Меню Рубрики

Установки sql server 2012 setup account privileges

Получение привилегии SeDebugPrivilege при включенной политике Debug Program

В предыдущей статье мы рассказывали, что одной из техник защиты от извлечения паролей из памяти Windows mimikatz-like утилитами является запрет получения debug-привилегии для администраторов системы с помощью групповой политики Debug Program. Однако недавно обнаружилось, что без прав отладки (в Windows это привилегия SeDebugPrivilege), локальный администратор сервера не может установить или обновлять Microsoft SQL Server. Дело в том, что установщик SQL Server при запуске проверяет наличие привилегий SeSecurity. SeBackup и SeDebug, которые нужны ему для запуска процесса SQL Server и получения информации об успешном запуске SQL Server. Вот как это выглядит.

Во время установки SQL Server при выполнении предварительных проверок установщик спотыкается на проверке Setup account privileges.

Щелкнув по ссылке “Failed”, можно увидеть такое сообщение:


Откроем теперь отчет установки SystemConfigurationCheck_Report.htm.

Как вы видите, установщик при проверке правила HasSecurityBackupAndDebugPrivilegesCheck установил, что у текущего процесса отсутствует одна из следующих привилегий:

  • SeSecurity – управление журналами аудита и безопасности
  • SeBackup – права на резервное копирование файлов и каталогов
  • SeDebug — право отладки программ

В логе есть более детальная информация, указывающая, что у процесса установки отсутствует флаг SeDebug:

(09) 2017-09-12 14:25:13 Slp: Initializing rule : Setup account privileges
(09) 2017-09-12 14:25:13 Slp: Rule is will be executed : True
(09) 2017-09-12 14:25:13 Slp: Init rule target object: Microsoft.SqlServer.Configuration.SetupExtension.FacetPrivilegeCheck
(09) 2017-09-12 14:25:13 Slp: Rule ‘HasSecurityBackupAndDebugPrivilegesCheck’ Result: Running process has SeSecurity privilege, has SeBackup privilege and does not have SeDebug privilege.
(09) 2017-09-12 14:25:13 Slp: Evaluating rule : HasSecurityBackupAndDebugPrivilegesCheck
(09) 2017-09-12 14:25:13 Slp: Rule running on machine: msk-sql10
(09) 2017-09-12 14:25:13 Slp: Rule evaluation done : Failed

Я решил поискать обходной путь получения прав SeDebugPrivilege без изменения или отключения политики Debug programs. И как оказалось, имеется довольно простой способ обхода этой политики при наличии прав локального администратора на сервере. В этом нам поможет утилита secedit, позволяющая управлять локальными политиками безопасности сервера.

Проверяем текущие привилегии:

whoami /priv

Как вы видите, сейчас в текущем токене пользователя отсутствует привилегия SeDebugPrivilege .

Экспортируем текущие права пользователей, настроенные групповыми политиками в текстовый файл:

secedit /export /cfg secpolicy.inf /areas USER_RIGHTS

Теперь с помощью любого тестового редактора нужно открыть на редактирование файл secpolicy.inf и в секцию [Privilege Rights] добавить строку, предоставляющую права Debug Programs группе локальных администраторов.

Сохраните файл. Теперь нужно применить новые пользовательские права:

secedit /configure /db secedit.sdb /cfg secpolicy.inf /overwrite /areas USER_RIGHTS

Теперь нужно выполнить логофф/логон и с помощью secpol.msc убедиться, что для группы локальных администраторов назначены права Debug Program. Это же подтверждает команда whoami /priv:

SeDebugPrivilege Debug programs Enabled

Теперь можно запускать установку/обновлений SQL Server. Но стоит иметь в виду, что привилегия SeDebugPrivilege в данном случается назначается лишь временно и они будут сброшены при следующем обновлении групповых политик (но уже после logoff пользователя).

Читайте также:  Установка кондиционера на верхних этажах

Как вы понимаете, включение запретительной политики Debug programs не является панацей от получения права SeDebugPrivilege вредоносными программами, которые уже проникли на сервер с правами локального администратора, что может скомпрометировать все учетные записи пользователей/администраторов, работящих на сервере.

