Les fonctionnalités de sécurité en un coup d'œil

Paru le 24 juin 2005 | Dernière mise à jour le 26 août 2005

Liens utiles

•	Sécurité et SQL Server 2005 : l'informatique de confiance

Cette page offre un aperçu des fonctionnalités de sécurité, nouvelles ou améliorées, qui sont disponibles dans SQL Server 2005.

•
Désactivation par défaut
Par défaut, SQL Server 2005 active seulement un nombre limité de fonctionnalités et de services fondamentaux, limitant ainsi les zones exposées du serveur et permettant aux administrateurs d'activer uniquement les services et fonctionnalités indispensables dans leur environnement.
Les services et composants désactivés par défaut dans SQL Server 2005 comprennent : Microsoft .NET Framework, la connectivité réseau de SQL Service Broker et la connectivité HTTP dans Analysis Services. Les autres services tels que SQL Server Agent, la recherche de texte intégral et le nouveau service SSIS (SQL Server Integration Services) sont définis en démarrage manuel et nécessitent dès lors une action explicite pour être définis en mode de démarrage automatique.
•
Contrôle d'autorisation granulaire
Un nouveau modèle de sécurité dans SQL Server 2005 permet aux administrateurs de gérer les autorisations de façon très précise et de définir l'étendue souhaitée, ce qui facilite la gestion des autorisations et permet de s'assurer que le principe des moindres privilèges est respecté.
•
Séparation des utilisateurs et du schéma
SQL Server 2005 simplifie l'administration de la sécurité en supprimant le lien implicite entre les utilisateurs et les objets de qu'ils possèdent. Par exemple, dans les versions précédentes de SQL Server, si vous vouliez supprimer un utilisateur, vous deviez d'abord supprimer ou réassigner les relations d'appartenance pour tous les objets de base de données dont un utilisateur particulier était propriétaire, ce qui compliquait considérablement le processus et pouvait avoir un impact sur un nombre important d'applications. Avec le nouveau modèle, supprimer des utilisateurs ne requiert plus de modifier des applications.
•
Stratégie de mot de passe appliquée pour les connexions standards
Les administrateurs ont la possibilité de spécifier des stratégies de style Microsoft Windows® pour les connexions standards de manière à appliquer une stratégie cohérente pour tous les comptes du domaine.
•
Exécution des modules dans un contexte de sécurité donné
SQL Server 2005 vous permet de spécifier un contexte de sécurité dans lequel les instructions d'un module s'exécutent. Cette fonctionnalité simplifie grandement la gestion des autorisations.
•
Déclencheurs DDL (Data Definition Language)
Avec SQL Server 2005, vous pouvez spécifier des déclencheurs dans les opérations DDL et offrir ainsi un système supplémentaire pour l'audit des actions DDL.
•
Chiffrement des données dans la base de données
SQL Server 2005 prend en charge les fonctionnalités de chiffrement au sein de la base de données elle-même, dans laquelle est incorporée une infrastructure de gestion de clés.
•
Authentification de cluster
Le cluster SQL Server 2005 prend en charge l'authentification Kerberos sur un serveur virtuel SQL Server 2005.
•
Comptes proxy multiples
SQL Server Agent prend en charge des comptes proxy multiples, un par sous-système de travail.
