Überlegungen zur Sicherheit bei SQL Server-InstallationenSecurity Considerations for a SQL Server Installation

Sicherheit ist für jedes Produkt und jedes Geschäft wichtig.Security is important for every product and every business. Indem Sie einige einfache bewährte Methoden verwenden, können Sie viele Sicherheitsrisiken vermeiden.By following simple best practices, you can avoid many security vulnerabilities. In diesem Thema werden einige bewährte Sicherheitsmethoden behandelt, die Sie vor dem Installieren von SQL ServerSQL Server und nach dem Installieren von SQL ServerSQL Serverberücksichtigen sollten.This topic discusses some security best practices that you should consider both before you install SQL ServerSQL Server and after you install SQL ServerSQL Server. Sicherheitshinweise für bestimmte Funktionen sind in den Referenzthemen für diese Funktionen enthalten.Security guidance for specific features is included in the reference topics for those features.

Vor dem Installieren von SQL ServerSQL ServerBefore Installing SQL ServerSQL Server

Beachten Sie beim Einrichten der Serverumgebung diese bewährten Methoden:Follow these best practices when you set up the server environment:

Enhance Physical Security Enhance Physical Security

Physische und logische Isolation bilden die Basis der Sicherheit von SQL ServerSQL Server .Physical and logical isolation make up the foundation of SQL ServerSQL Server security. Führen Sie die folgenden Aufgaben aus, um die physische Sicherheit der SQL ServerSQL Server -Installation zu erhöhen:To enhance the physical security of the SQL ServerSQL Server installation, do the following tasks:

  • Platzieren Sie den Server in einem Raum, den nur autorisierte Benutzer betreten dürfen.Place the server in a room accessible only to authorized persons.

  • Stellen Sie Computer, die Datenbanken hosten, an physisch geschützten Orten auf. Im Idealfall sollte dies ein verschlossener Computerraum mit Systemen für Überschwemmungsschutz und Feuererkennung bzw. Brandbekämpfung sein.Place computers that host a database in a physically protected location, ideally a locked computer room with monitored flood detection and fire detection or suppression systems.

  • Installieren Sie Datenbanken in der sicheren Zone des Intranets im Unternehmen, und verbinden Sie Ihre SQL Server nicht direkt mit dem Internet.Install databases in the secure zone of the corporate intranet and do not connect your SQL Servers directly to the Internet.

  • Führen Sie regelmäßig Datensicherungen durch, und bewahren Sie die Sicherungskopien an einem Ort außerhalb des Unternehmensgebäudes auf.Back up all data regularly and secure the backups in an off-site location.

Use Firewalls Use Firewalls

Firewalls sind eine wichtige Komponente zur Sicherung der SQL ServerSQL Server -Installation.Firewalls are important to help secure the SQL ServerSQL Server installation. Sie bieten den wirksamsten Schutz, wenn Sie die folgenden Richtlinien beachten:Firewalls will be most effective if you follow these guidelines:

  • Richten Sie zwischen Server und Internet eine Firewall ein.Put a firewall between the server and the Internet. Aktivieren Sie die Firewall.Enable your firewall. Schalten Sie die Firewall ein, wenn sie ausgeschaltet ist.If your firewall is turned off, turn it on. Schalten Sie die Firewall nicht aus, wenn sie eingeschaltet ist.If your firewall is turned on, do not turn it off.

  • Unterteilen Sie das Netzwerk in Sicherheitszonen, die durch Firewalls voneinander getrennt sind.Divide the network into security zones separated by firewalls. Blockieren Sie zunächst sämtlichen Datenverkehr, und lassen Sie anschließend nur ausgewählte Verbindungen zu.Block all traffic, and then selectively admit only what is required.

  • Verwenden Sie in einer mehrstufigen Umgebung mehrere Firewalls, um Umkreisnetzwerke zu erstellen.In a multi-tier environment, use multiple firewalls to create screened subnets.

  • Wenn Sie den Server in einer Windows-Domäne installieren, konfigurieren Sie innere Firewalls so, dass die Windows-Authentifizierung zulässig ist.When you are installing the server inside a Windows domain, configure interior firewalls to allow Windows Authentication.

