Consideraciones de seguridad para una instalación de SQL ServerSecurity Considerations for a SQL Server Installation

La seguridad es importante para todos los productos y negocios.Security is important for every product and every business. Si aplica las siguientes prácticas recomendadas de seguridad, puede evitar muchas vulnerabilidades de seguridad.By following simple best practices, you can avoid many security vulnerabilities. En este tema se tratan algunas prácticas recomendadas de seguridad que deben tenerse en cuenta antes de instalar SQL ServerSQL Server y después de instalar SQL ServerSQL Server.This topic discusses some security best practices that you should consider both before you install SQL ServerSQL Server and after you install SQL ServerSQL Server. En los temas de referencia para estas características se incluyen directrices de seguridad para características específicas.Security guidance for specific features is included in the reference topics for those features.

Antes de instalar SQL ServerSQL ServerBefore Installing SQL ServerSQL Server

Siga estas prácticas recomendadas cuando configure el entorno del servidor.Follow these best practices when you set up the server environment:

Enhance Physical Security Enhance Physical Security

El aislamiento físico y lógico constituye la base de la seguridad de SQL ServerSQL Server .Physical and logical isolation make up the foundation of SQL ServerSQL Server security. Para mejorar la seguridad física de la instalación de SQL ServerSQL Server , realice las siguientes tareas:To enhance the physical security of the SQL ServerSQL Server installation, do the following tasks:

  • Coloque el servidor en una sala que solo sea accesible a personas autorizadas.Place the server in a room accessible only to authorized persons.

  • Coloque los equipos que hospedan bases de datos en una ubicación protegida físicamente, como una sala de equipos cerrada con sistemas supervisados de detección de inundaciones y de extinción o detección de incendios.Place computers that host a database in a physically protected location, ideally a locked computer room with monitored flood detection and fire detection or suppression systems.

  • Instale las bases de datos en una zona segura de la intranet corporativa y no conecte sus servidores SQL Server directamente a Internet.Install databases in the secure zone of the corporate intranet and do not connect your SQL Servers directly to the Internet.

  • Realice periódicamente copias de seguridad de todos los datos y manténgalas protegidas en una ubicación fuera de las instalaciones.Back up all data regularly and secure the backups in an off-site location.

Use Firewalls Use Firewalls

Los firewalls son importantes para ayudar a proteger la instalación de SQL ServerSQL Server .Firewalls are important to help secure the SQL ServerSQL Server installation. Los firewalls serán más efectivos si sigue estas instrucciones:Firewalls will be most effective if you follow these guidelines:

  • Instale un firewall entre el servidor e Internet.Put a firewall between the server and the Internet. Habilite el firewall.Enable your firewall. Si el firewall está desactivado, actívelo.If your firewall is turned off, turn it on. Si el firewall está activado, no lo desactive.If your firewall is turned on, do not turn it off.

  • Divida la red en zonas de seguridad separadas por firewalls.Divide the network into security zones separated by firewalls. Bloquee todo el tráfico y, a continuación, admita solo el necesario.Block all traffic, and then selectively admit only what is required.

  • En un entorno de varios niveles, utilice varios firewalls para crear subredes filtradas.In a multi-tier environment, use multiple firewalls to create screened subnets.

  • Si instala el servidor en un dominio de Windows, configure firewalls internos para permitir la autenticación de Windows.When you are installing the server inside a Windows domain, configure interior firewalls to allow Windows Authentication.

  • Si la aplicación utiliza transacciones distribuidas, puede que tenga que configurar el firewall para permitir que el tráfico del Coordinador de transacciones distribuidas de MicrosoftMicrosoft (MS DTC, Microsoft Distributed Transaction Coordinator) fluya entre instancias independientes de MS DTC.If your application uses distributed transactions, you might have to configure the firewall to allow MicrosoftMicrosoft Distributed Transaction Coordinator (MS DTC) traffic to flow between separate MS DTC instances. También tendrá que configurar el firewall para permitir que el tráfico fluya entre los administradores de recursos y MS DTC como SQL ServerSQL Server.You will also have to configure the firewall to allow traffic to flow between the MS DTC and resource managers such as SQL ServerSQL Server.

    Para obtener más información sobre la configuración predeterminada de Firewall de Windows y una descripción de los puertos TCP que afectan al Motor de base de datosDatabase Engine, a Analysis ServicesAnalysis Services, a Reporting ServicesReporting Servicesy a Integration ServicesIntegration Services, vea Configurar Firewall de Windows para permitir el acceso a SQL Server.For more information about the default Windows firewall settings, and a description of the TCP ports that affect the Motor de base de datosDatabase Engine, Analysis ServicesAnalysis Services, Reporting ServicesReporting Services, and Integration ServicesIntegration Services, see Configure the Windows Firewall to Allow SQL Server Access.

