с важной информацией о безопасности, представленной в этой статье. В этом разделе описываются шаги настройки мер безопасности после установки, необходимые перед началом использования распределенного воспроизведения. В этом разделе также описываются важные соображения по защите данных и важные шаги удаления.
Учетные записи пользователей и служб
В следующей таблице приведены описания учетных записей, применяемых для распределенного воспроизведения. После установки распределенного воспроизведения необходимо назначить субъектов безопасности для запуска учетных записей контроллера и службы клиента распределенного воспроизведения. Таким образом, рекомендуется настроить соответствующие учетные записи пользователей домена перед установкой компонентов распределенного воспроизведения.
| Учетная запись пользователя | Требования |
|---|---|
| SQL Server Учетная запись службы контроллера распределенного воспроизведения | Эта учетная запись может быть учетной записью пользователя домена или учетной записью локального пользователя. Если используется учетная запись локального пользователя, средство администрирования, контроллер и клиент должны быть запущены на одном компьютере. ** Примечание о безопасности ** Мы рекомендуем не делать эту учетную запись членом локальной группы администраторов Windows. |
| SQL Server Учетная запись службы клиента распределенного воспроизведения | Эта учетная запись может быть учетной записью пользователя домена или учетной записью локального пользователя. Для использования учетной записи локального пользователя контроллер, клиент и целевой сервер SQL Server должны быть запущены на одном компьютере. ** Примечание о безопасности ** Мы рекомендуем не делать эту учетную запись членом локальной группы администраторов Windows. |
| Интерактивная учетная запись пользователя, которая используется для запуска средства администрирования распределенного воспроизведения | Эта учетная запись может быть учетной записью локального пользователя или учетной записью пользователя домена. Для использования учетной записи локального пользователя средство администрирования и контроллер должны быть запущены на одном компьютере. |
Важно!
При настройке контроллера распределенного воспроизведения можно указать одну или несколько учетных записей, которые будут использоваться для запуска клиентских служб распределенного воспроизведения. Далее представлен список поддерживаемых учетных записей.
Учетная запись пользователя домена
Пользователь, который создал учетную запись локального пользователя
Администратор
Виртуальная учетная запись и управляемая учетная запись службы (MSA)
Сетевые службы, локальные службы и система
Учетные записи групп (локальные или доменные) и другие встроенные учетные записи (например, "Все") не принимаются.
Для настройки учетных записей службы или их паролей после установки распределенного воспроизведения вы можете использовать службы Windows. Чтобы изменить учетные записи службы, связанные со службами контроллера или клиента распределенного воспроизведения, выполните следующие действия.
Для этого выполните одно из следующих действий в зависимости от операционной системы.
Нажмите кнопку Пуск, введите services.msc в поле Найти и нажмите клавишу ВВОД.
Нажмите кнопку Пуск, выберите пункт Выполнить, введите services.mscи нажмите клавишу ВВОД.
В диалоговом окне Службы щелкните правой кнопкой мыши службу, которую требуется настроить, и выберите пункт Свойства.
На вкладке Вход в систему выберите Указанная учетная запись.
Настройте учетную запись пользователя, которую предстоит использовать.
Разрешения для папок и файлов
После того как были заданы учетные записи службы, необходимо предоставить этим учетным записям службы необходимые разрешения для файла и папок. Настройте разрешения для файлов и папок в соответствии со следующей таблицей.
| Учетная запись | Разрешения папки |
|---|---|
| SQL Server Учетная запись службы контроллера распределенного воспроизведения | <Controller_Installation_Path>\DReplayController (чтение, запись и удаление)DReplayServer.xml файл (чтение, запись) |
| SQL Server Учетная запись службы клиента распределенного воспроизведения | <Client_Installation_Path>\DReplayClient (чтение, запись и удаление)DReplayClient.xml файл (чтение, запись)Рабочие и результирующие каталоги, как указано в файле конфигурации клиента элементами WorkingDirectory и ResultDirectory соответственно. (Чтение и запись) |
Разрешения DCOM
DCOM используется для связи через удаленный вызов процедур (RPC) между контроллером и средством администрирования и между контроллером и всеми клиентами. После установки компонентов распределенного воспроизведения необходимо настроить разрешения DCOM на контроллере для компьютера и конкретных приложений на контроллере.
Чтобы настроить разрешения DCOM на контроллере, выполните следующие шаги.
Откройте оснастку "Службы компонентов", выполнив файл dcomcnfg.exe: Это средство используется для настройки разрешений DCOM.
