Protegendo o SQL ServerSecuring SQL Server

APLICA-SE A: simSQL Server nãoBanco de Dados SQL do Azure nãoAzure Synapse Analytics (SQL DW) nãoParallel Data Warehouse APPLIES TO: yesSQL Server noAzure SQL Database noAzure Synapse Analytics (SQL DW) noParallel Data Warehouse

A segurança do SQL ServerSQL Server pode ser exibida como uma série de etapas, envolvendo quatro áreas: a plataforma, a autenticação, os objetos (inclusive os dados) e os aplicativos que acessam o sistema.Securing SQL ServerSQL Server can be viewed as a series of steps, involving four areas: the platform, authentication, objects (including data), and applications that access the system. Os tópicos a seguir guiarão você pela criação e implementação de um plano de segurança efetivo.The following topics will guide you through creating and implementing an effective security plan.

Você pode encontrar mais informações sobre a segurança do SQL ServerSQL Server no site do SQL Server .You can find more information about SQL ServerSQL Server security at the SQL Server Web site. Ele inclui um guia de práticas recomendadas e uma lista de verificação de segurança.This includes a best practice guide and a security checklist. Este site também contém as informações mais recentes de service packs e downloads.This site also contains the latest service pack information and downloads.

Segurança de rede e plataformaPlatform and Network Security

A plataforma do SQL ServerSQL Server inclui hardware físico e sistemas de redes que conectam os clientes aos servidores de banco de dados e os arquivos binários que são usados para processar solicitações do banco de dados.The platform for SQL ServerSQL Server includes the physical hardware and networking systems connecting clients to the database servers, and the binary files that are used to process database requests.

Segurança físicaPhysical Security

As práticas recomendadas para segurança física limitam estritamente o acesso ao servidor físico e aos componentes de hardware.Best practices for physical security strictly limit access to the physical server and hardware components. Por exemplo, o uso de espaços bloqueados com acesso restrito para o hardware do servidor de banco de dados e dispositivos da rede.For example, use locked rooms with restricted access for the database server hardware and networking devices. Além disso, limite o acesso à mídia de backup armazenando-a em local seguro fora do ambiente de trabalho.In addition, limit access to backup media by storing it at a secure offsite location.

A implementação da segurança de rede física começa mantendo usuários não autorizados afastados da rede.Implementing physical network security starts with keeping unauthorized users off the network. A tabela a seguir contém mais informações sobre a segurança de rede.The following table contains more information about networking security information.

Para obter informações sobreFor information about ConsulteSee
SQL Server CompactSQL Server Compact e acesso de rede para outras edições do SQL ServerSQL Serverand network access to other SQL ServerSQL Server editions "Configurando e oferecendo segurança ao ambiente de servidor" nos Manuais Online do SQL Server CompactSQL Server Compact"Configuring and Securing the Server Environment" in SQL Server CompactSQL Server Compact Books Online
   

Segurança do sistema operacionalOperating System Security

Os service packs e atualizações do sistema operacional incluem aperfeiçoamentos de segurança importantes.Operating system service packs and upgrades include important security enhancements. Aplique todas as atualizações ao sistema operacional depois de testá-las com os aplicativos do banco de dados.Apply all updates and upgrades to the operating system after you test them with the database applications.

Os firewalls também fornecem formas efetivas para implementar a segurança.Firewalls also provide effective ways to implement security. Logicamente, um firewall é o responsável por separar ou restringir o tráfego da rede, que pode ser configurado para aplicar a política de segurança de dados de sua empresa.Logically, a firewall is a separator or restrictor of network traffic, which can be configured to enforce your organization's data security policy. Se você usa um firewall, aumenta a segurança no nível do sistema operacional, criando um gargalo que permite o foco nas medidas de segurança.If you use a firewall, you will increase security at the operating system level by providing a chokepoint where your security measures can be focused. A tabela a seguir contém mais informações sobre como usar um firewall com o SQL ServerSQL Server.The following table contains more information about how to use a firewall with SQL ServerSQL Server.

