Sichern von SQL Server
Gilt für:SQL Server
Das Sichern von SQL Server kann als eine Reihe von Schritten betrachtet werden, die vier Bereiche umfassen: Plattform, Authentifizierung, Objekte (einschließlich Daten) und Anwendungen, die auf das System zugreifen. Dieser Artikel führt Sie durch das Erstellen und Implementieren eines effektiven Sicherheitsplans.
Weitere Informationen zur SQL Server-Sicherheit finden Sie unter den bewährten Methoden für SQL Server-Sicherheit. Dazu gehören ein Handbuch mit empfohlenen Vorgehensweisen sowie eine Sicherheitsprüfliste. Achten Sie darauf, das neueste Service Pack oder kumulative Update zu installieren.
Plattform- und Netzwerksicherheit
Die Plattform für SQL Server umfasst die physischen Hardware- und Netzwerksysteme, die Clients mit den Datenbankservern verbinden, und die Binärdateien, die zum Verarbeiten von Datenbankanforderungen verwendet werden.
Physische Sicherheit
Durch die empfohlenen Vorgehensweisen für physische Sicherheit wird der Zugriff auf den physischen Server und Hardwarekomponenten beschränkt. Verwenden Sie beispielsweise abgeschlossene Räume mit eingeschränktem Zugang für die Datenbankserverhardware und für Netzwerkgeräte. Beschränken Sie außerdem den Zugriff auf das Sichern von Medien, indem Sie sie an einem sicheren Standort außerhalb des Standorts speichern.
Das Implementieren der physischen Netzwerksicherheit beginnt mit dem Fernhalten unbefugter Benutzer vom Netzwerk. Weitere Informationen finden Sie unter bewährte Methoden für sql Server-Sicherheit – Infrastrukturbedrohungen.
Betriebssystemsicherheit
Service Packs und Upgrades für Betriebssysteme enthalten wichtige Sicherheitserweiterungen. Wenden Sie alle Updates und Upgrades nach dem Testen mit den Datenbankanwendungen auf das Betriebssystem an.
Firewalls stellen ebenfalls effektive Möglichkeiten zum Implementieren von Sicherheit zur Verfügung. Eine Firewall trennt oder beschränkt logisch den Netzwerkverkehr und kann zum Verstärken der Datensicherheitsrichtlinie der Organisation konfiguriert werden. Wenn Sie eine Firewall verwenden, erhöhen Sie die Sicherheit auf Betriebssystemebene, indem Sie einen Drosselungspunkt bereitstellen, an dem Ihre Sicherheitsmaßnahmen fokussiert werden können. Die folgende Tabelle enthält weitere Informationen zur Verwendung einer Firewall mit SQL Server.
Informationen über | Siehe |
---|---|
Konfigurieren einer Firewall für die Arbeit mit SQL Server | Konfigurieren einer Windows-Firewall für Datenbank-Engine-Zugriff |
Konfigurieren einer Firewall für die Arbeit mit Integration Services | Integration Services-Dienst (SSIS-Dienst) |
Konfigurieren einer Firewall für die Arbeit mit Analysis Services | Konfigurieren der Windows-Firewall, um den Zugriff auf Analysis Services zuzulassen |
Öffnen bestimmter Ports in einer Firewall, um den Zugriff auf SQL Server zu ermöglichen | Konfigurieren der Windows-Firewall für den SQL Server-Zugriff |
Konfigurieren von Unterstützung für den erweiterten Schutz für die Authentifizierung mit Channelbindung und Dienstbindung | Herstellen einer Verbindung mit der Datenbank-Engine unter Verwendung von Erweiterter Schutz |
Die Oberflächenreduzierung stellt eine Sicherheitsmaßnahme dar, die das Beenden oder Deaktivieren nicht verwendeter Komponenten beinhaltet. Mithilfe der Oberflächenreduzierung kann die Sicherheit verbessert werden, da weniger Möglichkeiten für Angriffe auf das System vorhanden sind. Der Schlüssel zum Einschränken des Oberflächenbereichs von SQL Server umfasst das Ausführen erforderlicher Dienste, die über "geringste Berechtigungen" verfügen, indem Dienste und Benutzer nur die entsprechenden Rechte gewährt werden. Die folgende Tabelle enthält weitere Informationen zu Diensten und Systemzugriff.
