Par: Svetlana Golovko | Mis à jour: 2019-12-18 | Commentaires | En relation: Plus> Installer et désinstaller
"},{"id":"text-2","type":"text","heading":"","plain_text":"Problème\nNous connaissons tous la meilleure pratique de configuration de SQL Server sur un hôte dédié,\nidéalement, SQL Server ne devrait pas partager le serveur avec d'autres applications. Mais\ndans la vraie vie, il y a parfois des scénarios où une application doit être installée\navec SQL Server sur la même machine. Ces scénarios incluent généralement des applications isolées\nconfiguration qui nécessite une sécurité stricte ou doit être séparée du reste de\nl'environnement. Cela pourrait également s'appliquer aux applications qui doivent\navoir SQL Server Express installé sur le même serveur.\nComment verrouiller SQL Server? Comment pouvons-nous nous assurer que notre serveur est sécurisé et\nprotégé contre les accès externes?\nSolution\nDans cette astuce, nous fournirons des recommandations pour renforcer l'installation de SQL Server\npour la configuration où SQL Server n'est accessible que par l'application installée\nsur le même serveur. Dans la plupart des cas, il s'agit d'un serveur autonome qui n'est même pas joint à un domaine. Nous fournirons des exemples et des scripts pour la configuration des autorisations minimales requises\npour les sauvegardes et la maintenance des bases de données.\nÉtapes de pré-installation\nPar défaut, si vous ne créez pas le dossier pour SQL Server à l'avance, le\nLes dossiers de données auront certaines des autorisations héritées du dossier parent.\nLe groupe local "Utilisateurs" (COMPUTERNAME Users) aura des autorisations de lecture\naux dossiers:","html":"Problème\nNous connaissons tous la meilleure pratique de configuration de SQL Server sur un hôte dédié,\nidéalement, SQL Server ne devrait pas partager le serveur avec d'autres applications. Mais\ndans la vraie vie, il y a parfois des scénarios où une application doit être installée\navec SQL Server sur la même machine. Ces scénarios incluent généralement des applications isolées\nconfiguration qui nécessite une sécurité stricte ou doit être séparée du reste de\nl'environnement. Cela pourrait également s'appliquer aux applications qui doivent\navoir SQL Server Express installé sur le même serveur.\nComment verrouiller SQL Server? Comment pouvons-nous nous assurer que notre serveur est sécurisé et\nprotégé contre les accès externes?\nSolution\nDans cette astuce, nous fournirons des recommandations pour renforcer l'installation de SQL Server\npour la configuration où SQL Server n'est accessible que par l'application installée\nsur le même serveur. Dans la plupart des cas, il s'agit d'un serveur autonome qui n'est même pas joint à un domaine. Nous fournirons des exemples et des scripts pour la configuration des autorisations minimales requises\npour les sauvegardes et la maintenance des bases de données.\nÉtapes de pré-installation\nPar défaut, si vous ne créez pas le dossier pour SQL Server à l'avance, le\nLes dossiers de données auront certaines des autorisations héritées du dossier parent.\nLe groupe local "Utilisateurs" (COMPUTERNAME Users) aura des autorisations de lecture\naux dossiers:
"},{"id":"text-3","type":"text","heading":"","plain_text":"Avant de commencer l'installation, nous créerons des données, des sauvegardes et d'autres dossiers\net assurez-vous que seuls les administrateurs ont accès à ces dossiers.\nNous allons d'abord créer les nouveaux dossiers et désactiver l'héritage des autorisations:","html":"Avant de commencer l'installation, nous créerons des données, des sauvegardes et d'autres dossiers\net assurez-vous que seuls les administrateurs ont accès à ces dossiers.\nNous allons d'abord créer les nouveaux dossiers et désactiver l'héritage des autorisations:
"},{"id":"text-4","type":"text","heading":"","plain_text":"Convertir les autorisations en autorisations explicites lorsque vous y êtes invité et supprimer le local\n"Utilisateurs"\nAutorisations du groupe ("Lire et exécuter" et "Spécial"):","html":"Convertir les autorisations en autorisations explicites lorsque vous y êtes invité et supprimer le local\n"Utilisateurs"\nAutorisations du groupe ("Lire et exécuter" et "Spécial"):
"},{"id":"text-5","type":"text","heading":"","plain_text":"Les comptes de service SQL Server recevront les autorisations requises lors de l'installation\nplus tard, nous n'avons donc pas besoin de le faire maintenant.\nLes autorisations du système de fichiers requises pour les comptes de service SQL ont été trouvées","html":"Les comptes de service SQL Server recevront les autorisations requises lors de l'installation\nplus tard, nous n'avons donc pas besoin de le faire maintenant.\nLes autorisations du système de fichiers requises pour les comptes de service SQL ont été trouvées
"},{"id":"text-6","type":"text","heading":"","plain_text":"ici.\nInstallation de SQL Server\nDémarrez l'installation de SQL Server comme vous le faites habituellement. Suivez les invites d'installation jusqu'à\nÉcran "Sélection des fonctionnalités".\nSur l'écran de sélection des fonctionnalités, assurez-vous que seuls les «services du moteur de base de données»\nest sélectionné:","html":"ici.\nInstallation de SQL Server\nDémarrez l'installation de SQL Server comme vous le faites habituellement. Suivez les invites d'installation jusqu'à\nÉcran "Sélection des fonctionnalités".\nSur l'écran de sélection des fonctionnalités, assurez-vous que seuls les «services du moteur de base de données»\nest sélectionné:
"},{"id":"text-7","type":"text","heading":"","plain_text":"Ne sélectionnez pas les fonctionnalités habituelles que vous installez habituellement, telles que: Outils SQL Server,\nRecherche plein texte, etc.\nRemarque: que le texte intégral peut être requis pour votre\nou reportez-vous à la documentation de votre fournisseur pour connaître les exigences relatives aux fonctionnalités de SQL Server.","html":"Ne sélectionnez pas les fonctionnalités habituelles que vous installez habituellement, telles que: Outils SQL Server,\nRecherche plein texte, etc.\nRemarque: que le texte intégral peut être requis pour votre\nou reportez-vous à la documentation de votre fournisseur pour connaître les exigences relatives aux fonctionnalités de SQL Server.
"},{"id":"text-8","type":"text","heading":"","plain_text":"En outre, nous supposons qu'il s'agit d'une application simple qui ne nécessite qu'une base de données\nfonction moteur (pas de SSRS, SSAS, etc.).\nNous voulons réduire la surface de sécurité, donc l'Agent SQL Server et le Navigateur SQL Server\nsera également désactivé. Toutes les tâches de maintenance et de sauvegarde planifiées s'exécuteront sous Windows\nTâches planifiées qui seront configurées ultérieurement:","html":"En outre, nous supposons qu'il s'agit d'une application simple qui ne nécessite qu'une base de données\nfonction moteur (pas de SSRS, SSAS, etc.).\nNous voulons réduire la surface de sécurité, donc l'Agent SQL Server et le Navigateur SQL Server\nsera également désactivé. Toutes les tâches de maintenance et de sauvegarde planifiées s'exécuteront sous Windows\nTâches planifiées qui seront configurées ultérieurement:
"},{"id":"text-9","type":"text","heading":"","plain_text":"Gardez les comptes de service par défaut. Lis","html":"Gardez les comptes de service par défaut. Lis
"},{"id":"text-10","type":"text","heading":"","plain_text":"cette Article de Microsoft sur les comptes de service et les autorisations nécessaires\npour les comptes.\nSi l'application prend en charge l'authentification Windows – conservez l'authentification par défaut\nMode (Windows).\nUtilisez le répertoire (ou les répertoires si vous utilisez plusieurs lecteurs) que nous avons créé\navant de commencer l'installation:","html":"cette Article de Microsoft sur les comptes de service et les autorisations nécessaires\npour les comptes.\nSi l'application prend en charge l'authentification Windows – conservez l'authentification par défaut\nMode (Windows).\nUtilisez le répertoire (ou les répertoires si vous utilisez plusieurs lecteurs) que nous avons créé\navant de commencer l'installation:
"},{"id":"text-11","type":"text","heading":"","plain_text":"Terminez l'installation.\nLis","html":"Terminez l'installation.\nLis
"},{"id":"text-12","type":"text","heading":"","plain_text":"cette astuce pour le Guide d'installation pas à pas complet de SQL Server 2017.","html":"cette astuce pour le Guide d'installation pas à pas complet de SQL Server 2017.
"},{"id":"text-13","type":"text","heading":"","plain_text":"Configuration de la sécurité de SQL Server\nNous allons configurer ici certaines des fonctionnalités de sécurité.\nDésactivez tous les protocoles réseau à l'exception de la "mémoire partagée":","html":"Configuration de la sécurité de SQL Server\nNous allons configurer ici certaines des fonctionnalités de sécurité.\nDésactivez tous les protocoles réseau à l'exception de la "mémoire partagée":
"},{"id":"text-14","type":"text","heading":"","plain_text":"Validez dans SQL Server Configuration Manager que tous les services sauf "SQL"\nServeur "sont désactivés:","html":"Validez dans SQL Server Configuration Manager que tous les services sauf "SQL"\nServeur "sont désactivés:
"},{"id":"text-15","type":"text","heading":"","plain_text":"Masquez l'instance à l'aide de SQL Server Configuration Manager. Lis","html":"Masquez l'instance à l'aide de SQL Server Configuration Manager. Lis
"},{"id":"text-16","type":"text","heading":"","plain_text":"cette astuce sur le masquage des instances SQL Server.","html":"cette astuce sur le masquage des instances SQL Server.