Para obter informações sobreFor information about ConsulteSee
Configurando um firewall para trabalhar com SQL ServerSQL ServerConfiguring a firewall to work with SQL ServerSQL Server Configurar um Firewall do Windows para acesso ao Mecanismo de Banco de DadosConfigure a Windows Firewall for Database Engine Access
Configurando um firewall para trabalhar com Integration ServicesIntegration ServicesConfiguring a firewall to work with Integration ServicesIntegration Services Serviço Integration Services (Serviço SSIS)Integration Services Service (SSIS Service)
Configurando um firewall para trabalhar com Serviços de análiseAnalysis ServicesConfiguring a firewall to work with Serviços de análiseAnalysis Services Configurar o Firewall do Windows para permitir o acesso ao Analysis ServicesConfigure the Windows Firewall to Allow Analysis Services Access
Abrindo portas específicas em um firewall para habilitar o acesso ao SQL ServerSQL ServerOpening specific ports on a firewall to enable access to SQL ServerSQL Server Configurar o Firewall do Windows para permitir acesso ao SQL ServerConfigure the Windows Firewall to Allow SQL Server Access
Configurando suporte à Proteção Estendida para Autenticação usando associação de canal e associação de serviçoConfiguring support for Extended Protection for Authentication by using channel binding and service binding Conectar-se ao mecanismo de banco de dados usando proteção estendidaConnect to the Database Engine Using Extended Protection
   

A redução da área de superfície é uma medida de segurança que envolve a interrupção ou desabilitação de componentes não utilizados.Surface area reduction is a security measure that involves stopping or disabling unused components. Essa redução auxilia na melhoria da segurança, fornecendo menos vias para possíveis ataques em um sistema.Surface area reduction helps improve security by providing fewer avenues for potential attacks on a system. A chave para limitar a área da superfície do SQL ServerSQL Server inclui a execução de serviços necessários que possuem "privilégios mínimos", concedendo apenas os direitos adequados aos serviços e usuários.The key to limiting the surface area of SQL ServerSQL Server includes running required services that have "least privilege" by granting services and users only the appropriate rights. A tabela a seguir contém mais informações sobre o acesso ao sistema e aos serviços.The following table contains more information about services and system access.

Para obter informações sobreFor information about ConsulteSee
Serviços requeridos para SQL ServerSQL ServerServices required for SQL ServerSQL Server Configurar contas de serviço e permissões do WindowsConfigure Windows Service Accounts and Permissions
   

Se seu sistema SQL ServerSQL Server usar o IIS (Serviços de Informações da Internet), etapas adicionais serão necessárias para auxiliar na proteção da superfície da plataforma.If your SQL ServerSQL Server system uses Internet Information Services (IIS), additional steps are required to help secure the surface of the platform. A tabela a seguir contém informações sobre o SQL ServerSQL Server e os Serviços de Informações da Internet.The following table contains information about SQL ServerSQL Server and Internet Information Services.

Para obter informações sobreFor information about ConsulteSee
Segurança do IIS com SQL Server CompactSQL Server CompactIIS security with SQL Server CompactSQL Server Compact "Segurança do IIS" nos Manuais Online do SQL Server CompactSQL Server Compact"IIS Security" in SQL Server CompactSQL Server Compact Books Online
Reporting ServicesReporting Services AutenticaçãoAuthentication Autenticação no Reporting ServicesAuthentication in Reporting Services
SQL Server CompactSQL Server Compact e acesso ao IISand IIS access "Fluxograma de segurança dos Serviços de Informações da Internet" nos Manuais Online do SQL Server CompactSQL Server Compact"Internet Information Services Security Flowchart" in SQL Server CompactSQL Server Compact Books Online
   

Segurança dos arquivos do sistema operacional do SQL ServerSQL Server Operating System Files Security

SQL ServerSQL Server usa arquivos do sistema operacional para operação e armazenamento de dados.uses operating system files for operation and data storage. As práticas recomendadas para a segurança de arquivos exigem que você restrinja o acesso a esses arquivos.Best practices for file security requires that you restrict access to these files. A tabela a seguir contém informações sobre esses arquivos.The following table contains information about these files.

Para obter informações sobreFor information about ConsulteSee
SQL ServerSQL Server arquivos de programaprogram files Locais de arquivos para instâncias padrão e nomeadas do SQL ServerFile Locations for Default and Named Instances of SQL Server
   

SQL ServerSQL Server Os service packs e as atualizações fornecem segurança avançada.service packs and upgrades provide enhanced security. Para determinar o último service pack disponível para o SQL ServerSQL Server, consulte o site SQL Server .To determine the latest available service pack available for SQL ServerSQL Server, see the SQL Server Web site.

Você pode usar o script a seguir para determinar o service pack instalado no sistema.You can use the following script to determine the service pack installed on the system.

