Applies to:
SQL Server
共通言語ランタイム (CLR) では、マネージド コードに対してコード アクセス セキュリティというセキュリティ モデルがサポートされます。 このモデルでは、コードの ID に基づいてアセンブリに権限が許可されます。 詳細については、「コード アクセス セキュリティを
アセンブリに許可される権限を決定するセキュリティ ポリシーは、次の 3 つに分類されます。
Machine policy: This policy is in effect for all managed code running in the machine on which SQL Server is installed.
User policy: This policy is in effect for managed code hosted by a process. SQL Server の場合、ユーザー ポリシーは、SQL Server サービスが実行されている Windows アカウントに固有です。
Host policy: This policy is set up by the host of the CLR (in this case, SQL Server) that is in effect for managed code running in that host.
CLR でサポートされるコード アクセス セキュリティ メカニズムは、ランタイムが完全に信頼されるコードと部分的に信頼されるコードの両方をホストできるという前提に基づいています。 CLR コード アクセス セキュリティで保護されるリソースは、通常、そのリソースへのアクセスを許可する前に適切な権限を必要とするマネージド アプリケーション プログラミング インターフェイスによってラップされます。 権限の要求は、(アセンブリ レベルで) 呼び出し履歴内のすべての呼び出し側が、対応するリソース権限を持つ場合にのみ満たされます。
SQL Server 内で実行するときにマネージド コードに付与されるコード アクセス セキュリティアクセス許可のセットは、前の 3 つのポリシー レベルによって付与されたアクセス許可のセットの共通部分です。 SQL Server に読み込まれたアセンブリに対して一連のアクセス許可が SQL Server に付与されている場合でも、ユーザー コードに与えられる最終的なアクセス許可のセットは、ユーザーとマシン レベルのポリシーによってさらに制限される可能性があります。
コード アクセス セキュリティはサポートされていません
CLR では、セキュリティ境界としてサポートされなくなった、.NET Framework のコード アクセス セキュリティ (CAS) が使用されます。
PERMISSION_SET = SAFE で作成された CLR アセンブリが、外部のシステム リソースにアクセスし、非管理対象コードを呼び出し、sysadmin 特権を取得できる場合があります。 SQL Server 2017 (14.x) 以降のバージョンでは、sp_configure オプション、clr strict security により CLR アセンブリのセキュリティが強化されます。
clr strict security は既定で有効になり、SAFE および EXTERNAL_ACCESS アセンブリを UNSAFE とマークされている場合と同様に扱います。
clr strict security オプションは、旧バージョンとの互換性のために無効にできますが、これは推奨されません。
UNSAFE ASSEMBLYデータベースで master アクセス許可が付与されている対応するログインを含む証明書または非対称キーで、すべてのアセンブリに署名することをお勧めします。 SQL Server 管理者は、データベース エンジンが信頼するアセンブリのリストにアセンブリを追加することもできます。 For more information, see sys.sp_add_trusted_assembly.
SQL Server ホスト ポリシー レベルのアクセス許可セット
SQL Server ホスト ポリシー レベルによってアセンブリに付与されるコード アクセス セキュリティアクセス許可のセットは、アセンブリの作成時に指定されたアクセス許可セットによって決まります。 There are three permission sets: SAFE, EXTERNAL_ACCESS, and UNSAFE (specified using the PERMISSION_SET option of CREATE ASSEMBLY).
SQL Server は、ホスト中に CLR にホスト レベルのセキュリティ ポリシー レベルを提供します。 このポリシーは、常に有効な 2 つのポリシー レベルより下の追加のポリシー レベルです。 このポリシーは、SQL Server によって作成されるすべてのアプリケーション ドメインに対して設定されます。 このポリシーは、SQL Server が CLR のインスタンスを作成するときに有効になる既定のアプリケーション ドメインを対象としていません。
SQL Server ホスト レベル ポリシーは、システム アセンブリの SQL Server 固定ポリシーとユーザー アセンブリのユーザー指定ポリシーの組み合わせです。
CLR アセンブリと SQL Server システム アセンブリの固定ポリシーにより、完全な信頼が付与されます。
SQL Server ホスト ポリシーのユーザー指定の部分は、アセンブリ所有者が各アセンブリに対して 3 つのアクセス許可バケットのいずれかを指定することに基づいています。 次のセキュリティ アクセス許可の詳細については、.NET Framework SDK を参照してください。
SAFE
内部コンピューター処理とローカル データのアクセスだけが許可されます。
SAFE は、最も制限の厳しいアクセス許可セットです。
SAFE アクセス許可を持つアセンブリによって実行されるコードは、ファイル、ネットワーク、環境変数、レジストリなどの外部システム リソースにアクセスできません。
SAFE アセンブリには、次のアクセス許可と値があります。
| Permission | 値/説明 |
|---|---|
SecurityPermission |
Execution: マネージド コードを実行するためのアクセス許可。 |
SqlClientPermission |
Context connection = true, context connection = yes: コンテキスト接続のみを使用でき、接続文字列は context connection=true または context connection=yesの値のみを指定できます。AllowBlankPassword = false: 空白のパスワードは許可されません。 |
EXTERNAL_ACCESS
EXTERNAL_ACCESS アセンブリには、SAFE アセンブリと同じ権限があり、ファイル、ネットワーク、環境変数、レジストリなどの外部システム リソースにアクセスする追加の機能があります。
EXTERNAL_ACCESS アセンブリには、次のアクセス許可と値もあります。
| Permission | 値/説明 |
