{"id":182,"date":"2007-09-14T12:14:00","date_gmt":"2007-09-14T15:14:00","guid":{"rendered":"http:\/\/www.radians.com.ar\/blog\/?p=182"},"modified":"2008-07-26T13:57:06","modified_gmt":"2008-07-26T16:57:06","slug":"control-de-cuentas-de-usuarios-y-sql-server","status":"publish","type":"post","link":"https:\/\/www.radians.com.ar\/blog\/?p=182","title":{"rendered":"Control de Cuentas de Usuarios y SQL Server"},"content":{"rendered":"

Hace un tiempo recibi en un newsletter de Microsoft esta nota, y me parecio muy importante como para compartirla. Es vital para todos aquellos que estan planificando implementar Windows Server 2008, SQL y clientes Windows Vista. La misma habla del impacto de UAC (User Account Control<\/em><\/strong>). Se las recomiendo, el material original se encuentra publicado en el site de Microsoft<\/em><\/strong> (link<\/strong><\/span><\/a>).<\/p>\n

Saludos, Roberto Di’Lello.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 <\/span><\/p>\n

Control de Cuentas de Usuarios y SQL Server<\/h3>\n

Publicado: Agosto 15, 2007
\nPor Devendra Tiwari, Equipo de Productos de Microsoft SQL Server
\n<\/em>Consultar otras columnas con Consejos del Mes sobre Seguridad<\/a><\/p>\n

\"*\"<\/p>\n

Windows Vista incluye un Control de Cuenta de Usuarios \u2013User Account Control (UAC)\u2013 en ingl\u00e9s, nueva funci\u00f3n que los administradores pueden utilizar para administrar el uso de privilegios elevados. En Windows Vista, los administradores y otros usuarios privilegiados no utilizan sus privilegios por default. En cambio, ejecutan la mayor\u00eda de las acciones como usuarios est\u00e1ndar; de hecho asumen sus privilegios de administrador s\u00f3lo cuando es necesario. La elevaci\u00f3n de privilegios ocurre en determinado nivel del proceso, lo cual significa que se eleva una \u00fanica instancia de la aplicaci\u00f3n. Por ejemplo, elevar el uso de CMD.exe no corre todos los procesos de CMD.exe en el mismo nivel de privilegios, a\u00fan cuando estos procesos se inicien al mismo tiempo.<\/p>\n

El UAC proporciona una serie de mecanismos mediante los cuales un programa ejecutable puede ser elevado para que se ejecute con un privilegio de administrador, desde el mismo momento en que es iniciado. Esto incluye la posibilidad de listar el nombre de la aplicaci\u00f3n en la base de datos de Windows (AppCompat), asociando un archivo manifiesto con el ejecutable, y haciendo clic derecho en el ejecutable para concretar la elevaci\u00f3n \u00fanica.<\/p>\n

Impacto en SQL Server<\/h4>\n

El Control de Cuenta de Usuarios afecta a Microsoft SQL Server en t\u00e9rminos de conectividad (log-in de SQL Server), y porque limita el acceso a recursos en la lista de control de accesos \u2013Access Control List (ACL)\u2013 del administrador.<\/p>\n

Conectividad de SQL Server<\/strong>
\nEn versiones anteriores a Windows Vista y Windows Server 2008, los miembros del grupo de administradores locales no necesitan sus propios log-ins de SQL Server, as\u00ed como tampoco necesitan contar con privilegios de administraci\u00f3n dentro de SQL Server. Se conectan a SQL Server como el servidor principal BUILTIN\\Administrators (B\\A), y adquieren privilegios de administraci\u00f3n porque B\\A es miembro del rol de servidor fijo sysadmin. Los derechos de administrador son restringidos en Windows Vista y Windows Server 2008, de tal manera que los usuarios administradores no pueden conectarse a una instancia de SQL Server simplemente por ser B\\A, a menos que se conecten desde una aplicaci\u00f3n de cliente elevada.<\/p>\n

Considere la siguiente situaci\u00f3n anterior a Windows Vista:<\/p>\n

1.Abby ejecuta Windows NT con un privilegio de administraci\u00f3n (desafortunadamente muy frecuente).<\/p>\n

2.Abby solicita conectarse a una instancia SQL Server, cosa que logra sin problemas, y por lo tanto ahora puede tomar cualquier decisi\u00f3n relativa a esta instancia.<\/p>\n

Siendo o no conciente de ello, Abby obtuvo acceso a una instancia SQL desde que el grupo de Windows \u201cBUILTIN\\Administrators\u201d es miembro del rol de servidor SQL Server, sysadmin. Cuando se ejecuta en Windows Vista y en Windows Server 2008, el intento de conexi\u00f3n falla<\/em>. El s\u00edmbolo de Abby no incluye privilegios de administrador; por lo tanto la instancia de SQL Server no reconoce su log-in como v\u00e1lido.<\/p>\n

ACLs del Administrador<\/strong>
\nEn las versiones anteriores a Windows Vista, los administradores tiene por default acceso irrestricto a los recursos locales de Windows, por ejemplo archivos, carpetas y el registro. Desde que en Windows Vista y en Windows Server 2008 los administradores ejecutan la mayor\u00eda de las acciones como usuarios est\u00e1ndar, su acceso a los recursos es limitado. Cualquier aplicaci\u00f3n de SQL Server que accede a archivos y carpetas, a valores y clave de registro, a servicios de sistema, a procesos del sistema operativo, o logs de eventos, depende de que B\\A no opere en Windows Vista y Windows Server 2008.<\/p>\n