SELECT CONVERT(char(20), SERVERPROPERTY('productlevel'));  

Segurança de entidades e objetos do banco de dadosPrincipals and Database Object Security

Entidades são acessos de indivíduos, grupos e processos concedidos ao SQL ServerSQL Server.Principals are the individuals, groups, and processes granted access to SQL ServerSQL Server. "Protegíveis" são servidores, bancos de dados e objetos que o banco de dados contém."Securables" are the server, database, and objects the database contains. Cada um tem um conjunto de permissões que pode ser configurado para ajudar a reduzir a área da superfície do SQL ServerSQL Server .Each has a set of permissions that can be configured to help reduce the SQL ServerSQL Server surface area. A tabela a seguir contém informações sobre entidades e protegíveis.The following table contains information about principals and securables.

Para obter informações sobreFor information about ConsulteSee
Usuários, funções e processos do servidor e do banco de dadosServer and database users, roles, and processes Entidades (Mecanismo de Banco de Dados)Principals (Database Engine)
Segurança de objetos do servidor e do banco de dadosServer and database objects security ProtegíveisSecurables
A hierarquia de segurança do SQL ServerSQL ServerThe SQL ServerSQL Server security hierarchy Hierarquia de permissões (Mecanismo de Banco de Dados)Permissions Hierarchy (Database Engine)
   

Criptografia e certificadosEncryption and Certificates

A criptografia não resolve problemas de controle de acesso.Encryption does not solve access control problems. Porém, aumenta a segurança, limitando a perda de dados mesmo se os controles de acesso forem ignorados, o que é raro.However, it enhances security by limiting data loss even in the rare occurrence that access controls are bypassed. Por exemplo, se o computador host do banco de dados for malconfigurado e um usuário malicioso obtiver dados confidenciais, como números de cartão de crédito, essas informações roubadas poderão ser inúteis se estiverem criptografadas.For example, if the database host computer is misconfigured and a malicious user obtains sensitive data, such as credit card numbers, that stolen information might be useless if it is encrypted. A tabela seguinte contém mais informações sobre criptografia no SQL ServerSQL Server.The following table contains more information about encryption in SQL ServerSQL Server.

Para obter informações sobreFor information about ConsulteSee
A hierarquia de criptografia no SQL ServerSQL ServerThe encryption hierarchy in SQL ServerSQL Server Hierarquia de criptografiaEncryption Hierarchy
Implementando conexões segurasImplementing secure connections Habilitar conexões criptografadas no Mecanismo de Banco de Dados (SQL Server Configuration Manager)Enable Encrypted Connections to the Database Engine (SQL Server Configuration Manager)
Funções de criptografiaEncryption functions Funções criptográficas (Transact-SQL)Cryptographic Functions (Transact-SQL)

Os certificados são "chaves" de software compartilhadas entre dois servidores que ativam comunicações seguras por meio da autenticação segura.Certificates are software "keys" shared between two servers that enable secure communications by way of strong authentication. Você pode criar e usar certificados no SQL ServerSQL Server para aumentar a segurança de conexão e de objetos.You can create and use certificates in SQL ServerSQL Server to enhance object and connection security. A tabela a seguir contém informações sobre como usar certificados com o SQL ServerSQL Server.The following table contains information about how to use certificates with SQL ServerSQL Server.

Para obter informações sobreFor information about ConsulteSee
Criando um certificado para uso pelo SQL ServerSQL ServerCreating a certificate for use by SQL ServerSQL Server CREATE CERTIFICATE (Transact-SQL)CREATE CERTIFICATE (Transact-SQL)
Usando um certificado com espelhamento de banco de dadosUsing a certificate with database mirroring Usar certificados para um ponto de extremidade de espelhamento de banco de dados (Transact-SQL)Use Certificates for a Database Mirroring Endpoint (Transact-SQL)
   

Segurança do aplicativoApplication Security

Programas clientesClient programs

SQL ServerSQL Server As práticas recomendadas de segurança incluem a criação de aplicativos cliente seguros.security best practices include writing secure client applications. Para obter mais informações sobre como ajudar a proteger aplicativos cliente na camada de rede, consulte Configuração de Rede Cliente.For more information about how to help secure client applications at the networking layer, see Client Network Configuration.

