Consideraciones de seguridad para una instalación de SQL Server

  • Artículo

La seguridad es importante para todos los productos y negocios. Si aplica las siguientes prácticas recomendadas de seguridad, puede evitar muchas vulnerabilidades de seguridad. En este tema se tratan algunas prácticas recomendadas de seguridad que deben tenerse en cuenta antes de instalar SQL Server y después de instalar SQL Server. En los temas de referencia para estas características se incluyen directrices de seguridad para características específicas.

Antes de instalar SQL Server

Siga estas prácticas recomendadas cuando configure el entorno del servidor.

Mejorar la seguridad física

El aislamiento físico y lógico constituye la base de la seguridad de SQL Server. Para mejorar la seguridad física de la instalación de SQL Server, realice las siguientes tareas:

  • Coloque el servidor en una sala que solo sea accesible a personas autorizadas.

  • Coloque los equipos que hospedan bases de datos en una ubicación protegida físicamente, como una sala de equipos cerrada con sistemas supervisados de detección de inundaciones y de extinción o detección de incendios.

  • Instale las bases de datos en una zona segura de la intranet corporativa y no conecte sus servidores SQL Server directamente a Internet.

  • Realice periódicamente copias de seguridad de todos los datos y manténgalas protegidas en una ubicación fuera de las instalaciones.

Usar firewalls

Los firewalls son importantes para ayudar a proteger la instalación de SQL Server. Los firewalls serán más efectivos si sigue estas instrucciones:

  • Instale un firewall entre el servidor e Internet. Habilite el firewall. Si el firewall está desactivado, actívelo. Si el firewall está activado, no lo desactive.

  • Divida la red en zonas de seguridad separadas por firewalls. Bloquee todo el tráfico y, a continuación, admita solo el necesario.

  • En un entorno de varios niveles, utilice varios firewalls para crear subredes filtradas.

  • Si instala el servidor en un dominio de Windows, configure firewalls internos para permitir la autenticación de Windows.

  • Si la aplicación utiliza transacciones distribuidas, puede que tenga que configurar el firewall para permitir que el tráfico del Coordinador de transacciones distribuidas de Microsoft (MS DTC, Microsoft Distributed Transaction Coordinator) fluya entre instancias independientes de MS DTC. También tendrá que configurar el firewall para permitir que el tráfico fluya entre los administradores de recursos y MS DTC como SQL Server.

Para obtener más información sobre la configuración predeterminada de Firewall de Windows, y una descripción de los puertos TCP que afectan a Motor de base de datos, Analysis Services, Reporting Services y Integration Services, vea Configurar Firewall de Windows para permitir el acceso a SQL Server.

Aislar servicios

El aislamiento de servicios reduce el riesgo de que se utilice un servicio cuya seguridad se haya vulnerado para vulnerar la seguridad de otros servicios. Para aislar los servicios, tenga en cuenta estas instrucciones:

  • Ejecute los servicios de SQL Server por separado en distintas cuentas de Windows. Siempre que sea posible, utilice derechos de Windows independientes y bajos, o cuentas de usuario local para cada servicio de SQL Server. Para obtener más información, vea, Configurar los permisos y las cuentas de servicio de Windows.

Configurar un sistema de archivos seguro

Si se usa el sistema de archivos correcto, se aumenta la seguridad. En las instalaciones de SQL Server, debería hacer lo siguiente:

  • Usar el sistema de archivos NTFS. NTFS es el sistema de archivos preferido para las instalaciones de SQL Server porque es más estable y recuperable que los sistemas de archivos FAT. NTFS también habilita opciones de seguridad como las listas de control de acceso de directorios (ACL, Access Control List) y archivos, y el cifrado de archivos del Sistema de archivos de cifrado (EFS, Encrypting File System). Durante la instalación, SQL Server establecerá las ACL adecuadas en las claves del Registro y archivos si detecta NTFS. No se deberían cambiar estos permisos. Puede que las versiones futuras de SQL Server no admitan la instalación en equipos con sistemas de archivos FAT.