источник

Установки sql server 2012 setup account privileges

Question

i have a machine with windows server 2012 R2 Datacenter

and try to install sql server 2012 enterprise edition and find the following error, i login with a user SPADMIN it is in local administrators group. i am installing sql server for sharepoint ,

so this user more which permissions need?

Answers

This behavior is by design. In addition to adding the user account that is running the Setup as a local administrator, the Setup user account requires the following default user rights for the Setup to be completed successfully:

Note For more information about the permissions that are required to install SQL Server, refer to the «Prerequisites» section on the following MSDN websites:

Local Policy Object Display Name User Right
Backup files and directories SeBackupPrivilege
Debug Programs SeDebugPrivilege
Manage auditing and security log SeSecurityPrivilege

To add the rights to the local administrator account, follow these steps:

  1. Log on to the computer as a user who has administrative credentials.
  2. Click Start, click Run, type Control admintools, and then click OK.
  3. Double-click Local Security Policy.
  4. In the Local Security Settings dialog box, click Local Policies, double-click User Rights Assignment, and then double-click Backup Files and Directories.
  5. In the Backup Files and Directories Properties dialog box, click Add User or Group.
  6. In the Select User or Groups dialog box, type the user account that is being used for setup, and then click OK two times.
  7. Repeat the procedure for the other two policies that are mentioned in the «Cause» section.
  8. On the File menu, click Exit to close the Local Security Settings dialog box.

источник

Установки sql server 2012 setup account privileges

Вопрос

i have a machine with windows server 2012 R2 Datacenter

and try to install sql server 2012 enterprise edition and find the following error, i login with a user SPADMIN it is in local administrators group. i am installing sql server for sharepoint ,

so this user more which permissions need?

Ответы

This behavior is by design. In addition to adding the user account that is running the Setup as a local administrator, the Setup user account requires the following default user rights for the Setup to be completed successfully:

Note For more information about the permissions that are required to install SQL Server, refer to the «Prerequisites» section on the following MSDN websites:

To add the rights to the local administrator account, follow these steps:

  1. Log on to the computer as a user who has administrative credentials.
  2. Click Start, click Run, type Control admintools, and then click OK.
  3. Double-click Local Security Policy.
  4. In the Local Security Settings dialog box, click Local Policies, double-click User Rights Assignment, and then double-click Backup Files and Directories.
  5. In the Backup Files and Directories Properties dialog box, click Add User or Group.
  6. In the Select User or Groups dialog box, type the user account that is being used for setup, and then click OK two times.
  7. Repeat the procedure for the other two policies that are mentioned in the «Cause» section.
  8. On the File menu, click Exit to close the Local Security Settings dialog box.

источник

Установки sql server 2012 setup account privileges

Вопрос

i have a machine with windows server 2012 R2 Datacenter

and try to install sql server 2012 enterprise edition and find the following error, i login with a user SPADMIN it is in local administrators group. i am installing sql server for sharepoint ,

so this user more which permissions need?

Ответы

This behavior is by design. In addition to adding the user account that is running the Setup as a local administrator, the Setup user account requires the following default user rights for the Setup to be completed successfully:

Note For more information about the permissions that are required to install SQL Server, refer to the «Prerequisites» section on the following MSDN websites:

Local Policy Object Display Name User Right
Backup files and directories SeBackupPrivilege
Debug Programs SeDebugPrivilege
Manage auditing and security log SeSecurityPrivilege

To add the rights to the local administrator account, follow these steps:

  1. Log on to the computer as a user who has administrative credentials.
  2. Click Start, click Run, type Control admintools, and then click OK.
  3. Double-click Local Security Policy.
  4. In the Local Security Settings dialog box, click Local Policies, double-click User Rights Assignment, and then double-click Backup Files and Directories.
  5. In the Backup Files and Directories Properties dialog box, click Add User or Group.
  6. In the Select User or Groups dialog box, type the user account that is being used for setup, and then click OK two times.
  7. Repeat the procedure for the other two policies that are mentioned in the «Cause» section.
  8. On the File menu, click Exit to close the Local Security Settings dialog box.