  • Wenn Ihre Anwendung verteilte Transaktionen verwendet, müssen Sie die Firewall möglicherweise so konfigurieren, dass MicrosoftMicrosoft Distributed Transaction Coordinator (MS DTC)-Datenverkehr zwischen separaten MS DTC-Instanzen übermittelt werden kann.If your application uses distributed transactions, you might have to configure the firewall to allow MicrosoftMicrosoft Distributed Transaction Coordinator (MS DTC) traffic to flow between separate MS DTC instances. Außerdem müssen Sie die Firewall für Datenverkehr zwischen MS DTC und Ressourcen-Managern wie SQL ServerSQL Serverkonfigurieren.You will also have to configure the firewall to allow traffic to flow between the MS DTC and resource managers such as SQL ServerSQL Server.

    Weitere Informationen zu den Standardeinstellungen der Windows-Firewall und eine Beschreibung der TCP-Ports, die sich auf das DatenbankmodulDatabase Engine, die Analysis ServicesAnalysis Services, die Reporting ServicesReporting Servicesund die Integration ServicesIntegration Servicesauswirken, finden Sie unter Konfigurieren der Windows-Firewall für den SQL Server-Zugriff.For more information about the default Windows firewall settings, and a description of the TCP ports that affect the DatenbankmodulDatabase Engine, Analysis ServicesAnalysis Services, Reporting ServicesReporting Services, and Integration ServicesIntegration Services, see Configure the Windows Firewall to Allow SQL Server Access.

Isolate Services Isolate Services

Durch das Isolieren von Diensten reduzieren Sie das Risiko, dass durch einen gefährdeten Dienst andere Dienste ebenfalls gefährdet werden.Isolating services reduces the risk that one compromised service could be used to compromise others. Beachten Sie beim Isolieren von Diensten die folgenden Richtlinien:To isolate services, consider the following guidelines:

  • Führen Sie separate SQL ServerSQL Server -Dienste unter separaten Windows-Konten aus.Run separate SQL ServerSQL Server services under separate Windows accounts. Verwenden Sie für die einzelnen SQL ServerSQL Server -Dienste wo immer das möglich ist separate Windows-Benutzerkonten oder separate lokale Benutzerkonten mit geringen Rechten.Whenever possible, use separate, low-rights Windows or Local user accounts for each SQL ServerSQL Server service. Weitere Informationen finden Sie unter Konfigurieren von Windows-Dienstkonten und -Berechtigungen.For more information, see Configure Windows Service Accounts and Permissions.

Configure a Secure File System Configure a Secure File System

Die Verwendung des richtigen Dateisystems erhöht die Sicherheit.Using the correct file system increases security. Folgende Aufgaben sollten für SQL ServerSQL Server -Installationen ausgeführt werden:For SQL ServerSQL Server installations, you should do the following tasks:

  • Verwenden Sie das Dateisystem NTFS.Use the NTFS file system (NTFS). NTFS ist das bevorzugte Dateisystem für SQL ServerSQL Server -Installationen, da im Gegensatz zum Dateisystem FAT eine höhere Stabilität und eine bessere Wiederherstellbarkeit gegeben ist.NTFS is the preferred file system for installations of SQL ServerSQL Server because it is more stable and recoverable than FAT file systems. NTFS bietet darüber hinaus Sicherheitsfeatures wie Zugriffssteuerungslisten (ACL) für Dateien und Verzeichnisse und die Encrypting File System (EFS)-Dateiverschlüsselung.NTFS also enables security options like file and directory access control lists (ACLs) and Encrypting File System (EFS) file encryption. Nachdem NTFS erkannt wurde, werden während der Installation von SQL ServerSQL Server entsprechende ACLs für Registrierungsschlüssel und Dateien festgelegt.During installation, SQL ServerSQL Server will set appropriate ACLs on registry keys and files if it detects NTFS. Diese Berechtigungen sollten nicht geändert werden.These permissions should not be changed. In zukünftigen Versionen von SQL ServerSQL Server wird die Installation auf Computern mit FAT-Dateisystemen möglicherweise nicht mehr unterstützt.Future releases of SQL ServerSQL Server might not support installation on computers with FAT file systems.

