自動的に作成されたNT AUTHORITYおよびNT SERVICEアカウントを削除する

そのため、最近ジョブを移動しました。新しいSQL Serverのインストール用のビルドスクリプトで見つけたコードの一部を以下に示します。

IF EXISTS ( SELECT  *
            FROM    [sys].[syslogins]
            WHERE   [name] = N'NT AUTHORITY\SYSTEM' )
    BEGIN
        DROP LOGIN [NT AUTHORITY\SYSTEM];
    END

IF EXISTS ( SELECT  *
            FROM    [sys].[syslogins]
            WHERE   [name] = N'NT SERVICE\SQLWriter' )
    BEGIN
        DROP LOGIN [NT SERVICE\SQLWriter];
    END

IF EXISTS ( SELECT  *
            FROM    [sys].[syslogins]
            WHERE   [name] = N'NT SERVICE\Winmgmt' )
    BEGIN
        DROP LOGIN [NT SERVICE\Winmgmt];
    END
GO

これらのアカウントは、デフォルトでSQL Serverのインストールプロセス中に作成されます。

上記のログインを削除することをお勧めしますか？これにより引き起こされる可能性のある副作用はありますか？これらのログインは何に使用されますか？

私が読んですることができます私はNT SERVICE \ SQLWRITERおよびNT SERVICE \にWinmgmtログインを削除しますか？しかし、それだけでは十分ではありません。彼らが何を必要としているのかはわかりますが、他にはほとんどありません。sysadminアクセスが必要ですか？等

例として（Windowsサービスアカウントとアクセス許可の構成から取得）：

ローカルシステムは、非常に高い特権を持つビルトインアカウントです。ローカルシステムに対する広範な権限を持ち、ネットワーク上のコンピュータとして機能します。アカウントの実際の名前はNT AUTHORITY\SYSTEMです。

これをどのように読むべきですか？これらの「高い」特権を残すべきですか？

投票する前に、これらのアカウントが次のようにスクリプト化される正当な理由について参照できる正式なドキュメントがあります：STIGルールSV-53421r2_rule。これらのコントロールはSQL Serverのバージョン固有ですが、最近のバージョンには他にも多くのコントロールがあります。これらの管理下にある組織で働いており、パブリックロールに与えられているデフォルトの付与を取り消すなど、より厳しい管理を遵守している場合、事態はすぐに複雑化する可能性があります。

これらの制御下にある環境での経験があるので、NT SERVICE\SQLWriterおよびNT SERVICE\Winmgmtアカウントの両方を完全に無効化/削除できますが、SQL Serverサービスが十分なOSレベルの適切なサービスアカウントで実行されていることを確認する必要があります十分にロックダウンされたドメインサービスアカウント、またはさらに優れたスタンドアロンまたはグループの管理されたサービスアカウントなどの権限。繰り返しますが、十分なテストを実行しない場合、カードの家の領域に侵入するため、OSの権限は慎重に扱う必要があります。

NT AUTHORITY\SYSTEMアカウントに関しては、これは、可用性グループを実行する予定がある場合に削除するアカウントではありません。実際、STIG SV-93835r1_ruleには、CONNECT SQLデフォルトで許可された権限のみを保持する必要があると記載されています。可用性グループがある場合、このアカウントには次の追加のアクセス許可も必要です。

• 可用性グループを変更
• サーバーの状態を表示
• EXECUTE ON [sys]。[sp_server_diagnostics]
• EXECUTE ON [sys]。[sp_availability_group_command_internal]

これらの制限は王室の苦痛となる可能性がありますが、それらの使用と権限セットを制限する必要がある正当な理由があります。これらのガイドラインに当てはまらない場合は、自分で賛成し、これらの手順をコメントアウトしてください。

お役に立てば幸いです。