Безопасность распределенного воспроизведения

Область применения: SQL Server 2016 (13.x), SQL Server 2017 (14.x) и SQL Server 2019 (15.x)

Внимание

SQL Server распределенное воспроизведение недоступна в SQL Server 2022 (16.x).

Прежде чем устанавливать и использовать компонент Microsoft SQL Server распределенное воспроизведение, ознакомьтесь с важными сведениями о безопасности в этом разделе. В этом разделе описываются шаги настройки мер безопасности после установки, необходимые перед началом использования распределенного воспроизведения. В этом разделе также описываются важные соображения по защите данных и важные шаги удаления.

Учетные записи пользователей и служб

В следующей таблице приведены описания учетных записей, применяемых для распределенного воспроизведения. После установки распределенного воспроизведения необходимо назначить субъектов безопасности для запуска учетных записей контроллера и службы клиента распределенного воспроизведения. Таким образом, рекомендуется настроить соответствующие учетные записи пользователей домена перед установкой компонентов распределенного воспроизведения.

Учетная запись пользователя Требования
Учетная запись службы контроллера распределенное воспроизведение SQL Server Эта учетная запись может быть учетной записью пользователя домена или учетной записью локального пользователя. Если используется учетная запись локального пользователя, средство администрирования, контроллер и клиент должны быть запущены на одном компьютере.

** Примечание о безопасности ** Мы рекомендуем не делать эту учетную запись членом локальной группы администраторов Windows.
Учетная запись службы клиента SQL Server распределенное воспроизведение Эта учетная запись может быть учетной записью пользователя домена или учетной записью локального пользователя. Для использования учетной записи локального пользователя контроллер, клиент и целевой сервер SQL Server должны быть запущены на одном компьютере.

** Примечание о безопасности ** Мы рекомендуем не делать эту учетную запись членом локальной группы администраторов Windows.
Интерактивная учетная запись пользователя, которая используется для запуска средства администрирования распределенного воспроизведения Эта учетная запись может быть учетной записью локального пользователя или учетной записью пользователя домена. Для использования учетной записи локального пользователя средство администрирования и контроллер должны быть запущены на одном компьютере.

Внимание

При настройке контроллера распределенного воспроизведения можно указать одну или несколько учетных записей, которые будут использоваться для запуска клиентских служб распределенного воспроизведения. Далее представлен список поддерживаемых учетных записей.

  • Учетная запись пользователя домена

  • Пользователь, который создал учетную запись локального пользователя

  • Администратор

  • Виртуальная учетная запись и управляемая учетная запись службы (MSA)

  • Сетевые службы, локальные службы и система

Учетные записи групп (локальные или доменные) и другие встроенные учетные записи (например, "Все") не принимаются.

Для настройки учетных записей службы или их паролей после установки распределенного воспроизведения вы можете использовать службы Windows. Чтобы изменить учетные записи службы, связанные со службами контроллера или клиента распределенного воспроизведения, выполните следующие действия.

  1. Для этого выполните одно из следующих действий в зависимости от операционной системы.

    • Нажмите кнопку Пуск, введите services.msc в поле Найти и нажмите клавишу ВВОД.

    • Нажмите кнопку Пуск, выберите пункт Выполнить, введите services.mscи нажмите клавишу ВВОД.

  2. В диалоговом окне Службы щелкните правой кнопкой мыши службу, которую требуется настроить, и выберите пункт Свойства.

  3. На вкладке Вход в систему выберите Указанная учетная запись.

  4. Настройте учетную запись пользователя, которую предстоит использовать.

Разрешения для папок и файлов

После того как были заданы учетные записи службы, необходимо предоставить этим учетным записям службы необходимые разрешения для файла и папок. Настройте разрешения для файлов и папок в соответствии со следующей таблицей.

Учетная запись Разрешения папки
Учетная запись службы контроллера распределенное воспроизведение SQL Server <Controller_Installation_Path>\DReplayController (чтение, запись и удаление)

DReplayServer.xml файл (чтение, запись)
Учетная запись службы клиента SQL Server распределенное воспроизведение <Client_Installation_Path>\DReplayClient (чтение, запись и удаление)

DReplayClient.xml файл (чтение, запись)

Рабочие и результирующие каталоги, как указано в файле конфигурации клиента элементами WorkingDirectory и ResultDirectory соответственно. (Чтение и запись)

Разрешения DCOM

DCOM используется для связи через удаленный вызов процедур (RPC) между контроллером и средством администрирования и между контроллером и всеми клиентами. После установки компонентов распределенного воспроизведения необходимо настроить разрешения DCOM на контроллере для компьютера и конкретных приложений на контроллере.

