Chapter 1 Securing Your Server and Network(1):选择SQL Server业务经理

原版的:http://blog.csdn.net/dba_huangzj/article/details/37924127  ,专题文件夹:http://blog.csdn.net/dba_huangzj/article/details/37906349

未经作者允许,不论什么人不得以“原创”形式公布。也不得已用于商业用途。本人不负责不论什么法律责任。

前言:

SQL Server是一个Windows 服务,以某个Windows用户或系统用户权限执行在Windows操作系统上。选择合适的帐号执行SQL Server是非常重要的。本系列文章仅仅关注安全性方面。

选择合适的帐号之所以非常重要。当中一个原因是假设权限不恰当,用户(client)能够通过SQL Server对Windows OS或其它资源进行非预期使用。

实现:

首次选择帐号发生在安装过程中,可是在安装过后能够更改。怎样安装SQL Server超出本文范围。所以这里跳过安装过程中选择帐号部分。在安装完成之后,能够依据以下步骤实现。

实现步骤:

1. 在命令行输入:services.msc 打开服务管理器。找到SQL Server服务,如图:

2. 右键这个服务。选择【属性】,并查看当前执行帐号 :

3. 打开SQL Server 配置管理器,找到SQL Server相应实例名的选项,本人机上有两个实例,一个是2008R2。一个是2012,2012为命名实例,所以选择SQL Server(SQL2012)这个服务,并右键选择【属性】。如图:

4. 打开【属性】页之后,选择【登录】页。如图:

5. 选择【内置帐户】。下拉框中有三种可选项,兴许部分将介绍这些帐号:

6. 当改动了帐号之后,点击【确定】button。会提示须要重新启动SQL Server服务。点击【是】。然后重新启动服务,因为改动执行帐号必须重新启动服务,所以假设在正式环境下。须要慎重,而且计划性地改动。

7. 至此。我们演示了怎样改动SQL Server的执行帐号。接下来将介绍一些原理及注意事项。

原理:

SQL Server服务继承了底层操作系统(即Windows OS)上Windows帐号的权限。它并不一定须要有所在机器上的管理员权限。

仅仅须要有对数据文件/事务日志文件、错误日志文件、备份文件所在文件夹的权限和少量系统权限就可以。

假设在安装SQL Server之后改动服务帐号,强烈建议使用SQL Server配置管理器实现,而不要用Windows 服务控制管理器。因为后者并不能非常好地进行权限管控。

在Windows Server 2008 R2中,在安装SQL Server过程中默认使用虚拟帐号(Virtual Account,将在兴许文章介绍)作为启动帐号。假设在步骤5中选择了【内置帐号】,不须要提供password,这些password由操作系统管理和预设。以下简要介绍一下步骤5中的两类帐号:

  • Local System:这是一个拥有所在计算机上管理员权限的Windows 系统帐号,在网络中显示为(<Domain>\<Machine>)形式。假设机器存在于域环境中,能够对这类帐号授予訪问网络资源的权限。
  • Network Service:这个帐号相对于Local System而言,有非常多本机权限限制,可是能够和Local System一样訪问网络资源。

你能够选择一个已经创建的Windows或域帐号。以全名形式((<Domain>\<Account>)作为执行帐号,可是要确保这个帐号没有受到WIndows上的“password过期策略”影响,否者可能在系统执行了一段时间之后因为password过期而导致整个SQL Server服务停止。

作为实践,建议使用实际Windows 帐号替代内置帐号,因为内置帐号被多种服务所共享,权限管控不如实际WIndows 帐号。比方攻击者能够使用管理员权限登录SQL Server,并用xp_cmdshell等外部存储过程进行操作系统级别的攻击。

使用实际Windows帐号能降低这样的情况的发生机会。

很多其它信息:

要允许一个Windows帐号能用于执行一个服务(不是全部帐号都能执行服务)。须要授予【Log on as a service right】(中文为【信任计算机和用户帐户能够执行委派】)权限。过程例如以下:

1. 在本机上。打开管理工具,并选择【Local Security Policy】。中文为【本地安全策略】,Win8 系统能够控制面板→【系统和安全】中找到【Log on as a service right】(中文为【信任计算机和用户帐户能够执行委派】):

2.加入所需帐号,如图:

假设使用WIndows Server Core版本号,因为没有GUI能够改动,也有可能你不能直接登录目标server用GUI操作(非core版本号)时。能够在另外一些机器上实现配置:

步骤:

1. 打开计算机管理器(compmgmt.msc)右键根文件夹。选择【连接到还有一台计算机】,输入server地址,如图:

成功连接之后会变成下图。注意【计算机管理(本地)】 已经变成了【计算机管理(SQL-A)】:

2.在【服务和应用程序】节点能够找到SQL Server配置管理器,然后就能够进行前面所说的配置了。

创建域用户作为服务帐号:

假设在域环境下,能够在活动文件夹server(Active Directory Server)上通过【Active Directory 管理中心】(Active Directory Administrative Center)上的【Active Directory 用户和计算机】(Active Directory Users and Computers )工具加入用户到域环境的机器上。

