[위 에]Chapter 1 Securing Your Server and Network(2):서 비 스 를 관리 하 는 SIDs

원문의 출처:http://blog.csdn.net/dba_huangzj/article/details/37927319 
,테마 목록:http://blog.csdn.net/dba_huangzj/article/details/37906349
작가 의 동의 없 이 그 누구 도'오리지널'형식 으로 발표 할 수 없고 상업 용도 로 사용 할 수 없 으 며 본인 은 어떠한 법률 적 책임 도 지지 않 습 니 다.
        전편:http://blog.csdn.net/dba_huangzj/article/details/37924127
 
선언:
 
SQL Server 와 같은 Windows 계 정의 보안 컨 텍스트 에서 실행 되 는 서 비 스 는 같은 Windows 계 정 으로 실행 되 는 다른 서비스 가 있다 면 이 서비스(비 SQL Server)는 예상 치 못 한 자원,예 를 들 어 파일 과 폴 더 의 Access Control List(ACL/액세스 제어 목록)에 접근 하고 있어 서 는 안 될 동작 을 할 수 있 습 니 다.이것들 은 분명히 불합리한 것 이다.
윈도 서버 2008 부터 마이크로 소프트 는'서비스 SID'라 는 개념 을 도입 하여 모든 서비스 에 하나의 Security Identifier(보안 표지)를 도입 했다.SID 를 통 해 특정 서비스 에 대해 Windows 보안 모드 에서 사용 할 수 있 는 표 지 를 만 들 수 있 습 니 다.이 표 지 는 같은 계 정 을 사용 하거나 내 장 된 계 정 을 사용 하 는 모든 서비스 권한 을 다 르 게 할 수 있다.
모든 서비스의 SID 는 Windows Server 2008 에 설치 되 는 과정 에서 사용 되 며 권한 을 부여 합 니 다.
 
실현:
  다음 명령 행 도 구 를 사용 하여 기 존의 SID 를 보고 특정 서 비 스 를 만 듭 니 다.
1.명령 행 도구 열기(CMD.EXE)
2.명령 입력:
sc qsidtype mssql$sql2012 --mssql$sql2012       ,       ,    mssqlserver

다음 두 그림 은 각각 이름 인 스 턴 스 와 기본 인 스 턴 스 의 결과 입 니 다.
이름 인 스 턴 스:이 컴퓨터 의 이름 인 스 턴 스 는 sql 2012 입 니 다.
[置顶] Chapter 1 Securing Your Server and Network(2):管理服务的SIDs_第1张图片
 
기본 인 스 턴 스:
image
위의 결과 에 대하 여 SERVICESID_TYPE 는 세 가지 가능 한 유형 이 있 습 니 다.
NONE:이 서 비 스 는 SID 가 없습니다
4.567917.UNRESTRICTED:이 서 비 스 는 SID 가 있 습 니 다
  • RESTRICTED:이 서 비 스 는 SID 가 있 고 write-restriction 영패(token)가 있 습 니 다
  • 3.서비스SID_TYPE 는 NONE 입 니 다.아래 명령 으로 SID 를 만 들 수 있 습 니 다:
     
    sc sidtype mssql$sql2012 UNRESTRICTED

    User Account Control(UAC/사용자 계 정 제어,관리 작업 을 수행 할 때마다 검색)을 사용 하면 위 작업 을 수행 하려 면[관리자 로 실행]CMD 명령 을 사용 하거나 ctrl+x 로 열 어야 합 니 다.SQL Server 의 SID 가 활성화 되면 모든 SQL Server 가 있 는 기기 의 추가 권한(예 를 들 어 백업 디 렉 터 리 의 ACL,BULK INSERT 명령 으로 파일 가 져 오기 등)은 SQL Server 서비스의 실행 계 정 이 아 닌 SID 를 사용 해 야 합 니 다.
     
    원리:
     
    SQL Server 서비스의 SID 는 서비스 와 인 스 턴 스 이름 으로 파생 됩 니 다.NT SERVICE\MSSQLSERVER(기본 인 스 턴 스)또는 NT SERVICE\MSSQL$(인 스 턴 스 이름)형식 입 니 다.
    SC 명령 에 대한 간략 한 설명:
  • sc.exe 명령 은 서비스 컨트롤 러 와 상호작용 하 는 데 사 용 됩 니 다
  • sc qsidtype 명령 은 현재 SID 의 상 태 를 조회 합 니 다
  • sc sidtype 은 수정 기능 을 제공 합 니 다

  • SID 를 제거 하려 면 서 비 스 를 NONE 로 바 꿀 수 있 습 니 다.UNRESTRICTED 를 사용 하여 SID 를 만 듭 니 다.
    메모:SQL Server 에 RESTRICTED 옵션 을 사용 하지 마 십시오.SQL Server 서비스 에 필요 한 일부 자원 이 차단 되 어 SQL Server 가 시작 되 지 않 습 니 다.
    다음 편:http://blog.csdn.net/dba_huangzj/article/details/38017703

    좋은 웹페이지 즐겨찾기