Kontrola Konta Użytkownika (UAC) i Serwer SQL

Opublikowano: 11 stycznia 2008

Zawartość strony

	Wstęp
	Wpływ na Serwer SQL
	Dołączalność SQL Server
	Listy kontroli dostępu (ACL) administratora Jak bezpiecznie uruchomiać aplikacje SQL Server w Windows Vista i Windows Server 2008?
	Inne źródła

Wstęp

System operacyjny Windows Vista obejmuje kontrolę konta użytkownika (UAC), czyli nową funkcję, która pomaga administratorom wykorzystywać możliwość podnoszenia uprawnień kont użytkowników. W systemie operacyjnym Windows Vista administratorzy i inni uprzywilejowani użytkownicy nie korzystają domyślnie ze swoich uprawnień administratorskich. Zamiast tego, wykonują większość czynności jako użytkownicy standardowi, czasowo przyjmując uprawnienia administratorskie jednie wtedy, kiedy jest to potrzebne.

Podniesienie uprawnień ujawnia się na poziomie procesu, co oznacza, że tylko jedna instancja aplikacji jest podniesiona. Na przykład, użycie CMD.exe z podniesionym uprzywilejowaniem nie powoduje uruchomienia wszystkich procesów CMD.exe z tym samym poziomem uprzywilejowania, nawet jeśli procesy te są uruchamiane w tym samym czasie.

Funkcja kontroli konta użytkownika (UAC) dostarcza pewnej liczby mechanizmów, dzięki którym program wykonywalny może być uruchomiony z uprawnieniami administratorskimi. Jednym z tych mechanizmów jest stworzenie w bazie danych Windows (AppCompat) listy nazw aplikacji, skojarzenie pliku-spisu z odpowiednim plikiem wykonywalnym, a następnie, w celu jednokrotnego zwiększenia jego uprawnień, kliknięcie prawym przyciskiem myszki na pliku wykonywalnym.

 Do początku strony

Wpływ na Serwer SQL

Kontrola konta użytkownika ma wpływ na serwer SQL pod względem dołączalności (login SQL Server) oraz w ograniczaniu dostępu do zasobów na liście kontroli dostępu (ACL) administratorów.

 Do początku strony

Dołączalność SQL Server

W wersjach wcześniejszych niż Windows Vista i Windows Server 2008, członkowie lokalnej grupy administratorów nie potrzebują własnych kont (login) na serwerze SQL, i nie potrzebują uprawnień administratorskich w obrębie serwera SQL. Łączą się oni z serwerem SQL jako członkowie wbudowanej grupy użytkowników serwera BUILTIN\Administrators (B\A), i posiadają uprawnienia administratorskie, ponieważ B\A jest członkiem sysadmin - ustalonej roli serwerowej. Uprawnienia administratorskie zostały wyeliminowane w systemach operacyjnych Windows Vista i Windows Server 2008, tak więc użytkownicy będący administratorami, o ile nie połączą się z poziomu aplikacji klienckiej o zwiększonych uprawnieniach, nie mogą łączyć się z instancją serwera SQL jedynie z tego tytułu że należą do B/A.

Rozważmy następujący scenariusz dla systemów operacyjnych poprzedzających Windows Vista:

1. Abby uruchamia Windows NT z uprawnieniami administratorskimi (niestety dość powszechne);
2. Abby żąda połączenia z instancją serwera SQL, co się udaje, a następnie może ona wykonać każdą potrzebną operację w tej instancji.

Czy Abby zdaje sobie z tego sprawę czy nie, ponieważ grupa Windows "BUILTIN\Administrators" jest członkiem roli sysadmin serwera SQL, więc otrzymała ona dostęp do instancji serwera SQL. W systemach operacyjnych Windows Vista i Windows Server 2008, próba połączenia nie udaje się. Żeton Abby nie posiada uprawnień administratorskich, a więc instancja SQL Server nie rozpoznaje jej jako ważny login.

 Do początku strony

Listy kontroli dostępu (ACL) administratora

Domyślnie, przed Windows Vista, administratorzy mieli pełny dostęp do lokalnych zasobów Windows, takich, jak: pliki, foldery, i rejestry. Ponieważ w systemach operacyjnych Windows Vista i Windows Server 2008 administratorzy wykonują większość czynności jako użytkownicy standardowi, to ich dostęp do tych zasobów jest ograniczony. Dowolna aplikacja SQL Server, która ma dostęp do plików, folderów, kluczy i wartości rejestru, usług systemowych, procesów systemu operacyjnego, lub dzienników zdarzeń, i która opiera się o B\A, nie będzie działać prawidłowo w systemach Windows Vista i Windows Server 2008.