    Hinweis

    Wenn Sie EFS verwenden, werden Datenbankdateien unter der Identität des Kontos verschlüsselt, mit dem SQL ServerSQL Serverausgeführt wird.If you use EFS, database files will be encrypted under the identity of the account running SQL ServerSQL Server. Die Dateien können nur mit diesem Konto entschlüsselt werden.Only this account will be able to decrypt the files. Falls eine Änderung des Kontos erforderlich wird, unter dem SQL ServerSQL Serverausgeführt wird, sollten Sie die Dateien zunächst unter dem alten Konto entschlüsseln und anschließend unter dem neuen Konto verschlüsseln.If you must change the account that runs SQL ServerSQL Server, you should first decrypt the files under the old account and then re-encrypt them under the new account.

  • Verwenden Sie für wichtige Datendateien ein redundantes Datenträgerarray (RAID).Use a redundant array of independent disks (RAID) for critical data files.

Disable NetBIOS and Server Message Block Disable NetBIOS and Server Message Block

Für Server im Umkreisnetzwerk sollten alle nicht erforderlichen Protokolle deaktiviert sein, einschließlich NetBIOS und Server Message Block (SMB).Servers in the perimeter network should have all unnecessary protocols disabled, including NetBIOS and server message block (SMB).

NetBIOS verwendet die folgenden Ports:NetBIOS uses the following ports:

  • UDP/137 (NetBIOS-Namensdienst)UDP/137 (NetBIOS name service)

  • UDP/138 (NetBIOS-Datagrammdienst)UDP/138 (NetBIOS datagram service)

  • TCP/139 (NetBIOS-Sitzungsdienst)TCP/139 (NetBIOS session service)

    SMB verwendet die folgenden Ports:SMB uses the following ports:

  • TCP/139TCP/139

  • TCP/445TCP/445

    Für Webserver und DNS-Server (Domain Name System) ist die Verwendung von NetBIOS oder SMB nicht erforderlich.Web servers and Domain Name System (DNS) servers do not require NetBIOS or SMB. Deaktivieren Sie auf diesen Servern beide Protokolle, um das Risiko eines Angriffs durch Benutzerenumeration zu verringern.On these servers, disable both protocols to reduce the threat of user enumeration.

Installieren von SQL ServerSQL Server auf einem Domänencontroller Installing SQL ServerSQL Server on a domain controller

Aus Sicherheitsgründen sollte SQL ServerSQL Server nicht auf einem Domänencontroller installiert werden.For security reasons, we recommend that you do not install SQL ServerSQL Server on a domain controller. SQL ServerSQL Server -Setup wird die Installation auf einem Computer, der als Domänencontroller fungiert, nicht blockieren, es gelten jedoch die folgenden Einschränkungen: Setup will not block installation on a computer that is a domain controller, but the following limitations apply:

  • Sie können keine SQL ServerSQL Server -Dienste auf einem Domänencontroller unter einem lokalen Dienstkonto ausführen.You cannot run SQL ServerSQL Server services on a domain controller under a local service account.

  • Nachdem SQL ServerSQL Server auf einem Computer installiert wurde, können Sie den Computer nicht von einem Domänenmitglied zu einem Domänencontroller ändern.After SQL ServerSQL Server is installed on a computer, you cannot change the computer from a domain member to a domain controller. Sie müssen SQL ServerSQL Server deinstallieren, bevor Sie den Hostcomputer zu einem Domänencontroller ändern.You must uninstall SQL ServerSQL Server before you change the host computer to a domain controller.

  • Nachdem SQL ServerSQL Server auf einem Computer installiert wurde, können Sie den Computer nicht von einem Domänencontroller zu einem Domänenmitglied ändern.After SQL ServerSQL Server is installed on a computer, you cannot change the computer from a domain controller to a domain member. Sie müssen SQL ServerSQL Server deinstallieren, bevor Sie den Hostcomputer zu einem Domänenmitglied ändern.You must uninstall SQL ServerSQL Server before you change the host computer to a domain member.

