32、SQL Server服务账户配置全解析

最新推荐文章于 2025-09-02 14:21:11 发布

c8d9e0f1

最新推荐文章于 2025-09-02 14:21:11 发布

阅读量138

点赞数

CC 4.0 BY-SA版权

分类专栏： SQL Server安全实战指南文章标签： SQL Server 服务账户配置凭据

本文链接：https://blog.youkuaiyun.com/c8d9e0f1/article/details/149615281

SQL Server安全实战指南专栏收录该内容

38 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

SQL Server服务账户配置全解析

一、服务器账户配置策略

在管理方面，有几种不同的SQL Server服务账户配置方法，每种方法都有其优缺点。

1. 每台服务器一个账户

从管理角度来看，这种方法相对简单。对于每台安装了Microsoft SQL Server的服务器，使用不同的域账户，但为每个安装的SQL Server服务使用相同的账户。这种技术要求为企业中安装的每个SQL Server创建一个新的Active Directory账户。由于默认情况下SQL Server无法相互访问彼此的数据（除非授予特定权限），因此这是一种安全的技术。

不过，这种方法也有缺点。需要在某种存储库中管理所有不同的用户名和密码，管理和维护的工作量较大。当从生产环境中移除SQL Server时，还需要删除相应的账户。

在密码更改方面，情况既简单又复杂。一方面，由于有数十个甚至数百个域账户需要更改密码，特别是当数据库管理员离职时可能需要一次性更改所有密码，这使得密码更改变得困难；另一方面，不需要一次性重启企业中的所有SQL服务，可以分批更改密码，每次只需要重启少数服务器和应用程序，从而大大减少更改的影响，并提高密码更改的成功率。

2. 每个服务一个账户

这种方法的管理开销最大，但也是最安全的。为SQL Server服务安装的每个服务使用单个域账户。每次在企业中安装新的SQL Server时，需要创建三到十个左右的域账户。

由于每个账户仅具有其正常运行所需的最低权限，因此如果任何账户被泄露，攻击者使用受损凭据所能造成的损害将降至最低。然而，在拥有数百台或数千台运行Microsoft SQL Server的服务器的大型企业中，需要更改的域账户数量可能达到数千甚至数万个，管理难度较大。不过，与每台服务器一个账户的方法一样，这些账户的密码也可以分批更改。

3. 使用本地服务账户运行SQL Server服务

这是一种比应使用频率更高的选项。SQL Server安装程序在安装过程中允许选择两种本地系统账户：本地服务账户和网络服务账户。

在较旧版本的Windows Server（如Windows Server 2003及更早版本）中，这些账户实际上是服务器上本地管理员组的成员，这使得SQL服务拥有了超出其所需的权限，存在不可接受的安全风险。

在较新的Microsoft Windows操作系统（如Windows 2008及更高版本）中，情况有所改善。当服务在这些账户下运行时，实际上会创建新的伪账户，如“NT SERVICE\MSSQLSERVER”或“NT SERVICE\SQLSERVERAGENT”。这允许每个服务在自己的安全上下文中运行，并且无法访问其他服务的资源，还可以更精细地授予Windows安全权限。

使用这些特定于服务的账户的优点是无需更改密码，并且如果账户运行的服务被泄露，攻击者在没有授予特定权限的情况下无法访问该服务之外的资源。然而，缺点也很明显，例如无法更改账户密码（如果账户被泄露），以及难以跨服务器授予权限。

例如，当SQL Server服务和SQL Server Agent服务都配置为在本地网络服务下运行时，如果需要访问网络共享上的文件，需要授予计算机账户相应的权限。但这样一来，任何在该服务器上以网络服务账户运行的进程都将拥有相同的权限，从安全角度来看，这并不是一个好主意。

二、SQL Server中的凭据和代理账户

1. 凭据

凭据是SQL Server数据库引擎中一种特殊的登录方式，最早在SQL Server 2005中引入，但当时被误解且很少使用。凭据允许SQL服务在运行SQL Agent进程之外的进程时模拟另一个域账户。

与传统的Windows账户通过Windows登录授予SQL Server权限不同，创建凭据时，必须将Windows账户的用户名和密码存储在SQL Server数据库中，以便SQL Server可以使用这些信息启动进程。

创建凭据非常简单，可以通过SQL Server Management Studio或T-SQL语句来完成。以下是使用T-SQL创建凭据的示例：

CREATE CREDENTIAL [Sharepoint Account] 
WITH IDENTITY = N'BACON\SharePointServiceAccount', 
SECRET = N'SuperSecretPa$$w0rd!'
GO

创建凭据后，它本身的用途有限，不能用于登录SQL Server，也不能与EXECUTE AS语句一起使用。如果需要将某个账户用作凭据，同时又要让它能够登录SQL服务数据库引擎，则需要像添加任何域账户一样，将使用相同域账户的登录添加到SQL Server实例中。

