Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Platí pro:
SQL Server na Windows
Zabezpečení je důležité pro každý produkt a každou firmu. Pomocí jednoduchých osvědčených postupů se můžete vyhnout mnoha ohrožením zabezpečení. Tento článek popisuje některé osvědčené postupy zabezpečení, které byste měli zvážit před instalací SQL Serveru i po instalaci SQL Serveru. Pokyny k zabezpečení pro konkrétní funkce jsou součástí referenčních článků pro tyto funkce.
Před instalací SQL Serveru
Při nastavování serverového prostředí postupujte podle těchto osvědčených postupů:
- Vylepšení fyzického zabezpečení
- Použijte firewally
- Izolujte služby
- Konfigurace zabezpečeného systému souborů
- Zakázat NetBIOS a blokování zpráv serveru
- Instalace SQL Serveru na řadič domény
Vylepšení fyzického zabezpečení
Fyzická a logická izolace tvoří základ zabezpečení SQL Serveru. Pokud chcete zvýšit fyzické zabezpečení instalace SQL Serveru, proveďte následující úlohy:
Umístěte server do místnosti přístupné pouze oprávněným osobám.
Umístěte počítače, které hostují databázi v fyzicky chráněném umístění, ideálně zamknutou počítačovou místnost s monitorovanou detekcí povodní a systémy detekce požáru nebo potlačení.
Nainstalujte databáze do zabezpečené zóny podnikového intranetu a nepřipojujte instance SQL Serveru přímo k internetu.
Zálohujte všechna data pravidelně a zabezpečte je v umístění mimo pracoviště.
Používejte firewally
Brány firewall jsou důležité k zabezpečení instalace SQL Serveru. Brány firewall jsou nejúčinnější, pokud dodržujete tyto pokyny:
Vložte bránu firewall mezi server a internet. Povolte bránu firewall. Pokud je program firewall vypnutý, zapněte jej. Pokud je vaše brána firewall zapnutá, nevypínejte ji.
Rozdělte síť na zóny zabezpečení oddělené branami firewall. Zablokujte veškerý provoz a pak selektivně povolte jenom to, co je potřeba.
Ve vícevrstvém prostředí použijte více firewallů k vytvoření izolovaných podsítí.
Při instalaci serveru v doméně Windows nakonfigurujte vnitřní brány firewall tak, aby umožňovaly ověřování systému Windows.
Pokud vaše aplikace používá distribuované transakce, možná budete muset nakonfigurovat bránu firewall tak, aby umožňovala provoz Microsoft Distributed Transaction Coordinator (MS DTC) mezi samostatnými instancemi MS DTC. Musíte také nakonfigurovat firewall tak, aby umožňoval provoz mezi MS DTC a správci prostředků, jako je SQL Server.
Další informace o výchozích nastaveních brány Windows Firewall a popis portů TCP, které ovlivňují databázový stroj, službu Analysis Services, službu Reporting Services a integrační služby, najdete v tématu Konfigurace brány Windows Firewall tak, aby umožňovala přístup k SQL Serveru.
Izolace služeb
Izolování služeb snižuje riziko, že by jedna ohrožená služba mohla být použita k ohrožení ostatních služeb. Pokud chcete izolovat služby, zvažte následující pokyny:
- Spusťte samostatné služby SQL Serveru v samostatných účtech Windows. Kdykoli je to možné, použijte pro každou službu SQL Serveru samostatné uživatelské účty windows nebo místní uživatelské účty s nízkými právy. Další informace naleznete v tématu Konfigurace účtů služeb systému Windows a oprávnění.
Konfigurace zabezpečeného systému souborů
Použití správného systému souborů zvyšuje zabezpečení. U instalací SQL Serveru byste měli provést následující úlohy:
Použijte systém souborů NT (NTFS) nebo odolný systém souborů (ReFS). Systém souborů NTFS a ReFS jsou doporučeným systémem souborů pro instalace SQL Serveru, protože je stabilnější a obnovitelnější než systémy souborů FAT32. Ntfs nebo ReFS také umožňují možnosti zabezpečení, jako jsou seznamy řízení přístupu k souborům a adresářům (ACL). Ntfs také podporuje šifrování souborů EFS (Encrypting File System). Během instalace SQL Server nastaví příslušné seznamy ACL pro klíče registru a soubory, pokud zjistí NTFS. Tato oprávnění by se neměla měnit. Budoucí verze SQL Serveru nemusí podporovat instalaci na počítačích se systémy souborů FAT.
Poznámka:
Pokud používáte systém souborů EFS, soubory databáze se šifrují pod identitou účtu, na kterém běží SQL Server. Dešifrovat soubory může jenom tento účet. Pokud musíte změnit účet, na kterém běží SQL Server, musíte nejprve dešifrovat soubory pod starým účtem a pak je znovu zašifrovat pod novým účtem služby.
