Sichern von SQL Server

Gilt für:yes SQL Server (alle unterstützten Versionen)

Das Sichern SQL Server kann als eine Reihe von Schritten betrachtet werden, die vier Bereiche betreffen: Plattform, Authentifizierung, Objekte (einschließlich Daten) und Anwendungen, die auf das System zugreifen. In den folgenden Themen werden Sie durch das Erstellen und Implementieren eines effektiven Sicherheitsplans geführt.

Weitere Informationen zur sicherheit SQL Server finden Sie auf der website SQL Server. Dazu gehören ein Handbuch mit empfohlenen Vorgehensweisen sowie eine Sicherheitsprüfliste. Auf der Site finden Sie außerdem die neuesten Informationen und Downloads zu Service Packs.

Plattform- und Netzwerksicherheit

Die Plattform für SQL Server umfasst die physische Hardware und Netzwerksysteme, die Clients mit den Datenbankservern verbinden, sowie die Binärdateien, die zum Verarbeiten von Datenbankanforderungen verwendet werden.

Physische Sicherheit

Durch die empfohlenen Vorgehensweisen für physische Sicherheit wird der Zugriff auf den physischen Server und Hardwarekomponenten beschränkt. Verwenden Sie beispielsweise abgeschlossene Räume mit eingeschränktem Zugang für die Datenbankserverhardware und für Netzwerkgeräte. Beschränken Sie außerdem den Zugriff auf Sicherungsmedien durch Aufbewahren der Medien an einem sicheren, getrennten Ort.

Das Implementieren der physischen Netzwerksicherheit beginnt mit dem Fernhalten unbefugter Benutzer vom Netzwerk. Die folgende Tabelle enthält weitere Informationen zu Netzwerksicherheitsinformationen.

Informationen über Finden Sie unter
SQL Server Compact und Netzwerkzugriff auf andere SQL Server Editionen "Konfigurieren und Schützen der Serverumgebung" in SQL Server Compact-Onlinedokumentation
   

Sicherheit des Betriebssystems

Service Packs und Upgrades für Betriebssysteme enthalten wichtige Sicherheitserweiterungen. Wenden Sie alle Updates und Upgrades nach dem Testen mit den Datenbankanwendungen auf das Betriebssystem an.

Firewalls stellen ebenfalls effektive Möglichkeiten zum Implementieren von Sicherheit zur Verfügung. Eine Firewall trennt oder beschränkt logisch den Netzwerkverkehr und kann zum Verstärken der Datensicherheitsrichtlinie der Organisation konfiguriert werden. Wenn Sie eine Firewall verwenden, wird die Sicherheit auf Betriebssystemebene erhöht, indem ein Punkt zur Verfügung gestellt wird, auf den der Sicherheitsmaßstab ausgerichtet werden kann. Die folgende Tabelle enthält weitere Informationen zur Verwendung einer Firewall mit SQL Server.

Informationen über Finden Sie unter
Konfigurieren einer Firewall für die Arbeit mit SQL Server Konfigurieren einer Windows-Firewall für Datenbank-Engine-Zugriff
Konfigurieren einer Firewall für die Arbeit mit Integration Services Integration Services-Dienst (SSIS-Dienst)
Konfigurieren einer Firewall für die Arbeit mit Analysis Services Konfigurieren der Windows-Firewall, um den Zugriff auf Analysis Services zuzulassen
Öffnen bestimmter Ports in einer Firewall, um den Zugriff auf SQL Server Konfigurieren der Windows-Firewall für den SQL Server-Zugriff
Konfigurieren von Unterstützung für den erweiterten Schutz für die Authentifizierung mit Channelbindung und Dienstbindung Herstellen einer Verbindung mit der Datenbank-Engine unter Verwendung von Erweiterter Schutz
   

Die Oberflächenreduzierung stellt eine Sicherheitsmaßnahme dar, die das Beenden oder Deaktivieren nicht verwendeter Komponenten beinhaltet. Mithilfe der Oberflächenreduzierung kann die Sicherheit verbessert werden, da weniger Möglichkeiten für Angriffe auf das System vorhanden sind. Der Schlüssel zum Einschränken der Oberfläche von SQL Server umfasst die Ausführung erforderlicher Dienste mit "geringsten Berechtigungen", indem Diensten und Benutzern nur die entsprechenden Rechte gewährt werden. Die folgende Tabelle enthält weitere Informationen zu Diensten und Systemzugriff.