有两个系统目录视图与凭据相关，分别是sys.credentials和sys.principal_credentials。sys.credentials系统目录视图包含每个凭据的信息，如ID号、名称、域账户、创建时间和最后修改时间；sys.principal_credentials系统目录视图显示主体和凭据之间的映射关系。传统登录（不包括包含式用户）可以映射到特定的凭据，这允许用户通过T-SQL访问Windows操作系统，并通过凭据访问文件系统。

将凭据映射到登录的操作步骤如下：
1. 编辑相关登录。
2. 勾选“Map to Credential”复选框。
3. 从复选框右侧的下拉列表中选择正确的凭据。
4. 点击下拉列表右侧的“Add”按钮。

使用T-SQL添加凭据到登录的示例如下：

ALTER LOGIN [SERENITY\dcherry] ADD CREDENTIAL [SomeCred]
GO

如果凭据使用的Windows账户的密码发生更改，则必须更新凭据，否则尝试使用该凭据的任何用户或SQL Agent作业将收到错误消息。

2. SQL Server Agent代理账户

SQL Server Agent代理账户与SQL Server凭据直接相关，没有在服务器上创建一个或多个凭据，就无法使用代理账户。

代理账户用于配置SQL Agent作业中的特定作业步骤，使其在与作业所有者不同的Windows账户（本地或域账户）下运行。常见的原因是作业步骤需要访问SQL Server Agent账户没有权限访问的网络资源，并且由于某些原因无法或不会授予这些权限。

创建SQL Server Agent代理账户的步骤如下：
1. 在对象资源管理器中连接到要添加代理账户的SQL实例。
2. 导航到“SQL Server Agent” > “Proxy Accounts”。
3. 右键单击“Proxy Accounts”，并从上下文菜单中选择“New Proxy…”。
4. 在打开的“New Proxy Account”窗口中，命名要创建的代理，并选择要使用的凭据。
5. 指定代理账户可以使用的SQL Server Agent子系统。

使用T-SQL创建代理账户的示例如下：

USE [msdb]
GO
EXEC sp_add_proxy @proxy_name=
N'SharePoint',@credential_name=N'SomeCred',
@enabled=1
GO
EXEC sp_grant_proxy_to_subsystem @proxy_name=N'SharePoint', 
@subsystem_id=11
GO

其中，@subsystem_id参数可以通过查询msdb数据库中的dbo.syssubsystems系统目录视图来获取。

下面是一个简单的mermaid流程图，展示了选择SQL Server服务账户配置方法的大致流程：

graph LR
    A[选择账户配置方法] --> B{每台服务器一个账户}
    A --> C{每个服务一个账户}
    A --> D{使用本地服务账户}
    B --> B1[管理用户名和密码]
    B --> B2[分批更改密码]
    C --> C1[创建多个域账户]
    C --> C2[降低受损风险]
    D --> D1{旧版Windows}
    D --> D2{新版Windows}
    D1 --> D11[存在安全风险]
    D2 --> D21[创建伪账户]
    D2 --> D22[精细授权]

综上所述，在选择SQL Server服务账户配置方法时，需要综合考虑企业的规模、应用程序的复杂度、密码更改的频率等因素，以确保所选方法既能满足安全需求，又能保证系统的可管理性。

配置方法	优点	缺点
每台服务器一个账户	安全，密码可分批更改	管理账户数量多，密码更改困难
每个服务一个账户	高度安全，受损影响小	管理开销大
使用本地服务账户	无需更改密码，服务隔离	旧版有风险，跨服务器授权难

三、凭据和代理账户的应用场景及注意事项

1. 凭据的应用场景

凭据在许多场景中都非常有用，特别是在需要SQL Server服务模拟其他域账户进行操作的情况下。例如，当SQL Server需要访问外部资源，如文件共享、远程数据库等，而这些资源需要特定的域账户权限时，凭据就可以发挥作用。

假设SQL Server需要从一个受保护的文件共享中读取数据，而该文件共享只允许特定的域账户访问。此时，可以创建一个凭据，将该域账户的用户名和密码存储在SQL Server中，然后在需要访问文件共享的作业或进程中使用该凭据。

以下是一个使用凭据进行文件读取的示例：

-- 创建凭据
CREATE CREDENTIAL [FileShareCredential] 
WITH IDENTITY = N'DOMAIN\FileShareUser', 
SECRET = N'FileSharePassword'
GO

-- 使用凭据进行文件读取操作（示例代码，具体操作根据实际情况调整）
-- 假设这里有一个SQL Agent作业，需要从文件共享中读取数据
-- 首先创建一个代理账户并关联凭据
USE [msdb]
GO
EXEC sp_add_proxy @proxy_name = N'FileShareProxy', @credential_name = N'FileShareCredential', @enabled = 1
GO
EXEC sp_grant_proxy_to_subsystem @proxy_name = N'FileShareProxy', @subsystem_id = 11 -- 假设子系统ID为11
GO

