我是否可以撤销对"NT AUTHORITY\SYSTEM“的数据库权限,但仍然让它具有"sysadmin”角色?
我需要实现这个:https://www.stigviewer.com/stig/ms_sql_服务器_2016年_实例/2020-12-16/调查结果/V-213934
在我们的例子中,IsClustered和IsHadrEnabled都是0。
使用自动化工具,NT权限\SYSTEM帐户似乎因具有以下权限而被标记:
CONNECT SQL
SHUTDOWN
CREATE ENDPOINT
CREATE ANY DATABASE
CREATE AVAILABILITY GROUP
ALTER ANY LOGIN
ALTER ANY CREDENTIAL
ALTER ANY ENDPOINT
ALTER ANY LINKED SERVER
ALTER ANY CONNECTION
ALTER ANY DATABASE
ALTER RESOURCES
ALTER SETTINGS
ALTER TRACE
ALTER ANY AVAILABILITY GROUP
ADMINISTER BULK OPERATIONS
AUTHENTICATE SERVER
EXTERNAL ACCESS ASSEMBLY
VIEW ANY DATABASE
VIEW ANY DEFINITION
VIEW SERVER STATE
CREATE DDL EVENT NOTIFICATION
CREATE TRACE EVENT NOTIFICATION
ALTER ANY EVENT NOTIFICATION
ALTER SERVER STATE
UNSAFE ASSEMBLY
ALTER ANY SERVER AUDIT
CREATE SERVER ROLE
ALTER ANY SERVER ROLE
ALTER ANY EVENT SESSION
CONNECT ANY DATABASE
IMPERSONATE ANY LOGIN
SELECT ALL USER SECURABLES
CONTROL SERVER手工检查证实了这一点。它不应该有比CONNECT SQL和VIEW ANY DATABASE更多的东西。
STIG中的fix文本具有撤销权限的查询,但我发现,如果不删除中的SysAdmin角色,就无法撤消这些权限。一旦我这样做,我就能够删除所有的权限。我就是从这里得到这个想法的:无法撤销Server 2016上“NT权限\系统”的权限
这导致了一个问题:如果没有NT权限\系统帐户的SysAdmin角色,我们的Microsoft实例在备份我在:"Error: Unable to Configure Protection"上配置的实例时会抛出一个错误。根据微软的说法,需要启用SysAdmin角色:https://learn.microsoft.com/en-us/azure/backup/backup-azure-scdpm-troubleshooting
不幸的是,当我再次检查NT权限\系统帐户的"SysAdmin“时,所有这些权限都立即重新启用。
是否有一种方法既具有SysAdmin角色,又删除此帐户上的无关权限?或者,是否有人有让DPM在备份数据库时正确工作的经验,而不必承担SysAdmin角色?
这是一个相当严重的发现;最终薄弱环节是DPM,因为如果关闭SysAdmin,这个SQL实例支持的应用程序的功能不会受到影响,但我也希望保持DPM的功能。
回答 1
Database Administration用户
发布于 2023-04-18 12:11:42
是否有一种方法既具有SysAdmin角色,又删除此帐户上的无关权限?
直截了当的回答是,“不”。可以允许没有sysadmin权限的登录通过其他方法获得它们,而不是直接授予它,但是这是非常有针对性的,而且在实现方面超出了本论坛的范围,更不用说那些尚未构建来利用这些方法的第三方应用程序的支持范围之外了。
据微软称,需要启用SysAdmin角色的……
然后,该登录需要sysadmin。
或者,是否有人有让DPM在备份数据库时正确工作的经验,而不必承担SysAdmin角色?
这似乎会使DPM的支持策略失效。正如沙利面所指出的,创建一个本地或域帐户供DPM使用和应用它所需的权限。这就消除了对本地系统上那些权限的需求。就个人而言,这种“发现”非常愚蠢,因为能够与本地系统交互的人已经可以访问整个服务器,这意味着他们完全控制了server。这是没有意义的,谁写这个STIG应该重新评估(他们不会)他们认为Windows安全工作。
在我们的例子中,IsClustered和IsHadrEnabled都是0。
如果您曾经选择使用AGs或诸如此类,它将失败,直到给予更多的权限。再一次,我个人认为这是一个“发现”。
https://dba.stackexchange.com/questions/326071
复制相似问题
腾讯云开发者
