SysAdminサーバーの役割とActive Directoryグループ

自分の質問に答えるのは嫌ですが、オプション2を選択することにしました。 PCI DSSコンプライアンス に関連していますが、ようやくいくつかの "ベストプラクティス"情報を見つけました。いくつかの優れた推奨事項を含む優れた資料でした。すべてを実装することはできません。それらのうち、私はPCI監査に合格することは決してないかもしれませんが、私はセキュリティを最も確実に改善します。その価値について、以下にSYSADMINロールに関連する推奨事項を示します。

カード会員データへのアクセスを制限する重要なステップは、sysadminサーバーロールに割り当てられる特権ユーザーの数を制限することです。既定では、BUILTIN/AdministratorsグループはSQL Server 2008 R2のsysadminロールのメンバーではありません。 PCI DSSは、「最小特権」アクセスモデルのベストプラクティスの概念を直接サポートしているため、以下をお勧めします。

• Sysadminロールのメンバーは、個々のWindowsログインを使用してのみログインする必要があります
• Sysadminロールに割り当てられるユーザーの数は最小限である必要があります
• Sysadminロールは、職務に基づいて割り当てる必要があります
• SysadminロールのWindowsログインのメンバーには、マップされたADグループではなく、SQL Serverへのアクセス権を個別に付与する必要があります
• SysadminロールのメンバーはローカルのWindows管理者であってはなりません
• Sysadminロールのメンバーは、SQL Serverサービスがアクセスできるサーバー上のフォルダーやファイル共有、データファイルやログファイルを含むフォルダー、データベースや暗号化キーをバックアップできるディレクトリなどにアクセスできないようにする必要があります
• Windowsのローカルまたはドメイン管理者には、SQL Serverへのsysadminアクセスを許可しないでください。