Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
platí pro:
SQL Server
Zabezpečení SQL Serveru je možné zobrazit jako řadu kroků zahrnujících čtyři oblasti: platformu, ověřování, objekty (včetně dat) a aplikace, které přistupují k systému. Tento článek vás provede vytvořením a implementací efektivního plánu zabezpečení.
Další informace o zabezpečení SQL Serveru najdete v osvědčených postupech zabezpečení SQL Serveru. Patří sem průvodce osvědčenými postupy a kontrolní seznam zabezpečení. Nezapomeňte nainstalovat nejnovější aktualizaci Service Pack nebo kumulativní aktualizaci.
Zabezpečení platformy a sítě
Platforma pro SQL Server zahrnuje fyzické hardwarové a síťové systémy připojující klienty k databázovým serverům a binární soubory, které se používají ke zpracování požadavků databáze.
Fyzické zabezpečení
Osvědčené postupy pro fyzické zabezpečení striktně omezují přístup k fyzickému serveru a hardwarovým komponentám. Použijte například uzamčené místnosti s omezeným přístupem pro hardware a síťová zařízení databázového serveru. Kromě toho omezte přístup k zálohování médií tím, že ho uložíte do zabezpečeného umístění mimo pracoviště.
Implementace fyzického zabezpečení sítě začíná udržováním neoprávněných uživatelů mimo síť. Další informace najdete v tématu Osvědčené postupy zabezpečení SQL Serveru – Hrozby infrastruktury.
Zabezpečení operačního systému
Aktualizace Service Pack a upgrady operačního systému zahrnují důležitá vylepšení zabezpečení. Po otestování v databázových aplikacích nainstalujte všechny aktualizace a upgrady na operační systém.
Firewall také poskytuje efektivní způsoby implementace ochrany. Logicky je brána firewall oddělovačem nebo omezením síťového provozu, který je možné nakonfigurovat tak, aby vynucoval zásady zabezpečení dat vaší organizace. Pokud používáte bránu firewall, zvýšíte zabezpečení na úrovni operačního systému tím, že poskytnete bod zabezpečení, na kterém se dají zaměřit vaše bezpečnostní opatření. Následující tabulka obsahuje další informace o tom, jak používat bránu firewall s SQL Serverem.
| Informace o | Podívejte se |
|---|---|
| Konfigurace brány firewall pro práci s SQL Serverem | Konfigurace brány Windows Firewall pro přístup k databázovému stroji |
| Konfigurace brány firewall pro spolupráci s integračními službami | Služba SSIS (Integration Services Service) |
| Konfigurace brány firewall pro práci se službou Analysis Services | Konfigurace brány Windows Firewall pro povolení přístupu ke službě Analysis Services |
| Otevření konkrétních portů v bráně firewall pro povolení přístupu k SQL Serveru | Konfigurace brány Windows Firewall pro povolení přístupu k SQL Serveru |
| Konfigurace podpory rozšířené ochrany pro ověřování pomocí kanálového vázání a služebního vázání | Připojení k databázovému stroji pomocí rozšířené ochrany |
Snížení počtu oblastí povrchu je bezpečnostní opatření, které zahrnuje zastavení nebo zakázání nepoužívaných komponent. Snížení povrchové plochy pomáhá zlepšit zabezpečení tím, že poskytuje méně cest pro potenciální útoky na systém. Klíč k omezení plochy SQL Serveru zahrnuje spouštění požadovaných služeb, které mají nejnižší oprávnění tím, že udělují služby a uživatele pouze příslušná práva. Následující tabulka obsahuje další informace o službách a přístupu k systému.
| Informace o | Podívejte se |
|---|---|
| Služby vyžadované pro SQL Server | Konfigurace účtů a oprávnění služeb pro Windows |
Pokud váš systém SQL Serveru používá internetovou informační službu (IIS), jsou potřeba další kroky, které vám pomůžou zabezpečit plochu platformy. Následující tabulka obsahuje informace o SQL Serveru a internetové informační službě.
| Informace o | Podívejte se |
|---|---|
| Zabezpečení služby IIS s SQL Serverem Compact | Zabezpečení SQL Serveru – Zabezpečení operačního systému |
| Ověřování služby Reporting Services | Ověřování ve službě Reporting Services |
| Přístup ke službě SQL Server Compact a IIS | Vývojový diagram zabezpečení internetové informační služby |
Zabezpečení souborů operačního systému SQL Server
SQL Server používá k provozu a ukládání dat soubory operačního systému. Osvědčené postupy zabezpečení souborů vyžadují, abyste omezili přístup k těmto souborům. Následující tabulka obsahuje informace o těchto souborech.
| Informace o | Podívejte se |
|---|---|
| Programové soubory SQL Serveru | Umístění souborů pro výchozí a pojmenované instance SQL Serveru |
Aktualizace Service Pack a upgrady SQL Serveru poskytují lepší zabezpečení. Pokud chcete zjistit nejnovější dostupnou aktualizaci Service Pack dostupnou pro SQL Server, podívejte se na web SQL Serveru .
K určení aktualizace Service Pack nainstalované v systému můžete použít následující skript.
