none
SQL Server 2008 R2 и MBSA RRS feed

  • Общие обсуждения

  • Добрый день

    Провел проверку системы с помощью MBSA. Среди критических уязвимостей содержится

    Folder Permissions
    Permissions on the SQL Server and/or MSDE installation folders are not set properly.

    В описании результатов написано, что нужно убрать лишних пользователей в безопасности каталогов

    • C:\Program Files\Microsoft SQL Server\MSSQL$InstanceName\Binn
    • C:\Program Files\Microsoft SQL Server\MSSQL$InstanceName\Data

    Когда я оставляю там только Администраторы и Система, проверка MBSA показывает, что даная уязвимость отсутствует, однако когда я подключаюсь к SQL Server'у с помощью SSMS, то я не могу редактировать права пользователей, т. к. у меня нет доступа для запуска необходимых компонент.

    SQL Server запускается от имени NetworkService, и если я добавлю NetworkService на вкладке Безопасность для указаных выше каталогов, то MBSA снова выдаст в перечне критическую уязвимость.

    Как правильно решить даный вопрос? Изменить учетные данные от которых запускается SQl Server (он должен быть доступен по сети)?

    Спасибо.

    24 июня 2013 г. 13:44

Все ответы

  • Почитал. Сменил пользователя от которого запускается SQL Server, но теперт при проверке MBSA имею снова ту же уязвимость и ругается как раз на этого пользователя.

    Что я делаю не так?

    25 июня 2013 г. 7:36
  • Вот как описывает проблему MBSA:

    Issue

    The only users on the system requiring access to the following Microsoft® SQL Server™ directories are local administrators and the SQL Server service accounts:

    • C:\Program Files\Microsoft SQL Server\MSSQL$InstanceName\Binn
    • C:\Program Files\Microsoft SQL Server\MSSQL$InstanceName\Data
    • C:\Program Files\Microsoft SQL Server\MSSQL\Binn
    • C:\Program Files\Microsoft SQL Server\MSSQL\Data

    Note folders used by MSDE may appear similar to the following when viewing reports. MBSA will obtain the location of each instance of SQL or MSDE from the registry and check all appropriate folders.

    Note: MSDE is not supported on Windows Vista or Windows Server 2008

    • C:\Program Files\MSDE2000aInstance01MSSQL$MSDE2KINST01\Binn
    • C:\Program Files\MSDE2000aInstance01DataMSSQL$MSDE2KINST01\Data

    Solution

    Remove any other users or groups (with the exception of the SYSTEM account) that might be contained in the access control list (ACL) for each of these directories.

    Сейчас у меня права на указаные каталони имеют Система, Локальные администраторы и Учетная запись от которой запускается SQl Server. И вот на эту учетку и ругается MBSA.
    25 июня 2013 г. 7:47