[研究] 已安裝SQL Server 2019後套用GCB測試

[研究] 已安裝SQL Server 2019後套用GCB測試

2020-07-03

研究測試「政府組態基準(Government Configuration Baseline，簡稱GCB)」。

本測試主要在 Windows Server 2019 繁體中文標準版上套用 GCB 相關的 GCB-WindowsServer2016-gpos.zip 的 WindowsServer2016AccountSettings 和 WindowsServer2016CommonSettings 兩類 GPO。

(Windows Server 2019 和 Windows Server 2016 都是 Windows NT 10.0 核心)

https://zh.wikipedia.org/wiki/Windows_NT

********************************************************************************

測試前的 GPO 備份，請參考這篇。(若使用 VM 測試，有快照備份，就不用管)

[研究][GCB]「本機安全性原則 (secpol.msc)」還原LGPO套用GCB測試
https://shaurong.blogspot.com/2020/07/gcb-secpolmsclgpogcb.html

先說重點結論

1. 套用 GCB 後，SQL Server 服務將近全部癱瘓。
2. 另外新建一個 Windows 帳號 (自己取名 sqlserver )來執行服務，幾乎可行，除了 SQL Server Analysis Services (SSAS)。錯誤訊息：無法啟動服務: 發生下列系統錯誤:  用戶端沒有這項特殊權限。
3. 把帳號加入 administrators 群組，SQL Server Analysis Services (SSAS) 服務可以執行。
4. 「服務」中所有 SQL Server 服務已經可以執行；但「事件檢視器」中顯示 SQL Server 仍有 DistributedCOM 無法執行問題，錯誤訊息：DCOM 無法使用任何已設定的通訊協定與電腦 MyController 通訊; 啟用 CLSID {6DF8CB71-153B-4C66-8FC4-E59301B8011B} 時，要求者是 PID      e90 (C:\Program Files (x86)\Microsoft SQL Server\150\Tools\DReplayClient\DReplayClient.exe)。

注意：「服務」以 PowerOff (關機)、Power On (開機) 後的測試較準確，因為實際上發生過手動啟動可執行，reboot 也可，但 Power Off、Power On 卻不行的情況。(沒有詳細追究哪一條 GCB 原則造成)。

(下圖)目前 SQL Server 2019 在「服務」中程式可執行
(敝人沒有 100% 完全安裝，機器學習和 PolyBase 沒有安裝。)

(下圖) 用 LGPO.exe 套用 GCB

(下圖) 建立一個 Windows 帳號來執行 SQL Server 相關服務看看

(下圖) 仍有一個有問題

(下圖) 測試 SQL Server Management Studio (SSMS) 可否用 sa 登入

(下圖) 測試 SQL Server Agent 和維護計畫可否用

(下圖) 測試 SQL Server Management Studio (SSMS) 可否用「Windows驗證」登入

(下圖) 測試把帳號加入 administrators，可否啟動 SSAS

目前都可以執行了。

********************************************************************************

外部連線測試

把這台的防火牆設定開放 SQL Server 連線，把某系統 DB 於這台還原；

另外找一台沒有套用 GCB 的 Web Server，DB 連線改為這台，測試連線，實測可以運作，

表示 GCB 套用沒有影響 SQL Server 主機的外部連線存取。

(完)

相關

[研究][GCB]先套用GCB後安裝SQL Server 2019測試

https://shaurong.blogspot.com/2020/07/gcbsql-server-2019.html

[研究][GCB]Windows 2019 AD 主機套用 GCB、啟用、停用

https://shaurong.blogspot.com/2020/07/gcb-windows-2019-ad-gcb.html

[研究][GCB]已安裝SQL Server 2019後套用GCB測試

https://shaurong.blogspot.com/2020/07/sql-server-2019gcb_3.html

[研究][GCB]「本機安全性原則 (secpol.msc)」還原LGPO套用GCB測試

https://shaurong.blogspot.com/2020/07/gcb-secpolmsclgpogcb.html

[研究][GCB]遠端桌面連線出現「系統管理員已限制您可以使用的登入類型 (網路或互動式)。」

https://shaurong.blogspot.com/2020/07/gcb.html

[研究][GCB]LGPO.exe試用 (Windows 2019)

https://shaurong.blogspot.com/2020/07/gcblgpoexe.html

[研究][GCB]LocalGPO.msi試用 (Windows 2019)

https://shaurong.blogspot.com/2020/06/gcblocalgpomsi.html

[研究][GCB] Microsoft Security Compliance Manager 4.0 安裝試用

https://shaurong.blogspot.com/2020/06/gcb-microsoft-security-compliance.html