|---|---|
DistributedTransactionPermission |
Unrestricted: 分散トランザクションが許可されます。 |
DNSPermission |
Unrestricted: ドメイン ネーム サーバーに情報を要求するアクセス許可。 |
EnvironmentPermission |
Unrestricted: システム環境変数とユーザー環境変数へのフル アクセスが許可されます。 |
EventLogPermission |
Administer: イベント ソースの作成、既存のログの読み取り、イベント ソースまたはログの削除、エントリへの応答、イベント ログのクリア、イベントのリッスン、およびすべてのイベント ログのコレクションへのアクセスが許可されます。 |
FileIOPermission |
Unrestricted: ファイルとフォルダーへのフル アクセスが許可されます。 |
KeyContainerPermission |
Unrestricted: キー コンテナーへのフル アクセスが許可されます。 |
NetworkInformationPermission |
Access: ping は許可されています。 |
RegistryPermission |
HKEY_CLASSES_ROOT、HKEY_LOCAL_MACHINE、HKEY_CURRENT_USER、HKEY_CURRENT_CONFIG、および HKEY_USERS. の読み取り権限を許可します |
SecurityPermission |
Assertion: このコードのすべての呼び出し元が操作に必要なアクセス許可を持っていることをアサートする機能。ControlPrincipal: プリンシパル オブジェクトを操作する機能。Execution: マネージド コードを実行するためのアクセス許可。SerializationFormatter: シリアル化サービスを提供する機能。 |
SmtpPermission |
Access: SMTP ホスト ポート 25 への送信接続が許可されます。 |
SocketPermission |
Connect: トランスポート アドレス上の送信接続 (すべてのポート、すべてのプロトコル) が許可されます。 |
SqlClientPermission |
Unrestricted: データソースへのフル アクセスが許可されます。 |
StorePermission |
Unrestricted: X.509 証明書ストアへのフル アクセスが許可されます。 |
WebPermission |
Connect: Web リソースへの送信接続が許可されます。 |
UNSAFE
UNSAFE を使用すると、アセンブリは SQL Server 内と外部の両方のリソースに無制限にアクセスできます。
UNSAFE アセンブリ内から実行されるコードは、アンマネージ コードを呼び出すこともできます。
UNSAFE アセンブリは FullTrust与えられる。
推奨されるアクセス許可の設定
SAFE は、SQL Server の外部のリソースにアクセスせずに計算タスクとデータ管理タスクを実行するアセンブリに推奨されるアクセス許可設定です。
EXTERNAL_ACCESS は、SQL Server 外部のリソースにアクセスするアセンブリに推奨されます。
EXTERNAL_ACCESS アセンブリは、既定で SQL Server サービス アカウントとして実行されます。
EXTERNAL_ACCESS コードで、呼び出し元の Windows 認証セキュリティ コンテキストを明示的に偽装することができます。 既定では SQL Server サービス アカウントとして実行されるため、EXTERNAL_ACCESS を実行するアクセス許可は、サービス アカウントとして実行するために信頼されたログインにのみ付与する必要があります。
セキュリティの観点からは、EXTERNAL_ACCESS アセンブリと UNSAFE アセンブリは同じです。 ただし、EXTERNAL_ACCESS アセンブリは、UNSAFE アセンブリにないさまざまな信頼性と堅牢性の保護を提供します。
UNSAFE を指定すると、アセンブリ内のコードは SQL Server プロセス領域に対して無効な操作を実行できるため、SQL Server の堅牢性とスケーラビリティが損なわれる可能性があります。 SQL Server での CLR アセンブリの作成の詳細については、「CLR 統合アセンブリ管理する」を参照してください。
Important
SQL Server には、データベース エンジンが特定の機能を提供するために使用する CLR アセンブリが含まれています。 SQL Server のインストールに含まれる Microsoft.SQLServer.Types アセンブリは、UNSAFE アセンブリとしてメタデータに表示されます。 これは仕様です。 これらのアセンブリは、既定で信頼済みで安全と見なされます。
外部リソースにアクセスする
ユーザー定義型 (UDT)、ストアド プロシージャ、またはその他の種類のコンストラクト アセンブリが SAFE アクセス許可セットに登録されている場合、コンストラクトで実行されているマネージド コードは外部リソースにアクセスできません。 ただし、EXTERNAL_ACCESS または UNSAFE のアクセス許可セットを指定し、マネージド コードが外部リソースにアクセスしようとすると、SQL Server は次の規則を適用します。
| If | Then |
|---|---|
| 実行コンテキストは、SQL Server ログインに対応します。 | 外部リソースへのアクセスが拒否され、セキュリティ例外が発生します。 |
| 実行コンテキストが Windows ログインに対応していると同時に、本来の呼び出し元である場合。 | 外部リソースは、SQL Server サービス アカウントのセキュリティ コンテキストでアクセスされます。 |
| 呼び出し元は元の呼び出し元ではありません。 | アクセスが拒否され、セキュリティ例外が発生します。 |
| 実行コンテキストは Windows ログインに対応し、実行コンテキストは元の呼び出し元であり、呼び出し元は偽装されます。 | Access では、サービス アカウントではなく、呼び出し元のセキュリティ コンテキストが使用されます。 |
アクセス許可セットの概要
次の表は、SAFE、EXTERNAL_ACCESS、および UNSAFE アクセス許可セットに付与される制限とアクセス許可をまとめたものです。
| Functionality | SAFE |
EXTERNAL_ACCESS |
UNSAFE |
|---|---|---|---|
| コード アクセス セキュリティのアクセス許可 | Execute only | 実行および外部リソースへのアクセス | 無制限 (P/Invoke を含む) |
| プログラミング モデルの制限事項 | Yes | Yes | No restrictions |
| Verifiability requirement | Yes | Yes | No |
| ローカル データ アクセス | Yes | Yes | Yes |
| ネイティブ コードを呼び出す機能 | No | No | Yes |