Database Engine Configuration - Account Provisioning

Począwszy od SQL Server 2005, znaczne zmiany zostały wprowadzone w celu zapewnienia, że SQL Server było bezpieczniejsze niż poprzednie wersje. Zmiany uwzględnione "zabezpieczone zgodnie z projektem, zabezpieczone domyślnie i bezpieczne we wdrożeniu" strategii, mające na celu ochronę zabezpieczeń przed atakami z wystąpienie serwera i jego bazy danych.

SQL Server 2008 Utwardzanie procesu przez wprowadzenie kilku zmian w składnikach serwera i bazy danych zabezpieczeń w dalszym ciągu.Zmiany wprowadzone w programie SQL Server 2008 dalsze zmniejszenie obszarów powierzchni i za pośrednictwem swoich baz danych i serwer o ustanawiające zasady co najmniej uprawnienia i zwiększa rozdzielania administracji systemu Windows i administracji programu SQL Server. Oznacza to, że konta wewnętrznego są chronione i podzielić na funkcje systemowe operacyjnego i SQL Server funkcje. Środki te obejmują:

• Nowy SQL Server 2008 instalacje nie są już dodać lokalnych BUILTIN\Administratorzy grupy systemu Windows do SQL Server stałe serwera Yródłowym.

• Możliwość Zapewnij jeden lub więcej głównych obiektów systemu Windows do roli sysadmin serwera wewnątrz SQL Server. Ta opcja jest dostępna podczas SQL Server Ustawienia dla nowych instalacji SQL Server 2008.

• Narzędzie Konfiguracja obszaru powierzchniowy (SAC, Special Administration Console) został usunięty i zastąpiony przez zarządzanie oparte na regułach oraz zmiany w narzędziu SQL Server Configuration Manager.

Zmiany te wpłyną ze względów bezpieczeństwa, planowanie SQL Serveri utworzyć bardziej kompletny profil zabezpieczeń dla systemu pomocy.

Uwagi dotyczące uruchamiania programu SQL Server 2008 w systemie Windows Vista i Windows Server 2008

Windows Vista i Windows Server 2008 zawiera nową funkcję, konto kontrola użytkownika (UAC, User Account Control), która pomaga administratorom zarządzanie korzystaniu z podwyższonym poziomem uprawnień. Domyślnie na Windows Vista i Windows Server 2008, administratorzy nie należy używać ich praw administracyjnych. Zamiast tego wykonują większość czynności jako użytkowników standardowych, tymczasowo tylko wtedy, gdy konieczne jest przy założeniu praw administracyjnych.Zamiast elevating uprawnień, zaleca się jednak jeden z następujących opcji:

• Jeśli używany jest tryb uwierzytelnianie systemu Windows, należy utworzyć konto użytkownika systemu Windows, które ma wystarczające uprawnienia do wykonywania wszystkich koniecznych zadań administracyjnych.

• W przypadku korzystania z trybu mieszanego)SQL Server uwierzytelnianie i uwierzytelnianie systemu Windows), warto rozważyć tworzenie SQL Server konto logowania, który jest używany tylko w celach administracyjnych.

Funkcja Kontrola konta użytkownika powoduje, że niektóre znane problemy.Aby uzyskać więcej informacji zobacz następujące strony sieci Web:

• Uwagi dotyczące uruchamiania programu SQL Server 2005 w systemie Windows Vista

• Kontrola konta użytkownika

Opcje

Tryb bezpieczny - Uwierzytelnianie systemu Windows wybierz lub uwierzytelnianie dla instalacji w trybie mieszanym.

Provisioning głównej systemu Windows — W poprzednich wersjach SQL Server, grupy BUILTIN\Administratorzy systemu Windows zostało umieszczone w SQL Server Serwer Yródłowym, efektywnie udzielanie dostępu do wystąpienie Administratorzy systemu Windows SQL Server. W SQL Server 2008, grupy BUILTIN\Administratorzy nie jest zaopatrzona w na serwerze Yródłowym. Zamiast tego należy użytkownik jawnie świadczenie SQL Server Administratorzy dla nowych instalacji podczas instalacji.

Important Note:
Jeśli procesy lub kodu firmy zależą od dostęp lokalnej grupy BUILTIN\Administratorzy systemu Windows, użytkownik musi jawnie przepisu SQL Server Administratorzy dla nowych instalacji podczas instalacji. Instalator nie będzie zezwalał na można kontynuować, dopóki nie zostaną wykonane w tym kroku.