"},{"id":"text-17","type":"text","heading":"","plain_text":"Assurez-vous que l'accès à distance est désactivé:","html":"Assurez-vous que l'accès à distance est désactivé:
"},{"id":"text-18","type":"text","heading":"","plain_text":"UTILISATION [master]ALLEREXEC sys.sp_configure N'remote access ', N'0'ALLERRECONFIGURER AVEC OVERRIDEALLER","html":"UTILISATION [master]ALLEREXEC sys.sp_configure N'remote access ', N'0'ALLERRECONFIGURER AVEC OVERRIDEALLER
"},{"id":"text-19","type":"text","heading":"","plain_text":"Activez les stratégies de mot de passe locales si vous configurez SQL Server sur un serveur autonome\nserveur. Les serveurs joints au domaine doivent hériter des stratégies de domaine, vous pouvez donc ignorer\ncette étape pour les serveurs qui font partie du domaine Active Directory. Le mot de passe\nles stratégies pour le domaine sont généralement configurées par vos administrateurs système.\nSur un serveur autonome:\nDémarrer la console MMC\nCliquez sur "Fichier"> "Ajouter / Supprimer un composant logiciel enfichable…"\nSélectionnez "Éditeur d'objets de stratégie de groupe", cliquez sur "Ajouter", confirmez\nla sélection d'objet de stratégie de groupe "Ordinateur local":","html":"Activez les stratégies de mot de passe locales si vous configurez SQL Server sur un serveur autonome\nserveur. Les serveurs joints au domaine doivent hériter des stratégies de domaine, vous pouvez donc ignorer\ncette étape pour les serveurs qui font partie du domaine Active Directory. Le mot de passe\nles stratégies pour le domaine sont généralement configurées par vos administrateurs système.\nSur un serveur autonome:\nDémarrer la console MMC\nCliquez sur "Fichier"> "Ajouter / Supprimer un composant logiciel enfichable…"\nSélectionnez "Éditeur d'objets de stratégie de groupe", cliquez sur "Ajouter", confirmez\nla sélection d'objet de stratégie de groupe "Ordinateur local":
"},{"id":"text-20","type":"text","heading":"","plain_text":"Cliquez sur OK"\nSous "Stratégie de l'ordinateur local", développez "Configuration de l'ordinateur",\npuis "Paramètres Windows", puis "Paramètres de sécurité", "Compte\nPolitiques "," Politique de mot de passe "\nModifiez les politiques à droite pour appliquer des mots de passe forts:","html":"Cliquez sur OK"\nSous "Stratégie de l'ordinateur local", développez "Configuration de l'ordinateur",\npuis "Paramètres Windows", puis "Paramètres de sécurité", "Compte\nPolitiques "," Politique de mot de passe "\nModifiez les politiques à droite pour appliquer des mots de passe forts:
"},{"id":"text-21","type":"text","heading":"","plain_text":"En savoir plus sur la configuration des stratégies de mot de passe locales sous Windows","html":"En savoir plus sur la configuration des stratégies de mot de passe locales sous Windows
"},{"id":"text-22","type":"text","heading":"","plain_text":"ici. Lis","html":"ici. Lis
"},{"id":"text-23","type":"text","heading":"","plain_text":"cette article sur les stratégies de mot de passe SQL Server.\nLaissez la console MMC ouverte pour les étapes suivantes.\nAutres étapes de post-installation\nInstallez les derniers correctifs et correctifs (y compris les correctifs Windows).\nDéfinissez un mot de passe fort, renommez et désactivez la connexion "sa".","html":"cette article sur les stratégies de mot de passe SQL Server.\nLaissez la console MMC ouverte pour les étapes suivantes.\nAutres étapes de post-installation\nInstallez les derniers correctifs et correctifs (y compris les correctifs Windows).\nDéfinissez un mot de passe fort, renommez et désactivez la connexion "sa".
"},{"id":"text-24","type":"text","heading":"","plain_text":"Cette astuce possède une liste de contrôle de sécurité pour SQL Server. Assurez-vous d'avoir examiné le\nliste de contrôle et","html":"Cette astuce possède une liste de contrôle de sécurité pour SQL Server. Assurez-vous d'avoir examiné le\nliste de contrôle et
"},{"id":"text-25","type":"text","heading":"","plain_text":"cette guide de sécurité pour toutes les configurations de sécurité supplémentaires qui pourraient être\nobligatoire.\nCréation de compte de service de maintenance\nNous allons créer un compte de service local pour exécuter la maintenance SQL Server planifiée\nTâches (mise à jour des statistiques, sauvegarde des bases de données, etc.). Nous allons utiliser l'ordinateur\nOutil de gestion sur notre serveur SQL pour cela:","html":"cette guide de sécurité pour toutes les configurations de sécurité supplémentaires qui pourraient être\nobligatoire.\nCréation de compte de service de maintenance\nNous allons créer un compte de service local pour exécuter la maintenance SQL Server planifiée\nTâches (mise à jour des statistiques, sauvegarde des bases de données, etc.). Nous allons utiliser l'ordinateur\nOutil de gestion sur notre serveur SQL pour cela:
"},{"id":"text-26","type":"text","heading":"","plain_text":"Ce compte de service exécutera les tâches planifiées de Windows. L'utilisateur n'a pas besoin\nêtre membre de tout groupe, mais il doit avoir","html":"Ce compte de service exécutera les tâches planifiées de Windows. L'utilisateur n'a pas besoin\nêtre membre de tout groupe, mais il doit avoir
"},{"id":"text-27","type":"text","heading":"","plain_text":""Se connecter en tant que tâche par lots" autorisations locales afin d'exécuter des travaux Windows.\nRevenez à la console MMC pour attribuer la stratégie «Se connecter en tant que tâche par lots»\nsur le compte de service:","html":""Se connecter en tant que tâche par lots" autorisations locales afin d'exécuter des travaux Windows.\nRevenez à la console MMC pour attribuer la stratégie «Se connecter en tant que tâche par lots»\nsur le compte de service:
"},{"id":"text-28","type":"text","heading":"","plain_text":"Cliquez sur le bouton "Ajouter un utilisateur ou un groupe…" et ajoutez "SQLTaskTest"\nutilisateur que nous avons créé précédemment:","html":"Cliquez sur le bouton "Ajouter un utilisateur ou un groupe…" et ajoutez "SQLTaskTest"\nutilisateur que nous avons créé précédemment:
"},{"id":"text-29","type":"text","heading":"","plain_text":"Autorisations de compte du service de maintenance sur SQL Server et les bases de données\nCe sont les autorisations minimales requises pour le compte de service pour exécuter le\nsauvegarde des bases de données et tâches de maintenance:","html":"Autorisations de compte du service de maintenance sur SQL Server et les bases de données\nCe sont les autorisations minimales requises pour le compte de service pour exécuter le\nsauvegarde des bases de données et tâches de maintenance:
"},{"id":"text-30","type":"text","heading":"","plain_text":"UTILISATION [master]ALLERCRÉER UNE CONNEXION [LOCALSRVNAMESQLTaskTest] DE WINDOWS DEFAULT_DATABASE =[master], CHECK_EXPIRATION = OFF, CHECK_POLICY = ONALLERUTILISATION [_Demo] - pour chaque base de données sauf tempdbALLERCRÉER UN UTILISATEUR [LOCALSRVNAMESQLTaskTest] POUR LA CONNEXION [LOCALSRVNAMESQLTaskTest]ALLERALTER ROLE db_backupoperator AJOUTER UN MEMBRE [LOCALSRVNAMESQLTaskTest] –- pour créer des sauvegardesALLERDONNER ALTER N'IMPORTE QUEL SCHÉMA À [LOCALSRVNAMESQLTaskTest] –- pour reconstruire des indexALLERGRANT IMPERSONATE SUR L'UTILISATEUR :: dbo TO [LOCALSRVNAMESQLTaskTest] –- pour mettre à jour les statistiquesALLER","html":"UTILISATION [master]ALLERCRÉER UNE CONNEXION [LOCALSRVNAMESQLTaskTest] DE WINDOWS DEFAULT_DATABASE =[master], CHECK_EXPIRATION = OFF, CHECK_POLICY = ONALLERUTILISATION [_Demo] - pour chaque base de données sauf tempdbALLERCRÉER UN UTILISATEUR [LOCALSRVNAMESQLTaskTest] POUR LA CONNEXION [LOCALSRVNAMESQLTaskTest]ALLERALTER ROLE db_backupoperator AJOUTER UN MEMBRE [LOCALSRVNAMESQLTaskTest] –- pour créer des sauvegardesALLERDONNER ALTER N'IMPORTE QUEL SCHÉMA À [LOCALSRVNAMESQLTaskTest] –- pour reconstruire des indexALLERGRANT IMPERSONATE SUR L'UTILISATEUR :: dbo TO [LOCALSRVNAMESQLTaskTest] –- pour mettre à jour les statistiquesALLER
"},{"id":"text-31","type":"text","heading":"","plain_text":"La justification de ces autorisations est fournie ci-dessous pour chaque script / tâche.","html":"La justification de ces autorisations est fournie ci-dessous pour chaque script / tâche.
