Güvenlik geliştirmeleri (veritabanı altyapısı)
Güvenlik geliştirmeleri SQL Server Veritabanı AltyapısıKur, yeni arama özelliği liste izinleri, yeni kullanıcı tanımlı sunucu rollerini ve sunucu ve veritabanı rolleri yönetmek için yeni yollar sırasında sağlama dahil.
Kurulum sırasında sağlama
Rol ayırma, geliştirmek için BUILTIN\Administrators ve Yerel Sistem (nt AUTHORITY\SYSTEM) otomatik olarak sağlanan değil sysadmin sunucu rolü. Yerel Yöneticiler erişmeye devam Veritabanı Altyapısıtek kullanıcı modunda ne zaman.
SQL ServerŞimdi yönetilen hizmet hesapları ve sanal Windows 7 veya Windows Server 2008 R2 yüklendiğinde hesaplarını destekler. Daha fazla bilgi için, bkz. Windows Hizmet Hesapları ve İzinlerini Yapılandırma.
Koruma hizmetleri bir hizmet başına SID işletim şimdi tüm işletim sistemleri için genişletilir. Daha fazla bilgi için, bkz. Windows Hizmet Hesapları ve İzinlerini Yapılandırma.
Yeni izinler
19 Yeni izinler mevcut Veritabanı Altyapısı. Tüm izinler aşağıdaki deyimi görmek için.
SELECT * FROM sys.fn_builtin_permissions('');
SELECT * FROM sys.fn_builtin_permissions('');
Yeni izinler aşağıdaki gibidir:
Yeni GRANT, DENY, ve REVOKEizin CONTROL/VIEW DEFINTION/TAKE OWNERSHIP/REFERENCES/ ALTER ON bir arama özelliği listesi kullanılabilir.
New GRANT, DENY, and REVOKE permissions to ALTER ANY SERVER ROLE, CREATE SERVER ROLE, and CONTROL/VIEW DEFINTION/TAKE OWNERSHIP/ALTER ON a server role.
New GRANT, DENY, and REVOKE permissions to ALTER ANY AVAILABILITY GROUP, CREATE AVAILABILITY GROUP, and CONTROL/VIEW DEFINTION/TAKE OWNERSHIP/ALTER ON an availability group.
Yeni GRANT, DENY, ve REVOKEizin CREATE SEQUENCEizni.
Yeni GRANT, DENY, ve REVOKEizin ALTER ANY EVENT SESSIONizni.
Yeni rol yönetimi
Kullanıcı tanımlı sunucu rollerini artık kullanılabilir. Kullanıcı tanımlı sunucu rollerinin kullanımı yönetmek için Sunucu rolü oluşturmak, server role alter, ve server role drop. Üyeler tüm sunucu rollerini ekleyip için server role alter ... WITH ADD MEMBER. sp_addsrvrolemember ve sp_dropsrvrolemember onaylanmaz.
role alter eklemek veya üye rollerden kaldırmak için değiştirilmiş ADD MEMBERsözdizimi. sp_addrolemember ve sp_droprolemember onaylanmaz.
IS_ROLEMEMBER veritabanı rolleri üyeliğini denetlemek için eklenir.
Gruplar için varsayılan şema
Şimdi bir Windows grubu için bir varsayılan şema tanımlayabilirsiniz. Bir Windows kullanıcı ve bir varsayılan şema belirtilen zaman, nesne oluşturulduğunda SQL Serverartık otomatik olarak bir şema oluşturur. Varsayılan şemaları hakkında daha fazla bilgi için bkz: create user.
SQL Server denetim geliştirmeleri
Sunucu düzeyinde denetim tüm sürümleri içerecek şekilde genişletilmiş destek SQL Server. Veritabanı düzeyinde denetim için kuruluş, Developer ve değerlendirme sürümlerini sınırlıdır.
SQL ServerDenetim daha esnek denetim günlüğüne yazma hataları için artık. Örneğin, hedef dizin üzerinde uzak paylaşım ve ağ aşağı gider SQL ServerDenetim şimdi ağ bağlantısını yeniden bir kez kurtarmak mümkün olacak. Ayrıca, yeni bir seçenek, aksi halde başarısız denetim hedef yazılması için bir denetim olayı oluşturmak istiyorsunuz bir işlem başarısız tanıtılmıştır. Daha fazla bilgi için bkz: FAIL_OPERATION için seçenek ON_FAILURE olay create server DENETIM.
