Aprimoramentos na segurança (Mecanismo de Banco de Dados)
Os aprimoramentos de segurança no Mecanismo de Banco de Dados do SQL Server incluem provisionamento durante a instalação, novas permissões SEARCH PROPERTY LIST, novas funções de servidor definidas pelo usuário e novos modos de gerenciar funções de servidor e de banco de dados.
Provisionando durante a instalação
Para aprimorar a separação de funções, BUILTIN\administrators e Sistema Local (NT AUTHORITY\SYSTEM) não são provisionado automaticamente na função de servidor fixa sysadmin. Administradores locais ainda podem acessar o Mecanismo de Banco de Dados no modo de usuário único.
O SQL Server agora oferece suporte a Contas de Serviço Gerenciadas e Contas Virtuais quando instaladas no Windows 7 ou no Windows Server 2008 R2. Para obter mais informações, consulte Configurar contas de serviço e permissões do Windows.
A proteção de serviços operacionais sob uma SID por serviço agora é estendida a todos os sistemas operacionais. Para obter mais informações, consulte Configurar contas de serviço e permissões do Windows.
Novas permissões
Há 19 novas permissões disponíveis no Mecanismo de Banco de Dados. Para ver todas as permissões, execute a instrução a seguir.
SELECT * FROM sys.fn_builtin_permissions('');
As novas permissões são as seguintes:
Novas permissões GRANT, DENY e REVOKE para CONTROL/VIEW DEFINTION/TAKE OWNERSHIP/REFERENCES/ALTER em uma lista de propriedades de pesquisa estão disponíveis.
Novas permissões GRANT, DENY e REVOKE para ALTER ANY SERVER ROLE, CREATE SERVER ROLE e CONTROL/VIEW DEFINTION/TAKE OWNERSHIP/ALTER em uma função de servidor.
Novas permissões GRANT, DENY e REVOKE para ALTER ANY AVAILABILITY GROUP, CREATE AVAILABILITY GROUP e CONTROL/VIEW DEFINTION/TAKE OWNERSHIP/ALTER em um grupo de disponibilidade.
Novas permissões GRANT, DENY e REVOKE para a permissão CREATE SEQUENCE.
Novas permissões GRANT, DENY e REVOKE para a permissão ALTER ANY EVENT SESSION.
Gerenciamento de nova função
Funções de servidor definidas pelo usuário estão disponíveis agora. Para gerenciar funções de servidor definidas pelo usuário, use CREATE SERVER ROLE, ALTER SERVER ROLE e DROP SERVER ROLE. Para adicionar e remover membros de todas as funções de servidor, use ALTER SERVER ROLE … WITH ADD MEMBER. sp_addsrvrolemember e sp_dropsrvrolemember foram preteridos.
A opção ALTER ROLE foi modificada para adicionar ou remover membros de funções usando a sintaxe ADD MEMBER. sp_addrolemember e sp_droprolemember foram preteridos.
IS_ROLEMEMBER foi adicionado para verificar a associação de funções de banco de dados.
Esquema padrão para grupos
Agora você pode definir um esquema padrão para um grupo do Windows. Quando um objeto é criado por um usuário do Windows e um esquema padrão não é especificado, o SQL Server não cria mais um esquema automaticamente. Para obter mais informações sobre esquemas padrão, consulte CREATE USER.
Aprimoramentos do SQL Server Audit
O suporte para auditoria no nível de servidor foi expandido para incluir todas as edições do SQL Server. As auditorias no nível de banco de dados são limitadas às edições Enterprise, Developer e Evaluation.
O SQL Server Audit agora está mais flexível a falhas de gravação no log de auditoria. Por exemplo, se o diretório de destino estiver em um compartilhamento remoto e a rede se tornar inativa, o SQL Server Audit agora pode se recuperar assim que a conexão de rede é restabelecida. Além disso, foi introduzida uma nova opção para reprovar uma operação que de outra forma geraria a gravação de um evento em um destino de auditoria com falha. Para obter mais informações, consulte a opção FAIL_OPERATION para o evento ON_FAILURE em CREATE SERVER AUDIT.
