保护程序文件、公共组件和数据文件的安全

对于 MicrosoftSQL ServerAnalysis Services 的每个实例,安装程序都会将 Analysis Services 程序和数据文件安装到单独的文件夹结构中。这些文件夹结构如下所示:

  • Analysis Services 文件的默认位置是 \Program Files\Microsoft SQL Server\MSAS10.#\OLAP,其中 # 是表示实例编号的数字。此文件夹结构中有四个子文件夹:Backup、Bin、Data 和 Log。这些文件夹分别存储备份信息、Analysis Services 服务本身的基本文件、实际维度数据和多维数据集数据以及日志信息。此信息必须安全保存。安装程序将对此文件夹结构中所有文件的权限设定为 Administrators 本地组的成员和 Analysis Services 登录帐户。用户不需要访问这些文件夹中的文件。

    重要说明重要提示

    Analysis Services 安装和所有 Analysis Services 存储数据必须位于使用 NTFS 文件系统格式化的硬盘上。

  • 所有 Analysis Services 实例的公共组件的默认位置是 \Program Files\Microsoft SQL Server\100\Shared。安装程序将为用户授予对此文件夹结构中存储的文件的读访问权限,以使其可以执行一些授权的任务和访问允许的数据。您不必修改这些权限。

保护 Analysis Services 数据的安全

尽管安装程序将对 Backup、Data 和 Log 文件夹的权限设定为 Administrators 本地组和 Analysis Services 登录帐户,但是您必须确保此数据的安全并且不受损坏。

  • 虽然限制了 Backup 文件夹的访问权限,但是在备份 Analysis Services 数据库时并不需要使用此文件夹。如果您使用其他文件夹进行数据库备份,也应当采取类似的措施来保护此文件夹结构。

  • 不仅对 Data 文件夹的权限进行了限制,而且 Data 文件夹中的文件也是以二进制格式存储的。这意味着这些文件将不能使用文本编辑器读取。但是,如果 Analysis Services 的其他实例有权访问此文件夹中的文件,则该实例就可以读取这些文件。为了降低此类安全风险,您必须确保 Administrators 本地组的成员和知道 Analysis Services 登录帐户密码的用户是可信任的。

  • 如果您在安装完成后将 Data 文件夹移到了另一个位置(如移到 RAID 阵列或 SAN 上),则必须确保只有 Administrators 本地组的成员和 Analysis Services 登录帐户才有权访问新位置中的 Data 文件夹。

  • 如果您为一个或多个度量值组配置了多个分区,并且以单独的文件夹结构存储这些分区,则必须确保只有 Administrators 本地组的成员和 Analysis Services 登录帐户才有权访问此文件夹结构,以防止未经授权的用户访问这些分区中的 Analysis Services 数据。

  • 如果您将执行跟踪记录到 Log 文件夹之外的其他位置,则必须采取类似措施限制这些跟踪,因为这些跟踪可能会捕获敏感信息。