На компьютере контроллера нажмите кнопку Пуск.
Введите dcomcnfg.exe в поле Найти .
Нажмите клавишу ВВОД.
Настройте разрешения DCOM для всего компьютера. В контексте всего компьютера предоставьте соответствующие разрешения DCOM для каждой учетной записи, перечисленной в следующей таблице. Дополнительные сведения о том, как настроить разрешения в контексте компьютера, см. в статье Контрольный список: Управление приложениями DCOM.
Настройте разрешения DCOM для конкретного приложения. В контексте конкретного приложения предоставьте соответствующие разрешения DCOM каждой учетной записи, перечисленной в следующей таблице. Имя приложения DCOM для контроллера службы — DReplayController. Дополнительные сведения о том, как настроить разрешения для конкретного приложения, см. в статье Контрольный список: Управление приложениями DCOM.
В следующей таблице описаны разрешения DCOM, необходимые для интерактивной учетной записи пользователя средства администрирования и учетных записей службы клиента.
| Компонент | Учетная запись | Требуемые разрешения DCOM на контроллере |
|---|---|---|
| Средство администрирования распределенного воспроизведения | Интерактивная учетная запись пользователя | Локальный доступ Удаленный доступ Локальный запуск Удаленный запуск Локальная активация Удаленная активация |
| Клиент распределенного воспроизведения | SQL Server Учетная запись службы клиента распределенного воспроизведения | Локальный доступ Удаленный доступ Локальный запуск Удаленный запуск Локальная активация Удаленная активация |
Важно!
Для защиты от вредоносных запросов или атак типа «отказ в обслуживании» проверьте, что используется только доверенная учетная запись пользователя для учетной записи службы клиента. Эта учетная запись будет иметь возможность подключения и воспроизведения рабочей нагрузки на целевом экземпляре SQL Server.
Разрешения SQL Server
Учетные записи службы клиента распределенного воспроизведения SQL Server используются для подключения к целевому экземпляру рабочей нагрузки SQL Server. Для этих соединений поддерживается только режим проверки подлинности Windows.
После установки службы клиента распределенного воспроизведения SQL Server на нескольких компьютерах субъекту безопасности, используемому для этих учетных записей службы, необходимо предоставить роль сервера sysadmin в экземпляре SQL Server , в котором предстоит воспроизвести рабочую нагрузку трассировки. Этот шаг не выполняется автоматически во время установки распределенного воспроизведения.
Защита данных
В среде распределенного воспроизведения следующим учетным записям пользователя предоставляется полный доступ к экземпляру целевого сервера SQL Server, входным данным трассировки и файлам результатов трассировки:
Интерактивная учетная запись пользователя, которая используется для запуска средства администрирования.
Учетная запись службы контроллера.
Учетная запись службы клиента.
Члены локальной группы администраторов на контроллере.
Члены локальной группы администраторов на клиентах.
Важно!
Эти учетные записи имеют полный доступ к любой личной информации, идентифицирующей конкретного пользователя (PII), или конфиденциальным сведениям, содержащимся в файлах данных трассировки, промежуточных данных, данных диспетчеризации или данных SQL Server , использованных распределенным воспроизведением.
Рекомендуется применить следующие меры безопасности.
Сохраните входные данные трассировки, выходные результаты трассировки и файлы базы данных в местонахождении с файловой системой NTFS и примените соответствующие списки управления доступом (ACL). При необходимости зашифруйте данные, сохраненные на компьютере SQL Server. Учтите, что списки ACL не применяются к файлам трассировки и не происходит маскирования или запутывания данных. Эти файлы следует удалить немедленно после использования.
Примените соответствующие списки ACL и политики сохранения ко всем промежуточным файлам и файлам сообщений, которые создаются при распределенном воспроизведении.
В целях безопасности используйте протокол TLS, пришедший на смену SSL.
Важные шаги удаления
Рекомендуется использовать распределенное воспроизведение только в тестовой среде. После завершения тестирования и перед предоставлением этих компьютеров для выполнения другого задания обязательно выполните следующие действия.
Удалите компоненты распределенного воспроизведения и удалите соответствующие файлы конфигурации из контроллера и всех клиентов.
Удалите все файлы трассировки, промежуточные, сообщений и базы данных SQL Server , которые использовались в ходе тестирования. Промежуточные и переданные файлы хранятся в рабочем каталоге на контроллере и клиенте соответственно.
См. также раздел
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по