Sichern von SQL ServerSecuring SQL Server

Das Sichern von SQL ServerSQL Server kann als eine Reihe von Schritten betrachtet werden, die vier Bereiche betreffen: die Plattform, die Authentifizierung, die Objekte (einschließlich der Daten) und die Anwendungen, die auf das System zugreifen.Securing SQL ServerSQL Server can be viewed as a series of steps, involving four areas: the platform, authentication, objects (including data), and applications that access the system. In den folgenden Themen werden Sie durch das Erstellen und Implementieren eines effektiven Sicherheitsplans geführt.The following topics will guide you through creating and implementing an effective security plan.

Weitere Informationen zur SQL ServerSQL Server -Sicherheit finden Sie auf der SQL Server -Website.You can find more information about SQL ServerSQL Server security at the SQL Server Web site. Dazu gehören ein Handbuch mit empfohlenen Vorgehensweisen sowie eine Sicherheitsprüfliste.This includes a best practice guide and a security checklist. Auf der Site finden Sie außerdem die neuesten Informationen und Downloads zu Service Packs.This site also contains the latest service pack information and downloads.

Plattform- und NetzwerksicherheitPlatform and Network Security

Die Plattform für SQL ServerSQL Server enthält die physische Hardware und die Netzwerksysteme zum Verbinden von Clients mit den Datenbankservern, sowie binäre Dateien zum Verarbeiten von Datenbankanforderungen.The platform for SQL ServerSQL Server includes the physical hardware and networking systems connecting clients to the database servers, and the binary files that are used to process database requests.

Physische SicherheitPhysical Security

Durch die empfohlenen Vorgehensweisen für physische Sicherheit wird der Zugriff auf den physischen Server und Hardwarekomponenten beschränkt.Best practices for physical security strictly limit access to the physical server and hardware components. Verwenden Sie beispielsweise abgeschlossene Räume mit eingeschränktem Zugang für die Datenbankserverhardware und für Netzwerkgeräte.For example, use locked rooms with restricted access for the database server hardware and networking devices. Beschränken Sie außerdem den Zugriff auf Sicherungsmedien durch Aufbewahren der Medien an einem sicheren, getrennten Ort.In addition, limit access to backup media by storing it at a secure offsite location.

Das Implementieren der physischen Netzwerksicherheit beginnt mit dem Fernhalten unbefugter Benutzer vom Netzwerk.Implementing physical network security starts with keeping unauthorized users off the network. Die folgende Tabelle enthält weitere Informationen zu Netzwerksicherheitsinformationen.The following table contains more information about networking security information.

Informationen zuFor information about Finden Sie unterSee
SQL Server CompactSQL Server Compact und Netzwerkzugriff auf andere Editionen von SQL ServerSQL Server "Konfigurieren und Sichern der Serverumgebung" in der Onlinedokumentation von SQL Server CompactSQL Server Compact"Configuring and Securing the Server Environment" in SQL Server CompactSQL Server Compact Books Online

Sicherheit des BetriebssystemsOperating System Security

Service Packs und Upgrades für Betriebssysteme enthalten wichtige Sicherheitserweiterungen.Operating system service packs and upgrades include important security enhancements. Wenden Sie alle Updates und Upgrades nach dem Testen mit den Datenbankanwendungen auf das Betriebssystem an.Apply all updates and upgrades to the operating system after you test them with the database applications.

Firewalls stellen ebenfalls effektive Möglichkeiten zum Implementieren von Sicherheit zur Verfügung.Firewalls also provide effective ways to implement security. Eine Firewall trennt oder beschränkt logisch den Netzwerkverkehr und kann zum Verstärken der Datensicherheitsrichtlinie der Organisation konfiguriert werden.Logically, a firewall is a separator or restrictor of network traffic, which can be configured to enforce your organization's data security policy. Wenn Sie eine Firewall verwenden, wird die Sicherheit auf Betriebssystemebene erhöht, indem ein Punkt zur Verfügung gestellt wird, auf den der Sicherheitsmaßstab ausgerichtet werden kann.If you use a firewall, you will increase security at the operating system level by providing a chokepoint where your security measures can be focused. Die folgende Tabelle enthält weitere Informationen zum Verwenden einer Firewall mit SQL ServerSQL Server.The following table contains more information about how to use a firewall with SQL ServerSQL Server.

