2020年7月3日 星期五

[研究] 先套用GCB後安裝SQL Server 2019測試

[研究] 先套用GCB後安裝SQL Server 2019測試

2020-07-03

研究測試「政府組態基準(Government Configuration Baseline,簡稱GCB)」。

本測試主要在 Windows Server 2019 繁體中文標準版上套用 GCB 相關的 GCB-WindowsServer2016-gpos.zip 的 WindowsServer2016AccountSettings 和 WindowsServer2016CommonSettings 兩類 GPO。

(Windows Server 2019 和 Windows Server 2016 都是 Windows NT 10.0 核心)

********************************************************************************

建議參考這篇先備份 GPO

[研究][GCB]「本機安全性原則 (secpol.msc)」還原LGPO套用GCB測試
https://shaurong.blogspot.com/2020/07/gcb-secpolmsclgpogcb.html

本篇和這篇的安裝順序相反,

[研究] 已安裝SQL Server 2019後套用GCB測試
https://shaurong.blogspot.com/2020/07/sql-server-2019gcb_3.html

簡單說結果:

  1. 先套用 GCB,再安裝 SQL Server 2019,很多 SQL Server 的服務仍可用NT Service帳戶執行 ( 後套用 GCB 則無法用 NT Service 執行)。
  2. SQL Server Analysis Services (SSAS) 也是需要另外用 Windows 帳號來執行,不管 GCB 先套用或後套用。
  3. SQL Server Launchpad 服務無法啟動,暫時先不管了。似乎是機器學習用的服務。
  4. DCOM也是有問題。

SQL Server Launchpad 服務設定
https://docs.microsoft.com/zh-tw/sql/machine-learning/security/sql-server-launchpad-service-account?view=sql-server-ver15






















































(下圖) 因為之前安裝過程,沒有把 Renamd_Admin 加入可登入 SQL Server 帳號中,所以無法登入


(下圖) sa 可登入 SQL Server Management Studio


(下圖) 維護計畫和 SQL Server Agent 正常。


(下圖) 登出 Windows,用 sqlserver 帳號登入,再用「Windows驗證」登入 SSMS,成功。


(完)

相關

[研究][GCB]先套用GCB後安裝SQL Server 2019測試

[研究][GCB]Windows 2019 AD 主機套用 GCB、啟用、停用

[研究][GCB]已安裝SQL Server 2019後套用GCB測試

[研究][GCB]「本機安全性原則 (secpol.msc)」還原LGPO套用GCB測試

[研究][GCB]遠端桌面連線出現「系統管理員已限制您可以使用的登入類型 (網路或互動式)。」

[研究][GCB]LGPO.exe試用 (Windows 2019)

[研究][GCB]LocalGPO.msi試用 (Windows 2019)

[研究][GCB] Microsoft Security Compliance Manager 4.0 安裝試用