Sicherheitseinschränkungen für SQL Server für Linux

Gilt für:SQL Server – Linux

Für SQL Server für Linux gibt es derzeit die folgenden Einschränkungen:

• Es wird eine Standardkennwortrichtlinie bereitgestellt. MUST_CHANGE ist die einzige Option, die Sie konfigurieren können. Wenn die option CHECK_POLICY aktiviert ist, erzwingt sie nur die von SQL Server bereitgestellte Standardrichtlinie und wendet die in den Active Directory-Gruppenrichtlinien definierten Windows-Kennwortrichtlinien nicht an.
• Die Extensible Key Management wird in SQL Server 2022 (16.x) CU 11 und früheren Versionen nicht unterstützt. Extensible Key Management wird nur über Azure Key Vault (AKV) unterstützt.
• Der SQL Server-Authentifizierungsmodus kann nicht deaktiviert werden.
• Der Kennwortablauf ist auf 90 Tage hartcodiert, wenn Sie SQL Server Authentifizierung verwenden.
• Die Verwendung von im Azure Key Vault gespeicherten Schlüsseln wird in SQL Server 2022 (16.x) CU 11 und früheren Versionen nicht unterstützt.
• SQL Server generiert ein eigenes selbstsigniertes Zertifikat zum Verschlüsseln von Verbindungen. SQL Server kann so konfiguriert werden, dass ein vom Benutzer bereitgestelltes Zertifikat für TLS verwendet wird.

Hinweis

Wenn Sie nicht planen, Ihre SQL Server Container mit Windows Active Directory zu verbinden, ist der Kennwortablauf auf 90 Tage hartcodiert, wenn Sie nur SQL Server Authentifizierung verwenden. Um dieses Problem zu umgehen, sollten Sie die CHECK_EXPIRATION-Richtlinie ändern.

Weitere Informationen zu den in SQL Server verfügbaren Sicherheitsfeatures finden Sie unter Sicherheit für SQL Server-Datenbank-Engine und Azure SQL-Datenbank.

Deaktivieren des SA-Kontos als bewährte Methode

Wenn Sie nach der Installation zum ersten Mal mit dem Systemadministratorkonto (sa) eine Verbindung mit Ihrer SQL Server-Instanz herstellen, ist es wichtig, dass Sie diese Schritte ausführen und dann als bewährte Methode für die Sicherheit das sa-Konto sofort deaktivieren.

1. Erstellen Sie eine neue Anmeldung und machen Sie diese zu einem Mitglied der Serverrolle SysAdmin.

   • Je nachdem, ob es sich um eine Container- oder Nicht-Container-Bereitstellung handelt, aktivieren Sie die Windows-Authentifizierung, erstellen eine neue Windows-basierte Anmeldung und fügen sie der SysAdmin-Serverrolle hinzu.

     • Tutorial: Verwenden von adutil zum Konfigurieren der Active Directory-Authentifizierung mit SQL Server für Linux

     • Tutorial: Konfigurieren der Active Directory-Authentifizierung mit SQL Server für Linux-Container

   • Andernfalls erstellen Sie eine Anmeldung mit SQL Server-Authentifizierung und fügen sie der Serverrolle SysAdmin hinzu.

2. Stellen Sie mit der neu erstellten Anmeldung eine Verbindung zur SQL Server-Instanz her.

3. Deaktivieren Sie das sa-Konto, wie es die bewährte Sicherheitspraxis empfiehlt.

Zugehöriger Inhalt

• Anleitung zu den Sicherheitsfunktionen von SQL Server unter Linux
• Konfigurieren von SQL Server für Linux mit dem mssql-conf-Tool
• Editionen und unterstützte Features von SQL Server 2022 unter Linux