제2의 비엔지니어 인생관을 꿈꾸며

Posted
Filed under MSSQL
https://www.mssqltips.com/sqlservertip/4558/sql-server-launchpad-service-cannot-be-started/
MSSQL 2016 R 서비스 설치할때나 설치후에 이문제때문에 지웠다 깔았다는 연속으로 해서 검색해보니 링크와 같은 해결방법이 나왔었습니다.
보안설정한다고 ISMS 가이드 문서에 콘솔 로그온에 USERS 그룹이 기본값으로는 존재하는데 이걸 삭제한겁니다. NTSERVICE\MSSQLLaunchpad 를 관리자 그룹에 등록해도 에러가 발생하길레 스크립트 권한에서 막혔나 싶어서 이것저것 권한을 넣어봐도 답없음이였습니다.
그런데 실제서비스 권한은 MSSQLSERVER01부터 20까지 필요한거였었습니다.
사용자 삽입 이미지
보안 이벤트 4625를 기록하며 실패하는 로그입니다.
사용자 삽입 이미지
ISMS 보안가이드를 적용한다면 SQLRUSERGROUP 을 등록하면 해결이 됩니다.
저그룹을 관리자 그룹에 등록하는건 어떻냐고 하는데 스크립트를 사용하는 계정을 관리자로 등록하면 보안에 더큰 문제가 발생하기 때문입니다. 스크립트 하나로 시스템을 쉽게 변경하여 제어할수 있기 때문에 최소한의 권한을 유지하는것이 권고사항입니다.
사용자 삽입 이미지

ISMS 보안권고 가이드 문서에는 기본공유 제거와 RemoteRegistry 를 비활성 시키라고 하는데 이걸 반영하면 클러스터 서비스가 내려가는 재앙을 경험할수 있습니다.
ISMS 시행한지 정말 오래되었는데 문서에 클러스터 서비스는 예외처리를 권고한다고 제시하면 관리자들이 당황하는 일은 없을텐데 아직도 이런다는게 이해가 안갑니다.
4년전에도 서비스 영향을 받기 때문에 적용불가능하다는걸 일일이 체크하고 예외문서 작성한 기억이 납니다. 


2017/11/08 03:12 2017/11/08 03:12