•
Aucune dépendance à la base de données LSA (Local Security Authority)
SQL Server Agent ne doit plus accéder à la base de données LSA pour utiliser des comptes proxy. Par conséquent, SQL Server Agent ne requiert plus que le service soit exécuté en tant qu'administrateur local pour qu'il soit activé.
•
Le Générateur de profils SQL ne requiert plus de droits d'administrateur système
Une nouvelle autorisation est disponible dans SQL Server 2005 pour permettre aux utilisateurs ne disposant pas de droits d'administrateurs d'exécuter le Générateur de profils SQL.
•
Chiffrement des communications client-serveur par défaut
Par défaut, les communications client-serveur sont chiffrées. La stratégie serveur peut être définie de manière à rejeter les communications non chiffrées.
•
Rôles d'administration granulaires pour Analysis Services
Davantage d'autorisations d'administration sont disponibles dans SQL Server 2005. Outre les administrateurs Analysis Services, les administrateurs de base de données peuvent disposer d'autorisations d'administration dans le contexte d'une base de données individuelle. De nouvelles autorisations pour les objets permettent aux utilisateurs de consulter la définition d'un objet (sans avoir accès à l'objet lui-même) et de traiter un objet.
•
Rôles des travaux SQL Server Agent
SQL Server Agent a été amélioré de manière à prendre en charge l'affectation de droits pour des travaux de façon granulaire.
•
Nouveaux outils de déploiement et fichiers d'aide
Un nouvel ensemble d'outils de déploiement et de documentation permettent de s'assurer que SQL Server 2005 peut être déployé en toute sécurité dans une topologie SQL Server existante ou une nouvelle installation. Dans le cadre d'une approche pas à pas, ces outils procurent des informations détaillées, analysent la topologie existante, vérifient la configuration préalable, recommandent des paramètres de configuration et valident chaque étape.
•
Fonctionnalités d'audit améliorées pour Analysis Services
SQL Server 2005 Analysis Services comprend de nouvelles fonctionnalités d'audit qui sont intégrées dans le Générateur de Profils.
•
Bulletins de sécurité
Selon les besoins, Microsoft publiera des bulletins de sécurité et des correctifs logiciels pour SQL Server 2005. Ces bulletins vous aident à comprendre et évaluer les menaces potentielles pour vos environnements existants et comment neutraliser ces menaces.
•
Assistant Microsoft IIS (Internet Information Services) Lockdown Wizard
Si vous avez l'intention de déployer SQL Server 2005 sur un une plate-forme Windows 2000 Server, l'Assistant IIS Lockdown Wizard est un outil puissant qui vous aidera à sécuriser votre environnement serveur Web. L'Assistant IIS Lockdown Wizard désactive les fonctionnalités qui ne sont pas utiles dans votre environnement, réduisant de ce fait la zone exposée aux attaques potentielles. Pour procurer une défense contre les attaques dans les multiples couches de protection, un outil appelé URLScan et proposant des modèles personnalisés pour chaque rôle serveur pris en charge est intégré dans l'Assistant IIS Lockdown Wizard.
Si vous déployez SQL Server 2005 sur une plate-forme Windows Server 2003, l'Assistant IIS Lockdown Wizard est intégré dans IIS 6.0.