"},{"id":"text-32","type":"text","heading":"","plain_text":"Scripts de maintenance SQL Server\nNous devrons exécuter les tâches suivantes:","html":"Scripts de maintenance SQL Server\nNous devrons exécuter les tâches suivantes:
"},{"id":"text-33","type":"text","heading":"","plain_text":"Sauvegardes de bases de données\nMaintenance des index\nMises à jour des statistiques\nContrôles de cohérence des bases de données","html":"Sauvegardes de bases de données\nMaintenance des index\nMises à jour des statistiques\nContrôles de cohérence des bases de données
"},{"id":"text-34","type":"text","heading":"","plain_text":"Voici les scripts SQL Server et le script du système d'exploitation exécutable (fichier * .bat) qui s'exécuteront\nces scripts SQL:","html":"Voici les scripts SQL Server et le script du système d'exploitation exécutable (fichier * .bat) qui s'exécuteront\nces scripts SQL:
"},{"id":"text-35","type":"text","heading":"","plain_text":"Script de sauvegarde de toutes les bases de données SQL Server\n"BackupAllDBs.sql"script (remplacez le nom du dossier de sauvegarde par votre\ndans ce script):","html":"Script de sauvegarde de toutes les bases de données SQL Server\n"BackupAllDBs.sql"script (remplacez le nom du dossier de sauvegarde par votre\ndans ce script):
"},{"id":"text-36","type":"text","heading":"","plain_text":"ACTIVER LE NOCOUNTSELECT GETDATE ()EXEC sys.sp_MSforeachdb 'IF (SELECT' '?' ') <>' 'Tempdb' 'COMMENCERBASE DE DONNÉES DE SAUVEGARDE [?] TO DISK = N''D: Backups ?. BAK '' AVEC NOFORMAT, INIT, NAME = N ''? - SAUVEGARDE COMPLÈTE DE LA BASE DE DONNÉES ''FIN'","html":"ACTIVER LE NOCOUNTSELECT GETDATE ()EXEC sys.sp_MSforeachdb 'IF (SELECT' '?' ') <>' 'Tempdb' 'COMMENCERBASE DE DONNÉES DE SAUVEGARDE [?] TO DISK = N''D: Backups ?. BAK '' AVEC NOFORMAT, INIT, NAME = N ''? - SAUVEGARDE COMPLÈTE DE LA BASE DE DONNÉES ''FIN'
"},{"id":"text-37","type":"text","heading":"","plain_text":"Ici est une référence aux autorisations requises pour sauvegarder les bases de données:\nNous accorderons les autorisations minimales requises pour créer les sauvegardes de notre service\ncompte (requis pour chaque base de données qui sera sauvegardée):","html":"Ici est une référence aux autorisations requises pour sauvegarder les bases de données:\nNous accorderons les autorisations minimales requises pour créer les sauvegardes de notre service\ncompte (requis pour chaque base de données qui sera sauvegardée):
"},{"id":"text-38","type":"text","heading":"","plain_text":"ALTER ROLE db_backupoperator AJOUTER UN MEMBRE [LOCALSRVNAMESQLTaskTest] –- pour créer des sauvegardesALLER","html":"ALTER ROLE db_backupoperator AJOUTER UN MEMBRE [LOCALSRVNAMESQLTaskTest] –- pour créer des sauvegardesALLER
"},{"id":"text-39","type":"text","heading":"","plain_text":"Script de maintenance d'index SQL Server\n"IndexesMaintenance.sql"script:\nJ'ai utilisé le script de reconstruction d'index à partir de \ncette astuce. Il reconstruit tous les index sur toutes les bases de données (ou les bases de données spécifiées dans\nle script). Vous pouvez également créer un script plus sélectif qui ne reconstruit que\nindex fragmentés, mais nous utiliserons ce script pour la démonstration\nde la configuration des autorisations minimales.","html":"Script de maintenance d'index SQL Server\n"IndexesMaintenance.sql"script:\nJ'ai utilisé le script de reconstruction d'index à partir de \ncette astuce. Il reconstruit tous les index sur toutes les bases de données (ou les bases de données spécifiées dans\nle script). Vous pouvez également créer un script plus sélectif qui ne reconstruit que\nindex fragmentés, mais nous utiliserons ce script pour la démonstration\nde la configuration des autorisations minimales.
"},{"id":"text-40","type":"text","heading":"","plain_text":"Ici est une référence aux autorisations requises pour reconstruire ou réorganiser le\nindex:\nNous pourrions éventuellement accorder à notre compte de service le rôle "db_ddladmin",\nmais cela signifie que notre utilisateur pourra créer et supprimer les tables. Nous allons\naccordez au lieu de cela les autorisations suivantes:","html":"Ici est une référence aux autorisations requises pour reconstruire ou réorganiser le\nindex:\nNous pourrions éventuellement accorder à notre compte de service le rôle "db_ddladmin",\nmais cela signifie que notre utilisateur pourra créer et supprimer les tables. Nous allons\naccordez au lieu de cela les autorisations suivantes:
"},{"id":"text-41","type":"text","heading":"","plain_text":"DONNER ALTER N'IMPORTE QUEL SCHÉMA À [LOCALSRVNAMESQLTaskTest] –- pour reconstruire des indexALLER","html":"DONNER ALTER N'IMPORTE QUEL SCHÉMA À [LOCALSRVNAMESQLTaskTest] –- pour reconstruire des indexALLER
"},{"id":"text-42","type":"text","heading":"","plain_text":"Nous pouvons tester si l'utilisateur peut créer ou supprimer des tables ou d'autres objets. Nous allons\ncréer quelques objets de test (en tant que compte sysadmin ou db_owner):","html":"Nous pouvons tester si l'utilisateur peut créer ou supprimer des tables ou d'autres objets. Nous allons\ncréer quelques objets de test (en tant que compte sysadmin ou db_owner):
"},{"id":"text-43","type":"text","heading":"","plain_text":"UTILISATION [_Demo]ALLERCRÉER LA TABLE dbo.Can_you_drop_table (col1 INT NOT NULL,CONTRAINTE PK_Can_you_drop_table CLÉ PRIMAIRE CLUSTERED (col1 ASC)ALLERCREATE PROC dbo.Can_you_drop_procedureCOMMESELECT col1 FROM dbo.Can_you_drop_tableALLER","html":"UTILISATION [_Demo]ALLERCRÉER LA TABLE dbo.Can_you_drop_table (col1 INT NOT NULL,CONTRAINTE PK_Can_you_drop_table CLÉ PRIMAIRE CLUSTERED (col1 ASC)ALLERCREATE PROC dbo.Can_you_drop_procedureCOMMESELECT col1 FROM dbo.Can_you_drop_tableALLER
"},{"id":"text-44","type":"text","heading":"","plain_text":"Maintenant, nous allons nous connecter avec le compte de service et exécuter le script suivant:","html":"Maintenant, nous allons nous connecter avec le compte de service et exécuter le script suivant:
"},{"id":"text-45","type":"text","heading":"","plain_text":"UTILISATION [_Demo]ALLER IMPRIMER 'Créer la table'CREATE TABLE test_perm_tbl (c1 INT)ALLERIMPRIMER 'Déposer la table'DROP TABLE dbo.Can_you_drop_table ALLERIMPRIMER 'Abandonner la procédure'DROP PROC dbo.Can_you_drop_procedureALLERIMPRIMER «Modification de la table»ALTER TABLE dbo.Can_you_drop_table ADD col2 INTALLERIMPRIMER «Reconstruire les index»ALTER INDEX ALL ON dbo.Can_you_drop_table REBUILDALLER","html":"UTILISATION [_Demo]ALLER IMPRIMER 'Créer la table'CREATE TABLE test_perm_tbl (c1 INT)ALLERIMPRIMER 'Déposer la table'DROP TABLE dbo.Can_you_drop_table ALLERIMPRIMER 'Abandonner la procédure'DROP PROC dbo.Can_you_drop_procedureALLERIMPRIMER «Modification de la table»ALTER TABLE dbo.Can_you_drop_table ADD col2 INTALLERIMPRIMER «Reconstruire les index»ALTER INDEX ALL ON dbo.Can_you_drop_table REBUILDALLER
"},{"id":"text-46","type":"text","heading":"","plain_text":"Voici les résultats (avec commentaires):","html":"Voici les résultats (avec commentaires):
