Backup и Restore

8.1.      Защита файлов резервных копий и их носителей
8.2.      Восстановление на другом сервере
8.2.1.   Mixed Mode
8.2.2.   Windows Authentication (Тот же домен)
8.2.3.   Windows Authentication (Другой домен)
            - Пользователи доверенного домена
            - Пользователи из нового домена
            - Пользователь из любого домена с одинаковым именем и паролем
8.3.      Прикрепление и открепление файлов базы данных
8.4.      Настройка безопасности Windows
8.4.1.   Отключите учётную запись Windows - Гость
8.4.2.   Ограничьте физический доступ

8. Backup и Restore

8.1. Защита файлов резервных копий и их носителей

Метод обеспечения безопасности резервных копий SQL Server 2000 заключается в создании их в виде файлов, и последующем использовании программы резервного копирования Windows NT для резервирования этих файлов с закрытием копии паролем. Это гарантирует то, что только те, кто знают пароль, смогут восстановит эти файлы. SQL Server 2000 поддерживает установку паролей непосредственно для набора резервных копий.
Файлы резервных копий должны быть размещены на NTFS разделе с таким набором прав на их каталог, чтобы лишить доступа к файлам обычных пользователей.
Если устройства резервирования могут быть защищены физически, стандартная резервная копия SQL Server 2000 не будет подвержена никаким рискам безопасности. Однако, даже когда устройства резервирования имеют возможность установки пароля, сами данные не будут зашифрованы и могут быть прочтены, если устройства резервирования не будут иметь физической защиты.

[В начало]

8.2. Восстановление на другом сервере

Есть три наиболее типичных варианта, встречающиеся при восстановлении базы данных на другом сервере. Первый - когда старый сервер (где была исходная база данных) и новый сервер (куда база данных восстанавливается) использует для аутентификации Mixed Mode.
Второй и третий варианты применяются, когда используется Windows Authentication Mode. Различие между ними в том, что во втором варианте база данных восстанавливается на сервере в том же самом домене, в то время как третий вариант подразумевает восстановление на сервере в другом домене.

[В начало]

8.2.1. Mixed Mode

При восстановлении базы данных на сервере, использующем модель безопасности с аутентификацией Mixed Mode, безопасность базы данных нарушается. Это происходит потому, что логины хранятся в таблице sysxlogins базы данных master, а права пользователя в базе данных хранятся в таблице sysusers соответствующей базы данных. Логическая связь между логином пользователя в таблице sysxlogins и пользователем в таблице sysusers построена на 16 байтном GUID. Связь по этому GUID при режиме аутентификации Mixed Mode приводит к тому, что когда база данных будет восстановлена на другом SQL Server 2000, ссылки между таблицами sysxlogins и sysusers будут нарушены (поскольку наборы логинов разные), и, таким образом, доступ к базе данных никому предоставлен не будет. Исключение составляют только члены группы sysadmin. Все членства в ролях и права пользователей должны быть восстановлены вручную.

[В начало]

8.2.2. Windows Authentication (Тот же домен)

Если база данных восстанавливается на SQL Server 2000 другого компьютера из того же домена, права в базе данных сохранятся. Единственное, на что стоит обратить внимание, для пользователей, которым предоставлен доступ к серверу, это то, что права доступа к серверу будет предоставлены для каждого экземпляра SQL Server.
Например, пусть Боб является членом группы SALES, а группе SALES предоставлены права на подключение к SQLServer1. Бобу предоставлены права доступа к коммерческой базе данных. Когда коммерческая база данных будет восстановлена на SQLServer2, его права на восстановленную базу сохранятся. Однако, потому что группе SALES не будет предоставлено право входа в систему сервера, Боб не сможет использовать эту базу. Если администратор предоставит права доступа к серверу для группы Everyone, Боб сможет работать с коммерческой базой данных. Это произойдёт потому, что единственное препятствие для Боба при использования коммерческой базы данных - это отсутствие регистрации на сервере.
При восстановлении базы данных на другом сервере того же домена, права в базе данных остаются неизменными, но права для регистрации на этом сервере могут оказаться не предоставленными.

[В начало]

8.2.3. Windows Authentication (Другой домен)

При восстановлении базы данных в другом домене стоит рассмотреть несколько возможных сценариев, которые возможны для пользователей, желающих подключится к восстановленной базе данных.

[В начало]

Пользователи доверенного домена

Если между старым и новым доменом Windows были установлены доверительные отношения, и новый домен доверяет старому, пользователи старого домена смогут использовать базу данных, и сохранят свои прежние права, при условии, что им предоставлено право подключения к SQL Server.
Пользователи из других доверенных доменов не будут иметь прав на подключение к базе данных, это похоже на пользователей из нового домена.

[В начало]

Пользователи из нового домена

Ни один из пользователей нового домена не будет иметь доступа, поскольку их SID не существуют в таблице sysusers восстановленной базы данных.
Единственным исключением является учетная запись Windows - BUILTIN. Эта учётная запись всегда имеют один и тот же SID на всех серверах, и любые права, предоставленные учетной записи BUILTIN (например, для локальной группы administrators), сохраняются неизменными. Учётная запись BUILTIN должна иметь право входа в систему, а SQL Server должен быть установлен на контроллере домена.

[В начало]

Пользователь из любого домена с одинаковым именем и паролем

В большинстве случаев использования безопасности Windows, когда требуется доступ к ресурсу, который находится не в домене запрашивающего ресурс пользователя, он может обращаться к ресурсу, если для него в этом домене существует учетная запись с той же самой комбинацией имени пользователя и пароля. Такое поведение системы безопасности прозрачно для пользователя. Это будет работать при условии, что пользователь для подключения к серверу использует именованные каналы, и если он сначала устанавливает подключение к совместно используемому файловому ресурсу. Также этот метод работает, если пользователь хочет использовать учетную запись с другим именем, и если он работает в операционной системе Windows. Если пользователь лишен доступа при соединении с файловым ресурсом на компьютере с операционной системой Windows NT 4.0 или 2000 (и этот пользователь в настоящее время не использует других учётных данных на этом компьютере), такая возможность предоставляется для обеспечения входа в систему по имени пользователя и его паролю.

[В начало]

8.3. Прикрепление и открепление файлов базы данных

Проблемы, связанные с прикреплением и откреплением файлов базы данных идентичны тем, которые были рассмотрены разделе "Восстановление на другом сервере" этой статьи. Разница только в создании базы данных перед восстановлением.

[В начало]

8.4. Настройка безопасности Windows

SQL Server 2000 полагается на архитектуру безопасности Windows. Поэтому, все принципы безопасности, которые применяются в Windows, также справедливы и для SQL Server 2000.

[В начало]

8.4.1. Отключите учётную запись Windows - Гость

При работе SQL Server 2000 в Windows Authentication Mode, сервер передаёт Windows работу по аутентификации пользователей. При этом, следует учитывать все сильные и слабые стороны системы безопасности Windows. Например, Microsoft рекомендует, что бы учётная запись Windows - "Гость" была заблокирована.

[В начало]

8.4.2. Ограничьте физический доступ

К серверам, использующим Windows, рекомендуется ограничить физический доступ. Одним из рисков несанкционированного физического доступа является возможность запуска сервера с гибкого диска и получения доступа к файловой системе Windows NT.

[В начало]