Informationen zuFor information about Finden Sie unterSee
Konfigurieren einer Firewall für das Funktionieren mit SQL ServerSQL ServerConfiguring a firewall to work with SQL ServerSQL Server Konfigurieren einer Windows-Firewall für DatenbankmodulzugriffConfigure a Windows Firewall for Database Engine Access
Konfigurieren einer Firewall für das Funktionieren mit Integration ServicesIntegration ServicesConfiguring a firewall to work with Integration ServicesIntegration Services Integration Services-Dienst (SSIS-Dienst)Integration Services Service (SSIS Service)
Konfigurieren einer Firewall für das Funktionieren mit Analysis ServicesAnalysis ServicesConfiguring a firewall to work with Analysis ServicesAnalysis Services Konfigurieren der Windows-Firewall, um den Zugriff auf Analysis Services zuzulassenConfigure the Windows Firewall to Allow Analysis Services Access
Öffnen bestimmter Ports für eine Firewall zum Zulassen des Zugriffs auf SQL ServerSQL ServerOpening specific ports on a firewall to enable access to SQL ServerSQL Server Konfigurieren der Windows-Firewall für den SQL Server-ZugriffConfigure the Windows Firewall to Allow SQL Server Access
Konfigurieren von Unterstützung für den erweiterten Schutz für die Authentifizierung mit Channelbindung und DienstbindungConfiguring support for Extended Protection for Authentication by using channel binding and service binding Herstellen einer Verbindung mit dem Datenbankmodul unter Verwendung von Erweiterter SchutzConnect to the Database Engine Using Extended Protection

Die Oberflächenreduzierung stellt eine Sicherheitsmaßnahme dar, die das Beenden oder Deaktivieren nicht verwendeter Komponenten beinhaltet.Surface area reduction is a security measure that involves stopping or disabling unused components. Mithilfe der Oberflächenreduzierung kann die Sicherheit verbessert werden, da weniger Möglichkeiten für Angriffe auf das System vorhanden sind.Surface area reduction helps improve security by providing fewer avenues for potential attacks on a system. Der wichtigste Aspekt beim Beschränken des Oberflächenbereichs von SQL ServerSQL Server liegt im Ausführen erforderlicher Dienste mit "geringsten Rechten" durch ausschließliches Erteilen von entsprechenden Rechten an Dienste und Benutzer.The key to limiting the surface area of SQL ServerSQL Server includes running required services that have "least privilege" by granting services and users only the appropriate rights. Die folgende Tabelle enthält weitere Informationen zu Diensten und Systemzugriff.The following table contains more information about services and system access.

Informationen zuFor information about Finden Sie unterSee
Für SQL ServerSQL ServerServices required for SQL ServerSQL Server Konfigurieren von Windows-Dienstkonten und -BerechtigungenConfigure Windows Service Accounts and Permissions

Wenn Ihr SQL ServerSQL Server -System Internetinformationsdienste (Internet Information Services, IIS) verwendet, sind zusätzliche Schritte zum Sichern der Plattformoberfläche erforderlich.If your SQL ServerSQL Server system uses Internet Information Services (IIS), additional steps are required to help secure the surface of the platform. Die folgende Tabelle enthält Informationen zu SQL ServerSQL Server und Internetinformationsdiensten.The following table contains information about SQL ServerSQL Server and Internet Information Services.

Informationen zuFor information about Finden Sie unterSee
IIS-Sicherheit mit SQL Server CompactSQL Server CompactIIS security with SQL Server CompactSQL Server Compact "IIS-Sicherheit" in der Onlinedokumentation von SQL Server CompactSQL Server Compact"IIS Security" in SQL Server CompactSQL Server Compact Books Online
Reporting ServicesReporting Services Authentifizierung Authentication Authentifizierung in Reporting ServicesAuthentication in Reporting Services
SQL Server CompactSQL Server Compact und IIS-Zugriff and IIS access "Internetinformationsdienste-Sicherheitsflussdiagramm" in der Onlinedokumentation von SQL Server CompactSQL Server Compact"Internet Information Services Security Flowchart" in SQL Server CompactSQL Server Compact Books Online

SQL Server-BetriebssystemdateisicherheitSQL Server Operating System Files Security

SQL ServerSQL Server werden Betriebssystemdateien zum Betrieb und zur Datenspeicherung verwendet. uses operating system files for operation and data storage. Die empfohlene Vorgehensweise für die Dateisicherheit erfordert, den Zugriff auf diese Dateien zu beschränken.Best practices for file security requires that you restrict access to these files. Die folgende Tabelle enthält Informationen zu diesen Dateien.The following table contains information about these files.

Informationen zuFor information about Finden Sie unterSee
SQL ServerSQL Server -Programmdateien program files Dateispeicherorte für Standard- und benannte Instanzen von SQL ServerFile Locations for Default and Named Instances of SQL Server

SQL ServerSQL Server -Service Packs und Upgrades stellen erweiterte Sicherheit zur Verfügung. service packs and upgrades provide enhanced security. Informationen zum Bestimmen des neuesten für SQL ServerSQL Serververfügbaren Service Packs finden Sie auf der Website von SQL Server .To determine the latest available service pack available for SQL ServerSQL Server, see the SQL Server Web site.

