Sdílet prostřednictvím

Důležité informace o zabezpečení instalace SQL Server

Platí pro:SQL Server na Windows

Zabezpečení je důležité pro každý produkt a každou firmu. Pomocí jednoduchých osvědčených postupů se můžete vyhnout mnoha ohrožením zabezpečení. Tento článek popisuje některé osvědčené postupy zabezpečení, které byste měli zvážit před instalací SQL Server a po instalaci SQL Server. Pokyny k zabezpečení pro konkrétní funkce jsou součástí referenčních článků pro tyto funkce.

Před instalací SQL Server

Při nastavování serverového prostředí postupujte podle těchto osvědčených postupů:

Vylepšení fyzického zabezpečení

Fyzická a logická izolace tvoří základ zabezpečení SQL Server. Pokud chcete zvýšit fyzické zabezpečení instalace SQL Server, proveďte následující úlohy:

  • Umístěte server do místnosti přístupné pouze oprávněným osobám.

  • Umístěte počítače, které hostují databázi v fyzicky chráněném umístění, ideálně zamknutou počítačovou místnost s monitorovanou detekcí povodní a systémy detekce požáru nebo potlačení.

  • Nainstalujte databáze do zabezpečené zóny podnikového intranetu a nepřipojujte instance SQL Server přímo k internetu.

  • Zálohujte všechna data pravidelně a zabezpečte je v umístění mimo pracoviště.

Používejte firewally

Brány firewall jsou důležité pro zabezpečení instalace SQL Server. Brány firewall jsou nejúčinnější, pokud dodržujete tyto pokyny:

  • Vložte bránu firewall mezi server a internet. Povolte bránu firewall. Pokud je program firewall vypnutý, zapněte jej. Pokud je vaše brána firewall zapnutá, nevypínejte ji.

  • Rozdělte síť na zóny zabezpečení oddělené branami firewall. Zablokujte veškerý provoz a pak selektivně povolte jenom to, co je potřeba.

  • V vícevrstvém prostředí použijte více firewallů k vytvoření chráněných podsítí.

  • Při instalaci serveru v doméně Windows nakonfigurujte vnitřní brány firewall tak, aby umožňovaly Windows Authentication.

  • Pokud vaše aplikace používá distribuované transakce, možná budete muset nakonfigurovat bránu firewall tak, aby umožňovala provoz Microsoft Distributed Transaction Coordinator (MS DTC) mezi samostatnými instancemi MS DTC. Je také nutné nakonfigurovat bránu firewall tak, aby umožnila tok provozu mezi MS DTC a správci prostředků, jako je například SQL Server.

Další informace o výchozích nastaveních brány Windows Firewall a popis portů TCP, které mají vliv na Database Engine, službu Analysis Services, Reporting Services a integrační služby, najdete v tématu Konfigurujte bránu Windows Firewall tak, aby umožňovala SQL Server access.

Izolace služeb

Izolování služeb snižuje riziko, že by jedna ohrožená služba mohla být použita k ohrožení ostatních služeb. Pokud chcete izolovat služby, zvažte následující pokyny:

  • Spusťte samostatné SQL Server služby v samostatných účtech Windows. Kdykoli je to možné, pro každou službu SQL Server použijte samostatné uživatelské účty Windows nebo místní uživatelské účty s nízkými právy. Další informace naleznete v tématu Konfigurace účtů služeb systému Windows a oprávnění.

Konfigurace zabezpečeného systému souborů

Použití správného systému souborů zvyšuje zabezpečení. U SQL Server instalací proveďte následující úlohy:

Použijte systém souborů NT (NTFS) nebo odolný systém souborů (ReFS). Systémy souborů NTFS a ReFS jsou doporučené systémy souborů pro instalace SQL Server, protože jsou stabilnější a obnovitelné než systémy souborů FAT32. Ntfs nebo ReFS také umožňují možnosti zabezpečení, jako jsou seznamy ACL (file and directory access control lists). Ntfs také podporuje šifrování souborů EFS (Encrypting File System). Během instalace SQL Server nastaví příslušné seznamy ACL pro klíče registru a soubory, pokud zjistí NTFS. Tato oprávnění neměňte. Budoucí verze SQL Server nemusí podporovat instalaci na počítačích se systémy souborů FAT.

Poznámka:

Pokud používáte systém souborů EFS, soubory databáze se šifrují pod identitou účtu spuštěného SQL Server. Soubory může dešifrovat pouze tento účet. Pokud musíte změnit účet, který běží SQL Server, nejprve dešifrujte soubory pod starým účtem a pak je znovu zašifrujte pod novým účtem služby.