"},{"id":"text-47","type":"text","heading":"","plain_text":"Création de la table\nMsg 262, niveau 14, état 1, ligne 2\nAutorisation CREATE TABLE refusée dans la base de données '_Demo'. - Impossible de créer la table\nSuppression de la table - PEUT supprimer la table\nAbandon de la procédure\nMsg 3701, niveau 11, état 5, ligne 10\nImpossible de supprimer la procédure 'dbo.Can_you_drop_procedure', car elle n'existe pas ou vous ne disposez pas de l'autorisation. - NE PEUT PAS supprimer la procédure\nModification de la table - PEUT changer la table\nReconstruction des index - PEUT reconstruire les index","html":"Création de la table\nMsg 262, niveau 14, état 1, ligne 2\nAutorisation CREATE TABLE refusée dans la base de données '_Demo'. - Impossible de créer la table\nSuppression de la table - PEUT supprimer la table\nAbandon de la procédure\nMsg 3701, niveau 11, état 5, ligne 10\nImpossible de supprimer la procédure 'dbo.Can_you_drop_procedure', car elle n'existe pas ou vous ne disposez pas de l'autorisation. - NE PEUT PAS supprimer la procédure\nModification de la table - PEUT changer la table\nReconstruction des index - PEUT reconstruire les index
"},{"id":"text-48","type":"text","heading":"","plain_text":"Ainsi, même si l'utilisateur peut modifier et supprimer les tables, il ne peut pas supprimer\nd'autres objets ou créez-en de nouveaux.\nScript de statistiques de mise à jour de SQL Server\n""UpdateStatistics.sql"script:","html":"Ainsi, même si l'utilisateur peut modifier et supprimer les tables, il ne peut pas supprimer\nd'autres objets ou créez-en de nouveaux.\nScript de statistiques de mise à jour de SQL Server\n""UpdateStatistics.sql"script:
"},{"id":"text-49","type":"text","heading":"","plain_text":"ACTIVER LE NOCOUNTSELECT GETDATE ()EXÉCUTER COMME UTILISATEUR = 'dbo'Exec dbo.sp_updatestatsREVENIR","html":"ACTIVER LE NOCOUNTSELECT GETDATE ()EXÉCUTER COMME UTILISATEUR = 'dbo'Exec dbo.sp_updatestatsREVENIR
"},{"id":"text-50","type":"text","heading":"","plain_text":"Ici est une référence à l'article décrivant les autorisations requises pour la mise à jour\nstatistiques des bases de données:\nAu lieu d'accorder les autorisations sysadmin au compte de service, nous utiliserons l'emprunt d'identité\npour notre compte de service. Il usurpera l'identité de l'utilisateur "dbo". Pour que le\ncompte de service à exécuter "EXÉCUTER\nCOMME"déclaration, nous devons lui accorder les autorisations suivantes:","html":"Ici est une référence à l'article décrivant les autorisations requises pour la mise à jour\nstatistiques des bases de données:\nAu lieu d'accorder les autorisations sysadmin au compte de service, nous utiliserons l'emprunt d'identité\npour notre compte de service. Il usurpera l'identité de l'utilisateur "dbo". Pour que le\ncompte de service à exécuter "EXÉCUTER\nCOMME"déclaration, nous devons lui accorder les autorisations suivantes:
"},{"id":"text-51","type":"text","heading":"","plain_text":"UTILISATION [_Demo]ALLERGRANT IMPERSONATE SUR L'UTILISATEUR :: dbo TO [LOCALSRVNAMESQLTaskTest] –- pour mettre à jour les statistiquesALLER","html":"UTILISATION [_Demo]ALLERGRANT IMPERSONATE SUR L'UTILISATEUR :: dbo TO [LOCALSRVNAMESQLTaskTest] –- pour mettre à jour les statistiquesALLER
"},{"id":"text-52","type":"text","heading":"","plain_text":"Vérifications de cohérence de la base de données SQL Server\n""CheckDBs.sql":","html":"Vérifications de cohérence de la base de données SQL Server\n""CheckDBs.sql":
"},{"id":"text-53","type":"text","heading":"","plain_text":"ACTIVER LE NOCOUNTSELECT GETDATE ()EXEC dbo.usp_CheckDB","html":"ACTIVER LE NOCOUNTSELECT GETDATE ()EXEC dbo.usp_CheckDB
"},{"id":"text-54","type":"text","heading":"","plain_text":"Nous avons créé une procédure stockée pour vérifier la base de données dans notre base de données de démonstration\npour notre démonstration des tâches de maintenance:","html":"Nous avons créé une procédure stockée pour vérifier la base de données dans notre base de données de démonstration\npour notre démonstration des tâches de maintenance:
"},{"id":"text-55","type":"text","heading":"","plain_text":"UTILISATION [_Demo]ALLERCREATE PROC dbo.usp_CheckDBCOMMEEXÉCUTER COMME UTILISATEUR = 'dbo'ALTER ROLE [db_owner] AJOUTER UN MEMBRE [LOCALSRVNAMESQLTaskTest]REVENIRDBCC CHECKDB AVEC NO_INFOMSGSEXÉCUTER COMME UTILISATEUR = 'dbo'ALTER ROLE [db_owner] DROP MEMBER [LOCALSRVNAMESQLTaskTest]REVENIRALLER","html":"UTILISATION [_Demo]ALLERCREATE PROC dbo.usp_CheckDBCOMMEEXÉCUTER COMME UTILISATEUR = 'dbo'ALTER ROLE [db_owner] AJOUTER UN MEMBRE [LOCALSRVNAMESQLTaskTest]REVENIRDBCC CHECKDB AVEC NO_INFOMSGSEXÉCUTER COMME UTILISATEUR = 'dbo'ALTER ROLE [db_owner] DROP MEMBER [LOCALSRVNAMESQLTaskTest]REVENIRALLER
"},{"id":"text-56","type":"text","heading":"","plain_text":"Nous allons maintenant accorder au compte de service l'autorisation d'exécuter la procédure stockée:","html":"Nous allons maintenant accorder au compte de service l'autorisation d'exécuter la procédure stockée:
"},{"id":"text-57","type":"text","heading":"","plain_text":"UTILISATION [_Demo]ALLER GRANT EXECUTE ON dbo.usp_CheckDB TO [LOCALSRVNAMESQLTaskTest]ALLER","html":"UTILISATION [_Demo]ALLER GRANT EXECUTE ON dbo.usp_CheckDB TO [LOCALSRVNAMESQLTaskTest]ALLER
"},{"id":"text-58","type":"text","heading":"","plain_text":"Ici est une référence à l'article décrivant les autorisations requises pour exécuter DBCC\nCHECKDB:\nLa vérification de la cohérence de la base de données ne peut être exécutée que par un utilisateur membre de db_owner\nrôle de base de données. L'utilisateur doit être explicitement ajouté au rôle. L'usurpation d'identité de l'utilisateur dbo\nne fonctionne pas dans ce cas:","html":"Ici est une référence à l'article décrivant les autorisations requises pour exécuter DBCC\nCHECKDB:\nLa vérification de la cohérence de la base de données ne peut être exécutée que par un utilisateur membre de db_owner\nrôle de base de données. L'utilisateur doit être explicitement ajouté au rôle. L'usurpation d'identité de l'utilisateur dbo\nne fonctionne pas dans ce cas:
"},{"id":"text-59","type":"text","heading":"","plain_text":"EXÉCUTER COMME UTILISATEUR = 'dbo'DBCC CHECKDB AVEC NO_INFOMSGS REVENIR","html":"EXÉCUTER COMME UTILISATEUR = 'dbo'DBCC CHECKDB AVEC NO_INFOMSGS REVENIR
"},{"id":"text-60","type":"text","heading":"","plain_text":"Si l'utilisateur n'est pas membre du rôle db_owner, il y aura une erreur:","html":"Si l'utilisateur n'est pas membre du rôle db_owner, il y aura une erreur:
"},{"id":"text-61","type":"text","heading":"","plain_text":"Msg 916, niveau 14, état 1, ligne 15Le serveur principal "sa" n'est pas en mesure d'accéder à la base de données "_Demo" dans le contexte de sécurité actuel.","html":"Msg 916, niveau 14, état 1, ligne 15Le serveur principal "sa" n'est pas en mesure d'accéder à la base de données "_Demo" dans le contexte de sécurité actuel.