Mithilfe des folgenden Skripts können Sie das auf dem System installierte Service Pack bestimmen:You can use the following script to determine the service pack installed on the system.

SELECT CONVERT(char(20), SERVERPROPERTY('productlevel'));  
GO  

Prinzipale und DatenbankobjektsicherheitPrincipals and Database Object Security

Prinzipale sind die Personen, Gruppen und Prozesse, denen Zugriff auf SQL ServerSQL Servererteilt wurde.Principals are the individuals, groups, and processes granted access to SQL ServerSQL Server. "Sicherungsfähige Elemente" sind der Server, die Datenbank und Objekte in der Datenbank.“Securables” are the server, database, and objects the database contains. Jedes der Elemente verfügt über einen Berechtigungssatz, der zum Reduzieren des SQL ServerSQL Server -Oberflächenbereichs konfiguriert werden kann.Each has a set of permissions that can be configured to help reduce the SQL ServerSQL Server surface area. In der folgenden Tabelle sind Informationen zu Prinzipalen und sicherungsfähigen Elementen enthalten.The following table contains information about principals and securables.

Informationen zuFor information about Finden Sie unterSee
Benutzer, Rollen und Prozesse von Servern und DatenbankenServer and database users, roles, and processes Prinzipale (Datenbankmodul)Principals (Database Engine)
Server- und DatenbankobjektsicherheitServer and database objects security Sicherungsfähige ElementeSecurables
Die SQL ServerSQL Server -SicherheitshierarchieThe SQL ServerSQL Server security hierarchy Berechtigungshierarchie (Datenbankmodul)Permissions Hierarchy (Database Engine)

Verschlüsselung und ZertifikateEncryption and Certificates

Durch Verschlüsselung werden keine Probleme der Zugriffssteuerung gelöst.Encryption does not solve access control problems. Sie erhöht jedoch die Sicherheit, indem Datenverluste selbst im seltenen Fall einer überbrückten Zugriffssteuerung beschränkt werden.However, it enhances security by limiting data loss even in the rare occurrence that access controls are bypassed. Wenn der Datenbankhostcomputer beispielsweise falsch konfiguriert wurde und ein böswilliger Benutzer Zugriff auf sensible Daten wie Kreditkartennummern gewinnt, sind die gestohlenen Informationen nutzlos, wenn sie verschlüsselt wurden.For example, if the database host computer is misconfigured and a malicious user obtains sensitive data, such as credit card numbers, that stolen information might be useless if it is encrypted. Die folgende Tabelle enthält weitere Informationen zur Verschlüsselung in SQL ServerSQL Server.The following table contains more information about encryption in SQL ServerSQL Server.

Informationen zuFor information about Finden Sie unterSee
Die Verschlüsselungshierarchie in SQL ServerSQL ServerThe encryption hierarchy in SQL ServerSQL Server VerschlüsselungshierarchieEncryption Hierarchy
Implementieren sicherer VerbindungenImplementing secure connections Aktivieren von verschlüsselten Verbindungen zum Datenbankmodul (SQL Server-Konfigurations-Manager)Enable Encrypted Connections to the Database Engine (SQL Server Configuration Manager)
VerschlüsselungsfunktionenEncryption functions Kryptografiefunktionen (Transact-SQL)Cryptographic Functions (Transact-SQL)

Zertifikate sind "Softwareschlüssel", die für zwei Server freigegeben sind, durch die eine sichere Kommunikation über starke Authentifizierung möglich ist.Certificates are software "keys" shared between two servers that enable secure communications by way of strong authentication. Zertifikate können in SQL ServerSQL Server zum Erweitern der Objekt- und Verbindungssicherheit erstellt und verwendet werden.You can create and use certificates in SQL ServerSQL Server to enhance object and connection security. Die folgende Tabelle enthält Informationen zum Verwenden von Zertifikaten mit SQL ServerSQL Server.The following table contains information about how to use certificates with SQL ServerSQL Server.

Informationen zuFor information about Finden Sie unterSee
Erstellen eines Zertifikats zum Verwenden mit SQL ServerSQL ServerCreating a certificate for use by SQL ServerSQL Server CREATE CERTIFICATE (Transact-SQL)CREATE CERTIFICATE (Transact-SQL)
Verwenden eines Zertifikats mit DatenbankspiegelungUsing a certificate with database mirroring Verwenden von Zertifikaten für einen Datenbankspiegelungs-Endpunkt (Transact-SQL)Use Certificates for a Database Mirroring Endpoint (Transact-SQL)

AnwendungssicherheitApplication Security

SQL ServerSQL Server gehört das Schreiben sicherer Clientanwendungen. security best practices include writing secure client applications.

Weitere Informationen zum Sichern von Clientanwendungen auf Netzwerkebene finden Sie unter Client Network Configuration.For more information about how to help secure client applications at the networking layer, see Client Network Configuration.

