Вопросы безопасности при установке SQL Server

Применимо к: даSQL Server (все поддерживаемые версии)  — только Windows ДаУправляемый экземпляр SQL Azure

Безопасность является важной характеристикой для любого продукта и любого предприятия. Следуя простым рекомендациям, можно избежать многих уязвимостей в безопасности. В этой статье обсуждаются некоторые рекомендации по безопасности, которых следует придерживаться как до установки SQL Server, так и после установки SQL Server. Сведения о безопасности для конкретных компонентов приводятся в справочных статьях по этим компонентам.

Перед установкой SQL Server

При настройке среды сервера выполняйте следующие рекомендации.

Enhance Physical Security

Физическая и логическая изоляции составляют основу безопасности SQL Server . Для повышения физической безопасности установки SQL Server выполните следующие действия.

  • Установите сервер в помещении, недоступном для посторонних.

  • Установите компьютеры, на которых размещены базы данных, в физически защищенных местах, идеальным вариантом является запертая компьютерная комната с системой электромагнитного и противопожарного контроля или системой подавления помех.

  • Установите базы данных в безопасной зоне корпоративной сети и не подключайте экземпляры SQL Server к Интернету напрямую.

  • Регулярно создавайте резервные копии данных и храните их в безопасном месте за пределами расположения компьютера.

Use Firewalls

Брандмауэры играют важную роль в обеспечении безопасности установки SQL Server . Брандмауэры будут более эффективны, если следовать приведенным ниже правилам.

  • Установите брандмауэр между сервером и Интернетом. Разрешите работу брандмауэра. Если он отключен, включите его. Если он включен, не отключайте.

  • Разделите сеть на зоны безопасности, разделенные брандмауэрами. Заблокируйте весь поток данных, после чего разрешите только необходимый.

  • В многоуровневой архитектуре используйте несколько брандмауэров для создания изолированных подсетей.

  • При установке сервера внутри домена Windows настройте внутренние брандмауэры на разрешение проверки подлинности Windows.

  • Если приложение работает с распределенными транзакциями, настройте брандмауэр на обмен данными между отдельными экземплярами координатора распределенных транзакций Microsoft (MS DTC). Кроме того, нужно настроить брандмауэр на разрешение обмена данными между MS DTC и диспетчерами ресурсов (например, SQL Server).

Дополнительные сведения о настройках брандмауэра Windows по умолчанию и описание портов TCP, влияющих на компоненты Компонент Database Engine, Службы Analysis Services, Службы Reporting Servicesи Службы Integration Services, см. в разделе Настройка брандмауэра Windows для разрешения доступа к SQL Server.

Isolate Services

Изолирование служб уменьшает риск того, что подвергнувшаяся опасности служба подвергнет опасности другие службы. Чтобы изолировать службы, следуйте приведенным ниже правилам.

  • Запускайте разные службы SQL Server под разными учетными записями Windows. Если возможно, пользуйтесь для каждой из служб SQL Server отдельными учетными записями Windows или локальных пользователей, обладающих наименьшими правами. Дополнительные сведения см. в статье Настройка учетных записей службы Windows и разрешений.

Configure a Secure File System

Правильный выбор файловой системы повышает уровень безопасности. Для установки SQL Server необходимо выполнить следующие действия.

Используйте файловую систему NT (NTFS) или отказоустойчивую файловую систему (ReFS). NTFS и ReFS являются рекомендуемой файловой системой для установки, SQL Server так как она является более стабильной и восстанавливаемой, чем файловые системы FAT32. В NTFS или ReFS также включены параметры безопасности, такие как списки управления доступом к файлам и каталогам (ACL). NTFS также поддерживает шифрование файлов шифрованная файловая система (EFS) (EFS). Во время установки SQL Server установит необходимые списки ACL на разделы реестра и файлы, если программа установки обнаружит NTFS. Эти разрешения не должны меняться. В будущих выпусках SQL Server может не поддерживаться установка на компьютеры с файловой системой FAT.

Примечание

При использовании EFS файлы базы данных будут зашифрованы идентификатором учетной записи, под которой запущен SQL Server. Только эта учетная запись сможет расшифровать файлы. Если необходимо изменить учетную запись, которая выполняется SQL Server , сначала необходимо расшифровать файлы в старой учетной записи, а затем повторно зашифровать их под новой учетной записью службы.

Предупреждение

Использование шифрования файлов с помощью EFS может привести к снижению производительности ввода-вывода, так как шифрование приводит к синхронному вводу-выводу. См. раздел асинхронный дисковый ввод-вывод выглядит как синхронный на Windows. вместо этого можно сонсидер с помощью технологий шифрования SQL Server, таких как прозрачное шифрование данных (TDE), Always Encryptedи функции шифрования на уровне столбцов T-SQL.

Disable NetBIOS and Server Message Block

На внешних серверах сети должны быть отключены все ненужные протоколы, включая NetBIOS и SMB.

NetBIOS использует следующие порты:

  • UDP/137 (служба имен NetBIOS);

  • UDP/138 (служба дейтаграмм NetBIOS);

  • UDP/139 (служба сеанса NetBIOS).

SMB использует следующие порты:

  • TCP/139

  • TCP/445

Веб-серверы и DNS-серверы не требуют наличия NetBIOS или SMB. Отключите на них оба протокола, чтобы снизить угрозу раскрытия списка пользователей.

Установка SQL Server на контроллере домена

Исходя из соображений безопасности, не рекомендуется устанавливать SQL Server на контроллере домена. SQL Server не заблокирует установку на компьютере, который является контроллером домена, однако при этом будут применены следующие ограничения.

  • Запуск служб SQL Server на контроллере домена в учетной записи локальной службы невозможен.

  • После установки SQL Server компьютер, который является членом домена, нельзя будет сделать контроллером домена. Перед этим придется удалить SQL Server .

  • После установки SQL Server компьютер, который является контроллером домена, нельзя будет сделать членом домена. Перед этим придется удалить SQL Server .

  • SQL Server не поддерживает экземпляры отказоустойчивого кластера, где узлы кластера являются контроллерами домена.

  • Программа установкиSQL Server не может создавать группы безопасности или подготавливать учетные записи служб SQL Server на контроллере домена, доступном только для чтения. В такой ситуации программа установки завершается ошибкой.

Во время или после установки SQL Server

После установки вы можете повысить безопасность установки SQL Server , следуя приведенным ниже рекомендациям относительно учетных записей и режимов проверки подлинности.

учетные записи служб;

  • Запускайте службы SQL Server с минимально возможными разрешениями.

  • Связывайте службы SQL Server с учетными записями локальных пользователей Windows, имеющих наименьшие права доступа, или учетными записями пользователей домена.

  • Дополнительные сведения см. в статье Настройка учетных записей службы Windows и разрешений.

Режим проверки подлинности

Надежные пароли

  • Всегда назначайте надежный пароль для учетной записи sa .

  • Всегда включайте проверку политики паролей для определения надежности и срока действия пароля.

  • Для всех имен входа SQL Server используйте только надежные пароли.

Важно!

Во время установки SQL Server Express для группы BUILTIN\Users добавляется имя входа. Благодаря этому все прошедшие проверку подлинности пользователи компьютера получают доступ к экземпляру SQL Server Express как члены роли public. Имя входа группы BUILTIN\Users можно удалить, чтобы ограничить доступ к компоненту Компонент Database Engine только пользователям компьютера, у которых есть отдельные имена входа, или членам других групп Windows с именами входа.

См. также:

Требования к оборудованию и программному обеспечению для установки SQL Server
Сетевые протоколы и библиотеки
Регистрация имя участника-службы для соединений Kerberos