উইন্ডোজ প্রশাসকের জন্য অ্যাক্সেসকে সীমাবদ্ধ করুন

হিসাবে SQL সার্ভার সর্বোত্তম কার্যাভ্যাস বলেন, " উইন্ডোজ প্রমাণীকরণ মোড এসকিউএল প্রমাণীকরণ চেয়ে অধিক নিরাপদ "। এবং এখন আমি জানতে চাই: এসকিউএল সার্ভারকে উইন্ডোজ প্রশাসকের অধিকারের সাথে ব্যবহারকারীর হাত থেকে রক্ষা করার কোনও উপায় আছে কি?

না।

যদি কোনও ব্যবহারকারী কোনও বাক্সের উইন্ডোজ প্রশাসক হন তবে ধরে নিন যে বাক্সে তাদের সমস্ত কিছুই রয়েছে (এসকিউএল সার্ভার সহ)। উইন্ডোজ প্রশাসকের অধিকারের সাথে আপনি অন্য যে কোনও ব্যক্তির ছদ্মবেশ ধারণ করে (যেমন NT AUTHORITY\SYSTEMসমস্ত স্থানীয় এসকিউএল সার্ভারের উদাহরণগুলিতে প্রকৃত অ্যাডমিনের অধিকার পেয়েছেন ) কোনও ব্যক্তির নকল করে (আপনি যেমন ব্যবহারকারীর নাম সনাক্ত করে এমন লগন ট্রিগার) প্রয়োগ করেন এমন কোনও লক্ষ্যযুক্ত সুরক্ষা বাইপাস করা তুচ্ছ । নিরীক্ষণ খুব একটা কাজে দেয় না, কারণ তারা সহজেই এটিকে বন্ধ করতে পারে, তবে আপনার ক্ষেত্রে এটি হওয়া উচিত you

আপনি যদি কারও উপর বিশ্বাস না করেন, তবে তাদের উইন্ডোজ প্রশাসকের অধিকার, সময়কাল দিন না।

না, স্থানীয় প্রশাসকদের sysadminকোনও এসকিউএল সার্ভারের অ্যাক্সেস থেকে সম্পূর্ণরূপে প্রতিরোধ করা সম্ভব নয় ।

যদি উদাহরণটি একক-ব্যবহারকারী মোডে পুনরায় চালু করা হয় , স্থানীয় প্রশাসকদের sysadminসুযোগ - সুবিধার অনুমতি দেওয়ার জন্য এসকিউএল সার্ভার কঠোর কোডে রয়েছে , যদিও সেখানে কোনও স্পষ্ট লগইন নাও থাকতে পারে। এর উপস্থিতির কারণটি পুনরুদ্ধারের উদ্দেশ্যে, কারণ নিজেকে একটি দৃষ্টিকোণ থেকে লক করা সম্ভব।

এটি বলেছে যে, মাল্টি-ইউজার মোডে চলমান অবস্থায় অ্যাক্সেস সীমাবদ্ধ করা (কোনও পরিষেবা বাধা ছাড়াই) ততটা কঠিন নয়। অ্যারন যেমন উল্লেখ করেছেন, স্থানীয় প্রশাসকরা ছদ্মবেশ ধারণ করতে পারেন NT AUTHORITY\SYSTEM, এটি ডিফল্টরূপে sysadminএসকিউএল সার্ভার ২০০৮-এ তৈরি করা হয়েছিল একটি লেভেল লগইন the সার্ভার চলাকালীন অ্যাক্সেস পুনরুদ্ধার করতে এটি ব্যবহার করা যেতে পারে sysadmin। (দ্রষ্টব্য: এসকিউএল সার্ভার ২০১২-এ, এই লগইনটি আর হয় না sysadmin)) এই লগইনটি (আপগ্রেড / হট ফিক্স / ইত্যাদি, সম্ভবত) জন্য কী ব্যবহৃত হয় তা আমি ঠিক জানি না, তবে আমি মনে করি এটি সময়কালে ব্যতীত এটি অক্ষম করা নিরাপদ think এই ঘটনাগুলি। যদি অন্য কোনও অনির্বচনীয় লগইন না থাকে তবে এটি অ্যাক্সেস অস্বীকার করার জন্য পর্যাপ্ত হওয়া উচিত। আবার, কেবলমাত্র উদাহরণটি চলমান থাকলে নিরবচ্ছিন্ন ।

এসকিউএল ২০০৮ এবং ২০১২ সালে ডিফল্টরূপে উইন্ডোজ প্রশাসকদের কোনও এসকিউএল সার্ভারে কোনও ডিফল্ট অ্যাক্সেস নেই। উইন্ডোজ প্রশাসকের জন্য (যেমন, যে কোনও একটি ডোমেন প্রশাসক বা স্থানীয় প্রশাসক) এর অ্যাক্সেস পাওয়ার জন্য, তাদের লগইনকে স্পষ্টভাবে অ্যাক্সেস দেওয়া উচিত বা এসকিউএল সার্ভারের মধ্যেই অধিকারের পাশাপাশি তারা যে গোষ্ঠীটি অ্যাক্সেসের অধিকারী তার সাথে যোগাযোগ করতে হবে। উদাহরণস্বরূপ সেট আপ করার সময় আপনার প্রয়োজন হয় প্রশাসনিক হিসাবে একটি সক্রিয় ডিরেক্টরি লগইন বা গোষ্ঠী নির্দিষ্ট করার জন্য, তবে সেই লগইন / গোষ্ঠীটি আপনার ডোমেনের যে কেউ হতে পারে।

এসকিউএল 2005-এ BUILTIN\Administratorsসিসাদমিন অ্যাক্সেস অধিকার সহ একটি গ্রুপ ছিল । এই গোষ্ঠীটি স্থানীয় প্রশাসকদের এসকিউএল সার্ভারে সিসাদমিন অ্যাক্সেসের অনুমতি দেবে। এই গ্রুপটি এসকিউএল সার্ভার থেকে সরানো যেতে পারে এবং এটি করার সর্বোত্তম অনুশীলন হিসাবে বিবেচিত হয়েছিল।

বলা হচ্ছে, এসকিউএল সার্ভার যে সার্ভারে থাকে সেটিকে উইন্ডোজ (স্থানীয় বা ডোমেন) প্রতিরোধ করার কোনও উপায় নেই। এর অর্থ প্রশাসকরা এখনও পরিষেবা এবং ওএস স্তরের কনফিগারেশন, ডিরেক্টরি সুরক্ষা পরিবর্তন এবং অন্যান্য ওএস স্তরের কার্যগুলিকে প্রভাবিত করতে পারে। এটি সর্বোপরি, কেন তারা উইন্ডোজ প্রশাসক।

সাধারণভাবে, আপনার এসকিউএল সার্ভার এবং উইন্ডোজ উভয়ই আপনার প্রশাসককে বিশ্বাস করা উচিত। উইন্ডোজ প্রশাসকরা এসকিউএল সার্ভারের মধ্যেই কার্য সম্পাদন করতে বা ডেটা (ডিফল্টরূপে) অ্যাক্সেস করতে না পারার পরেও তারা আপনার এসকিউএল সার্ভারের যে পরিবেশে বাস করে সেখানে নিয়ন্ত্রণ করে। আপনি এই চরিত্রগুলিকে কাকে নিযুক্ত করেছেন সে সম্পর্কে আপনার যত্ন নেওয়া দরকার।