SELECT CONVERT(char(20), SERVERPROPERTY('productlevel'));
Zabezpečení objektů databáze a zásady zabezpečení uživatelů
Principály jsou jednotlivci, skupiny a procesy, které mají udělený přístup k SQL Serveru. "Zabezpečitelné" jsou server, databáze a objekty, které databáze obsahuje. Každá má sadu oprávnění, která je možné nakonfigurovat tak, aby pomohla snížit plochu SQL Serveru. Následující tabulka obsahuje informace o subjektech a zabezpečitelných objektech.
| Informace o | Podívejte se |
|---|---|
| Uživatelé serveru a databáze, role a procesy | Hlavní subjekty (databázový stroj) |
| Zabezpečení objektů serveru a databáze | Zabezpečitelné |
| Hierarchie zabezpečení SQL Serveru | Hierarchie oprávnění (databázový stroj) |
Šifrování a certifikáty
Šifrování nevyřeší problémy s řízením přístupu. Zvyšuje ale zabezpečení tím, že omezuje ztrátu dat i ve vzácném výskytu, kdy jsou řízení přístupu vynechány. Pokud je například hostitelský počítač databáze chybně nakonfigurovaný a uživatel se zlými úmysly získá citlivá data, jako jsou čísla platebních karet, může být odcizené informace v případě šifrování zbytečné. Následující tabulka obsahuje další informace o šifrování sql Serveru.
| Informace o | Podívejte se |
|---|---|
| Hierarchie šifrování na SQL Serveru | Hierarchie šifrování |
| Implementace zabezpečených připojení | Povolení šifrovaných připojení k databázovému stroji (SQL Server Configuration Manager) |
| Funkce šifrování | Kryptografické funkce (Transact-SQL) |
Certifikáty jsou softwarové "klíče" sdílené mezi dvěma servery, které umožňují zabezpečenou komunikaci prostřednictvím silného ověřování. K vylepšení zabezpečení objektů a připojení můžete v SQL Serveru vytvářet a používat certifikáty. Následující tabulka obsahuje informace o tom, jak používat certifikáty s SQL Serverem.
| Informace o | Podívejte se |
|---|---|
| Vytvoření certifikátu pro použití SQL Serverem | VYTVOŘIT CERTIFIKÁT (Transact-SQL) |
| Použití certifikátu se zrcadlením databáze | Použití certifikátů pro koncový bod zrcadlení databáze (Transact-SQL) |
Zabezpečení aplikací
Klientské programy
Mezi osvědčené postupy zabezpečení SQL Serveru patří psaní zabezpečených klientských aplikací. Další informace o tom, jak pomoct zabezpečit klientské aplikace v síťové vrstvě, naleznete v tématu Konfigurace klientské sítě.
Řízení aplikací v programu Windows Defender (WDAC)
Řízení aplikací v programu Windows Defender (WDAC) brání neoprávněnému spuštění kódu. WDAC je efektivní způsob, jak zmírnit hrozbu malwaru založeného na spustitelných souborech. Další informace najdete v dokumentaci k řízení aplikací v programu Windows Defender .
Nástroje, utilitky, zobrazení a funkce zabezpečení SQL Serveru
SQL Server poskytuje nástroje, nástroje, zobrazení a funkce, které lze použít ke konfiguraci a správě zabezpečení.
Nástroje a utility zabezpečení SQL Serveru
Následující tabulka obsahuje informace o nástrojích a nástrojích SQL Serveru, které můžete použít ke konfiguraci a správě zabezpečení.
| Informace o | Podívejte se |
|---|---|
| Připojení, konfigurace a řízení SQL Serveru | Použití aplikace SQL Server Management Studio |
| Připojení k SQL Serveru a spouštění dotazů na příkazovém řádku | Nástroj Sqlcmd |
| Konfigurace a řízení sítě pro SQL Server | Nástroj SQL Server Configuration Manager |
| Povolení a zakázání funkcí pomocí správy na základě zásad | Správa serverů pomocí správy na základě zásad |
| Manipulace se symetrickými klíči pro server sestav | Nástroj Rskeymgmt (SSRS) |
Zobrazení a funkce katalogu zabezpečení SQL Serveru
Databázový stroj zveřejňuje informace o zabezpečení v několika zobrazeních a funkcích, které jsou optimalizované pro výkon a užitečnost. Následující tabulka obsahuje informace o zobrazeních zabezpečení a funkcích.
| Informace o | Podívejte se |
|---|---|
| Katalogová zobrazení zabezpečení SQL Serveru, která vracejí informace o oprávněních na úrovni databáze a serveru, zabezpečovacích objektech, rolích a principech. Kromě toho existují zobrazení katalogu, která poskytují informace o šifrovacích klíčích, certifikátech a přihlašovacích údajích. | Zobrazení katalogu zabezpečení (Transact-SQL) |
| Funkce zabezpečení SQL Serveru, které vracejí informace o aktuálním uživateli, oprávněních a schématech. | Funkce zabezpečení (Transact-SQL) |
| Zobrazení dynamické správy zabezpečení SQL Serveru | Bezpečnostně související zobrazení a funkce dynamické správy (Transact-SQL) |
Související obsah
- Důležité informace o zabezpečení instalace SQL Serveru
- zabezpečení databázového stroje SQL Serveru a služby Azure SQL Database
- Osvědčené postupy zabezpečení SQL Serveru 2012 – Provozní a administrativní úlohy
- Playbook pro řešení běžných požadavků na zabezpečení se službou Azure SQL Database a azure SQL Managed Instance
- Blog zabezpečení SQL Serveru
- Osvědčené postupy zabezpečení a příručky pro zabezpečení štítků
- Zabezpečení na úrovni řádků
- Ochrana duševního vlastnictví SQL Serveru