반응형

SQL Server 2012에서 비상계정 생성하기

  • 비밀번호를 잊어 버렸을 경우 대처하기

 

  • Version : SQL Server 2012

 

 

DBA는 프로덕션(운영) 환경에서 SQL Server에서 실행되는 서비스를 유지하고 운영하는 책임이 있다. 최근 들어 보안이 중점으로 떠오르면서 불필요한 계정 삭제 및 접근을 차단, 권한 최소화, 주기적인 비밀번호 변경 등을 진행 하고 있다.

 

그런데 관리자의 실수 또는 허가 받지 않은 접근(해킹)으로 인하여 다음과 같은 상황이 발생 하였다.

  • SQL Server의 모든 기본 관리자 계정을 삭제
  • SYSADMIN 서버 역할(모든 windows 및 SQL Server 로그인 등)의 모든 사용자 계정
  • 매우 복잡한 SA 계정 비밀번호로 변경하여 추측이 어려움
  • SYSADMIN 권한이 없는 도메인 계정

 

우리는 어떤 행동을 해야 할까? 아마 대부분의 관리자는 자신의 마음속에 있는 모든 가능한 암호를 사용하여 SA 로그인을 시도 할 것이다. 만약 어딘가에 SA 비밀번호가 저장되어 있다면 매우 다행스럽지만 외부인의 소행으로 전혀 비밀번호를 알지 못한다면? 그리고 도메인 계정조차 권한이 없는 상황이라면?

 

Windows 계정이 SQL Server 2012가 서비스 중인 Windows 서버의 로컬 관리자 그룹이라면 다음과 같은 방법으로 SQL Server에 접근하여 계정을 생성할 수 있다.

 

 

[실행] – [cmd]를 입력하여 명령 프롬프트 창을 실행 한다.

 

 

 

SQL Server 서비스를 단일 사용자 모드를 사용한다. (만약 SQL Server 서비스가 실행 중이라면 서비스를 중지 한다.)

 

명령 프롬프트 창에서 다음과 같이 명령을 실행 한다.

Net stop mssqlserver

 

cd C:\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\Binn

 

SQLServr.Exe –m (or SQLServr.exe –f)

 

 

단일 사용자 모드의 최소권한으로 SQL Server 서비스가 실행 되었다. 여기서 중요한 것은 절대 커맨드 창을 닫지 말아야 한다.

 

SQL Server 접속을 위해 새로운 명령 프롬프트 창을 실행 한다.

 

 

다음과 같이 SQLCMD 모드로 접속 하여 계정 생성 및 롤을 구성 한다.

SQLCMD –S "AG_1"

 

CREATE LOGIN SQL_TEST WITH PASSWORD = '!@#456qwer'

GO

SP_ADDSRVROLEMEMBER 'SQL_TEST', 'SYSADMIN'

GO

 

 

 

계정 생성이 완료 되었으면 현재 실행 되고 있는 모든 명령 프롬프트 창을 닫는다. 그리고 일반적인 시작 옵션으로 SQL Server 서비스를 시작 한다.

 

 

 

SSMS를 사용하여 접속 테스트를 진행 하여 보자. SSMS에서 비상계정으로 생성한 SQL_TEST 계정을 사용하여 접속하여 보자.

 

 

성공적인 접속과 함께 보안 항목에서 생성한 계정을 확인 할 수 있다. 이제 SA의 비밀번호를 재설정하고 SQL Server를 제어 할 수 있다.

 

 

DBA라면 자신이 관리하는 서비스 환경에서 위와 같은 상황이 발생하는 일은 없어야 하겠지만 만약에 위의 상황과 같은 일이 발생 한다면 침착하게 문서를 참고하여 매뉴얼 대로 할 수 있도록 하자.

 

 

[참고자료]

http://technet.microsoft.com/ko-kr/magazine/jj853293(en-us).aspx

 

 

 

2013-06-27 / 강성욱 / http://sqlmvp.kr

 

반응형

+ Recent posts