Określ Administratorzy serwera SQL — Należy określić co najmniej jeden podmiot systemu Windows dla wystąpienie SQL Server. Aby dodać konto, pod którym SQL Server Instalacja jest uruchomiona, kliknij przycisk Bieżący użytkownik przycisku.Aby dodać lub usunąć konta z listy administratorów systemu, kliknij przycisk Dodawanie or Usuwanie, a następnie Edytuj listę użytkowników, grup lub komputerów, które będą mieć uprawnienia administratora dla danego wystąpienie SQL Server.

Po zakończeniu edycji listy, kliknij przycisk OK, a następnie sprawdź listy administratorów w oknie dialogowym Konfiguracja.Po zakończeniu na liście, kliknij przycisk Następny.

Jeśli wybierzesz opcję Uwierzytelnianie w trybie mieszanym, należy podać poświadczenia logowania wbudowane SQL Server Konto administrator systemu (sa).

Security Note:
Do not use a blank password. Use a strong password.

• Uwierzytelnianie systemu Windows w trybie
  Gdy użytkownik łączy się poprzez konto użytkownika systemu Windows SQL Server sprawdza poprawność nazwy konta i hasła przy użyciu tokenu głównej systemu Windows w systemie operacyjnym. Jest to domyślny tryb uwierzytelnianie i jest dużo bezpieczniejszy niż tryb mieszany.Uwierzytelnianie systemu Windows używa protokół zabezpieczeń Kerberos, zapewnia egzekwowania zasady haseł w odniesieniu do sprawdzania poprawności złożoności haseł silnych, zapewnia obsługę dla blokady kont i obsługuje wygaśnięcia zasady haseł.

  Security Note:
  When possible, use Windows Authentication.

  Important Note:
  Do not use a blank password. Use a strong password. Nie zestaw puste lub słabe hasło sa.

• Tryb mieszany (uwierzytelnianie systemu Windows lub uwierzytelniania programu SQL Server)
  Zezwala użytkownikom na łączenie się przy użyciu uwierzytelniania systemu Windows lub SQL Server uwierzytelnianie. Użytkownicy, którzy łączą się przy użyciu konta użytkownika systemu Windows można użyć zaufanego połączenia, które są sprawdzane przez system Windows.

  Jeśli uwierzytelnianie w trybie mieszanym, należy wybrać i istnieje wymóg używania identyfikatory logowania SQL dla starszych aplikacji, należy ustawić silnych haseł dla wszystkich SQL Server konta.

  Uwaga

  SQL Server uwierzytelnianie jest dostarczane w celu zapewnienia zgodności z poprzednimi wersjami tylko.When possible, use Windows Authentication.

• Wprowadź hasło
  Wprowadź i Potwierdź logowania administrator systemu (sa).Hasła są pierwszą linię obrony przed intruzami, dlatego ustawienie silnych haseł ma podstawowe znaczenie dla zabezpieczeń systemu.Nie zestaw puste lub słabe hasło sa.

  Uwaga

  SQL Server hasła mogą zawierać od 1 do 128 znaków, łącznie z dowolnej kombinacji liter, symboli i cyfr.Jeśli wybrano opcję Uwierzytelnianie w trybie mieszanym, należy wprowadzić silne hasło sa, przed kontynuowaniem do następnej strona Kreatora instalacji.

• Wskazówki dotyczące hasła silnego
  Silne hasła są łatwo odgadnąć przez osobę, a nie są łatwo hacked za pomocą programu komputerowego.Silne hasła nie można używać warunków zabronionych lub warunki, w tym:

  • Warunek pusty ani mieć wartości NULL

  • "Hasło"

  • "Admin"

  • "Administrator"

  • "sa"

  • "sysadmin. „

  Silne hasło nie mogą być następujące pojęcia związane z komputerem instalacji:

  • Nazwa użytkownika aktualnie zalogowana na komputerze.

  • Nazwa komputera.

  Silne hasło musi być więcej niż 8 znaków i spełniają co najmniej trzech z czterech następujących kryteriów:

  • Musi on zawierać wielkie litery.

  • Musi on zawierać małe litery.

  • Może on zawierać cyfr.

  • Musi ona zawierać znaków innych niż alfanumeryczne; na przykład, #, %, lub ^.

  Wprowadzone na tej stronie zasady haseł muszą spełniać wymagania zasady silnych haseł.Jeśli masz żadnych automatyzacji, który używa SQL Server uwierzytelnianie, upewnij się, że hasło spełnia warunki zasady silnych haseł.

Historia zmian

Microsoft Learning
Dodaje informacje o wyłączenie grupy BUILTIN\Administratorzy systemu Windows w sysadmin, stałe roli serwera.
Sklarowanego informacji dotyczących kontroli konta użytkownika (UAC).

See Also

Reference

Setting Up Windows Service Accounts