Informationen über | Siehe |
---|---|
Für SQL Server erforderliche Dienste | Konfigurieren von Windows-Dienstkonten und -Berechtigungen |
Wenn Ihr SQL Server-System Internetinformationsdienste (IIS) verwendet, sind zusätzliche Schritte erforderlich, um die Oberfläche der Plattform zu sichern. Die folgende Tabelle enthält Informationen zu SQL Server und Internetinformationsdienste.
Informationen über | Siehe |
---|---|
IIS-Sicherheit mit SQL Server Compact | Schützen von SQL Server – Betriebssystemsicherheit |
Reporting Services-Authentifizierung | Authentifizierung in Reporting Services |
SQL Server Compact und IIS-Zugriff | Internetinformationsdienste Sicherheitsflussdiagramm |
Sicherheit von SQL Server-Betriebssystemdateien
SQL Server verwendet Betriebssystemdateien für den Betrieb und die Datenspeicherung. Bewährte Methoden für die Dateisicherheit erfordern, dass Sie den Zugriff auf diese Dateien einschränken. Die folgende Tabelle enthält Informationen zu diesen Dateien.
Informationen über | Siehe |
---|---|
SQL Server-Programmdateien | Dateispeicherorte für Standard- und benannte Instanzen von SQL Server |
SQL Server Service Packs und Upgrades bieten erweiterte Sicherheit. Informationen zum aktuellen verfügbaren Service Pack für SQL Server finden Sie auf der SQL Server-Website .
Mithilfe des folgenden Skripts können Sie das auf dem System installierte Service Pack bestimmen:
SELECT CONVERT(char(20), SERVERPROPERTY('productlevel'));
Sicherheit von Prinzipale und Datenbankobjekten
Prinzipale sind die Einzelpersonen, Gruppen und Prozesse, denen Der Zugriff auf SQL Server gewährt wurde. „Sicherungsfähige Elemente“ sind der Server, die Datenbank und Objekte in der Datenbank. Jeder verfügt über eine Reihe von Berechtigungen, die konfiguriert werden können, um den SQL Server-Oberflächenbereich zu reduzieren. In der folgenden Tabelle sind Informationen zu Prinzipalen und sicherungsfähigen Elementen enthalten.
Informationen über | Siehe |
---|---|
Benutzer, Rollen und Prozesse von Servern und Datenbanken | Prinzipale (Datenbank-Engine) |
Server- und Datenbankobjektsicherheit | Sicherungsfähige Elemente |
Die SQL Server-Sicherheitshierarchie | Berechtigungshierarchie (Datenbank-Engine) |
Verschlüsselung und Zertifikate
Durch Verschlüsselung werden keine Probleme der Zugriffssteuerung gelöst. Sie erhöht jedoch die Sicherheit, indem Datenverluste selbst im seltenen Fall einer überbrückten Zugriffssteuerung beschränkt werden. Wenn der Datenbankhostcomputer beispielsweise falsch konfiguriert wurde und ein böswilliger Benutzer Zugriff auf sensible Daten wie Kreditkartennummern gewinnt, sind die gestohlenen Informationen nutzlos, wenn sie verschlüsselt wurden. Die folgende Tabelle enthält weitere Informationen zur Verschlüsselung in SQL Server.
Informationen über | Siehe |
---|---|
Die Verschlüsselungshierarchie in SQL Server | Verschlüsselungshierarchie |
Implementieren sicherer Verbindungen | Aktivieren von verschlüsselten Verbindungen zur Datenbank-Engine (SQL Server-Konfigurations-Manager) |
Verschlüsselungsfunktionen | Kryptografiefunktionen (Transact-SQL) |
Zertifikate sind "Softwareschlüssel", die für zwei Server freigegeben sind, durch die eine sichere Kommunikation über starke Authentifizierung möglich ist. Sie können Zertifikate in SQL Server erstellen und verwenden, um die Objekt- und Verbindungssicherheit zu verbessern. Die folgende Tabelle enthält Informationen zur Verwendung von Zertifikaten mit SQL Server.