Celem serwera SQL jest umożliwienie użytkownikom funkcjonowania na możliwie najniższym poziomie uprzywilejowania, i jednocześnie zapewnienie użytkownikowi końcowemu dobrych wrażeń z pracy z systemami operacyjnymi Windows Vista i Windows Server 2008 przy aktywnym mechanizmie kontroli kont użytkownika (UAC). Pakiet serwisowy 2 (SP2) SQL Server 2005 odnosi się do następujących spraw:

• SQL Server 2005 SP2 zawiera narzędzie do udostępniania usług, które może być uruchomione albo poprzez Setup, albo narzędzie SQL Server Surface Area Configuration, co pozwala na dodanie użytkownika do ustalonej roli serwera sysadmin, aby wykonywać czynności administratorskich na serwerze SQL.
• W SQL Server 2005 SP2, wybiórczo zwiększyliśmy również uprawnienia plików wykonywalnych serwera SQL, wypełniających czynności administratora w Windows.
• Dla Microsoft SQL Server 2008, planujemy poprawienie sposobu dostarczania kont oraz ogólnego wrażenia pracy z funkcją UAC (kontrola konta użytkownika). Podczas procesu konfiguracji, będziesz mógł dostarczyć więcej niż jedno konto dla ustalonej roli serwera sysadmin, aby wykonywać czynności administratorskie na serwerze SQL. Lepiej będzie również oddzielona administracja Windows i SQL Server.

Wpływ zachowania UAC na serwer SQL jest opisany w dokumentacji na stronie:

https://msdn2.microsoft.com/en-us/library/bb326612.aspx

 Do początku strony

Jak bezpiecznie uruchomiać aplikacje SQL Server w Windows Vista i Windows Server 2008?

Wspieraną wersją serwera SQL dla Windows Vista i Windows Server 2008 jest SQL Server 2005 SP2. Aby bezpiecznie uruchomić aplikacje SQL Server, należy wziąć pod uwagę następujące uwagi:

• Nie należy domyślnie podnosić uprawnień aplikacji SQL Server 2005 SP2. Aplikacjami, których uprawnienia zostały podniesione w pakiecie serwisowym SP2 są: Surface Area Configuration, SQL Diagnostics, SQL Configuration Manager, Reporting Services Configuration, Reporting Services Key Management, SQL Watson Error Reporting oraz Hotfix.exe. Aplikacje te przyjmują czynności administratora Windows NT i wymagają podniesienia uprawnień.
• Nie należy podnosić uprawnień aplikacji klienckich serwera SQL, takich jak SQL Server Management Studio (SSMS).
• Pod koniec konfigurowania pakietu serwisowego SP2, jest uruchamiane narzędzie wprowadzania usług serwera SQL. Ważne jest określenie użytkownika w narzędziu wprowadzania usług. Użytkownik ten jest wprowadzany jako login w serwerze SQL z uprawnieniami sysadmin, aby uniknąć problemów z dołączalnością po konfiguracji SP2 z poziomu nieuprzywilejowanego klienta serwera SQL. Jeśli nie określisz użytkownika w narzędziu wprowadzania usług, wywołujący konfigurację SP2 jest wprowadzany jako login z uprawnieniami sysadmin. Dostarczony login może następnie łączyć się do instancji SP2 po konfiguracji i wprowadzeniu innych użytkowników dla odpowiednich ról.
• Dla aplikacji konsolowych, które wymagają zwiększonych przywilejów dla Ex Reporting Services Key Management (RSKeyMgmt.exe), należy uruchamiać z wiersza poleceń ze zwiększonymi uprawnieniami.

Dokument techniczny Bezpieczeństwo SQL Server - najlepsze praktyki (The SQL Server Security Best Practices) obejmuje niektóre zadania operacyjne i administracyjne związane z bezpieczeństwem serwera SQL 2005, oraz wylicza najlepsze praktyki i zadania operacyjne i administracyjne, które prowadzą do poprawy bezpieczeństwa systemu SQL Server. Dokument techniczny dostarcza wskazówek bezpieczeństwa dla surface area reduction, trybu uwierzytelniania, w kwestiach związanych z kontem serwisowym, strategii postępowania względem haseł, przywilejów administratora, autoryzacji, szyfrowania, audytu, łatania. Dokument ten można znaleźć na stronie:

https://www.microsoft.com/technet/prodtechnol/sql/2005/sql2005secbestpract.mspx.

 Do początku strony

Inne źródła

• Treść SQL Server 2005 SP2 UAC: https://msdn2.microsoft.com/en-us/library/bb326612.aspx,
• Windows Vista UAC: https://www.microsoft.com/technet/windowsvista/security/uac.mspx.

Do początku strony