"},{"id":"text-62","type":"text","heading":"","plain_text":"Ainsi, dans notre procédure stockée usp_CheckDB, nous avons les étapes suivantes:","html":"Ainsi, dans notre procédure stockée usp_CheckDB, nous avons les étapes suivantes:
"},{"id":"text-63","type":"text","heading":"","plain_text":"Emprunter l'identité de l'utilisateur en tant que dbo\nAccorder le rôle de compte de service de maintenance "db_owner"\nExécutez DBCC CHECKDB\nSupprimez le compte de service de maintenance du rôle "db_owner"","html":"Emprunter l'identité de l'utilisateur en tant que dbo\nAccorder le rôle de compte de service de maintenance "db_owner"\nExécutez DBCC CHECKDB\nSupprimez le compte de service de maintenance du rôle "db_owner"
"},{"id":"text-64","type":"text","heading":"","plain_text":"Cela se fait via la procédure stockée pour vous assurer que le compte de service\nn'a pas les autorisations db_owner ou sysadmin de façon permanente.\nVeuillez noter que les scripts que nous utilisons dans cette astuce sont très basiques et sont fournis\npour démonstration seulement.\nLa configuration de la sécurité dans cette astuce peut sembler lourde, mais cela est fait pour démontrer\nconfiguration des autorisations minimales pour le compte de service.\nAutorisations de compte de service de maintenance sur les dossiers\nNous aurons tous les scripts de maintenance et de sauvegarde sous le nouveau dossier (par exemple,\nD: DBScripts) et les fichiers journaux (sortie) sous le sous-dossier "sortie".","html":"Cela se fait via la procédure stockée pour vous assurer que le compte de service\nn'a pas les autorisations db_owner ou sysadmin de façon permanente.\nVeuillez noter que les scripts que nous utilisons dans cette astuce sont très basiques et sont fournis\npour démonstration seulement.\nLa configuration de la sécurité dans cette astuce peut sembler lourde, mais cela est fait pour démontrer\nconfiguration des autorisations minimales pour le compte de service.\nAutorisations de compte de service de maintenance sur les dossiers\nNous aurons tous les scripts de maintenance et de sauvegarde sous le nouveau dossier (par exemple,\nD: DBScripts) et les fichiers journaux (sortie) sous le sous-dossier "sortie".
"},{"id":"text-65","type":"text","heading":"","plain_text":"L'exigence de sécurité consiste à s'assurer que le compte de service a une capacité\npour écrire dans le dossier "sortie" et pour vous assurer qu'il ne peut pas modifier ou\nécrire dans le dossier scripts (accès en lecture seule au dossier "DBScripts").","html":"L'exigence de sécurité consiste à s'assurer que le compte de service a une capacité\npour écrire dans le dossier "sortie" et pour vous assurer qu'il ne peut pas modifier ou\nécrire dans le dossier scripts (accès en lecture seule au dossier "DBScripts").
"},{"id":"text-66","type":"text","heading":"","plain_text":"Le dossier des sauvegardes devra également être sécurisé. Lis","html":"Le dossier des sauvegardes devra également être sécurisé. Lis
"},{"id":"text-67","type":"text","heading":"","plain_text":"cette astuce sur la protection du dossier de sauvegarde SQL Server.\nDossier DBScripts\nAccédez aux propriétés du dossier "DBScripts"\nCliquez sur l'onglet "Sécurité"\nCliquez sur "Avancé"\nDésactiver l'héritage des autorisations\nSupprimez tous les utilisateurs à l'exception des administrateurs, SYSTEM, CREATOR OWNER (assurez-vous\navoir accès au dossier, nous supposons que nous sommes membres des administrateurs locaux\ngroupe lorsque nous apportons ces modifications)\nAjouter un compte de service «SQL Task Test», accorder «Lire et exécuter»\nautorisations:","html":"cette astuce sur la protection du dossier de sauvegarde SQL Server.\nDossier DBScripts\nAccédez aux propriétés du dossier "DBScripts"\nCliquez sur l'onglet "Sécurité"\nCliquez sur "Avancé"\nDésactiver l'héritage des autorisations\nSupprimez tous les utilisateurs à l'exception des administrateurs, SYSTEM, CREATOR OWNER (assurez-vous\navoir accès au dossier, nous supposons que nous sommes membres des administrateurs locaux\ngroupe lorsque nous apportons ces modifications)\nAjouter un compte de service «SQL Task Test», accorder «Lire et exécuter»\nautorisations:
"},{"id":"text-68","type":"text","heading":"","plain_text":"Cochez «Remplacer toutes les autorisations d'objet enfant…» et cliquez sur «OK».","html":"Cochez «Remplacer toutes les autorisations d'objet enfant…» et cliquez sur «OK».
"},{"id":"text-69","type":"text","heading":"","plain_text":"Dossier de sortie\nAccédez aux propriétés du dossier "sortie"\nCliquez sur l'onglet "Sécurité"\nCliquez sur "Avancé"\nDésactiver l'héritage des autorisations\nSupprimez tous les utilisateurs à l'exception des administrateurs, SYSTEM, CREATOR OWNER (assurez-vous\navoir accès au dossier, nous supposons que nous sommes membres des administrateurs locaux\ngroupe lorsque nous apportons ces modifications)\nAjoutez le compte de service "SQL Task Test", accordez les autorisations "Write":","html":"Dossier de sortie\nAccédez aux propriétés du dossier "sortie"\nCliquez sur l'onglet "Sécurité"\nCliquez sur "Avancé"\nDésactiver l'héritage des autorisations\nSupprimez tous les utilisateurs à l'exception des administrateurs, SYSTEM, CREATOR OWNER (assurez-vous\navoir accès au dossier, nous supposons que nous sommes membres des administrateurs locaux\ngroupe lorsque nous apportons ces modifications)\nAjoutez le compte de service "SQL Task Test", accordez les autorisations "Write":
"},{"id":"text-70","type":"text","heading":"","plain_text":"Cochez «Remplacer toutes les autorisations d'objet enfant…» et cliquez sur «OK».","html":"Cochez «Remplacer toutes les autorisations d'objet enfant…» et cliquez sur «OK».
"},{"id":"text-71","type":"text","heading":"","plain_text":"Configuration et test des tâches de maintenance\nLes scripts de maintenance et de sauvegarde seront exécutés en exécutant un seul programme planifié.\ntâche. La tâche exécutera le fichier de commandes "Run_DBBackups.bat" (remplacer\nles noms de serveur avec vos valeurs dans ce script):","html":"Configuration et test des tâches de maintenance\nLes scripts de maintenance et de sauvegarde seront exécutés en exécutant un seul programme planifié.\ntâche. La tâche exécutera le fichier de commandes "Run_DBBackups.bat" (remplacer\nles noms de serveur avec vos valeurs dans ce script):
"},{"id":"text-72","type":"text","heading":"","plain_text":"CD / D D: DBScripts SQLCMD -E -S DEMOSQL1 -d master -i BackupAllDBs.sql -o D: DBScripts output out_back.txtSQLCMD -E -S DEMOSQL1 -d _Demo -i CheckDBs.sql -o D: DBScripts output out_checkDB.txtSQLCMD -E -S DEMOSQL1 -d _Demo -i IndexesMaintenance.sql -o D: DBScripts output out_ind.txtSQLCMD -E -S DEMOSQL1 -d _Demo -i UpdateStatistics.sql -o D: DBScripts output out_stats.txt","html":"CD / D D: DBScripts SQLCMD -E -S DEMOSQL1 -d master -i BackupAllDBs.sql -o D: DBScripts output out_back.txtSQLCMD -E -S DEMOSQL1 -d _Demo -i CheckDBs.sql -o D: DBScripts output out_checkDB.txtSQLCMD -E -S DEMOSQL1 -d _Demo -i IndexesMaintenance.sql -o D: DBScripts output out_ind.txtSQLCMD -E -S DEMOSQL1 -d _Demo -i UpdateStatistics.sql -o D: DBScripts output out_stats.txt
"},{"id":"text-73","type":"text","heading":"","plain_text":"Exécutez le Planificateur de tâches Windows et cliquez sur «Créer une tâche…» sous «Tâche\nBibliothèque du planificateur ":","html":"Exécutez le Planificateur de tâches Windows et cliquez sur «Créer une tâche…» sous «Tâche\nBibliothèque du planificateur ":
"},{"id":"text-74","type":"text","heading":"","plain_text":"Sélectionnez le compte de service créé précédemment en tant qu'utilisateur qui exécutera le\ntâche, sélectionnez les 2 autres options sur une capture d'écran:","html":"Sélectionnez le compte de service créé précédemment en tant qu'utilisateur qui exécutera le\ntâche, sélectionnez les 2 autres options sur une capture d'écran:
"},{"id":"text-75","type":"text","heading":"","plain_text":"Sous l'onglet "Déclencheurs", configurez un calendrier pour la tâche de maintenance:","html":"Sous l'onglet "Déclencheurs", configurez un calendrier pour la tâche de maintenance:
"},{"id":"text-76","type":"text","heading":"","plain_text":"Cliquez sur l'onglet "Actions" et entrez l'emplacement et le nom du script\n(fichier * .bat):","html":"Cliquez sur l'onglet "Actions" et entrez l'emplacement et le nom du script\n(fichier * .bat):