Informationen über Finden Sie unter
Für SQL Server erforderliche Dienste Konfigurieren von Windows-Dienstkonten und -Berechtigungen
   

Wenn Ihr SQL Server System Internetinformationsdienste (IIS) verwendet, sind zusätzliche Schritte erforderlich, um die Oberfläche der Plattform zu sichern. Die folgende Tabelle enthält Informationen zu SQL Server und Internetinformationsdienste.

Informationen über Finden Sie unter
IIS-Sicherheit mit SQL Server Compact "IIS-Sicherheit" in SQL Server Compact-Onlinedokumentation
Reporting Services-Authentifizierung Authentifizierung in Reporting Services
SQL Server Compact und IIS-Zugriff "Internetinformationsdienste Security Flowchart" in der SQL Server Compact-Onlinedokumentation
   

SQL Server-Betriebssystemdateisicherheit

SQL Server verwendet Betriebssystemdateien für den Betrieb und die Datenspeicherung. Die empfohlene Vorgehensweise für die Dateisicherheit erfordert, den Zugriff auf diese Dateien zu beschränken. Die folgende Tabelle enthält Informationen zu diesen Dateien.

Informationen über Finden Sie unter
SQL Server Programmdateien Dateispeicherorte für Standard- und benannte Instanzen von SQL Server
   

SQL Server Service Packs und Upgrades bieten erhöhte Sicherheit. Informationen zum Ermitteln des neuesten verfügbaren Service Packs für SQL Server finden Sie auf der website SQL Server.

Mithilfe des folgenden Skripts können Sie das auf dem System installierte Service Pack bestimmen:

SELECT CONVERT(char(20), SERVERPROPERTY('productlevel'));  

Prinzipale und Datenbankobjektsicherheit

Prinzipale sind die Personen, Gruppen und Prozesse, denen Zugriff auf SQL Server gewährt wird. „Sicherungsfähige Elemente“ sind der Server, die Datenbank und Objekte in der Datenbank. Jede verfügt über einen Satz von Berechtigungen, die konfiguriert werden können, um die SQL Server Oberfläche zu reduzieren. In der folgenden Tabelle sind Informationen zu Prinzipalen und sicherungsfähigen Elementen enthalten.

Informationen über Finden Sie unter
Benutzer, Rollen und Prozesse von Servern und Datenbanken Prinzipale (Datenbank-Engine)
Server- und Datenbankobjektsicherheit Sicherungsfähige Elemente
Die SQL Server-Sicherheitshierarchie Berechtigungshierarchie (Datenbank-Engine)
   

Verschlüsselung und Zertifikate

Durch Verschlüsselung werden keine Probleme der Zugriffssteuerung gelöst. Sie erhöht jedoch die Sicherheit, indem Datenverluste selbst im seltenen Fall einer überbrückten Zugriffssteuerung beschränkt werden. Wenn der Datenbankhostcomputer beispielsweise falsch konfiguriert wurde und ein böswilliger Benutzer Zugriff auf sensible Daten wie Kreditkartennummern gewinnt, sind die gestohlenen Informationen nutzlos, wenn sie verschlüsselt wurden. Die folgende Tabelle enthält weitere Informationen zur Verschlüsselung in SQL Server.

Informationen über Finden Sie unter
Die Verschlüsselungshierarchie in SQL Server Verschlüsselungshierarchie
Implementieren sicherer Verbindungen Aktivieren von verschlüsselten Verbindungen zur Datenbank-Engine (SQL Server-Konfigurations-Manager)
Verschlüsselungsfunktionen Kryptografiefunktionen (Transact-SQL)

Zertifikate sind "Softwareschlüssel", die für zwei Server freigegeben sind, durch die eine sichere Kommunikation über starke Authentifizierung möglich ist. Sie können Zertifikate in SQL Server erstellen und verwenden, um die Objekt- und Verbindungssicherheit zu verbessern. Die folgende Tabelle enthält Informationen zur Verwendung von Zertifikaten mit SQL Server.