El prop\u00f3sito de SQL Server consiste en permitir que los clientes trabajen en el nivel m\u00e1s bajo de privilegios, e igualmente obtengan una buena experiencia como usuarios finales en Windows Vista y Windows Server 2008 con el UAC habilitado. Microsoft SQL Server 2005 Service Pack 2 (SP2) enfrenta los siguientes problemas:<\/p>\n

\u2022SQL Server 2005 SP2 incluye una herramienta que puede ejecutarse desde Instalar o desde la herramienta SQL Server, Surface Area Configuration, y que permite agregar un usuario al rol de servidor fijo sysadmin para que pueda ejecutar acciones de administrador en SQL Server.<\/p>\n

\u2022SQL Server 2005 SP2 tambi\u00e9n cuenta con ejecutables de SQL Server electivamente elevados que ejecutan acciones de administrador en Windows.<\/p>\n

\u2022Para Microsoft SQL Server 2008, pensamos mejorar la adjudicaci\u00f3n de cuentas y toda la experiencia UAC. Durante el proceso de instalaci\u00f3n, usted podr\u00e1 disponer de m\u00e1s de una cuenta en el rol de servidor fijo sysadmin y ejecutar acciones de administrador en SQL Server. Tambi\u00e9n existir\u00e1 una mejor separaci\u00f3n entre la administraci\u00f3n de Windows y la de SQL Server.<\/p>\n

El impacto del UAC en SQL Server se encuentra documentado en http:\/\/msdn2.microsoft.com\/en-us\/library\/bb326612.aspx<\/a>.<\/p>\n

C\u00f3mo Ejecutar Aplicaciones de SQL Server en Forma Segura en Windows Vista y en Windows Server 2008<\/h4>\n

La versi\u00f3n admitida de SQL Server para Windows Vista y Windows Server 2008 es SQL Server 2005 SP2. Para ejecutar aplicaciones de SQL Server de manera segura, por favor tenga en cuenta los siguientes puntos:<\/p>\n

\u2022No<\/em> eleve las aplicaciones SQL Server 2005 SP2 por default. Entre las aplicaciones elevadas en SP2 se encuentran las siguientes, cuyos nombres se mantienen en ingl\u00e9s: Surface Area Configuration, SQL Diagnostics, SQL Configuration Manager, Reporting Services Configuration, Reporting Services Key Management, SQL Watson Error Reporting, and Hotfix.exe. Estas aplicaciones exigen acciones por parte de administradores de Windows NT y deben ser elevadas.<\/p>\n

\u2022No<\/em>eleve las aplicaciones cliente de SQL Server como SQL Server Management Studio (SSMS).<\/p>\n

\u2022Una vez finalizada la instalaci\u00f3n de SP2, se ejecuta la herramienta de aprovisionamiento de SQL Server. Es importante especificar el usuario en esta herramienta. A este usuario se le adjudica un log-in dentro de SQL Server con derechos de sysadmin, para que evite cualquier conflicto de conectividad despu\u00e9s de la instalaci\u00f3n de SP2, desde un cliente no-elevado de SQL Server. Si usted no especifica un usuario en la herramienta de aprovisionamiento, la instalaci\u00f3n de SP2 se dispondr\u00e1 como un log-in con privilegios de sysadmin. Este log-in puede entonces conectarse a la instancia SP2 despu\u00e9s de la instalaci\u00f3n, y les asigna a otros usuarios los roles apropiados.<\/p>\n

\u2022Para las aplicaciones de consola que requieren elevaci\u00f3n para la funci\u00f3n Ex Reporting Services Key Management (RSKeyMgmt.exe), ejec\u00fatelas desde un comando elevado.<\/p>\n

El documento SQL Server Security Best Practices \u2013Mejores Pr\u00e1cticas de Seguridad para SQL Server\u2013 cubre algunas de las tareas operativas y administrativas asociadas con la seguridad de SQL Server 2005, y enumera las mejores pr\u00e1cticas y las tareas operativas y administrativas que desembocan en un sistema SQL Server m\u00e1s seguro. Esta documentaci\u00f3n es una gu\u00eda de seguridad sobre reducci\u00f3n de superficie, modo de autentificaci\u00f3n, consideraci\u00f3n de cuenta de servicios, pol\u00edtica de claves, privilegios administrativos, autorizaci\u00f3n, encriptaci\u00f3n, auditor\u00eda y parches. Se encuentra disponible en http:\/\/www.microsoft.com\/technet\/prodtechnol\/sql\/2005\/sql2005secbestpract.mspx<\/a>.<\/p>\n

Oros Recursos<\/h4>\n

\u2022Contenido sobre el UAC de SQL Server 2005 SP2: http:\/\/msdn2.microsoft.com\/en-us\/library\/bb326612.aspx<\/a><\/p>\n

\u2022UAC de Windows Vista: http:\/\/www.microsoft.com\/technet\/windowsvista\/security\/uac.mspx<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Hace un tiempo recibi en un newsletter de Microsoft esta nota, y me parecio muy…<\/p>\n","protected":false},"author":1,"featured_media":4291,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[5,13],"tags":[],"class_list":["post-182","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-videos-noticias","category-vista-xp"],"_links":{"self":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/182","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=182"}],"version-history":[{"count":0,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/182\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/media\/4291"}],"wp:attachment":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=182"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=182"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=182"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}