Considérations sur la sécurité pour une installation SQL ServerSecurity Considerations for a SQL Server Installation

La sécurité est importante pour chaque produit et chaque activité.Security is important for every product and every business. En respectant les recommandations les plus simples, vous pouvez éviter de nombreuses failles de sécurité.By following simple best practices, you can avoid many security vulnerabilities. Cette rubrique traite des recommandations qu'il est conseillé de prendre en considération en matière de sécurité avant d'installer SQL ServerSQL Server et après l'avoir installé SQL ServerSQL Server.This topic discusses some security best practices that you should consider both before you install SQL ServerSQL Server and after you install SQL ServerSQL Server. Des conseils en matière de sécurité concernant des fonctionnalités spécifiques sont inclus dans les rubriques de référence de ces fonctionnalités.Security guidance for specific features is included in the reference topics for those features.

Avant d’effectuer l’installation SQL ServerSQL ServerBefore Installing SQL ServerSQL Server

Suivez ces recommandations lors de la définition de l'environnement du serveur :Follow these best practices when you set up the server environment:

Enhance Physical Security Enhance Physical Security

L'isolement au niveau physique et logique est à la base de la sécurité de SQL ServerSQL Server .Physical and logical isolation make up the foundation of SQL ServerSQL Server security. Pour améliorer la sécurité de l'installation SQL ServerSQL Server au niveau physique, procédez comme suit :To enhance the physical security of the SQL ServerSQL Server installation, do the following tasks:

  • Placez le serveur dans une pièce à laquelle seules les personnes autorisées peuvent accéder.Place the server in a room accessible only to authorized persons.

  • Placez les ordinateurs qui hébergent une base de données dans un lieu protégé physiquement, idéalement dans une salle fermée à clé, équipée de systèmes pour la détection et la lutte contre les inondations et les incendies.Place computers that host a database in a physically protected location, ideally a locked computer room with monitored flood detection and fire detection or suppression systems.

  • Installez les bases de données dans une zone sécurisée de l'intranet d'entreprise, sans connecter vos serveurs SQL Server directement à Internet.Install databases in the secure zone of the corporate intranet and do not connect your SQL Servers directly to the Internet.

  • Sauvegardez régulièrement toutes les données et conservez les copies de sauvegarde dans un lieu sécurisé situé en dehors de l'entreprise.Back up all data regularly and secure the backups in an off-site location.

Use Firewalls Use Firewalls

Les pare-feu sont importants afin d'aider à sécuriser l'installation de SQL ServerSQL Server .Firewalls are important to help secure the SQL ServerSQL Server installation. Les pare-feu seront d'autant plus efficaces que vous suivrez ces directives :Firewalls will be most effective if you follow these guidelines:

  • Placez un pare-feu entre le serveur et Internet.Put a firewall between the server and the Internet. Activez votre pare-feu.Enable your firewall. Si votre pare-feu est désactivé, activez-le.If your firewall is turned off, turn it on. Si votre pare-feu est activé, ne le désactivez pas.If your firewall is turned on, do not turn it off.

  • Divisez le réseau en zones de sécurité séparées par des pare-feu.Divide the network into security zones separated by firewalls. Bloquez tout le trafic, puis sélectionnez uniquement ce qui est obligatoire.Block all traffic, and then selectively admit only what is required.

  • Dans un environnement à plusieurs niveaux, utilisez plusieurs pare-feu pour créer des sous-réseaux filtrés.In a multi-tier environment, use multiple firewalls to create screened subnets.

  • Lorsque vous installez le serveur à l'intérieur d'un domaine Windows, configurez des pare-feu internes pour autoriser l'authentification Windows.When you are installing the server inside a Windows domain, configure interior firewalls to allow Windows Authentication.

  • Si votre application utilise des transactions distribuées, vous devrez éventuellement configurer le pare-feu pour autoriser le trafic MS DTC ( MicrosoftMicrosoft Distributed Transaction Coordinator) entre des instances MS DTC distinctes.If your application uses distributed transactions, you might have to configure the firewall to allow MicrosoftMicrosoft Distributed Transaction Coordinator (MS DTC) traffic to flow between separate MS DTC instances. Vous devrez configurer également le pare-feu afin de permettre au trafic de s'écouler entre les instances MS DTC et les gestionnaires des ressources tels que SQL ServerSQL Server.You will also have to configure the firewall to allow traffic to flow between the MS DTC and resource managers such as SQL ServerSQL Server.

    Pour plus d’informations sur les paramètres par défaut du Pare-feu Windows et pour obtenir une description des ports TCP qui affectent le Moteur de base de donnéesDatabase Engine, Analysis ServicesAnalysis Services, Reporting ServicesReporting Serviceset Integration ServicesIntegration Services, consultez Configurer le Pare-feu Windows pour autoriser l’accès à SQL Server.For more information about the default Windows firewall settings, and a description of the TCP ports that affect the Moteur de base de donnéesDatabase Engine, Analysis ServicesAnalysis Services, Reporting ServicesReporting Services, and Integration ServicesIntegration Services, see Configure the Windows Firewall to Allow SQL Server Access.