  • SQL ServerSQL Server werden nicht unterstützt, wenn es sich bei den Clusterknoten um Domänencontroller handelt. failover cluster instances are not supported where cluster nodes are domain controllers.

  • SQL ServerSQL Server kann beim Setup keine Sicherheitsgruppen erstellen oder SQL ServerSQL Server -Dienstkonten für einen schreibgeschützten Domänencontroller bereitstellen. Setup cannot create security groups or provision SQL ServerSQL Server service accounts on a read-only domain controller. In diesem Szenario tritt ein Setupfehler auf.In this scenario, Setup will fail.

Während oder nach der Installation von SQL ServerSQL ServerDuring or After Installation of SQL ServerSQL Server

Nach der Installation können Sie die Sicherheit der SQL ServerSQL Server -Installation mit diesen bewährten Methoden bezüglich Konten und Authentifizierungsmodi verbessern:After installation, you can enhance the security of the SQL ServerSQL Server installation by following these best practices regarding accounts and authentication modes:

DienstkontenService accounts

  • Führen Sie SQL ServerSQL Server -Dienste mit möglichst geringen Berechtigungen aus.Run SQL ServerSQL Server services by using the lowest possible permissions.

  • Ordnen Sie SQL ServerSQL Server -Dienste Windows-Benutzerkonten oder lokalen Benutzerkonten mit geringen Berechtigungen zu.Associate SQL ServerSQL Server services with low privileged Windows local user accounts, or domain user accounts.

  • Weitere Informationen finden Sie unter Konfigurieren von Windows-Dienstkonten und -Berechtigungen.For more information, see Configure Windows Service Accounts and Permissions.

    AuthentifizierungsmodusAuthentication mode

  • Setzen Sie die Windows-Authentifizierung für Verbindungen mit SQL ServerSQL Servervoraus.Require Windows Authentication for connections to SQL ServerSQL Server.

  • Verwenden Sie Kerberos-Authentifizierung.Use Kerberos authentication. Weitere Informationen finden Sie unter Registrieren eines Dienstprinzipalnamens für Kerberos-Verbindungen.For more information, see Register a Service Principal Name for Kerberos Connections.

    Sichere KennwörterStrong passwords

  • Weisen Sie dem sa -Konto immer ein sicheres Kennwort zu.Always assign a strong password to the sa account.

  • Aktivieren Sie immer die Richtlinienüberprüfung für Kennwörter, um die Sicherheit und das Ablaufdatum der Kennwörter.Always enable password policy checking for password strength and expiration.

  • Verwenden Sie für alle SQL ServerSQL Server -Anmeldungen sichere Kennwörter.Always use strong passwords for all SQL ServerSQL Server logins.

Wichtig

Während des Setups von SQL Server ExpressSQL Server Express wird eine Anmeldung für die Gruppe BUILTIN\Users hinzugefügt.During setup of SQL Server ExpressSQL Server Express a login is added for the BUILTIN\Users group. Dies ermöglicht allen authentifizierten Benutzern des Computers den Zugriff auf die Instanz von SQL Server ExpressSQL Server Express als Element der öffentlichen Rolle.This allows all authenticated users of the computer to access the instance of SQL Server ExpressSQL Server Express as a member of the public role. Die BUILTIN\Users-Anmeldung kann sicher entfernt werden, um den DatenbankmodulDatabase Engine -Zugriff auf Computerbenutzer zu beschränken, die eigene Logins besitzen oder Mitglieder anderer Windows-Gruppen mit Logins sind.The BUILTIN\Users login can be safely removed to restrict DatenbankmodulDatabase Engine access to computer users who have individual logins or are members of other Windows groups with logins.

Siehe auchSee Also

Hardware- und Softwareanforderungen für die Installation von SQL Server Hardware and Software Requirements for Installing SQL Server
Netzwerkprotokolle und Netzwerkbibliotheken Network Protocols and Network Libraries
Registrieren eines Dienstprinzipalnamens für Kerberos-VerbindungenRegister a Service Principal Name for Kerberos Connections