Informationen über | Siehe |
---|---|
Erstellen eines Zertifikats für die Verwendung durch SQL Server | CREATE CERTIFICATE (Transact-SQL) |
Verwenden eines Zertifikats mit Datenbankspiegelung | Verwenden von Zertifikaten für einen Datenbankspiegelungs-Endpunkt (Transact-SQL) |
Anwendungssicherheit
Client-Programme
Zu den bewährten Methoden für die SQL Server-Sicherheit gehören das Schreiben sicherer Clientanwendungen. Weitere Informationen zum Sichern von Clientanwendungen auf Netzwerkebene finden Sie unter Client Network Configuration.
Windows Defender-Anwendungssteuerung (WDAC)
Windows Defender Application Control (WDAC) verhindert die nicht autorisierte Ausführung von Code. WDAC ist eine effektive Methode, um die Bedrohung durch auf ausführbaren Dateien basierende Malware zu minimieren. Weitere Informationen finden Sie in der Dokumentation zu Windows Defender Application Control.
SQL Server-Sicherheitstools, Dienstprogramme, Ansichten und Funktionen
SQL Server bietet Tools, Dienstprogramme, Ansichten und Funktionen, die zum Konfigurieren und Verwalten von Sicherheit verwendet werden können.
SQL Server-Sicherheitstools und Dienstprogramme
Die folgende Tabelle enthält Informationen zu SQL Server-Tools und Hilfsprogrammen, die Sie zum Konfigurieren und Verwalten von Sicherheit verwenden können.
Informationen über | Siehe |
---|---|
Verbinden an, konfigurieren und steuern von SQL Server | Verwenden von SQL Server Management Studio |
Verbinden an SQL Server und Ausführen von Abfragen an der Eingabeaufforderung | SQLCMD-Hilfsprogramm |
Netzwerkkonfiguration und -steuerung für SQL Server | SQL Server-Konfigurations-Manager |
Aktivieren und Deaktivieren von Funktionen mit der richtlinienbasierten Verwaltung | Verwalten von Servern mit der richtlinienbasierten Verwaltung |
Bearbeiten symmetrischer Schlüssel für einen Berichtsserver | rskeymgmt-Hilfsprogramm (SSRS) |
SQL Server-Sicherheitskatalogsichten und -Funktionen
Die Datenbank-Engine macht Sicherheitsinformationen in mehreren Ansichten und Funktionen verfügbar, die für Leistung und Dienstprogramm optimiert sind. Die folgende Tabelle enthält Informationen zu Sicherheitssichten und -funktionen.
Informationen über | Siehe |
---|---|
SQL Server-Sicherheitskatalogansichten, die Informationen zu Berechtigungen auf Datenbankebene und Serverebene, Prinzipale, Rollen usw. zurückgeben. Außerdem sind Katalogsichten mit Informationen zu Verschlüsselungsschlüsseln, Zertifikaten und Anmeldeinformationen vorhanden. | Sicherheitskatalogsichten (Transact-SQL) |
SQL Server-Sicherheitsfunktionen, die Informationen über den aktuellen Benutzer, Berechtigungen und Schemas zurückgeben. | Sicherheitsfunktionen (Transact-SQL) |
Dynamische Sql Server-Sicherheitsverwaltungsansichten. | Sicherheitsbezogene dynamische Verwaltungsansichten und -funktionen (Transact-SQL) |
Zugehöriger Inhalt
- Überlegungen zur Sicherheit bei SQL Server-Installationen
- Sicherheitscenter für SQL Server-Datenbank-Engine und Azure SQL-Datenbank
- SQL Server 2012 Security Best Practices - Operational and Administrative Tasks (Bewährte Sicherheitsmethoden in SQL Server 2012 – betriebs- und administrationsbezogene Aufgaben)
- Playbook für den Umgang mit allgemeinen Sicherheitsanforderungen für Azure SQL-Datenbank und Azure SQL Managed Instance
- SQL Server Security Blog (SQL Server Blog zu Sicherheitsthemen)
- Security Best Practice and Label Security Whitepapers (Bewährte Sicherheitsmethoden und Sicherheitswhitepaper)
- Sicherheit auf Zeilenebene
- Schutz Ihres geistigen SQL Server-Eigentums
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter:Einreichen und Feedback anzeigen für