如图:

在创建时,用户选项仅仅勾选下图就可以。除非特殊须要。否则不建议勾选【用户下次登录须更改password】:

假设希望用于服务帐号的password超时,建议使用Windows Server 2008出现的【托管服务帐号】(managed service accounts),这部分在兴许文章介绍。

扩展阅读:

配置 Windows 服务帐户和权限(http://msdn.microsoft.com/zh-cn/library/ms143504.aspx

下一个:http://blog.csdn.net/dba_huangzj/article/details/37927319

时间: 2024-10-11 06:26:49

Chapter 1 Securing Your Server and Network(1):选择SQL Server业务经理的相关文章

Chapter 1 Securing Your Server and Network(1):选择SQL Server运行账号

原文:Chapter 1 Securing Your Server and Network(1):选择SQL Server运行账号 原文出处:http://blog.csdn.net/dba_huangzj/article/details/37924127  ,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349 未经作者同意,任何人不得以"原创"形式发布,也不得已用于商业用途,本人不负责任何法律责任. 前言: S

Chapter 1 Securing Your Server and Network(6):为SQL Server访问配置防火墙

原文:Chapter 1 Securing Your Server and Network(6):为SQL Server访问配置防火墙 原文出处:http://blog.csdn.net/dba_huangzj/article/details/38082123,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349 未经作者同意,任何人不得以"原创"形式发布,也不得已用于商业用途,本人不负责任何法律责任. 前一篇:h

Chapter 1 Securing Your Server and Network(7):禁用SQL Server Browse

原文:Chapter 1 Securing Your Server and Network(7):禁用SQL Server Browse 原文出处:http://blog.csdn.net/dba_huangzj/article/details/38227187,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349 未经作者同意,任何人不得以"原创"形式发布,也不得已用于商业用途,本人不负责任何法律责任. 前一篇:

Chapter 1 Securing Your Server and Network(6):为SQL Server訪问配置防火墙

原文出处:http://blog.csdn.net/dba_huangzj/article/details/38082123,专题文件夹:http://blog.csdn.net/dba_huangzj/article/details/37906349 未经作者同意,不论什么人不得以"原创"形式公布,也不得已用于商业用途,本人不负责不论什么法律责任. 前一篇:http://blog.csdn.net/dba_huangzj/article/details/38063823 前言: SQ

Chapter 1 Securing Your Server and Network(12):保护链接server

原文出处:http://blog.csdn.net/dba_huangzj/article/details/38438363.专题文件夹:http://blog.csdn.net/dba_huangzj/article/details/37906349 未经作者允许.不论什么人不得以"原创"形式公布,也不得已用于商业用途.本人不负责不论什么法律责任. 前一篇:http://blog.csdn.net/dba_huangzj/article/details/38398813 前言: 链接

SQL Server on Linux: How? Introduction: SQL Server Blog

SQL Server Blog Official News from Microsoft's Information Platform https://blogs.technet.microsoft.com/dataplatforminsider/2016/12/16/sql-server-on-linux-how-introduction/ This post was authored by Scott Konersmann, Partner Engineering Manager, SQL

SQL Server 2008 R2升级到SQL Server 2012 SP1

1.建议对生产环境对的数据库升级之前做好备份,以防不测. 2.从SQL Server 2008 R2 升级到SQL Server 2012 SP1,需要先安装SQL Server 2008 R2 的SP1 或SP2 补丁包,在此运行安装已经下载好的SP2 补丁包,如图 3. SQL Server 2008 R2 更新运行检查,如图 4. 接受许可条款,如图 5. 选择功能,如图 6. 检查正在使用的文件,如图 7. 已准备好更新,选择"更新",如图 8. 更新完成,选择"关闭

在Windows Server 2012 R2中搭建SQL Server 2012故障转移集群

需要说明的是我们搭建的SQL Server故障转移集群(SQL Server Failover Cluster)是可用性集群,而不是负载均衡集群,其目的是为了保证服务的连续性和可用性,而不是为了提高服务的性能. SQL Server始终在负载均衡集群方面都缺少自己的产品,多由第三方厂家提供,但SQL Server故障转移集群却由来已久,在SQL Server 2012还提供了一个可用性组(AlwaysOn High Availability Groups)的新特性,我们知道微软的故障转移集群(W

一名小小的SQL Server DBA想谈一下SQL Server的能力

一名小小的SQL Server DBA想谈一下SQL Server的能力 百度上暂时还没有搜索到相关的个人写的比较有价值的文章,至少在中文网络的世界里面没有 但是在微软的网站有这样一篇文章:<比较 SQL Server 与 IBM DB2> 文章从下面几个方面进行了对比 1.TCO和ROI2.性能和可扩展性3.高可用性4.安全5.管理6.开发效率7.商业智能和数据仓库8.OLTP9.SAP集成 文章介绍得比较牛逼 性能与可扩展性 SQL Server 的性能和可扩展性优于IBM DB2. 基准