Pour plus d'informations

Sécurité et SQL Server 2005 : l'informatique de confiance

Haut de page

•	Désactivation par défaut Par défaut, SQL Server 2005 active seulement un nombre limité de fonctionnalités et de services fondamentaux, limitant ainsi les zones exposées du serveur et permettant aux administrateurs d'activer uniquement les services et fonctionnalités indispensables dans leur environnement. Les services et composants désactivés par défaut dans SQL Server 2005 comprennent : Microsoft .NET Framework, la connectivité réseau de SQL Service Broker et la connectivité HTTP dans Analysis Services. Les autres services tels que SQL Server Agent, la recherche de texte intégral et le nouveau service SSIS (SQL Server Integration Services) sont définis en démarrage manuel et nécessitent dès lors une action explicite pour être définis en mode de démarrage automatique.
•	Contrôle d'autorisation granulaire Un nouveau modèle de sécurité dans SQL Server 2005 permet aux administrateurs de gérer les autorisations de façon très précise et de définir l'étendue souhaitée, ce qui facilite la gestion des autorisations et permet de s'assurer que le principe des moindres privilèges est respecté.
•	Séparation des utilisateurs et du schéma SQL Server 2005 simplifie l'administration de la sécurité en supprimant le lien implicite entre les utilisateurs et les objets de qu'ils possèdent. Par exemple, dans les versions précédentes de SQL Server, si vous vouliez supprimer un utilisateur, vous deviez d'abord supprimer ou réassigner les relations d'appartenance pour tous les objets de base de données dont un utilisateur particulier était propriétaire, ce qui compliquait considérablement le processus et pouvait avoir un impact sur un nombre important d'applications. Avec le nouveau modèle, supprimer des utilisateurs ne requiert plus de modifier des applications.
•	Stratégie de mot de passe appliquée pour les connexions standards Les administrateurs ont la possibilité de spécifier des stratégies de style Microsoft Windows® pour les connexions standards de manière à appliquer une stratégie cohérente pour tous les comptes du domaine.
•	Exécution des modules dans un contexte de sécurité donné SQL Server 2005 vous permet de spécifier un contexte de sécurité dans lequel les instructions d'un module s'exécutent. Cette fonctionnalité simplifie grandement la gestion des autorisations.
•	Déclencheurs DDL (Data Definition Language) Avec SQL Server 2005, vous pouvez spécifier des déclencheurs dans les opérations DDL et offrir ainsi un système supplémentaire pour l'audit des actions DDL.
•	Chiffrement des données dans la base de données SQL Server 2005 prend en charge les fonctionnalités de chiffrement au sein de la base de données elle-même, dans laquelle est incorporée une infrastructure de gestion de clés.
•	Authentification de cluster Le cluster SQL Server 2005 prend en charge l'authentification Kerberos sur un serveur virtuel SQL Server 2005.
•	Comptes proxy multiples SQL Server Agent prend en charge des comptes proxy multiples, un par sous-système de travail.
•	Aucune dépendance à la base de données LSA (Local Security Authority) SQL Server Agent ne doit plus accéder à la base de données LSA pour utiliser des comptes proxy. Par conséquent, SQL Server Agent ne requiert plus que le service soit exécuté en tant qu'administrateur local pour qu'il soit activé.
•	Le Générateur de profils SQL ne requiert plus de droits d'administrateur système Une nouvelle autorisation est disponible dans SQL Server 2005 pour permettre aux utilisateurs ne disposant pas de droits d'administrateurs d'exécuter le Générateur de profils SQL.
•	Chiffrement des communications client-serveur par défaut Par défaut, les communications client-serveur sont chiffrées. La stratégie serveur peut être définie de manière à rejeter les communications non chiffrées.
•	Rôles d'administration granulaires pour Analysis Services Davantage d'autorisations d'administration sont disponibles dans SQL Server 2005. Outre les administrateurs Analysis Services, les administrateurs de base de données peuvent disposer d'autorisations d'administration dans le contexte d'une base de données individuelle. De nouvelles autorisations pour les objets permettent aux utilisateurs de consulter la définition d'un objet (sans avoir accès à l'objet lui-même) et de traiter un objet.
•	Rôles des travaux SQL Server Agent SQL Server Agent a été amélioré de manière à prendre en charge l'affectation de droits pour des travaux de façon granulaire.
•	Nouveaux outils de déploiement et fichiers d'aide Un nouvel ensemble d'outils de déploiement et de documentation permettent de s'assurer que SQL Server 2005 peut être déployé en toute sécurité dans une topologie SQL Server existante ou une nouvelle installation. Dans le cadre d'une approche pas à pas, ces outils procurent des informations détaillées, analysent la topologie existante, vérifient la configuration préalable, recommandent des paramètres de configuration et valident chaque étape.
•	Fonctionnalités d'audit améliorées pour Analysis Services SQL Server 2005 Analysis Services comprend de nouvelles fonctionnalités d'audit qui sont intégrées dans le Générateur de Profils.
•	Bulletins de sécurité Selon les besoins, Microsoft publiera des bulletins de sécurité et des correctifs logiciels pour SQL Server 2005. Ces bulletins vous aident à comprendre et évaluer les menaces potentielles pour vos environnements existants et comment neutraliser ces menaces.
•	Assistant Microsoft IIS (Internet Information Services) Lockdown Wizard Si vous avez l'intention de déployer SQL Server 2005 sur un une plate-forme Windows 2000 Server, l'Assistant IIS Lockdown Wizard est un outil puissant qui vous aidera à sécuriser votre environnement serveur Web. L'Assistant IIS Lockdown Wizard désactive les fonctionnalités qui ne sont pas utiles dans votre environnement, réduisant de ce fait la zone exposée aux attaques potentielles. Pour procurer une défense contre les attaques dans les multiples couches de protection, un outil appelé URLScan et proposant des modèles personnalisés pour chaque rôle serveur pris en charge est intégré dans l'Assistant IIS Lockdown Wizard. Si vous déployez SQL Server 2005 sur une plate-forme Windows Server 2003, l'Assistant IIS Lockdown Wizard est intégré dans IIS 6.0.