SQL Server 2008 安全性變更

從 SQL Server 2005 開始就已經實作一些重大變更，以便確保 SQL Server 比舊版更安全。變更包含「依設計維護安全、依預設維護安全以及在部署中維護安全」策略，其設計目的是要協助保護伺服器執行個體和它的資料庫免受安全性攻擊。

SQL Server 2008 導入了其他安全性改進。SQL Server 2008 也會運用 Microsoft 最新作業系統中的變更，例如在 Windows Vista 和 Windows Server 2008 中提供的使用者帳戶控制 (UAC)。SQL Server 2008 中的下列改進會藉由設立「最低權限」的原則並增加 Windows 管理員與 SQL Server 管理員之間的分隔，減少 SQL Server 及其資料庫的介面和攻擊區域。

• 根據預設，新 SQL Server 2008 安裝的 SQL Server 系統管理員 (sysadmin) 固定伺服器角色已不再包含本機 Windows 群組 BUILTIN\Administrator。

  重要事項
  如果您的處理序或程式碼相依於 Windows BUILTIN\Administrator 本機群組存取權，您就必須明確授與登入 SQL Server 的權限。由於這些帳戶的成員資格位於 Windows Administrator 群組中，因此這些帳戶將不再自動被授與 SQL Server 的存取權。如果沒有至少在系統管理員 (sysadmin) 角色中加入一位使用者，就會將您鎖在 SQL Server 執行個體外部。如需詳細資訊，請參閱＜Database Engine 組態 - 帳戶提供＞和＜Analysis Services 組態 - 帳戶提供＞。

• 系統管理員 (sysadmin) 固定伺服器角色已不再包含建立供 SQL Server 服務使用的 Windows 群組，例如 SQLServerMSSQLUser$ COMPUTERNAME $ INSTANCENAME和 SQLServerSQLAgentUser$ COMPUTERNAME $ INSTANCENAME。不過，用來啟動 SQL Server 服務的服務帳戶和 SQL Server Agent 服務會分別在 SQL Server 中被授與系統管理員 (sysadmin) 權限。當 SQL Server 安裝在 Windows Server 2008 或 Windows Vista 作業系統上時，服務 SID 就會提供成系統管理員 (sysadmin) 固定伺服器角色的成員。如需詳細資訊，請參閱＜設定 Windows 服務帳戶＞。

• 介面區組態 (SAC) 工具已經移除，而且已經由以原則為基礎的管理功能和 SQL Server 組態管理員工具中的變更所取代。

• Kerberos 驗證的支援已經擴展，而且除了 TCP/IP 以外，現在還包含具名管道和共用記憶體。

這些變更將會影響您對於 SQL Server 的安全性規劃，而且可讓您為系統建立更完整的安全性設定檔。