Início / dba / Perguntas / 20706
Accepted
jcolebrand
Asked: 2012-07-12 06:31:40 +0800 CST

Os logins de autenticação do Windows podem ser desabilitados no SQL Server 2008 (ou R2)?

  • 772

Portanto, podemos fazer login do Windows ou modo misto, mas podemos configurar o SQL Server para usar apenas logins internos e bloquear todos os logins do Windows?

A única solução é adicionar todos os possíveis logins do Windows e defini-los com privilégios restritos como um procedimento preventivo (ou reativo)?

sql-server sql-server-2008

2 respostas

  1. Tanto quanto sei, não é possível desabilitar a autenticação do Windows no SQL Server 2008 + R2:

    http://msdn.microsoft.com/en-us/library/ms144284%28v=sql.105%29.aspx

    As únicas contas do Windows que terão acesso são aquelas explicitamente adicionadas como logins (ou são membros de um grupo que possui um login).

    • 6
  2. Best Answer

    Não pode ser desativado completamente, por dois motivos:

    • Na instalação, os logins são provisionados para NT AUTHORITY\SYSTEM, NT SERVICE\SQLSERVERAGENT(ou um grupo contendo a conta de serviço SQL Agent) e NT SERVICE\MSSQLSERVER(ou um grupo contendo a conta de serviço do mecanismo de banco de dados SQL). Esses são sysadminlogins de nível que precisam estar disponíveis para o SQL Server funcionar corretamente.

      Embora um teste rápido tenha revelado que excluir todos os três logins apenas impediu a reinicialização do SQL Agent (o mecanismo de banco de dados funcionou bem), tenho certeza de que existem outras funções que dependem dos outros dois logins ... eles foram criados por padrão por uma razão, então eu não mexeria com eles. (Para sua informação, se você testar isso sozinho: a opção de script Drop & Create para um login no SSMS não faz o script da associação de função de servidor.)

    • No modo de usuário único, os administradores locais recebem automaticamente sysadminprivilégios de nível, independentemente de haver ou não um login criado que "contenha" esses usuários. Este é um cabide para quando você trancar as chaves no carro.

    Conforme mencionado na outra resposta, apenas logins do Windows criados explicitamente terão acesso para se conectar (meu comentário original estava incorreto) - remover todos os logins do Windows criados pelo usuário é suficiente para impedir o acesso.

    Se você precisar dar um passo adiante e impedir que logins do Windows sejam criados , aqui está um ponto de partida (o gerenciamento baseado em políticas, pelo menos em 2008, não oferece suporte para impedir que isso aconteça):

    CREATE TRIGGER trg_PreventWindowsLogins
    ON ALL SERVER
    AFTER CREATE_LOGIN
AS
BEGIN

    SET NOCOUNT ON;
    
    IF (EVENTDATA().exist('/EVENT_INSTANCE[1]/LoginType[1]/text()[1] eq "Windows (NT) Login"') = 1)
    BEGIN
        RAISERROR(N'Not allowed to create Windows logins!', 16, 1);
        ROLLBACK;
    END
    
END

    Claro, qualquer pessoa com permissões suficientes pode derrotar isso, mas isso é uma questão separada...

    • 5

relate perguntas