SQL Server-Sicherheitstools, -Hilfsprogramme, -Sichten und -FunktionenSQL Server Security Tools, Utilities, Views, and Functions

SQL ServerSQL Server werden Tools, Hilfsprogramme, Sichten und Funktionen zum Konfigurieren und Verwalten der Sicherheit zur Verfügung gestellt. provides tools, utilities, views, and functions that can be used to configure and administer security.

SQL Server-Sicherheitstools und -HilfsprogrammeSQL Server Security Tools and Utilities

Die folgende Tabelle enthält Informationen zu SQL ServerSQL Server -Tools und -Hilfsprogrammen zum Konfigurieren und Verwalten der Sicherheit.The following table contains information about SQL ServerSQL Server tools and utilities that you can use to configure and administer security.

Informationen zuFor information about Finden Sie unterSee
Herstellen einer Verbindung mit, Konfigurieren und Steuern von SQL ServerSQL ServerConnecting to, configuring, and controlling SQL ServerSQL Server Verwenden von SQL Server Management StudioUse SQL Server Management Studio
Herstellen einer Verbindung mit SQL ServerSQL Server und Ausführen von Abfragen an der EingabeaufforderungConnecting to SQL ServerSQL Server and running queries at the command prompt sqlcmd (Hilfsprogramm)sqlcmd Utility
Netzwerkkonfiguration und Steuerung für SQL ServerSQL ServerNetwork configuration and control for SQL ServerSQL Server SQL Server-Konfigurations-ManagerSQL Server Configuration Manager
Aktivieren und Deaktivieren von Funktionen mit der richtlinienbasierten VerwaltungEnabling and disabling features by using Policy-Based Management Verwalten von Servern mit der richtlinienbasierten VerwaltungAdminister Servers by Using Policy-Based Management
Bearbeiten symmetrischer Schlüssel für einen BerichtsserverManipulating symmetric keys for a report server rskeymgmt-Hilfsprogramm (SSRS)rskeymgmt Utility (SSRS)

SQL Server-Sicherheitskatalogsichten und -FunktionenSQL Server Security Catalog Views and Functions

In DatenbankmodulDatabase Engine werden Sicherheitsinformationen in zahlreichen Sichten und Funktionen dargestellt, die für Leistung und Nützlichkeit optimiert sind.The DatenbankmodulDatabase Engine exposes security information in several views and functions that are optimized for performance and utility. Die folgende Tabelle enthält Informationen zu Sicherheitssichten und -funktionen.The following table contains information about security views and functions.

Informationen zuFor information about Finden Sie unterSee
SQL ServerSQL Server Sicherheitskatalogsichten, durch die Informationen zu Berechtigungen, Rollen, Prinzipalen usw. auf Datenbankebene und Serverebene zurückgegeben werden. security catalog views, which return information about database-level and server-level permissions, principals, roles, and so on. Außerdem sind Katalogsichten mit Informationen zu Verschlüsselungsschlüsseln, Zertifikaten und Anmeldeinformationen vorhanden.In addition, there are catalog views that provide information about encryption keys, certificates, and credentials. Sicherheitskatalogsichten (Transact-SQL)Security Catalog Views (Transact-SQL)
SQL ServerSQL Server -Sicherheitsfunktionen, durch die Informationen zum aktuellen Benutzer, zu Berechtigungen und zu Schemas zurückgegeben werden. security functions, which return information about the current user, permissions and schemas. Sicherheitsfunktionen (Transact-SQL)Security Functions (Transact-SQL)
SQL ServerSQL Server -Sicherheit. security dynamic management views. Sicherheitsbezogene dynamische Verwaltungssichten und -funktionen (Transact-SQL)Security-Related Dynamic Management Views and Functions (Transact-SQL)

Überlegungen zur Sicherheit bei SQL Server-InstallationenSecurity Considerations for a SQL Server Installation
Sicherheitscenter für SQL Server-Datenbankmodul und Azure SQL-Datenbank Security Center for SQL Server Database Engine and Azure SQL Database
SQL Server 2012 Security Best Practices - Operational and Administrative Tasks (Bewährte Sicherheitsmethoden in SQL Server 2012 – betriebs- und administrationsbezogene Aufgaben) SQL Server 2012 Security Best Practices - Operational and Administrative Tasks
SQL Server Security Blog (SQL Server Blog zu Sicherheitsthemen)SQL Server Security Blog
Security Best Practice and Label Security Whitepapers (Bewährte Sicherheitsmethoden und Sicherheitswhitepaper)Security Best Practice and Label Security Whitepapers
Überlegungen zur Sicherheit bei SQL Server-InstallationenSecurity Considerations for a SQL Server Installation
Sicherheit auf Zeilenebene Row-Level Security
Schutz Ihres geistigen SQL Server-EigentumsProtecting Your SQL Server Intellectual Property