WDAC (Controle de Aplicativos do Windows Defender)Windows Defender Application Control (WDAC)

O WDAC (Controle de Aplicativos do Windows Defender) evita a execução de código não autorizada.Windows Defender Application Control (WDAC) prevents unauthorized code execution. O WDAC é uma maneira eficiente de atenuar a ameaça de malware baseado em arquivo executável.WDAC is effective way to mitigate the threat of executable file-based malware. Para saber mais, confira a documentação do Controle de Aplicativos do Windows Defender.For more information, see to Windows Defender Application Control documentation.

Ferramentas de segurança, utilitários, exibições e funções do SQL ServerSQL Server Security Tools, Utilities, Views, and Functions

SQL ServerSQL Server fornece ferramentas, utilitários, exibições e funções que podem ser usados para configurar e administrar a segurança.provides tools, utilities, views, and functions that can be used to configure and administer security.

Ferramentas de segurança e utilitários do SQL ServerSQL Server Security Tools and Utilities

A tabela a seguir contém informações sobre as ferramentas e os utilitários do SQL ServerSQL Server que você pode usar para configurar e administrar a segurança.The following table contains information about SQL ServerSQL Server tools and utilities that you can use to configure and administer security.

Para obter informações sobreFor information about ConsulteSee
Conexão, configuração e controle SQL ServerSQL ServerConnecting to, configuring, and controlling SQL ServerSQL Server Usar o SQL Server Management StudioUse SQL Server Management Studio
Conectando-se ao SQL ServerSQL Server e executando consultas no prompt de comandosConnecting to SQL ServerSQL Server and running queries at the command prompt Utilitário sqlcmdsqlcmd Utility
Configuração e controle de rede do SQL ServerSQL ServerNetwork configuration and control for SQL ServerSQL Server SQL Server Configuration ManagerSQL Server Configuration Manager
Habilitando e desabilitando recursos usando Gerenciamento Baseado em PolíticasEnabling and disabling features by using Policy-Based Management Administrar servidores com Gerenciamento Baseado em PolíticasAdminister Servers by Using Policy-Based Management
Manipulando chaves simétricas para um servidor de relatórioManipulating symmetric keys for a report server Utilitário rskeymgmt (SSRS)rskeymgmt Utility (SSRS)
   

Exibições e funções do catálogo de segurança do SQL ServerSQL Server Security Catalog Views and Functions

O Mecanismo de Banco de DadosDatabase Engine mostra informações de segurança em várias exibições e funções que são aperfeiçoadas para desempenho e utilitário.The Mecanismo de Banco de DadosDatabase Engine exposes security information in several views and functions that are optimized for performance and utility. A tabela a seguir contém informações sobre as exibições e funções de segurança.The following table contains information about security views and functions.

Para obter informações sobreFor information about ConsulteSee
SQL ServerSQL Server Exibições do catálogo de segurança que retornam informações sobre permissões, entidades, funções, etc, de nível de servidor e banco de dados.security catalog views, which return information about database-level and server-level permissions, principals, roles, and so on. Além disso, há exibições do catálogo que fornecem informações sobre chaves de criptografia, certificados e credenciais.In addition, there are catalog views that provide information about encryption keys, certificates, and credentials. Exibições de catálogo de segurança (Transact-SQL)Security Catalog Views (Transact-SQL)
SQL ServerSQL Server Funções de segurança que retornam informações sobre o usuário atual, permissões e esquemas.security functions, which return information about the current user, permissions and schemas. Funções de segurança (Transact-SQL)Security Functions (Transact-SQL)
SQL ServerSQL Server Exibições de gerenciamento dinâmico de segurança.security dynamic management views. Funções e exibições de gerenciamento dinâmico relacionadas à segurança (Transact-SQL)Security-Related Dynamic Management Views and Functions (Transact-SQL)
   

Considerações sobre segurança para uma instalação do SQL ServerSecurity Considerations for a SQL Server Installation
Central de segurança do Mecanismo de Banco de Dados do SQL Server e Banco de Dados SQL do AzureSecurity Center for SQL Server Database Engine and Azure SQL Database
Práticas recomendadas de segurança do SQL Server 2012 - Tarefas operacionais e administrativas SQL Server 2012 Security Best Practices - Operational and Administrative Tasks
Blog de segurança do SQL ServerSQL Server Security Blog
Prática recomendada de segurança e white papers de segurança de rótuloSecurity Best Practice and Label Security Whitepapers
Segurança em nível de linha Row-Level Security
Protegendo a propriedade intelectual do seu SQL ServerProtecting Your SQL Server Intellectual Property