Výstraha
Použití šifrování souborů prostřednictvím EFS může vést k pomalejšímu výkonu vstupně-výstupních operací, protože šifrování způsobuje, že asynchronní vstupně-výstupní operace se stanou synchronními. Viz Vstupně-výstupní operace asynchronního disku se ve Windows zobrazuje jako synchronní. Místo toho můžete zvážit použití šifrovacích technologií SQL Serveru, jako jsou transparentní šifrování dat (TDE),funkce Always Encrypted a šifrování na úrovni sloupců.
Zakázání bloku zpráv netBIOS a serveru
Servery v hraniční síti by měly mít zakázané všechny nepotřebné protokoly, včetně protokolu NetBIOS a protokolu SMB (Server Message Block).
Rozhraní NetBIOS používá následující porty:
- UDP/137 (názvová služba NetBIOS)
- UDP/138 (služba datagramu NetBIOS)
- TCP/139 (služba relací Rozhraní NetBIOS)
Smb používá následující porty:
- TCP/139
- TCP/445
Webové servery a servery DNS (Domain Name System) nevyžadují rozhraní NetBIOS ani SMB. Na těchto serverech deaktivujte oba protokoly, abyste snížili hrozbu rozpoznání uživatele.
Instalace SQL Serveru na řadič domény
Z bezpečnostních důvodů doporučujeme nenainstalovat SQL Server na řadič domény. Instalace SQL Serveru neblokuje instalaci na počítači, který je řadičem domény, ale platí následující omezení:
Služby SQL Serveru nemůžete spouštět na řadiči domény pod účtem místní služby.
Po instalaci SQL Serveru do počítače nemůžete počítač změnit z člena domény na řadič domény. Před změnou hostitelského počítače na řadič domény je nutné sql Server odinstalovat.
Po instalaci SQL Serveru do počítače nemůžete změnit počítač z řadiče domény na člena domény. Před změnou hostitelského počítače na člena domény musíte sql Server odinstalovat.
Instance clusteru pro převzetí služeb při selhání SQL Serveru nejsou podporovány, pokud jsou uzly clusteru řadiče domény.
Instalační program SQL Serveru nemůže vytvářet skupiny zabezpečení ani zřizovat účty služby SQL Serveru na řadiči domény jen pro čtení. V tomto scénáři instalace selže.
Ujistěte se, že jsou požadovaná uživatelská práva přiřazená k úspěšné instalaci.
Instalační program vyžaduje, aby k účtu, na kterém je nainstalovaný SQL Server, byla udělena následující uživatelská práva:
- Zálohování souborů a adresářů
- Ladění programů
- Spravovat auditování a protokol zabezpečení
Tato uživatelská oprávnění se obvykle udělují místní skupině správců (BUILTIN\Administrators). Ve většině případů se k přiřazení nevyžaduje žádná akce. Pokud však zásada zabezpečení tato oprávnění odvolá, musíte se ujistit, že jsou správně přiřazena, nebo instalace SQL Serveru selže s následující chybou:
The account that is running SQL Server Setup doesn't have one or all of the following rights: the right to back up files and directories, the right to manage auditing and the security log and the right to debug programs. To continue, use an account with both of these rights.
Během nebo po instalaci SQL Serveru
Po instalaci můžete zvýšit zabezpečení instalace SQL Serveru pomocí těchto osvědčených postupů týkajících se účtů a režimů ověřování:
Účty služeb
Spusťte služby SQL Serveru s využitím nejnižších možných oprávnění.
Přidružte služby SQL Serveru k místním uživatelským účtům s nízkým oprávněním Windows nebo uživatelským účtům domény.
Další informace naleznete v tématu Konfigurace účtů služeb systému Windows a oprávnění.
Režim ověřování
Vyžadovat ověřování systému Windows pro připojení k SQL Serveru.
Použijte ověřování protokolem Kerberos. Další informace viz Registrace názvu hlavní služby pro připojení Kerberos.
Silná hesla
- Vždy přiřaďte k účtu sa silné heslo.
- Vždy povolte kontrolu zásad hesla pro sílu a vypršení platnosti hesla.
- Vždy používejte silná hesla pro všechna přihlášení k SQL Serveru.
Důležité
Během instalace SQL Serveru Express se ke skupině přidá BUILTIN\Users přihlašovací účet. To umožňuje všem ověřeným uživatelům počítače přistupovat k instanci SQL Serveru Express jako člen veřejné role. Přihlášení BUILTIN\Users je možné bezpečně odebrat a omezit tak přístup databázového stroje k uživatelům počítače, kteří mají jednotlivá přihlášení nebo jsou členy jiných skupin Windows s přihlášeními.