• Artykuł

Security Considerations for a SQL Server Installation

Bezpieczeństwo jest ważne dla każdego produktu i każdej firmy.Przez następujący prosty najważniejszych wskazówek można uniknąć wielu luk w zabezpieczeniach.W tym temacie opisano niektóre najważniejsze wskazówki dotyczące zabezpieczeń czy należy wziąć pod uwagę zarówno przed instalacją SQL Server i po instalacji SQL Server. Wskazówki dotyczące zabezpieczeń dla określonych funkcji znajduje się w tych funkcji można znaleźć w tematach odwołania.

Przed zainstalowaniem programu SQL Server

Postępuj zgodnie z ich najważniejsze wskazówki podczas którego zestaw up środowiska serwera:

  • Poprawić zabezpieczenia fizyczne

  • Za pomocą zapory

  • Izolowanie usług

  • Skonfiguruj system bezpieczny plik

  • Wyłącz system NetBIOS i serwera blok komunikatów

Poprawić zabezpieczenia fizyczne

Identyfikowanie fizycznych i logicznych tworzą podstawę SQL Server zabezpieczenia. Aby zwiększyć bezpieczeństwo fizyczne SQL Server Instalacja, wykonaj następujące czynności:

  • Umieść na serwerze w pomieszczeniu, dostępne tylko dla autoryzowanych osób.

  • Umieść komputery, który obsługuje bazę danych w fizycznie chronionej lokalizacji, najlepszym rozwiązaniem jest dodanie pomieszczenie zablokowanego komputera z monitorowanych powódź systemy wykrywające i pożaru wykrywania lub tłumienie.

  • Zainstaluj bazy danych w bezpiecznej strefie z firmowej sieci intranet, a nie łącz serwerów SQL bezpośrednio do Internetu.

  • Należy regularnie tworzyć kopie zapasowe wszystkich danych i zabezpieczyć kopie zapasowe w oddziałach firmy lokalizacji.

Za pomocą zapory

Zapory są ważne, aby zabezpieczyć SQL Server Instalacja. Zapory będzie najbardziej efektywne, jeżeli należy przestrzegać następujących zasad:

  • Umieść zaporę między serwerem a Internetem.Włącz zaporę.Jeśli Zapora jest wyłączona, należy ją włączyć.Jeśli Zapora jest włączona, nie należy wyłączać go.

  • Podzielić sieć na strefy zabezpieczeń, oddzielonych zapory.blok wszystkie ruchu, a następnie selektywnego dopuścić tylko co jest wymagane.

  • W środowisku wielopoziomowych służy wiele zapór do tworzenia podsieci monitorowane.

  • Podczas instalowania serwera domena systemu Windows, skonfiguruj wewnętrzne zapory, aby zezwolić na uwierzytelnianie systemu Windows.

  • Jeśli aplikacja używa transakcje rozproszone, trzeba skonfigurować zaporę, aby umożliwić Microsoft Rozproszone Transaction Coordinator (MS DTC) przepływ ruchu między osobne wystąpienia usługi MS DTC. Należy również skonfigurować zaporę, tak aby zezwalała na ruch sieciowy, taki jak przepływ między menedżerami zasób i usługi MS DTC SQL Server.

Aby uzyskać więcej informacji na temat domyślnych ustawień Zapory systemu Windows oraz opis TCP, porty mających wpływ na Database Engine, Analysis Services, Reporting Services, a Integration Services, zobacz Configuring the Windows Firewall to Allow SQL Server Access.

Izolowanie usług

Izolowanie usług zmniejsza ryzyko, jednym złamany usługa może zostać wykorzystana do złamania innym użytkownikom.Aby wyizolować usług, należy wziąć pod uwagę następujące wskazówki:

  • Uruchamianie oddzielnych SQL Server usługi w oddzielnych kont systemu Windows. Jeśli to możliwe, użycie oddzielnych, niski prawa systemu Windows lub użytkowników lokalnych kont dla każdego SQL Server Usługa. Aby uzyskać więcej informacji zobaczSetting Up Windows Service Accounts.

Konfigurowanie systemu zabezpieczeń plików

Za pomocą prawidłowego systemu plików zwiększa bezpieczeństwo.Dla SQL Server instalacji, należy wykonać następujące zadania:

  • Za pomocą systemu plików NTFS (NTFS).System NTFS jest systemem plików preferowany w przypadku instalacji programu SQL Server ponieważ jest on bardziej stabilne i możliwe do odzyskania niż systemy plików FAT. System NTFS umożliwia także opcje zabezpieczeń, takich jak plik i katalog list kontroli dostępu (ACL) i szyfrowanie plików (ENCRYPTING File System).Podczas instalacji SQL Server będzie wartość odpowiedniej listy kontroli dostępu dla kluczy rejestru i plików, jeśli wykryje systemu plików NTFS. Uprawnienia te nie powinny być zmieniane.W przyszłych wydaniach SQL Server może nie obsługiwać instalacji na komputerach z systemami plików FAT.

    Uwaga

    Jeżeli korzystasz z systemu szyfrowania plików, pliki bazy danych będą szyfrowane pod identyfikatorem konta, uruchamianie SQL Server. Tylko to konto będzie mógł odszyfrować pliki.Jeśli trzeba zmienić konto, na którym działa SQL Server, należy najpierw odszyfrować pliki przy użyciu starego konta i re-encrypt je przy użyciu nowego konta.

  • W przypadku plików danych krytycznych za pomocą redundant array of independent disks (RAID).

Wyłącz system NetBIOS i bloków komunikatów serwera

Serwery w sieci granicznej powinny mieć wszystkie protokoły niepotrzebne wyłączona, włączając w to blok komunikatów NetBIOS i serwera (SMB).

NetBIOS używa następujących portów:

  • UDP/137 (usługa nazw NetBIOS)

  • UDP/138 (Usługa datagramów NetBIOS)

  • TCP/139 (Usługa sesja NetBIOS)

SMB używa następujących portów:

  • TCP/139

  • TCP/445

Serwery sieci Web i serwery systemu nazw domen (DNS) nie wymagają systemu NetBIOS lub SMB.Na serwerach tego typu należy wyłączyć obu protokołów, aby zmniejszyć zagrożenie wyliczanie użytkowników.

Po zainstalowaniu programu SQL Server

Po zakończeniu instalacji, można zwiększyć bezpieczeństwo SQL Server Instalacja, wykonując poniższe najważniejsze wskazówki dotyczące kont i trybów uwierzytelnianie:

Konta usług

  • Uruchamianie SQL Server usługi za pomocą najniższego możliwego uprawnień.

  • Kojarzenie SQL Server usługi z niskim uprzywilejowanego konta użytkowników lokalnych systemu Windows lub kont użytkowników domena.

  • Aby uzyskać więcej informacji zobaczSetting Up Windows Service Accounts.

Tryb uwierzytelnianie

  • Wymagaj uwierzytelnianie systemu Windows dla połączenia SQL Server.

Silne hasła