none
VORDEFINIERT\Administratoren RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden
    Hallo zusammen,

    ich bin Datenbankadministrator in einem mittelständischem Unternehmen. Wir haben mehrere SQL Server 2005 mit mehreren Instanzen am laufen.
    Ich war letzte Woche nun auf einer SQL Server 2008 Schulung, dort ist zum vorschein gekommen, dass es dort die Gruppe VORDEFINIERT\Administratoren nicht mehr als sysadmin gibt.

    Ich habe nun einige Beiträge bei google gelesen, doch ich bin nicht wirklich schlauer.
    Reicht es einfach diese Gruppe zu löschen und eine eigene AD gruppe als sysadmin einzutragen?
    Was ist mit den Dienstkonten?

    Was ist mit der Gruppe NT-Autorität\SYSTEM, soll diese auch gelöscht werden?

    Die Leute die Domänenadmin Rechte oder der gleichen besitzen haben nun kein Zugriff mehr auf den SQl Server (es sei denn ich lege sie an)??
    Diese Admins können trotzdem für den Notfall die SQL-Dienste stoppen/starten/anhalten oder?

    Haben die Profis hier unter euch denn auch diese Gruppen aus dem SQL Server bei sich herausgelöscht?


    Was gibt es noch für "Sicherheitslücken" die man schnell beheben kann bzw. was sollte man noch alles einstellen, wenn man eine neue Instanz installiert?


    Ich danke für folgende Antworten.


    Gruß Chris
    Dienstag, 23. Februar 2010 13:08
    |

Antworten

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Hallo Chris,

    bei SQL Server 2008 wird die Administratoren Gruppe nicht mehr automatisch zur sysadmin Rolle hinzugefügt.
    Anstatt dessen wird beim Setup aufgefordert ein Konto anzugeben.
    Was teilweise eine Konsequenz von Windows Vista und später ist,
    wo ein Adminstrator Zugriff häufig nur via UAC funktioniert;
    was einige der Veränderungen bei SQL Server 2008 
    und teilweise SQL Server 2005 mit SP2+ verursacht hat.

    Das heißt aber nicht dass es generell "verboten" wäre -
    man will nur nicht mehr Administratoren automatisch vollständige Rechte einräumen.
    Solange das in eurer Organisation kein Problem ist, spricht nichts dagegen.

    Die Alternative ist eine eigene SQL Server (AD) Administratoren Gruppe anzulegen,
    die entsprechende Privilegien hat. Mehr zu den erforderlichen Rechten:
    Einrichten von Windows-Dienstkonten

    Das System-Konto solltest Du belassen da es für einige Aufgaben erforderlich ist, siehe u. a.
    Wie Sie unerwünschten Zugriff auf SQL Server 2005 durch den Administrator Betriebssystem schwieriger machen
    (dort ggf. das englische Original lesen)
    Unterstützte Windows-Kontotypen, die zum Ausführen des SQL Server-Agent-Dienstes in SQL Server 2005 verwendet werden können
    und Auswählen eines Kontos für den SQL Server-Agent-Dienst

    Gruß Elmar

    • Als Antwort markiert ChrisSasse Mittwoch, 24. Februar 2010 07:34
    Dienstag, 23. Februar 2010 17:24
    |
  • Question
    Anmelden
    0
    Anmelden
    Vielen Dank für die tollen Links.
    Aber noch eine Frage von mir, habt ihr bei euren SQL Server 2005 diese gruppe rausgelöscht?

    weil ich meine es können nur Domänenadmin oder lokale Admins zugreifen.
    Wenn ich mir jetzt eine eigene AD Gruppe erstelle wo nur ich und ein Kollege mitglieder sind, können die, die Domänenadmins sind notfalls sich auch dort eintragen, von daher bringt es doch eigentlich nicht soo viel oder?



    Gruß
    Mittwoch, 24. Februar 2010 07:36
    |
  • Question
    Anmelden
    0
    Anmelden
    Hallo Chris,

    letztendlich muß das jeder für sich entscheiden.

    Die Entscheidung von Seiten Microsoft, es als Vorgabe zu entfernen,
    muß man unter dem Aspekt der geringsten Angriffsfläche sehen.
    (Man könnte auch formulieren: An Microsoft lag es nicht ;-)

    Es kann immer nur eine (begleitende) Maßnahme sein,
    ohne ein vollständiges Sicherheitskonzept bleibt es Stückwerk.
    (Womit der Datenschutz- und Datensicherungsbeauftragte gefordert wäre ;-)

    Und was dort im Einzelfall realisierbar ist, steht auf einem anderen Blatt.
    Nur als Beispiel: Was ist mit der Vertretung wenn die beiden SQL Server
    Administratoren im Urlaub oder anderweitig verhindert sind?

    Gruß Elmar

    Mittwoch, 24. Februar 2010 08:26
    |