"},{"id":"text-77","type":"text","heading":"","plain_text":"Voici la vue finale de l'action:","html":"Voici la vue finale de l'action:
"},{"id":"text-78","type":"text","heading":"","plain_text":"Cliquez sur "OK" pour enregistrer la tâche et entrez le compte du service\nmot de passe lorsque vous y êtes invité:","html":"Cliquez sur "OK" pour enregistrer la tâche et entrez le compte du service\nmot de passe lorsque vous y êtes invité:
"},{"id":"text-79","type":"text","heading":"","plain_text":"Cliquez sur "OK" dans la prochaine fenêtre pop-up:","html":"Cliquez sur "OK" dans la prochaine fenêtre pop-up:
"},{"id":"text-80","type":"text","heading":"","plain_text":"Nous pouvons ignorer ce message car nous avons déjà accordé notre compte de service requis\nautorisations.\nDémarrez le travail manuellement pour vérifier qu'il s'exécute correctement. Vérifiez le dossier de sortie\npour valider les résultats:","html":"Nous pouvons ignorer ce message car nous avons déjà accordé notre compte de service requis\nautorisations.\nDémarrez le travail manuellement pour vérifier qu'il s'exécute correctement. Vérifiez le dossier de sortie\npour valider les résultats:
"},{"id":"text-81","type":"text","heading":"","plain_text":"Prochaines étapes\nDernière mise à jour: 2019-12-18","html":"Prochaines étapes\nDernière mise à jour: 2019-12-18
"},{"id":"text-82","type":"text","heading":"","plain_text":"A propos de l'auteur","html":"A propos de l'auteur
"},{"id":"text-83","type":"text","heading":"","plain_text":"Svetlana Golovko est une DBA avec 13 ans d'expérience en informatique (y compris SQL Server et Oracle) avec un accent principal sur les performances. \nVoir tous mes conseils","html":"Svetlana Golovko est une DBA avec 13 ans d'expérience en informatique (y compris SQL Server et Oracle) avec un accent principal sur les performances. \nVoir tous mes conseils
"},{"id":"text-84","type":"text","heading":"","plain_text":"Click to rate this post!\n \n [Total: 0 Average: 0]","html":"Click to rate this post!\n \n [Total: 0 Average: 0]
"}],"sections":[{"id":"text-1","heading":"Text","content":"Par: Svetlana Golovko | Mis à jour: 2019-12-18 | Commentaires | En relation: Plus> Installer et désinstaller"},{"id":"text-2","heading":"Text","content":"Problème\nNous connaissons tous la meilleure pratique de configuration de SQL Server sur un hôte dédié,\nidéalement, SQL Server ne devrait pas partager le serveur avec d'autres applications. Mais\ndans la vraie vie, il y a parfois des scénarios où une application doit être installée\navec SQL Server sur la même machine. Ces scénarios incluent généralement des applications isolées\nconfiguration qui nécessite une sécurité stricte ou doit être séparée du reste de\nl'environnement. Cela pourrait également s'appliquer aux applications qui doivent\navoir SQL Server Express installé sur le même serveur.\nComment verrouiller SQL Server? Comment pouvons-nous nous assurer que notre serveur est sécurisé et\nprotégé contre les accès externes?\nSolution\nDans cette astuce, nous fournirons des recommandations pour renforcer l'installation de SQL Server\npour la configuration où SQL Server n'est accessible que par l'application installée\nsur le même serveur. Dans la plupart des cas, il s'agit d'un serveur autonome qui n'est même pas joint à un domaine. Nous fournirons des exemples et des scripts pour la configuration des autorisations minimales requises\npour les sauvegardes et la maintenance des bases de données.\nÉtapes de pré-installation\nPar défaut, si vous ne créez pas le dossier pour SQL Server à l'avance, le\nLes dossiers de données auront certaines des autorisations héritées du dossier parent.\nLe groupe local "Utilisateurs" (COMPUTERNAME Users) aura des autorisations de lecture\naux dossiers:"},{"id":"text-3","heading":"Text","content":"Avant de commencer l'installation, nous créerons des données, des sauvegardes et d'autres dossiers\net assurez-vous que seuls les administrateurs ont accès à ces dossiers.\nNous allons d'abord créer les nouveaux dossiers et désactiver l'héritage des autorisations:"},{"id":"text-4","heading":"Text","content":"Convertir les autorisations en autorisations explicites lorsque vous y êtes invité et supprimer le local\n"Utilisateurs"\nAutorisations du groupe ("Lire et exécuter" et "Spécial"):"},{"id":"text-5","heading":"Text","content":"Les comptes de service SQL Server recevront les autorisations requises lors de l'installation\nplus tard, nous n'avons donc pas besoin de le faire maintenant.\nLes autorisations du système de fichiers requises pour les comptes de service SQL ont été trouvées"},{"id":"text-6","heading":"Text","content":"ici.\nInstallation de SQL Server\nDémarrez l'installation de SQL Server comme vous le faites habituellement. Suivez les invites d'installation jusqu'à\nÉcran "Sélection des fonctionnalités".\nSur l'écran de sélection des fonctionnalités, assurez-vous que seuls les «services du moteur de base de données»\nest sélectionné:"},{"id":"text-7","heading":"Text","content":"Ne sélectionnez pas les fonctionnalités habituelles que vous installez habituellement, telles que: Outils SQL Server,\nRecherche plein texte, etc.\nRemarque: que le texte intégral peut être requis pour votre\nou reportez-vous à la documentation de votre fournisseur pour connaître les exigences relatives aux fonctionnalités de SQL Server."},{"id":"text-8","heading":"Text","content":"En outre, nous supposons qu'il s'agit d'une application simple qui ne nécessite qu'une base de données\nfonction moteur (pas de SSRS, SSAS, etc.).\nNous voulons réduire la surface de sécurité, donc l'Agent SQL Server et le Navigateur SQL Server\nsera également désactivé. Toutes les tâches de maintenance et de sauvegarde planifiées s'exécuteront sous Windows\nTâches planifiées qui seront configurées ultérieurement:"},{"id":"text-9","heading":"Text","content":"Gardez les comptes de service par défaut. Lis"},{"id":"text-10","heading":"Text","content":"cette Article de Microsoft sur les comptes de service et les autorisations nécessaires\npour les comptes.\nSi l'application prend en charge l'authentification Windows – conservez l'authentification par défaut\nMode (Windows).\nUtilisez le répertoire (ou les répertoires si vous utilisez plusieurs lecteurs) que nous avons créé\navant de commencer l'installation:"},{"id":"text-11","heading":"Text","content":"Terminez l'installation.\nLis"},{"id":"text-12","heading":"Text","content":"cette astuce pour le Guide d'installation pas à pas complet de SQL Server 2017."},{"id":"text-13","heading":"Text","content":"Configuration de la sécurité de SQL Server\nNous allons configurer ici certaines des fonctionnalités de sécurité.\nDésactivez tous les protocoles réseau à l'exception de la "mémoire partagée":"},{"id":"text-14","heading":"Text","content":"Validez dans SQL Server Configuration Manager que tous les services sauf "SQL"\nServeur "sont désactivés:"},{"id":"text-15","heading":"Text","content":"Masquez l'instance à l'aide de SQL Server Configuration Manager. Lis"},{"id":"text-16","heading":"Text","content":"cette astuce sur le masquage des instances SQL Server."},{"id":"text-17","heading":"Text","content":"Assurez-vous que l'accès à distance est désactivé:"},{"id":"text-18","heading":"Text","content":"UTILISATION [master]ALLEREXEC sys.sp_configure N'remote access ', N'0'ALLERRECONFIGURER AVEC OVERRIDEALLER"},{"id":"text-19","heading":"Text","content":"Activez les stratégies de mot de passe locales si vous configurez SQL Server sur un serveur autonome\nserveur. Les serveurs joints au domaine doivent hériter des stratégies de domaine, vous pouvez donc ignorer\ncette étape pour les serveurs qui font partie du domaine Active Directory. Le mot de passe\nles stratégies pour le domaine sont généralement configurées par vos administrateurs système.\nSur un serveur autonome:\nDémarrer la console MMC\nCliquez sur "Fichier"> "Ajouter / Supprimer un composant logiciel enfichable…"\nSélectionnez "Éditeur d'objets de stratégie de groupe", cliquez sur "Ajouter", confirmez\nla sélection d'objet de stratégie de groupe "Ordinateur local":"},{"id":"text-20","heading":"Text","content":"Cliquez sur OK"\nSous "Stratégie de l'ordinateur local", développez "Configuration de l'ordinateur",\npuis "Paramètres Windows", puis "Paramètres de sécurité", "Compte\nPolitiques "," Politique de mot de passe "\nModifiez les politiques à droite pour appliquer des mots de passe forts:"},{"id":"text-21","heading":"Text","content":"En savoir plus sur la configuration des stratégies de mot de passe locales sous Windows"},{"id":"text-22","heading":"Text","content":"ici. Lis"},{"id":"text-23","heading":"Text","content":"cette article sur les stratégies de mot de passe SQL Server.