Search
Home
Agenda
Links
Bloggers
Over PASS Nederland
       User benefits
       Geregistreerd... en dan?
       Sponsoring
Artikelen
       Cursussen en certificering
          SQL Server 2000
          SQL Server 2005
             Examenrecensies
Archief nieuwsbrieven
       2005
          Nieuwsbrief 1 / 09-10-2005
       2006
          Nieuwsbrief 2 / 16-01-2006
          Nieuwsbrief 3 / 11-03-2006
          Nieuwsbrief 4 / 11-04-2006
          Nieuwsbrief 5 / 08-05-2006
          Nieuwsbrief 6 / 18-06-2006
          Nieuwsbrief 7 / 27-08-2006
          Nieuwsbrief 8 / 20-10-2006
          Nieuwsbrief 9 / 22-12-2006
       2007
          Nieuwsbrief 10 / 04-02-2007
          Nieuwsbrief 11 / 05-03-2007
          Nieuwsbrief 12 / 02-04-2007
          Nieuwsbrief 13 / 01-05-2007
          Nieuwsbrief 14 / 01-06-2007
          Nieuwsbrief 15 / 02-09-2007
          Nieuwsbrief 16 / 04-10-2007
          Nieuwsbrief 17 / 05-11-2007
          Nieuwsbrief 18 / 06-12-2007
       2008
          Nieuwsbrief 19 / 12-01-2008
          Nieuwsbrief 20 / 14-02-2008
          Nieuwsbrief 21 / 02-05-2008
          Nieuwsbrief 22 / 16-06-2008
          Nieuwsbrief 23 / 01-08-2008
          Nieuwsbrief 24 / 13-11-2008
          Nieuwsbrief 25 / 01-12-2008
       2009
          Nieuwsbrief 26 / 07-02-2009
          Nieuwsbrief 27 / 09-03-2009
          Nieuwsbrief 28 / 01-04-2009
          Nieuwsbrief 29 / 04-06-2009
          Nieuwsbrief 30 / 02-09-2009
          Nieuwsbrief 31 / 06-10-2009
          Nieuwsbrief 32 / 07-11-2009
          Nieuwsbrief 33 / 04-12-2009
Forum

onze sponsors

microsoft_logo.gif


 

computrain_logo.JPG
Forum Login | Register
   Forum

 

Forums > Forums > DBA
Subject: wat als je geen sysadmin (meer) bent op server
Prev Next
You are not authorized to post a reply.

Author Messages
Eduard BeijnesUser is Offline

Posts:37
02-11-2007 12:42:10 Alert 

Een paar weken terug was ik bezig met de installatie van sql server 2005 sp2. En iets waarvan je denkt "dat overkomt me niet" gebeurde me toch: bij het verwijderen van de build in administrators/local system had ik mezelf nog geen rechten gegeven . hierna kon ik dus ook niets meer en de nodig foutmeldinge vlogen me om de oren.

Aangezien installatie op dit systeem nogal tijd kost en ik niet opnieuw wilde installeren heb ik iets geprobeerd en het bleek te werken.

mijn korte notitie van toen:
procedure voor als je geen systemadmin meer bent:
(sql 2005sp2 uit gevoerd)

stop sql server services (allemaal)
start sqlservr.exe met de opties -c -f -m
laat deze "lopen"
start sqlcmd
type als commando's:
exec master..sp_addroleserver @loginame=N'domain\user', @rolename=N'sysadmin'
go
quit


hierna kun je sql server zelf stoppen met ctrl-c en de vraag met yes te beantwoorden

**einde notitie.

het betrof hier een windows authenticatie only systeem. domainnaam/user natuurlijk niet letterlijk overnemen.

bij securityscans krijg je het advies om de setupsoftware niet op een systeem te laten staan omdat een hacker heel makkelijk sql server opnieuw installeert en er dan bij kan ... maar de setupsoftware is blijkbaar niet nodig om system admin te verkrijgen zodra je op windows nivo op de server zit .

mocht je eens problemem hebben security wise ...doe er je voordeel mee.

note: in 1e instantie vond ik het wel heel erg makkelijk gaan maar ik realiseer me nu dat ik eigenlijk een recovery startup gebruik waar je ook bij master db problemen kunt troubleshooten.
An ape in an suit stays an ape.
Hugo KornelisUser is Offline

Posts:46
02-11-2007 23:23:56 Alert 
Hoi Eduard,

Is dit een vraag of een tip? In het eerste geval is me niet precies duidelijk wát je nu wilt weten.

Ik heb wel eens reacties gelezen van mensen die deze procedure als een beveiligingsrisico zien. Ik wil dat graag relativeren - als een hacker in staat is ziich zodanige toegang tot je server te verschaffen dat hij in staat is de SQL Server services te stoppen en vanaf de command line te herstarten dan héb je al een gigantisch lek, en dat wordt echt niet minder als deze procedure niet zou werken.

Verder nog een tip om dit in de toekomst eenvoudiger op te lossen - handhaaf in elk geval de 'sa' login, met een wachtwoord dat je kunt onthouden of ergens noteert. Met SQL Server authenticatie uitgeschakeld kan helemaal niemand hier iets mee - maar als je per ongeluk jezelf uitsluit, dan kun je via het editten van een registry key (geen idee welke, Google is je vriend) de SQL Server authenticatie weer inschakelen, inloggen als sa, jezelf weer rechten geven, en voilá!
Met vriendelijke groeten,

Hugo Kornelis (SQL Server MVP)
Eduard BeijnesUser is Offline

Posts:37
05-11-2007 10:37:19 Alert 
Dank voor je reactie Hugo,
je vraag is niet vreemd voor me aangezien ik "in de post" van gedachte wisselde. Het is bedoeld als tip.

Mijn 1e gedachte: wel heel makkelijk zo (qua beveiliging). Een directe opmerking heb ik weggehaald maar blijkbaar de toon niet :) Zoals je zelf stelt, als een hacker er al op zit ...
Latere gedachte: hoe wil je een beschadigde master repareren als sql server geen wachtwoorden meer kan verifieren. Ik neem aan dat deze mode je dus automatisch rechten geeft voor een recovery. De details van dit proces moet ik nog eens bekijken in detail.

Omdat windows/sql mode in de registry zit zetten we ook voor windows mode het wachtwoord voor sa. Het googlen heb ik overgeslagen omdat ik eens wilde weten of de genoemde wijze werkt. Soms is zelf "spelen" leuker :)
An ape in an suit stays an ape.
Eduard BeijnesUser is Offline

Posts:37
04-03-2008 11:44:38 Alert 

het commando dient te zijn:

sp_addsrvrolemember

 
An ape in an suit stays an ape.
You are not authorized to post a reply.
Forums > Forums > DBA > wat als je geen sysadmin (meer) bent op server


ActiveForums 3.6
  
Copyright (c) 2012 PASS Nederland   Privacy Statement  Terms Of Use