Поделиться через

Управление SQL Server, управляемым Azure Arc, с минимальными привилегиями

  • Статья

Область применения:SQL Server

Принцип информационной безопасности наименьших привилегий утверждает, что учетные записи и приложения имеют доступ только к данным и операциям, которым они требуются. С помощью SQL Server с поддержкой Azure Arc можно запустить службу расширения агента с минимальными привилегиями. В этой статье объясняется, как запустить службу расширения агента с минимальными привилегиями.

Чтобы при необходимости настроить службу для выполнения с минимальными привилегиями, выполните действия, описанные в этой статье. В настоящее время служба не запускается автоматически с минимальными привилегиями.

Настройка учетных записей службы Windows и разрешений для расширения Azure для SQL Server описывает минимальные разрешения привилегий для службы расширений агента.

Примечание.

Существующие серверы с расширением из выпуска ноября 2024 года или более поздней версии автоматически будет применена конфигурация с минимальными привилегиями. Это внедрение будет происходить постепенно.

Чтобы предотвратить автоматическое применение минимальных привилегий, заблокируйте обновление расширений до выпуска ноября 2024 г.

После настройки службы расширения агента для запуска с минимальными привилегиями, используется NT Service\SQLServerExtension учетная запись службы.

Локальная служебная учетная запись Windows: NT Service\SQLServerExtension.

  • Создано и управляется расширением Azure для SQL Server, если включен параметр наименьших привилегий.
  • Предоставляет минимальные необходимые разрешения и привилегии для запуска расширения Azure для службы SQL Server в операционной системе Windows. Он имеет доступ только к папкам и каталогам, используемым для чтения и хранения конфигурации или записи журналов.
  • Предоставлено разрешение на подключение и выполнение запросов в SQL Server с новой учетной записью, созданной специально для этой служебной учетной записи с минимальным уровнем доступа. Минимальные разрешения зависят от включенных функций.
  • Обновляется, когда разрешения больше не требуются. Например, разрешения отменяются при отключении функции, отключении конфигурации минимальных привилегий или удалении расширения Azure для SQL Server. Отзыв гарантирует, что разрешения не остаются после того, как они больше не требуются.

Необходимые компоненты

В этом разделе описаны требования к системе и средства, которые необходимо выполнить в этой статье.

Требования к системе

Для конфигурации с минимальными привилегиями требуется:

  • Windows Server 2012 или более поздней версии;
  • SQL Server 2012 или более поздней версии
  • Учетная запись службы SQL Server должна быть членом sysadmin фиксированной роли сервера.
  • Все базы данных должны быть в сети и доступны для обновления

Конфигурация с минимальными привилегиями в настоящее время не поддерживается в Linux.

Другие требования, указанные в разделе предварительные условия — SQL Server, активированный с помощью Azure Arc, по-прежнему применяются.

Учетная запись службы SQL Server

По умолчанию учетная запись службы SQL Server является членом sysadmin предопределенных ролей сервера.

Как указано в предварительных требованиях, учетная запись службы SQL Server должна быть членом sysadmin предопределенной роли сервера на каждом экземпляре SQL Server. Расширение Azure для SQL Server имеет процесс под названием Deployer.exe, который временно выполняется как NT AUTHORITY\SYSTEM в следующих случаях:

  • Функции включены или отключены
  • Экземпляры SQL Server добавляются или удаляются

Deployer.exe Олицетворяет учетную запись службы SQL Server для подключения к SQL Server и добавления или удаления разрешений в ролях сервера и базы данных в зависимости от того, какие функции включены или отключены, чтобы обеспечить, чтобы расширение Azure для SQL Server использовало минимальные привилегии. Чтобы изменить эти разрешения, учетная запись службы SQL Server должна быть членом sysadmin роли сервера.

Если вы хотите управлять этим процессом с большим контролем, чтобы учетная запись службы SQL Server не была членом роли сервера sysadmin постоянно, выполните следующие действия.

  1. Временно добавьте учетную запись службы SQL Server в роль сервера sysadmin.
  2. Разрешите Deployer.exe запускать по крайней мере один раз, чтобы задать разрешения.
  3. Удалите учетную запись службы SQL Server из роли sysadmin.

Каждый раз, когда функции включаются или отключаются, или добавляются экземпляры SQL Server, повторяйте эту процедуру, чтобы Deployer.exe предоставлял минимально необходимые привилегии.

Инструменты

Чтобы выполнить действия, описанные в этой статье, вам потребуется следующее:

Минимизация привилегий

  1. Войдите в систему с помощью Azure CLI.

    az login

  2. Проверьте версию arcdata расширения.

    az extension list -o table

    Если результаты включают поддерживаемую версию arcdata, перейдите к следующему шагу.

    При необходимости установите или обновите arcdata расширение Azure CLI.

    Чтобы установить расширение, сделайте следующее.

    az extension add --name arcdata

    Чтобы обновить расширение, выполните следующие действия.

    az extension update --name arcdata

  3. Включите минимальные привилегии с помощью Azure CLI.

    Чтобы включить минимальные привилегии, установите значение флага функции LeastPrivilege на true. Чтобы выполнить эту задачу, выполните следующую команду с обновленными значениями для <resource-group> и <machine-name>.

    az sql server-arc extension feature-flag set --name LeastPrivilege --enable true --resource-group <resource-group> --machine-name <machine-name>

    Например, следующая команда включает минимальные привилегии для сервера с именем myserver в группе ресурсов с именем myrg:

    az sql server-arc extension feature-flag set --name LeastPrivilege --enable true --resource-group myrg --machine-name myserver

Проверка конфигурации наименьших привилегий

Чтобы убедиться, что ваш SQL Server, управляемый с помощью Azure Arc, настроен для работы с минимальными привилегиями:

  1. В службах Windows найдите службу расширений Microsoft SQL Server. Убедитесь, что служба запущена от имени учетной записи службы NT Service\SqlServerExtension. 

  2. Откройте планировщик задач на сервере и проверьте, что задача на основе событий с именем SqlServerExtensionPermissionProvider создана в разделе Microsoft\SqlServerExtension.

    Примечание.

    До выпуска, намеченного на июль 2024 года, SqlServerExtensionPermissionProvider является запланированной задачей. Выполняется каждый час.

    Откройте планировщик задач на сервере и проверьте, создана ли запланированная задача с именем SqlServerExtensionPermissionProvider в разделе Microsoft\SqlServerExtension.

  3. Откройте SQL Server Management Studio и проверьте имя входа NT Service\SqlServerExtension. Убедитесь, что учетной записи назначены следующие разрешения:

    • Подключение SQL
    • Просмотр состояния базы данных
    • Просмотр состояния сервера

  4. Проверьте разрешения с помощью следующих запросов:

    Чтобы проверить разрешения на уровне сервера, выполните следующий запрос:

    EXECUTE AS LOGIN = 'NT Service\SqlServerExtension'  
SELECT * FROM fn_my_permissions (NULL, 'SERVER');

    Чтобы проверить разрешения на уровне базы данных, замените <database name> имя одной из баз данных и выполните следующий запрос:

    EXECUTE AS LOGIN = 'NT Service\SqlServerExtension'  
USE <database name>; 
SELECT * FROM fn_my_permissions (NULL, 'database');

Связанный контент