Isolate Services Isolate Services

Le fait d'isoler les services réduit le risque qu'un service compromis soit utilisé pour en compromettre d'autres.Isolating services reduces the risk that one compromised service could be used to compromise others. Pour isoler des services, tenez compte des consignes suivantes :To isolate services, consider the following guidelines:

  • Exécutez chaque service SQL ServerSQL Server sous des comptes Windows distincts.Run separate SQL ServerSQL Server services under separate Windows accounts. Si possible, utilisez des comptes d'utilisateurs locaux ou Windows distincts et à faibles droits pour chaque service SQL ServerSQL Server .Whenever possible, use separate, low-rights Windows or Local user accounts for each SQL ServerSQL Server service. Pour plus d’informations, consultez Configurer les comptes de service Windows et les autorisations.For more information, see Configure Windows Service Accounts and Permissions.

Configure a Secure File System Configure a Secure File System

L'utilisation du système de fichiers correct accroît la sécurité.Using the correct file system increases security. Pour les installations SQL ServerSQL Server , vous devez effectuer les tâches suivantes :For SQL ServerSQL Server installations, you should do the following tasks:

  • Utiliser le système de fichiers NTFS.Use the NTFS file system (NTFS). NTFS est le système de fichiers par défaut pour les installations de SQL ServerSQL Server car il est plus stable et récupérable que les systèmes de fichiers FAT.NTFS is the preferred file system for installations of SQL ServerSQL Server because it is more stable and recoverable than FAT file systems. NTFS active également des options de sécurité telles que les listes de contrôle d'accès de fichiers et de répertoires et le chiffrement de fichiers EFS (Encrypting File System).NTFS also enables security options like file and directory access control lists (ACLs) and Encrypting File System (EFS) file encryption. Pendant l'installation, SQL ServerSQL Server définit les listes de contrôle d'accès appropriées sur les clés de Registre et les fichiers s'il détecte NTFS.During installation, SQL ServerSQL Server will set appropriate ACLs on registry keys and files if it detects NTFS. Ces autorisations ne doivent pas être modifiées.These permissions should not be changed. Il se peut que les versions futures de SQL ServerSQL Server ne prennent pas en charge l'installation sur des ordinateurs dotés de systèmes de fichiers FAT.Future releases of SQL ServerSQL Server might not support installation on computers with FAT file systems.

    Note

    Si vous utilisez le chiffrement EFS, les fichiers de base de données seront chiffrés sous l'identité du compte qui exécute SQL ServerSQL Server.If you use EFS, database files will be encrypted under the identity of the account running SQL ServerSQL Server. Seul ce compte sera en mesure de déchiffrer les fichiers.Only this account will be able to decrypt the files. Si vous devez modifier le compte qui exécute SQL ServerSQL Server, vous devez d'abord déchiffrer les fichiers sous l'ancien compte, puis les rechiffrer sous le nouveau compte.If you must change the account that runs SQL ServerSQL Server, you should first decrypt the files under the old account and then re-encrypt them under the new account.

  • Utilisez la technologie RAID pour les fichiers de données critiques.Use a redundant array of independent disks (RAID) for critical data files.

Disable NetBIOS and Server Message Block Disable NetBIOS and Server Message Block

Les protocoles non nécessaires doivent tous être désactivés sur les serveurs du réseau de périmètre, y compris les protocoles NetBIOS et SMB.Servers in the perimeter network should have all unnecessary protocols disabled, including NetBIOS and server message block (SMB).

Le protocole NetBIOS utilise les ports suivants :NetBIOS uses the following ports:

  • UDP/137 (service de noms NetBIOS)UDP/137 (NetBIOS name service)

  • UDP/138 (service de datagrammes NetBIOS)UDP/138 (NetBIOS datagram service)

  • TCP/139 (service de sessions NetBIOS)TCP/139 (NetBIOS session service)

    Le protocole SMB utilise les ports suivants :SMB uses the following ports:

  • TCP/139TCP/139

  • TCP/445TCP/445

    Les serveurs Web et les serveurs DNS (Domain Name System) ne nécessitent pas l'utilisation du protocole NetBIOS ou SMB.Web servers and Domain Name System (DNS) servers do not require NetBIOS or SMB. Désactivez ces protocoles sur ces serveurs afin de réduire le risque lié à l'énumération utilisateur.On these servers, disable both protocols to reduce the threat of user enumeration.

Installation de SQL ServerSQL Server sur un contrôleur de domaine Installing SQL ServerSQL Server on a domain controller

Pour des raisons de sécurité, nous recommandons de ne pas installer SQL Server 2016SQL Server 2016 sur un contrôleur de domaine.For security reasons, we recommend that you do not install SQL Server 2016SQL Server 2016 on a domain controller. SQL ServerSQL Server ne bloquera pas l'installation sur un ordinateur qui est contrôleur de domaine, mais les limitations suivantes s'appliquent : Setup will not block installation on a computer that is a domain controller, but the following limitations apply:

  • Vous ne pouvez pas exécuter les services SQL ServerSQL Server sur un contrôleur de domaine sous un compte de service local.You cannot run SQL ServerSQL Server services on a domain controller under a local service account.