\nLaissez la console MMC ouverte pour les étapes suivantes.\nAutres étapes de post-installation\nInstallez les derniers correctifs et correctifs (y compris les correctifs Windows).\nDéfinissez un mot de passe fort, renommez et désactivez la connexion "sa"."},{"id":"text-24","heading":"Text","content":"Cette astuce possède une liste de contrôle de sécurité pour SQL Server. Assurez-vous d'avoir examiné le\nliste de contrôle et"},{"id":"text-25","heading":"Text","content":"cette guide de sécurité pour toutes les configurations de sécurité supplémentaires qui pourraient être\nobligatoire.\nCréation de compte de service de maintenance\nNous allons créer un compte de service local pour exécuter la maintenance SQL Server planifiée\nTâches (mise à jour des statistiques, sauvegarde des bases de données, etc.). Nous allons utiliser l'ordinateur\nOutil de gestion sur notre serveur SQL pour cela:"},{"id":"text-26","heading":"Text","content":"Ce compte de service exécutera les tâches planifiées de Windows. L'utilisateur n'a pas besoin\nêtre membre de tout groupe, mais il doit avoir"},{"id":"text-27","heading":"Text","content":""Se connecter en tant que tâche par lots" autorisations locales afin d'exécuter des travaux Windows.\nRevenez à la console MMC pour attribuer la stratégie «Se connecter en tant que tâche par lots»\nsur le compte de service:"},{"id":"text-28","heading":"Text","content":"Cliquez sur le bouton "Ajouter un utilisateur ou un groupe…" et ajoutez "SQLTaskTest"\nutilisateur que nous avons créé précédemment:"},{"id":"text-29","heading":"Text","content":"Autorisations de compte du service de maintenance sur SQL Server et les bases de données\nCe sont les autorisations minimales requises pour le compte de service pour exécuter le\nsauvegarde des bases de données et tâches de maintenance:"},{"id":"text-30","heading":"Text","content":"UTILISATION [master]ALLERCRÉER UNE CONNEXION [LOCALSRVNAMESQLTaskTest] DE WINDOWS DEFAULT_DATABASE =[master], CHECK_EXPIRATION = OFF, CHECK_POLICY = ONALLERUTILISATION [_Demo] - pour chaque base de données sauf tempdbALLERCRÉER UN UTILISATEUR [LOCALSRVNAMESQLTaskTest] POUR LA CONNEXION [LOCALSRVNAMESQLTaskTest]ALLERALTER ROLE db_backupoperator AJOUTER UN MEMBRE [LOCALSRVNAMESQLTaskTest] –- pour créer des sauvegardesALLERDONNER ALTER N'IMPORTE QUEL SCHÉMA À [LOCALSRVNAMESQLTaskTest] –- pour reconstruire des indexALLERGRANT IMPERSONATE SUR L'UTILISATEUR :: dbo TO [LOCALSRVNAMESQLTaskTest] –- pour mettre à jour les statistiquesALLER"},{"id":"text-31","heading":"Text","content":"La justification de ces autorisations est fournie ci-dessous pour chaque script / tâche."},{"id":"text-32","heading":"Text","content":"Scripts de maintenance SQL Server\nNous devrons exécuter les tâches suivantes:"},{"id":"text-33","heading":"Text","content":"Sauvegardes de bases de données\nMaintenance des index\nMises à jour des statistiques\nContrôles de cohérence des bases de données"},{"id":"text-34","heading":"Text","content":"Voici les scripts SQL Server et le script du système d'exploitation exécutable (fichier * .bat) qui s'exécuteront\nces scripts SQL:"},{"id":"text-35","heading":"Text","content":"Script de sauvegarde de toutes les bases de données SQL Server\n"BackupAllDBs.sql"script (remplacez le nom du dossier de sauvegarde par votre\ndans ce script):"},{"id":"text-36","heading":"Text","content":"ACTIVER LE NOCOUNTSELECT GETDATE ()EXEC sys.sp_MSforeachdb 'IF (SELECT' '?' ') <>' 'Tempdb' 'COMMENCERBASE DE DONNÉES DE SAUVEGARDE [?] TO DISK = N''D: Backups ?. BAK '' AVEC NOFORMAT, INIT, NAME = N ''? - SAUVEGARDE COMPLÈTE DE LA BASE DE DONNÉES ''FIN'"},{"id":"text-37","heading":"Text","content":"Ici est une référence aux autorisations requises pour sauvegarder les bases de données:\nNous accorderons les autorisations minimales requises pour créer les sauvegardes de notre service\ncompte (requis pour chaque base de données qui sera sauvegardée):"},{"id":"text-38","heading":"Text","content":"ALTER ROLE db_backupoperator AJOUTER UN MEMBRE [LOCALSRVNAMESQLTaskTest] –- pour créer des sauvegardesALLER"},{"id":"text-39","heading":"Text","content":"Script de maintenance d'index SQL Server\n"IndexesMaintenance.sql"script:\nJ'ai utilisé le script de reconstruction d'index à partir de \ncette astuce. Il reconstruit tous les index sur toutes les bases de données (ou les bases de données spécifiées dans\nle script). Vous pouvez également créer un script plus sélectif qui ne reconstruit que\nindex fragmentés, mais nous utiliserons ce script pour la démonstration\nde la configuration des autorisations minimales."},{"id":"text-40","heading":"Text","content":"Ici est une référence aux autorisations requises pour reconstruire ou réorganiser le\nindex:\nNous pourrions éventuellement accorder à notre compte de service le rôle "db_ddladmin",\nmais cela signifie que notre utilisateur pourra créer et supprimer les tables. Nous allons\naccordez au lieu de cela les autorisations suivantes:"},{"id":"text-41","heading":"Text","content":"DONNER ALTER N'IMPORTE QUEL SCHÉMA À [LOCALSRVNAMESQLTaskTest] –- pour reconstruire des indexALLER"},{"id":"text-42","heading":"Text","content":"Nous pouvons tester si l'utilisateur peut créer ou supprimer des tables ou d'autres objets. Nous allons\ncréer quelques objets de test (en tant que compte sysadmin ou db_owner):"},{"id":"text-43","heading":"Text","content":"UTILISATION [_Demo]ALLERCRÉER LA TABLE dbo.Can_you_drop_table (col1 INT NOT NULL,CONTRAINTE PK_Can_you_drop_table CLÉ PRIMAIRE CLUSTERED (col1 ASC)ALLERCREATE PROC dbo.Can_you_drop_procedureCOMMESELECT col1 FROM dbo.Can_you_drop_tableALLER"},{"id":"text-44","heading":"Text","content":"Maintenant, nous allons nous connecter avec le compte de service et exécuter le script suivant:"},{"id":"text-45","heading":"Text","content":"UTILISATION [_Demo]ALLER IMPRIMER 'Créer la table'CREATE TABLE test_perm_tbl (c1 INT)ALLERIMPRIMER 'Déposer la table'DROP TABLE dbo.Can_you_drop_table ALLERIMPRIMER 'Abandonner la procédure'DROP PROC dbo.Can_you_drop_procedureALLERIMPRIMER «Modification de la table»ALTER TABLE dbo.Can_you_drop_table ADD col2 INTALLERIMPRIMER «Reconstruire les index»ALTER INDEX ALL ON dbo.Can_you_drop_table REBUILDALLER"},{"id":"text-46","heading":"Text","content":"Voici les résultats (avec commentaires):"},{"id":"text-47","heading":"Text","content":"Création de la table\nMsg 262, niveau 14, état 1, ligne 2\nAutorisation CREATE TABLE refusée dans la base de données '_Demo'. - Impossible de créer la table\nSuppression de la table - PEUT supprimer la table\nAbandon de la procédure\nMsg 3701, niveau 11, état 5, ligne 10\nImpossible de supprimer la procédure 'dbo.Can_you_drop_procedure', car elle n'existe pas ou vous ne disposez pas de l'autorisation. - NE PEUT PAS supprimer la procédure\nModification de la table - PEUT changer la table\nReconstruction des index - PEUT reconstruire les index"},{"id":"text-48","heading":"Text","content":"Ainsi, même si l'utilisateur peut modifier et supprimer les tables, il ne peut pas supprimer\nd'autres objets ou créez-en de nouveaux.