Výstraha

Použití šifrování souborů prostřednictvím EFS může vést k pomalejšímu výkonu vstupně-výstupních operací, protože šifrování způsobí, že asynchronní operace vstupně-výstupu se stanou synchronními. Viz Vstupně-výstupní operace asynchronního disku se ve Windows zobrazuje jako synchronní. Místo toho zvažte použití technologií šifrování SQL Server, jako jsou Transparent data encryption (TDE), Always Encrypted a sloupcové šifrování pomocí kryptografických funkcí.

Zakázání bloku zpráv netBIOS a serveru

Zakažte všechny nepotřebné protokoly na serverech v hraniční síti, včetně protokolu NetBIOS a protokolu SMB (Server Message Block).

Rozhraní NetBIOS používá následující porty:

  • UDP/137 (názvová služba NetBIOS)
  • UDP/138 (služba datagramu NetBIOS)
  • TCP/139 (služba relací Rozhraní NetBIOS)

Smb používá následující porty:

  • TCP/139
  • TCP/445

Webové servery a servery DNS (Domain Name System) nevyžadují rozhraní NetBIOS ani SMB. Na těchto serverech deaktivujte oba protokoly, abyste snížili hrozbu rozpoznání uživatele.

Instalace SQL Server na řadič domény

Z bezpečnostních důvodů neinstalujte SQL Server na řadič domény. SQL Server instalační program neblokuje instalaci na počítači, který je řadičem domény, ale platí následující omezení:

  • Služby SQL Server nemůžete spustit na řadiči domény pod účtem místní služby.

  • Po instalaci SQL Server do počítače nemůžete počítač změnit z člena domény na řadič domény. Před změnou hostitelského počítače na řadič domény je nutné odinstalovat SQL Server.

  • Po instalaci SQL Server na počítač nemůžete změnit počítač z řadiče domény na člena domény. Před změnou hostitelského počítače na člena domény je nutné odinstalovat SQL Server.

  • SQL Server instance clusteru s podporou převzetí služeb při selhání se nepodporují, pokud jsou uzly clusteru řadiče domény.

  • Instalace SQL Serveru nemůže vytvářet skupiny zabezpečení ani účty služby SQL Server na řadiči domény jen pro čtení. V tomto scénáři instalace selže.

Ujistěte se, že jsou požadovaná uživatelská práva přiřazená k úspěšné instalaci.

Instalační program vyžaduje, aby účtu, ve kterém je nainstalovaná SQL Server, byla udělena následující uživatelská práva:

  • Zálohování souborů a adresářů
  • Ladění programů
  • Spravovat auditování a protokol zabezpečení

Tato uživatelská oprávnění se obvykle udělují místní skupině správců (BUILTIN\Administrators). Ve většině případů nemusíte k jejich přiřazení provádět žádnou akci. Pokud ale zásada zabezpečení tato oprávnění odvolá, ujistěte se, že jsou správně přiřazená, nebo SQL Server instalační program selže s následující chybou:

The account that is running SQL Server Setup doesn't have one or all of the following rights: the right to back up files and directories, the right to manage auditing and the security log and the right to debug programs. To continue, use an account with both of these rights.

Během nebo po instalaci SQL Server

Po instalaci zvyšte zabezpečení instalace SQL Server pomocí těchto osvědčených postupů týkajících se účtů a režimů ověřování:

Účty služeb

  • Spusťte SQL Server služby pomocí nejnižších možných oprávnění.

  • Přidružte SQL Server služby k místním uživatelským účtům windows s nízkým oprávněním nebo uživatelským účtům domény.

  • Další informace naleznete v tématu Konfigurace účtů služeb systému Windows a oprávnění.

Režim ověřování

Silná hesla

  • Vždy přiřaďte k účtu sa silné heslo.
  • Vždy povolte kontrolu zásad hesla pro sílu a vypršení platnosti hesla.
  • Vždy používejte silná hesla pro všechna přihlášení SQL Server.

Důležité

Během instalace SQL Server Express se přidá přihlášení pro skupinu BUILTIN\Users. Tato skupina uděluje všem uživatelům počítače přístup k instanci služby SQL Server Express jako členové veřejné role. Skupinu BUILTIN\Users můžete bezpečně odebrat a omezit tak Database Engine access na uživatele počítače, kteří mají jednotlivá přihlášení nebo jsou členy jiných skupin Windows s přihlášeními.

Související obsah

  • Last updated on