    [!NOTA]

    Si utiliza EFS, los archivos de base de datos se cifrarán con la identidad de la cuenta que ejecuta SQL Server. Solo esta cuenta podrá descifrar los archivos. Si debe cambiar la cuenta que ejecuta SQL Server, debería descifrar primero los archivos en la cuenta anterior y, a continuación, volver a cifrarlos en la cuenta nueva.

  • Utilice una matriz redundante de discos independientes (RAID) para los archivos de datos esenciales.

Deshabilitar NetBIOS y Bloque de mensajes de servidor

Los servidores de la red perimetral deben tener deshabilitados todos los protocolos innecesarios, incluidos NetBIOS y Bloque de mensajes de servidor (SMB).

NetBIOS utiliza los siguientes puertos:

  • UDP/137 (servicio de nombre NetBIOS)

  • UDP/138 (servicio de datagrama NetBIOS)

  • TCP/139 (servicio de sesión NetBIOS)

SMB utiliza los siguientes puertos:

  • TCP/139

  • TCP/445

Los servidores web y los servidores del Sistema de nombres de dominio (DNS) no requieren NetBIOS o SMB. En estos servidores, deshabilite los dos protocolos para reducir la amenaza de enumeración de usuarios.

Instalar SQL Server en un controlador de dominio

Por razones de seguridad, se recomienda que no se instale SQL Server 2012 en un controlador de dominio. El programa de instalación de SQL Server no bloqueará la instalación en un equipo que sea un controlador de dominio, pero se aplican las limitaciones siguientes:

  • No puede ejecutar los servicios SQL Server en un controlador de dominio bajo una cuenta del servicio local.

  • Una vez instalado en un equipo de SQL Server, no puede cambiar el equipo de un miembro de dominio a un controlador de dominio. Debe desinstalar SQL Server antes de cambiar el equipo host a un controlador de dominio.

  • Una vez instalado en un equipo de SQL Server, no puede cambiar el equipo de un controlador de dominio a un miembro de dominio. Debe desinstalar SQL Server antes de cambiar el equipo host a un miembro de dominio.

  • Las instancias del clúster de conmutación por error de SQL Server no se admiten en el caso en que los nodos de clúster sean controladores de dominio.

  • El programa de instalación de SQL Server no puede crear grupos de seguridad ni suministrar cuentas de servicio de SQL Server en un controlador de dominio de solo lectura. En este escenario, se producirá un error de instalación.

Durante o después de la instalación de SQL Server

Tras la instalación, puede mejorar la seguridad de la instalación de SQL Server si sigue estas prácticas recomendadas relativas a las cuentas y los modos de autenticación:

Cuentas de servicio

  • Ejecute los servicios de SQL Server con los mínimos permisos posibles.

  • Asocie los servicios de SQL Server a las cuentas de usuario local de Windows con menos privilegios, o a las cuentas de usuario de dominio.

  • Para obtener más información, vea Configurar los permisos y las cuentas de servicio de Windows.

Modo de autenticación

Contraseñas seguras

  • Asigne una contraseña segura a la cuenta sa.

  • Habilite siempre la directiva de contraseñas comprobando el nivel y la fecha de expiración de la contraseña.

  • Use siempre contraseñas seguras en todos los inicios de sesión de SQL Server.

Nota de seguridadNota de seguridad

Durante la instalación de SQL Server Express se agrega un inicio de sesión para el grupo BUILTIN\Users. Esto permite que todos los usuarios autenticados del equipo tengan acceso a la instancia de SQL Server Express como un miembro del rol public. El inicio de sesión BUILTIN\Users se pueden quitar de manera segura para restringir el acceso al Motor de base de datos a los usuarios de equipos que tienen inicios de sesión individuales o son miembros de otros grupos de Windows con inicios de sesión.

Vea también

Referencia

Requisitos de hardware y software para instalar SQL Server 2012

Protocolos de red y bibliotecas de red

Conceptos

Registrar un nombre principal de servicio para las conexiones con Kerberos