\nScript de statistiques de mise à jour de SQL Server\n""UpdateStatistics.sql"script:"},{"id":"text-49","heading":"Text","content":"ACTIVER LE NOCOUNTSELECT GETDATE ()EXÉCUTER COMME UTILISATEUR = 'dbo'Exec dbo.sp_updatestatsREVENIR"},{"id":"text-50","heading":"Text","content":"Ici est une référence à l'article décrivant les autorisations requises pour la mise à jour\nstatistiques des bases de données:\nAu lieu d'accorder les autorisations sysadmin au compte de service, nous utiliserons l'emprunt d'identité\npour notre compte de service. Il usurpera l'identité de l'utilisateur "dbo". Pour que le\ncompte de service à exécuter "EXÉCUTER\nCOMME"déclaration, nous devons lui accorder les autorisations suivantes:"},{"id":"text-51","heading":"Text","content":"UTILISATION [_Demo]ALLERGRANT IMPERSONATE SUR L'UTILISATEUR :: dbo TO [LOCALSRVNAMESQLTaskTest] –- pour mettre à jour les statistiquesALLER"},{"id":"text-52","heading":"Text","content":"Vérifications de cohérence de la base de données SQL Server\n""CheckDBs.sql":"},{"id":"text-53","heading":"Text","content":"ACTIVER LE NOCOUNTSELECT GETDATE ()EXEC dbo.usp_CheckDB"},{"id":"text-54","heading":"Text","content":"Nous avons créé une procédure stockée pour vérifier la base de données dans notre base de données de démonstration\npour notre démonstration des tâches de maintenance:"},{"id":"text-55","heading":"Text","content":"UTILISATION [_Demo]ALLERCREATE PROC dbo.usp_CheckDBCOMMEEXÉCUTER COMME UTILISATEUR = 'dbo'ALTER ROLE [db_owner] AJOUTER UN MEMBRE [LOCALSRVNAMESQLTaskTest]REVENIRDBCC CHECKDB AVEC NO_INFOMSGSEXÉCUTER COMME UTILISATEUR = 'dbo'ALTER ROLE [db_owner] DROP MEMBER [LOCALSRVNAMESQLTaskTest]REVENIRALLER"},{"id":"text-56","heading":"Text","content":"Nous allons maintenant accorder au compte de service l'autorisation d'exécuter la procédure stockée:"},{"id":"text-57","heading":"Text","content":"UTILISATION [_Demo]ALLER GRANT EXECUTE ON dbo.usp_CheckDB TO [LOCALSRVNAMESQLTaskTest]ALLER"},{"id":"text-58","heading":"Text","content":"Ici est une référence à l'article décrivant les autorisations requises pour exécuter DBCC\nCHECKDB:\nLa vérification de la cohérence de la base de données ne peut être exécutée que par un utilisateur membre de db_owner\nrôle de base de données. L'utilisateur doit être explicitement ajouté au rôle. L'usurpation d'identité de l'utilisateur dbo\nne fonctionne pas dans ce cas:"},{"id":"text-59","heading":"Text","content":"EXÉCUTER COMME UTILISATEUR = 'dbo'DBCC CHECKDB AVEC NO_INFOMSGS REVENIR"},{"id":"text-60","heading":"Text","content":"Si l'utilisateur n'est pas membre du rôle db_owner, il y aura une erreur:"},{"id":"text-61","heading":"Text","content":"Msg 916, niveau 14, état 1, ligne 15Le serveur principal "sa" n'est pas en mesure d'accéder à la base de données "_Demo" dans le contexte de sécurité actuel."},{"id":"text-62","heading":"Text","content":"Ainsi, dans notre procédure stockée usp_CheckDB, nous avons les étapes suivantes:"},{"id":"text-63","heading":"Text","content":"Emprunter l'identité de l'utilisateur en tant que dbo\nAccorder le rôle de compte de service de maintenance "db_owner"\nExécutez DBCC CHECKDB\nSupprimez le compte de service de maintenance du rôle "db_owner""},{"id":"text-64","heading":"Text","content":"Cela se fait via la procédure stockée pour vous assurer que le compte de service\nn'a pas les autorisations db_owner ou sysadmin de façon permanente.\nVeuillez noter que les scripts que nous utilisons dans cette astuce sont très basiques et sont fournis\npour démonstration seulement.\nLa configuration de la sécurité dans cette astuce peut sembler lourde, mais cela est fait pour démontrer\nconfiguration des autorisations minimales pour le compte de service.\nAutorisations de compte de service de maintenance sur les dossiers\nNous aurons tous les scripts de maintenance et de sauvegarde sous le nouveau dossier (par exemple,\nD: DBScripts) et les fichiers journaux (sortie) sous le sous-dossier "sortie"."},{"id":"text-65","heading":"Text","content":"L'exigence de sécurité consiste à s'assurer que le compte de service a une capacité\npour écrire dans le dossier "sortie" et pour vous assurer qu'il ne peut pas modifier ou\nécrire dans le dossier scripts (accès en lecture seule au dossier "DBScripts")."},{"id":"text-66","heading":"Text","content":"Le dossier des sauvegardes devra également être sécurisé. Lis"},{"id":"text-67","heading":"Text","content":"cette astuce sur la protection du dossier de sauvegarde SQL Server.\nDossier DBScripts\nAccédez aux propriétés du dossier "DBScripts"\nCliquez sur l'onglet "Sécurité"\nCliquez sur "Avancé"\nDésactiver l'héritage des autorisations\nSupprimez tous les utilisateurs à l'exception des administrateurs, SYSTEM, CREATOR OWNER (assurez-vous\navoir accès au dossier, nous supposons que nous sommes membres des administrateurs locaux\ngroupe lorsque nous apportons ces modifications)\nAjouter un compte de service «SQL Task Test», accorder «Lire et exécuter»\nautorisations:"},{"id":"text-68","heading":"Text","content":"Cochez «Remplacer toutes les autorisations d'objet enfant…» et cliquez sur «OK»."},{"id":"text-69","heading":"Text","content":"Dossier de sortie\nAccédez aux propriétés du dossier "sortie"\nCliquez sur l'onglet "Sécurité"\nCliquez sur "Avancé"\nDésactiver l'héritage des autorisations\nSupprimez tous les utilisateurs à l'exception des administrateurs, SYSTEM, CREATOR OWNER (assurez-vous\navoir accès au dossier, nous supposons que nous sommes membres des administrateurs locaux\ngroupe lorsque nous apportons ces modifications)\nAjoutez le compte de service "SQL Task Test", accordez les autorisations "Write":"},{"id":"text-70","heading":"Text","content":"Cochez «Remplacer toutes les autorisations d'objet enfant…» et cliquez sur «OK»."},{"id":"text-71","heading":"Text","content":"Configuration et test des tâches de maintenance\nLes scripts de maintenance et de sauvegarde seront exécutés en exécutant un seul programme planifié.\ntâche. La tâche exécutera le fichier de commandes "Run_DBBackups.bat" (remplacer\nles noms de serveur avec vos valeurs dans ce script):"},{"id":"text-72","heading":"Text","content":"CD / D D: DBScripts SQLCMD -E -S DEMOSQL1 -d master -i BackupAllDBs.sql -o D: DBScripts output out_back.txtSQLCMD -E -S DEMOSQL1 -d _Demo -i CheckDBs.sql -o D: DBScripts output out_checkDB.txtSQLCMD -E -S DEMOSQL1 -d _Demo -i IndexesMaintenance.sql -o D: DBScripts output out_ind.txtSQLCMD -E -S DEMOSQL1 -d _Demo -i UpdateStatistics.sql -o D: DBScripts output out_stats.txt"},{"id":"text-73","heading":"Text","content":"Exécutez le Planificateur de tâches Windows et cliquez sur «Créer une tâche…» sous «Tâche\nBibliothèque du planificateur ":"},{"id":"text-74","heading":"Text","content":"Sélectionnez le compte de service créé précédemment en tant qu'utilisateur qui exécutera le\ntâche, sélectionnez les 2 autres options sur une capture d'écran:"},{"id":"text-75","heading":"Text","content":"Sous l'onglet "Déclencheurs", configurez un calendrier pour la tâche de maintenance:"},{"id":"text-76","heading":"Text","content":"Cliquez sur l'onglet "Actions" et entrez l'emplacement et le nom du script\n(fichier * .bat):"},{"id":"text-77","heading":"Text","content":"Voici la vue finale de l'action:"},{"id":"text-78","heading":"Text","content":"Cliquez sur "OK" pour enregistrer la tâche et entrez le compte du service\nmot de passe lorsque vous y êtes invité:"},{"id":"text-79","heading":"Text","content":"Cliquez sur "OK" dans la prochaine fenêtre pop-up:"},{"id":"text-80","heading":"Text","content":"Nous pouvons ignorer ce message car nous avons déjà accordé notre compte de service requis\nautorisations.\nDémarrez le travail manuellement pour vérifier qu'il s'exécute correctement. Vérifiez le dossier de sortie\npour valider les résultats:"},{"id":"text-81","heading":"Text","content":"Prochaines étapes\nDernière mise à jour: 2019-12-18"},{"id":"text-82","heading":"Text","content":"A propos de l'auteur"},{"id":"text-83","heading":"Text","content":"Svetlana Golovko est une DBA avec 13 ans d'expérience en informatique (y compris SQL Server et Oracle) avec un accent principal sur les performances. \nVoir tous mes conseils"},{"id":"text-84","heading":"Text","content":"Click to rate this post!\n \n [Total: 0 Average: 0]"}],"media":{"primary_image":"https://tutos-gameserver.fr/wp-content/uploads/2020/01/6266_NewsletterImage.png"},"relations":[{"rel":"canonical","href":"https://tutos-gameserver.fr/2020/01/13/meilleures-pratiques-de-securite-sql-server-pour-une-application-installee-sur-sql-server-serveur-dimpression/"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2020/01/13/meilleures-pratiques-de-securite-sql-server-pour-une-application-installee-sur-sql-server-serveur-dimpression/llm","type":"text/html"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2020/01/13/meilleures-pratiques-de-securite-sql-server-pour-une-application-installee-sur-sql-server-serveur-dimpression/llm.json","type":"application/json"},{"rel":"llm-manifest","href":"https://tutos-gameserver.fr/llm-endpoints-manifest.json","type":"application/json"}],"http_headers":{"X-LLM-Friendly":"1","X-LLM-Schema":"1.1.0","Content-Security-Policy":"default-src 'none'; img-src * data:; style-src 'unsafe-inline'"},"license":"CC BY-ND 4.0","attribution_required":true,"allow_cors":false}