Isolate Services Isolate Services

El aislamiento de servicios reduce el riesgo de que se utilice un servicio cuya seguridad se haya vulnerado para vulnerar la seguridad de otros servicios.Isolating services reduces the risk that one compromised service could be used to compromise others. Para aislar los servicios, tenga en cuenta estas instrucciones:To isolate services, consider the following guidelines:

  • Ejecute los servicios de SQL ServerSQL Server por separado en distintas cuentas de Windows.Run separate SQL ServerSQL Server services under separate Windows accounts. Siempre que sea posible, utilice derechos de Windows independientes y bajos, o cuentas de usuario local para cada servicio de SQL ServerSQL Server .Whenever possible, use separate, low-rights Windows or Local user accounts for each SQL ServerSQL Server service. Para obtener más información, vea Configurar los permisos y las cuentas de servicio de Windows.For more information, see Configure Windows Service Accounts and Permissions.

Configure a Secure File System Configure a Secure File System

Si se usa el sistema de archivos correcto, se aumenta la seguridad.Using the correct file system increases security. En las instalaciones de SQL ServerSQL Server , debería hacer lo siguiente:For SQL ServerSQL Server installations, you should do the following tasks:

  • Usar el sistema de archivos NTFS.Use the NTFS file system (NTFS). NTFS es el sistema de archivos preferido para las instalaciones de SQL ServerSQL Server porque es más estable y recuperable que los sistemas de archivos FAT.NTFS is the preferred file system for installations of SQL ServerSQL Server because it is more stable and recoverable than FAT file systems. NTFS también habilita opciones de seguridad como las listas de control de acceso de directorios (ACL, Access Control List) y archivos, y el cifrado de archivos del Sistema de archivos de cifrado (EFS, Encrypting File System).NTFS also enables security options like file and directory access control lists (ACLs) and Encrypting File System (EFS) file encryption. Durante la instalación, SQL ServerSQL Server establecerá las ACL adecuadas en las claves del Registro y archivos si detecta NTFS.During installation, SQL ServerSQL Server will set appropriate ACLs on registry keys and files if it detects NTFS. No se deberían cambiar estos permisos.These permissions should not be changed. Puede que las versiones futuras de SQL ServerSQL Server no admitan la instalación en equipos con sistemas de archivos FAT.Future releases of SQL ServerSQL Server might not support installation on computers with FAT file systems.

    Nota

    Si utiliza EFS, los archivos de base de datos se cifrarán con la identidad de la cuenta que ejecuta SQL ServerSQL Server.If you use EFS, database files will be encrypted under the identity of the account running SQL ServerSQL Server. Solo esta cuenta podrá descifrar los archivos.Only this account will be able to decrypt the files. Si debe cambiar la cuenta que ejecuta SQL ServerSQL Server, debería descifrar primero los archivos en la cuenta anterior y, a continuación, volver a cifrarlos en la cuenta nueva.If you must change the account that runs SQL ServerSQL Server, you should first decrypt the files under the old account and then re-encrypt them under the new account.

  • Utilice una matriz redundante de discos independientes (RAID) para los archivos de datos esenciales.Use a redundant array of independent disks (RAID) for critical data files.

Disable NetBIOS and Server Message Block Disable NetBIOS and Server Message Block

Los servidores de la red perimetral deben tener deshabilitados todos los protocolos innecesarios, incluidos NetBIOS y Bloque de mensajes de servidor (SMB).Servers in the perimeter network should have all unnecessary protocols disabled, including NetBIOS and server message block (SMB).

NetBIOS utiliza los siguientes puertos:NetBIOS uses the following ports:

  • UDP/137 (servicio de nombre NetBIOS)UDP/137 (NetBIOS name service)

  • UDP/138 (servicio de datagrama NetBIOS)UDP/138 (NetBIOS datagram service)

  • TCP/139 (servicio de sesión NetBIOS)TCP/139 (NetBIOS session service)

    SMB utiliza los siguientes puertos:SMB uses the following ports:

  • TCP/139TCP/139

  • TCP/445TCP/445

    Los servidores web y los servidores del Sistema de nombres de dominio (DNS) no requieren NetBIOS o SMB.Web servers and Domain Name System (DNS) servers do not require NetBIOS or SMB. En estos servidores, deshabilite los dos protocolos para reducir la amenaza de enumeración de usuarios.On these servers, disable both protocols to reduce the threat of user enumeration.

Instalación de SQL ServerSQL Server en un controlador de dominio Installing SQL ServerSQL Server on a domain controller

Por razones de seguridad, se recomienda que no se instale SQL Server 2016SQL Server 2016 en un controlador de dominio.For security reasons, we recommend that you do not install SQL Server 2016SQL Server 2016 on a domain controller. SQL ServerSQL Server no bloqueará la instalación en un equipo que sea un controlador de dominio, pero se aplican las limitaciones siguientes: Setup will not block installation on a computer that is a domain controller, but the following limitations apply:

  • No puede ejecutar los servicios SQL ServerSQL Server en un controlador de dominio bajo una cuenta del servicio local.You cannot run SQL ServerSQL Server services on a domain controller under a local service account.