источник

Установки sql server 2012 setup account privileges

Вопрос

I’m currently trying to install a SQL Server (2012) instance on a Windows Server 2008R2 server.

My first move is to install the shared features on the server. I launched the «New SQL Server stand-alone installation or add features to on existing installation» in the setup.exe. It runs some tests but the two first fails everytime («Setup administrator» and «Setup account privileges»).

Читайте также:  Установка проставок амортизаторов на нексии

I’m an administrator of the machine. I tried to execute it in three different ways:

— Right-click>Run as administrator —> fails (I tried this even if the UAC didn’t prompted me)

— Run setup.exe from a commandbox (cmd title: «Administrator:Command Prompt») —> fails

Everywhere I watched, I’m part of the Administrators group. I’ve installed another instance on another machine with the exact same binaries yesterday. (and I already tried to execute setup.exe from another copy of the binaries). Additional info: These machines are a cluster so they have the «exact» same configuration. One works, the other not.

What did I miss? Does anyone have an idea?

Ответы

Please try the following tool:

Maybe it is related to .NET Framework.

Все ответы

Best Regards,Uri Dimant SQL Server MVP, http://sqlblog.com/blogs/uri_dimant/

I’m part of the Administrator group (windows level) and I’m trying to install an SQL Server instance. The sysadmin you talked about is part of SQL Server server role right?

Please make sure your Windows account have the following user rights: SeBackupPrivilege, SeDebugPrivilege, SeSecurityPrivilege.

For more information, please read the following article:

I had checked that but I’ve just did it again with the tool. «Builtin\Administrators» has all of these rights and I’m part of this group.

When I check the «Detail_GlobalRules.txt» in the installation log directory, I found:

Init rule target object: Microsoft.SqlServer.Configuration.SetupExtension.FacetAdminCheck
(04) 2013-03-26 15:08:41 Slp: Unable to load DLL ‘sqlsccn.dll’: The specified module could not be found. (Exception from HRESULT: 0x8007007E)
(04) 2013-03-26 15:08:41 Slp: at Microsoft.SqlServer.Configuration.SetupExtension.FacetAdminCheck.SccCheckAdminPrivilege()
at Microsoft.SqlServer.Configuration.SetupExtension.FacetAdminCheck.Microsoft.SqlServer.Configuration.RulesEngineExtension.IRuleInitialize.Init(String ruleId)
at Microsoft.SqlServer.Configuration.RulesEngineExtension.RulesEngine.Execute(Boolean stopOnFailure)
(04) 2013-03-26 15:08:41 Slp: Rule initialization failed — hence the rule result is assigned as Failed
(04) 2013-03-26 15:08:41 Slp: Send result to channel : RulesEngineNotificationChannel
(04) 2013-03-26 15:08:41 Slp: Initializing rule : Setup account privileges
(04) 2013-03-26 15:08:41 Slp: Rule is will be executed : True
(04) 2013-03-26 15:08:41 Slp: Init rule target object: Microsoft.SqlServer.Configuration.SetupExtension.FacetPrivilegeCheck
(04) 2013-03-26 15:08:41 Slp: Unable to load DLL ‘sqlsccn.dll’: The specified module could not be found. (Exception from HRESULT: 0x8007007E)
(04) 2013-03-26 15:08:41 Slp: at Microsoft.SqlServer.Configuration.SetupExtension.FacetPrivilegeCheck.SccCheckPrivilege(String privilege)
at Microsoft.SqlServer.Configuration.SetupExtension.FacetPrivilegeCheck.Microsoft.SqlServer.Configuration.RulesEngineExtension.IRuleInitialize.Init(String ruleId)
at Microsoft.SqlServer.Configuration.RulesEngineExtension.RulesEngine.Execute(Boolean stopOnFailure)
(04) 2013-03-26 15:08:41 Slp: Rule initialization failed — hence the rule result is assigned as Failed

If I search on the computer for this DLL, I can’t find it. Is it the source of the problem? How can I fix it if it does? I can’t find any relative documentation about this issue (except an old post about .net 1.1 but the «.net verification» step of the SQL Server installer passed.

источник

Добавить комментарий