Daha önce denetim günlükleri veya başka günlük dosyalarını toplu sonra önceden tanımlanmış sayı üzerinde belirsiz bir dizi olabilir. Yeni bir seçenek, müşterilerinin Denetim kayıtlarını kaybetmeden toplanan denetim bilgi miktarını kontrol sağlamak için üzerinde çalışırken olmadan denetleme dosya sayısı kapak tanıtılmıştır. Daha fazla bilgi için bkz: MAX_FILES içinde seçenek create server DENETIM.
Mümkün olduğunda, Denetim günlüğü ek sağlar Transact-SQLyığını çerçeve bilgi. Birçok durumda, Denetçilerin şimdi sorgu saklı bir yordam aracılığıyla ya da doğrudan uygulama tarafından verilmiş olup olmadığını belirleyebilirsiniz.
SQL Serverdenetim belirtimleri şimdi bir kullanıcı tanımlı denetim grubunu destekler. Denetlenen olaylar yazılabilir denetim günlüğüne yeni kullanarak sp_audit_write (Transact-sql) yordam. Kullanıcı tanımlı denetim olayları izin denetim günlüğü nerede ortak oturum açma bağlanmak için kullanılan durumlarda bağlandı uygulama kullanıcı adı gibi özel bilgilerini yazmak uygulamalar SQL Server.
Yeni sütunlar eklenir sys.server_file_audits, verirsys.server_auditsKatalog, ve sys.fn_get_audit_file kullanıcı tanımlı denetim olayları izlemek için.
SQL ServerDenetim şimdi denetim günlüğüne yazılır önce denetim olayları süzme yeteneğini destekler. Daha fazla bilgi için bkz: NEREYE yan create server DENETIM ve alter server DENETIM.
Yeni denetim grupları içerdiği veritabanı kullanıcıları izleme desteği.
Yeni denetim seçeneklerini Denetle iletişim kutularında eklenen Management Studio.
Veritabanı altyapısı erişimi bulunan veritabanları ile izin olduğunu
İçerdiği veritabanlarına erişim oturumları gerektirmeyen içerdiği veritabanı kullanıcılara izin verilir. SQL ServerSistem yöneticileri anlamak nasıl içerdiği veritabanları değişiklik SQL Servergüvenlik modeli. Daha fazla bilgi için, bkz. İçerdiği veritabanları ile güvenlik en iyi uygulamalar.
Karma algoritmaları
hashbytes işlevi artık destekler SHA2_256, ve SHA2_512 algoritmalar.
Daha fazla Deprecation, RC4
RC4 algoritması yalnızca geriye dönük uyumluluk için desteklenir. Yeni malzeme yalnızca veritabanı uyumluluk düzeyi 90 ya da 100 olduğunda RC4 veya RC4_128 kullanılarak şifrelenebilir. (Önerilmez.) Bir aes algoritması gibi yeni bir algoritma kullanın. De SQL Server 2012Malzeme RC4 veya RC4_128 kullanılarak şifrelenmiş herhangi bir uyumluluk düzeyi şifresi.
Sertifika anahtarı uzunluğu
Sertifikalar oluştururken, bir dış kaynaktan alınan özel anahtar uzunluğu en fazla 4.096 bit 3,456 genişletilir.
Hizmet ana anahtar veritabanı ana anahtar şifrelemesi değişikliklerini ve 3DES aes için
SQL Server 2012hizmet ana anahtarı (smk) ve ana anahtar (dmk) korumak için aes şifreleme algoritması kullanır. aes, daha önceki sürümlerde kullanılan 3DES yeni bir şifreleme algoritmasıdır. Örneği yükseltme yaptıktan sonra Veritabanı Altyapısıiçin SQL Server 2012smk ve dmk anahtarlarını aes için yükseltmek için yeniden oluşturulması. smk yeniden oluşturulması hakkında daha fazla bilgi için bkz: alter hizmet ana anahtar (Transact-sql)ve alter MASTER KEY (Transact-sql).
Sertifikalar gelen ikili oluşturulabilir
SERTIFIKASı (Transact-sql) oluşturvar FROM BINARYikili bir asn kodlanmış sertifikanın açıklamasını belirtme seçeneği. Yeni işlevler certencoded (Transact-sql)ve CERTPRIVATEKEY (Transact-sql)Varolan bir sertifikayı ikili açıklaması ayıklamak için kullanılabilir.