  • Una vez instalado en un equipo de SQL ServerSQL Server , no puede cambiar el equipo de un miembro de dominio a un controlador de dominio.After SQL ServerSQL Server is installed on a computer, you cannot change the computer from a domain member to a domain controller. Debe desinstalar SQL ServerSQL Server antes de cambiar el equipo host a un controlador de dominio.You must uninstall SQL ServerSQL Server before you change the host computer to a domain controller.

  • Una vez instalado en un equipo de SQL ServerSQL Server , no puede cambiar el equipo de un controlador de dominio a un miembro de dominio.After SQL ServerSQL Server is installed on a computer, you cannot change the computer from a domain controller to a domain member. Debe desinstalar SQL ServerSQL Server antes de cambiar el equipo host a un miembro de dominio.You must uninstall SQL ServerSQL Server before you change the host computer to a domain member.

  • SQL ServerSQL Server no se admiten en el caso en que los nodos de clúster sean controladores de dominio. failover cluster instances are not supported where cluster nodes are domain controllers.

  • SQL ServerSQL Server El programa de instalación no puede crear grupos de seguridad ni suministrar cuentas de servicio de SQL ServerSQL Server en un controlador de dominio de solo lectura. service accounts on a read-only domain controller. En este escenario, se producirá un error de instalación.In this scenario, Setup will fail.

Durante o después de la instalación de SQL ServerSQL ServerDuring or After Installation of SQL ServerSQL Server

Tras la instalación, puede mejorar la seguridad de la instalación de SQL ServerSQL Server si sigue estas prácticas recomendadas relativas a las cuentas y los modos de autenticación:After installation, you can enhance the security of the SQL ServerSQL Server installation by following these best practices regarding accounts and authentication modes:

Cuentas de servicioService accounts

  • Ejecute los servicios de SQL ServerSQL Server con los mínimos permisos posibles.Run SQL ServerSQL Server services by using the lowest possible permissions.

  • Asocie los servicios de SQL ServerSQL Server a las cuentas de usuario local de Windows con menos privilegios, o a las cuentas de usuario de dominio.Associate SQL ServerSQL Server services with low privileged Windows local user accounts, or domain user accounts.

  • Para obtener más información, vea Configurar los permisos y las cuentas de servicio de Windows.For more information, see Configure Windows Service Accounts and Permissions.

    Modo de autenticaciónAuthentication mode

  • Requiera la autenticación de Windows para las conexiones a SQL ServerSQL Server.Require Windows Authentication for connections to SQL ServerSQL Server.

  • Utilice la autenticación Kerberos.Use Kerberos authentication. Para obtener más información, vea Registrar un nombre de entidad de seguridad de servicio para las conexiones con Kerberos.For more information, see Register a Service Principal Name for Kerberos Connections.

    Contraseñas segurasStrong passwords

  • Asigne una contraseña segura a la cuenta sa .Always assign a strong password to the sa account.

  • Habilite siempre la directiva de contraseñas comprobando el nivel y la fecha de expiración de la contraseña.Always enable password policy checking for password strength and expiration.

  • Use siempre contraseñas seguras en todos los inicios de sesión de SQL ServerSQL Server .Always use strong passwords for all SQL ServerSQL Server logins.

Importante

Durante la instalación de SQL Server ExpressSQL Server Express se agrega un inicio de sesión para el grupo BUILTIN\Users.During setup of SQL Server ExpressSQL Server Express a login is added for the BUILTIN\Users group. Esto permite que todos los usuarios autenticados del equipo tengan acceso a la instancia de SQL Server ExpressSQL Server Express como un miembro del rol public.This allows all authenticated users of the computer to access the instance of SQL Server ExpressSQL Server Express as a member of the public role. El inicio de sesión BUILTIN\Users se pueden quitar de manera segura para restringir el acceso al Motor de base de datosDatabase Engine a los usuarios de equipos que tienen inicios de sesión individuales o son miembros de otros grupos de Windows con inicios de sesión.The BUILTIN\Users login can be safely removed to restrict Motor de base de datosDatabase Engine access to computer users who have individual logins or are members of other Windows groups with logins.

Vea tambiénSee Also

Requisitos de hardware y software para instalar SQL Server 2016 Hardware and Software Requirements for Installing SQL Server 2016
Protocolos de red y bibliotecas de red Network Protocols and Network Libraries
Registrar un nombre de entidad de seguridad de servicio para las conexiones con Kerberos Register a Service Principal Name for Kerberos Connections