Informationen über Finden Sie unter
Erstellen eines Zertifikats zur Verwendung durch SQL Server CREATE CERTIFICATE (Transact-SQL)
Verwenden eines Zertifikats mit Datenbankspiegelung Verwenden von Zertifikaten für einen Datenbankspiegelungs-Endpunkt (Transact-SQL)
   

Anwendungssicherheit

Client-Programme

SQL Server bewährten Sicherheitsmethoden umfassen das Schreiben sicherer Clientanwendungen. Weitere Informationen zum Sichern von Clientanwendungen auf Netzwerkebene finden Sie unter Client Network Configuration.

Windows Defender Application Control (WDAC)

Windows Defender Application Control (WDAC) verhindert die nicht autorisierte Ausführung von Code. WDAC ist eine effektive Methode, um die Bedrohung durch auf ausführbaren Dateien basierende Malware zu minimieren. Weitere Informationen finden Sie in der Dokumentation zu Windows Defender Application Control.

SQL Server-Sicherheitstools, -Hilfsprogramme, -Sichten und -Funktionen

SQL Server stellt Tools, Hilfsprogramme, Ansichten und Funktionen bereit, die zum Konfigurieren und Verwalten der Sicherheit verwendet werden können.

SQL Server-Sicherheitstools und -Hilfsprogramme

Die folgende Tabelle enthält Informationen zu SQL Server Tools und Hilfsprogrammen, die Sie zum Konfigurieren und Verwalten der Sicherheit verwenden können.

Informationen über Finden Sie unter
Herstellen einer Verbindung mit, Konfigurieren und Steuern von SQL Server Verwenden von SQL Server Management Studio
Herstellen einer Verbindung mit SQL Server und Ausführen von Abfragen an der Eingabeaufforderung sqlcmd Utility
Netzwerkkonfiguration und -steuerung für SQL Server SQL Server-Konfigurations-Manager
Aktivieren und Deaktivieren von Funktionen mit der richtlinienbasierten Verwaltung Verwalten von Servern mit der richtlinienbasierten Verwaltung
Bearbeiten symmetrischer Schlüssel für einen Berichtsserver rskeymgmt-Hilfsprogramm (SSRS)
   

SQL Server-Sicherheitskatalogsichten und -Funktionen

Der Datenbank-Engine macht Sicherheitsinformationen in mehreren Ansichten und Funktionen verfügbar, die für Leistung und Hilfsprogramm optimiert sind. Die folgende Tabelle enthält Informationen zu Sicherheitssichten und -funktionen.

Informationen über Finden Sie unter
SQL Server Sicherheitskatalogsichten, die Informationen zu Berechtigungen auf Datenbank- und Serverebene, Prinzipalen, Rollen usw. zurückgeben. Außerdem sind Katalogsichten mit Informationen zu Verschlüsselungsschlüsseln, Zertifikaten und Anmeldeinformationen vorhanden. Sicherheitskatalogsichten (Transact-SQL)
SQL Server Sicherheitsfunktionen, die Informationen über den aktuellen Benutzer, Berechtigungen und Schemas zurückgeben. Sicherheitsfunktionen (Transact-SQL)
SQL Server dynamische Sicherheitsverwaltungssichten. Sicherheitsbezogene dynamische Verwaltungssichten und -funktionen (Transact-SQL)
   

Überlegungen zur Sicherheit bei SQL Server-Installationen
Sicherheitscenter für SQL Server-Datenbank-Engine und Azure SQL-Datenbank
SQL Server 2012 Security Best Practices - Operational and Administrative Tasks (Bewährte Sicherheitsmethoden in SQL Server 2012 – betriebs- und administrationsbezogene Aufgaben)
Playbook für den Umgang mit allgemeinen Sicherheitsanforderungen für Azure SQL-Datenbank und Azure SQL Managed Instance
SQL Server Security Blog (SQL Server Blog zu Sicherheitsthemen)
Security Best Practice and Label Security Whitepapers (Bewährte Sicherheitsmethoden und Sicherheitswhitepaper)
Sicherheit auf Zeilenebene
Schutz Ihres geistigen SQL Server-Eigentums