Чтобы настроить разрешения DCOM на контроллере, выполните следующие шаги.

  1. Откройте dcomcnfg.exe, оснастку "Службы компонентов": это средство, которое используется для настройки разрешений DCOM.

    1. На компьютере контроллера нажмите кнопку Пуск.

    2. Введите dcomcnfg.exe в поле Найти .

    3. Нажмите клавишу ВВОД.

  2. Настройте разрешения DCOM компьютера: предоставьте соответствующие разрешения DCOM компьютера каждой учетной записи, перечисленной в следующей таблице. Дополнительные сведения о методах настройки разрешений на компьютере см. в разделе Список задач: управление приложениями DCOM.

  3. Настройте разрешения DCOM для конкретного предложения: предоставьте соответствующие разрешения DCOM, связанные с конкретным приложением, каждой учетной записи, перечисленной в следующей таблице. Имя приложения DCOM для контроллера службы — DReplayController. Дополнительные сведения о методах настройки разрешений для конкретного приложения см. в разделе Список задач: управление приложениями DCOM.

В следующей таблице описаны разрешения DCOM, необходимые для интерактивной учетной записи пользователя средства администрирования и учетных записей службы клиента.

Функция Учетная запись Требуемые разрешения DCOM на контроллере
Средство администрирования распределенного воспроизведения Интерактивная учетная запись пользователя Локальный доступ

Удаленный доступ

Локальный запуск

Удаленный запуск

Локальная активация

Удаленная активация
Клиент распределенного воспроизведения Учетная запись службы клиента SQL Server распределенное воспроизведение Локальный доступ

Удаленный доступ

Локальный запуск

Удаленный запуск

Локальная активация

Удаленная активация

Внимание

Для защиты от вредоносных запросов или атак типа «отказ в обслуживании» проверьте, что используется только доверенная учетная запись пользователя для учетной записи службы клиента. Эта учетная запись сможет подключать и воспроизводить рабочие нагрузки в целевом экземпляре SQL Server.

Разрешения SQL Server

Учетные записи службы клиента SQL Server распределенное воспроизведение используются для подключения к целевому экземпляру рабочей нагрузки SQL Server. Для этих соединений поддерживается только режим проверки подлинности Windows.

После установки клиентской службы SQL Server распределенное воспроизведение на наборе компьютеров субъект безопасности, используемый для этих учетных записей служб, должен быть предоставлен роль сервера sysadmin на экземпляре SQL Server, с которым вы планируете воспроизвести рабочую нагрузку трассировки. Этот шаг не выполняется автоматически во время установки распределенного воспроизведения.

Защита данных

В среде распределенное воспроизведение следующие учетные записи пользователей предоставляют полный доступ к целевому экземпляру SQL Server, входным данным трассировки и файлам трассировки результатов:

  • Интерактивная учетная запись пользователя, которая используется для запуска средства администрирования.

  • Учетная запись службы контроллера.

  • Учетная запись службы клиента.

  • Члены локальной группы администраторов на контроллере.

  • Члены локальной группы администраторов на клиентах.

    Внимание

    Эти учетные записи имеют полный доступ к любой личной информации (PII) или конфиденциальной информации, содержащейся в файлах данных трассировки, промежуточной, диспетчеризации или SQL Server, которые использовались распределенное воспроизведение.

Рекомендуется применить следующие меры безопасности.

  • Сохраните входные данные трассировки, выходные результаты трассировки и файлы базы данных в местонахождении с файловой системой NTFS и примените соответствующие списки управления доступом (ACL). При необходимости зашифруйте данные, сохраненные на компьютере SQL Server. Учтите, что списки ACL не применяются к файлам трассировки и не происходит маскирования или запутывания данных. Эти файлы следует удалить немедленно после использования.

  • Примените соответствующие списки ACL и политики сохранения ко всем промежуточным файлам и файлам сообщений, которые создаются при распределенном воспроизведении.

  • В целях безопасности используйте протокол TLS, пришедший на смену SSL.

Важные шаги удаления

Рекомендуется использовать распределенное воспроизведение только в тестовой среде. После завершения тестирования и перед предоставлением этих компьютеров для выполнения другого задания обязательно выполните следующие действия.

  • Удалите компоненты распределенного воспроизведения и удалите соответствующие файлы конфигурации из контроллера и всех клиентов.

  • Удалите все файлы трассировки, промежуточной, диспетчеризации и базы данных SQL Server, которые использовались для тестирования. Промежуточные и переданные файлы хранятся в рабочем каталоге на контроллере и клиенте соответственно.

См. также