  • Après avoir installé sur un ordinateur SQL ServerSQL Server , vous ne pouvez pas modifier l'ordinateur d'un membre de domaine en un contrôleur de domaine.After SQL ServerSQL Server is installed on a computer, you cannot change the computer from a domain member to a domain controller. Vous devez désinstaller SQL ServerSQL Server avant de modifier l'ordinateur hôte en un contrôleur de domaine.You must uninstall SQL ServerSQL Server before you change the host computer to a domain controller.

  • Après avoir installé sur un ordinateur SQL ServerSQL Server , vous ne pouvez pas modifier l'ordinateur d'un contrôleur de domaine en un membre de domaine.After SQL ServerSQL Server is installed on a computer, you cannot change the computer from a domain controller to a domain member. Vous devez désinstaller SQL ServerSQL Server avant de modifier l'ordinateur hôte en un membre de domaine.You must uninstall SQL ServerSQL Server before you change the host computer to a domain member.

  • SQL ServerSQL Server ne sont pas prises en charge lorsque les nœuds du cluster sont des contrôleurs de domaine. failover cluster instances are not supported where cluster nodes are domain controllers.

  • SQL ServerSQL Server Le programme d’installation ne peut pas créer de groupes de sécurité ni configurer de comptes de service SQL ServerSQL Server sur un contrôleur de domaine en lecture seule. service accounts on a read-only domain controller. Dans ce scénario, le programme d'installation échoue.In this scenario, Setup will fail.

Pendant ou après l’installation de SQL ServerSQL ServerDuring or After Installation of SQL ServerSQL Server

Après l'installation, vous pouvez renforcer la sécurité de l'installation SQL ServerSQL Server en suivant les recommandations suivantes pour les comptes et les modes d'authentification :After installation, you can enhance the security of the SQL ServerSQL Server installation by following these best practices regarding accounts and authentication modes:

Comptes de serviceService accounts

  • Exécutez les services SQL ServerSQL Server en utilisant les autorisations les plus basses possibles.Run SQL ServerSQL Server services by using the lowest possible permissions.

  • Associez les services SQL ServerSQL Server à des comptes d'utilisateurs locaux Windows à faibles privilèges ou à des comptes d'utilisateurs de domaine.Associate SQL ServerSQL Server services with low privileged Windows local user accounts, or domain user accounts.

  • Pour plus d’informations, consultez Configurer les comptes de service Windows et les autorisations.For more information, see Configure Windows Service Accounts and Permissions.

    Mode d'authentificationAuthentication mode

  • Exigez l'authentification Windows pour les connexions à SQL ServerSQL Server.Require Windows Authentication for connections to SQL ServerSQL Server.

  • Utilisez l'authentification Kerberos.Use Kerberos authentication. Pour plus d’informations, consultez Inscrire un nom de principal du service pour les connexions Kerberos.For more information, see Register a Service Principal Name for Kerberos Connections.

    Mots de passe fortsStrong passwords

  • Affectez toujours un mot de passe fort au compte sa .Always assign a strong password to the sa account.

  • Toujours activez la vérification de la stratégie de mot de passe pour vérifier la robustesse et l'expiration du mot de passe.Always enable password policy checking for password strength and expiration.

  • Utilisez toujours des mots de passe forts pour toutes les connexions SQL ServerSQL Server .Always use strong passwords for all SQL ServerSQL Server logins.

Important

Lors de l'installation de SQL Server ExpressSQL Server Express une connexion est ajoutée pour le groupe BUILTIN\Users.During setup of SQL Server ExpressSQL Server Express a login is added for the BUILTIN\Users group. Cela permet à tous les utilisateurs authentifiés sur l'ordinateur d'accéder à l'instance de SQL Server ExpressSQL Server Express en tant que membres du rôle public.This allows all authenticated users of the computer to access the instance of SQL Server ExpressSQL Server Express as a member of the public role. La connexion BUILTIN\Users peut être supprimée sans risque pour restreindre l'accès au Moteur de base de donnéesDatabase Engine aux utilisateurs de l'ordinateur qui disposent de connexions ou qui sont membres d'autres groupes Windows avec des connexions.The BUILTIN\Users login can be safely removed to restrict Moteur de base de donnéesDatabase Engine access to computer users who have individual logins or are members of other Windows groups with logins.

Voir aussiSee Also

Configurations matérielle et logicielle requises pour l’installation de SQL Server 2016 Hardware and Software Requirements for Installing SQL Server 2016
Protocoles réseau et bibliothèques réseau Network Protocols and Network Libraries
Inscrire un nom de principal du service pour les connexions Kerberos Register a Service Principal Name for Kerberos Connections