Anteriormente, os logs de Auditoria podiam ter um número indeterminado de arquivos de log ou poderiam ser substituídos depois de um número predefinido. Uma nova opção foi introduzida para limitar o número de arquivos de auditoria sem substituição, para permitir que os clientes controlem a quantidade de informações de auditoria coletada sem perder registros de auditoria. Para obter mais informações, consulte a opção MAX_FILES em CREATE SERVER AUDIT.
Quando possível, o log de auditoria fornece informações adicionais do registro de ativação do Transact-SQL. Em muitos casos, os auditores agora podem determinar se uma consulta foi emitida por um procedimento armazenado ou diretamente por um aplicativo.
As especificações do SQL Server Audit agora dão suporte a grupos de auditoria definidos pelo usuário. Os eventos de auditoria agora podem ser gravados no log de auditoria com o uso do novo procedimento sp_audit_write (Transact-SQL). Os eventos de auditoria definidos pelo usuário permitem que os aplicativos gravem informações personalizadas no log de auditoria, como o nome do usuário do aplicativo que se conectou em casos onde um logon comum é usado para conexão com o SQL Server.
Novas colunas são adicionadas a sys.server_file_audits, sys.server_audits e sys.fn_get_audit_file para acompanhar eventos de auditoria definidos pelo usuário.
O SQL Server Audit agora dá suporte à capacidade de filtrar eventos de auditoria antes de eles serem gravados no log de auditoria. Para obter mais informações, consulte a cláusula WHERE em CREATE SERVER AUDIT e ALTER SERVER AUDIT.
Novos grupos de auditoria dão suporte ao monitoramento de usuários de bancos de dados independentes.
As novas opções de auditoria foram adicionadas às caixas de diálogo de auditoria no Management Studio.
O acesso ao Mecanismo de Banco de Dados é permitido por meio de bancos de dados independentes
O acesso a bancos de dados independentes é permitido por meio de usuários de bancos de dados independentes que não exigem logons. Administradores do sistema do SQL Server devem entender como bancos de dados independentes alteram o modelo de segurança do SQL Server. Para obter mais informações, consulte Práticas recomendadas de segurança com bancos de dados independentes.
Algoritmos de hash
A função HASHBYTES agora oferece suporte para os algoritmos SHA2_256 e SHA2_512.
Substituição adicional de RC4
O algoritmo RC4 tem suporte somente para compatibilidade com versões anteriores. O novo material só pode ser criptografado por meio do algoritmo RC4 ou RC4_128 quando o banco de dados está no nível de compatibilidade 90 ou 100. (Não recomendável.) Use um algoritmo mais recente; por exemplo, um dos algoritmos AES. No SQL Server 2012, o material criptografado por meio do algoritmo RC4 ou RC4_128 pode ser descriptografado em qualquer nível de compatibilidade.
Tamanho da chave de certificado
Ao criar certificados, o comprimento máximo de chaves privadas importadas de uma fonte externa é expandida de 3.456 para 4.096 bits.
A Chave mestra de serviço e a Criptografia de Chave Mestra de Banco de dados é alterada de 3DES para AES
O SQL Server 2012 usa o algoritmo de criptografia AES para proteger a SMK (chave mestra de serviço) e a DMK (chave mestra de banco de dados). O AES é um algoritmo de criptografia mais novo que o 3DES usado em versões anteriores. Depois de atualizar uma instância do Mecanismo de Banco de Dados para SQL Server 2012, o SMK e a DMK devem ser regenerados para atualizar as chaves mestras para AES. Para obter mais informações sobre a regeneração do SMK, consulte ALTER SERVICE MASTER KEY (Transact-SQL) e ALTER MASTER KEY (Transact-SQL).
É possível criar certificados com base no binário
CREATE CERTIFICATE (Transact-SQL) tem a opção FROM BINARY para permitir a especificação da descrição de binários de um certificado de codificação ASN. Novas funções CERTENCODED (Transact-SQL) e CERTPRIVATEKEY (Transact-SQL) podem ser usados para extrair uma descrição binária de um certificado existente.