-- 在作业步骤中使用代理账户
-- 这里省略作业创建和步骤配置的详细代码，仅展示使用代理账户的关键部分
-- 在作业步骤中指定使用代理账户
-- 例如，在T-SQL步骤中可以使用代理账户执行相关操作

2. 代理账户的应用场景

代理账户主要用于解决SQL Agent作业步骤在不同权限环境下运行的问题。例如，一个SQL Agent作业可能包含多个步骤，其中某些步骤需要访问特定的网络资源，而这些资源的访问权限与作业所有者的权限不同。此时，可以为这些步骤创建代理账户，使其在具有相应权限的账户下运行。

以下是一个具体的应用场景示例：
某公司的SQL Server需要定期从外部数据源（如FTP服务器）下载数据，并将其导入到本地数据库中。由于FTP服务器的访问需要特定的用户名和密码，而SQL Server Agent账户没有这些权限，因此可以创建一个代理账户，将FTP账户的凭据关联到该代理账户上，然后在SQL Agent作业的下载步骤中使用该代理账户。

创建代理账户和配置作业步骤的操作步骤如下：
1. 创建凭据：

CREATE CREDENTIAL [FTPAccountCredential] 
WITH IDENTITY = N'FTP\FTPUser', 
SECRET = N'FTPUserPassword'
GO

创建代理账户并关联凭据：

USE [msdb]
GO
EXEC sp_add_proxy @proxy_name = N'FTPProxy', @credential_name = N'FTPAccountCredential', @enabled = 1
GO
EXEC sp_grant_proxy_to_subsystem @proxy_name = N'FTPProxy', @subsystem_id = 11 -- 假设子系统ID为11
GO

配置SQL Agent作业步骤：
在SQL Server Management Studio中，打开作业的属性窗口，选择需要使用代理账户的步骤，在步骤属性中选择“运行方式”为创建的代理账户。

3. 注意事项

在使用凭据和代理账户时，需要注意以下几点：
- 密码管理 ：由于凭据需要存储Windows账户的用户名和密码，因此密码的安全性至关重要。建议定期更改密码，并及时更新凭据中的密码信息，以防止密码泄露导致的安全风险。
- 权限管理 ：确保凭据和代理账户只被授予必要的权限，避免过度授权。同时，定期审查和清理不再使用的凭据和代理账户，以减少潜在的安全漏洞。
- 错误处理 ：当凭据或代理账户出现问题时，如密码过期、权限不足等，SQL Server作业可能会失败。因此，需要在作业中设置适当的错误处理机制，以便及时发现和解决问题。

四、总结与最佳实践

1. 总结

通过对SQL Server服务账户配置的多种方法（每台服务器一个账户、每个服务一个账户、使用本地服务账户）、凭据和代理账户的详细介绍，我们了解到不同的配置方法和功能在安全性、管理性和应用场景方面各有优缺点。

每台服务器一个账户方法在安全性和密码管理方面有一定优势，但管理账户数量较多；每个服务一个账户方法安全性最高，但管理开销大；使用本地服务账户方法在新版Windows中有一定优势，但旧版存在安全风险。凭据和代理账户则为SQL Server服务提供了模拟其他域账户进行操作的能力，增强了SQL Server的灵活性和功能性。

2. 最佳实践

根据企业规模和需求选择配置方法 ：对于小型企业或测试环境，可以考虑使用每台服务器一个账户或使用本地服务账户的方法，以简化管理；对于大型企业或对安全性要求较高的环境，建议使用每个服务一个账户的方法。
合理使用凭据和代理账户 ：在需要SQL Server服务模拟其他域账户进行操作时，合理创建和使用凭据和代理账户，并严格管理其权限和密码。
定期审查和维护 ：定期审查服务账户、凭据和代理账户的配置和使用情况，清理不再使用的账户和凭据，及时更新密码和权限信息，以确保系统的安全性和稳定性。

下面是一个mermaid流程图，展示了凭据和代理账户的使用流程：

graph LR
    A[开始] --> B{是否需要模拟其他账户操作}
    B -->|是| C[创建凭据]
    B -->|否| D[正常操作]
    C --> E[创建代理账户并关联凭据]
    E --> F[配置作业步骤使用代理账户]
    F --> G[执行作业]
    G --> H{作业是否成功}
    H -->|是| I[结束]
    H -->|否| J[检查凭据和代理账户配置]
    J --> K[更新密码或权限]
    K --> C

配置项	最佳实践建议
服务账户配置	根据企业规模和安全需求选择合适的方法
凭据	仅存储必要的账户信息，定期更新密码
代理账户	仅授予必要的子系统权限，定期审查使用情况

通过遵循这些最佳实践，可以更好地管理SQL Server服务账户，提高系统的安全性和可管理性，确保SQL Server在各种环境下稳定运行。