Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für:
SQL Server - nur Windows
Sicherheit ist für jedes Produkt und jedes Geschäft wichtig. Indem Sie einige einfache bewährte Methoden verwenden, können Sie viele Sicherheitsrisiken vermeiden. In diesem Artikel werden einige bewährte Sicherheitsmethoden erläutert, die Sie vor dem Installieren von SQL Server und nach dem Installieren von SQL Server berücksichtigen sollten. Sicherheitshinweise für bestimmte Funktionen sind in den Referenzartikeln der entsprechenden Funktionen enthalten.
Vor der Installation von SQL Server
Beachten Sie beim Einrichten der Serverumgebung diese bewährten Methoden:
- Erhöhen der physischen Sicherheit
- Verwenden von Firewalls
- Isolieren von Diensten
- Konfigurieren eines sicheren Dateisystems
- Deaktivieren von NetBIOS und Server Message Block
- Installieren von SQL Server auf einem Domänencontroller
Verbessern der physischen Sicherheit
Physische und logische Isolation bilden die Basis der Sicherheit von SQL Server . Führen Sie die folgenden Aufgaben aus, um die physische Sicherheit der SQL Server -Installation zu erhöhen:
Platzieren Sie den Server in einem Raum, den nur autorisierte Benutzer betreten dürfen.
Stellen Sie Computer, die Datenbanken hosten, an physisch geschützten Orten auf. Im Idealfall sollte dies ein verschlossener Computerraum mit Systemen für Überschwemmungsschutz und Feuererkennung bzw. Brandbekämpfung sein.
Installieren Sie Datenbanken in der sicheren Zone des Unternehmensintranets, und verbinden Sie Ihre SQL Server-Instanzen nicht direkt mit dem Internet.
Führen Sie regelmäßig Datensicherungen durch, und bewahren Sie die Sicherungskopien an einem Ort außerhalb des Unternehmensgebäudes auf.
Verwenden von Firewalls
Firewalls sind eine wichtige Komponente zur Sicherung der SQL Server -Installation. Firewalls sind am effektivsten, wenn Sie die folgenden Richtlinien befolgen:
Richten Sie zwischen Server und Internet eine Firewall ein. Aktivieren Sie die Firewall. Schalten Sie die Firewall ein, wenn sie ausgeschaltet ist. Wenn Ihre Firewall aktiviert ist, deaktivieren Sie sie nicht.
Unterteilen Sie das Netzwerk in Sicherheitszonen, die durch Firewalls voneinander getrennt sind. Blockieren Sie zunächst sämtlichen Datenverkehr, und lassen Sie anschließend nur ausgewählte Verbindungen zu.
Verwenden Sie in einer mehrstufigen Umgebung mehrere Firewalls, um Umkreisnetzwerke zu erstellen.
Wenn Sie den Server in einer Windows-Domäne installieren, konfigurieren Sie interne Firewalls, um die Windows-Authentifizierung zuzulassen.
Wenn Ihre Anwendung verteilte Transaktionen verwendet, müssen Sie die Firewall möglicherweise so konfigurieren, dass Microsoft Distributed Transaction Coordinator (MS DTC)-Datenverkehr zwischen separaten MS DTC-Instanzen übermittelt werden kann. Sie müssen die Firewall auch so konfigurieren, dass Datenverkehr zwischen ms DTC und Ressourcenmanagern wie SQL Server fließen kann.
Weitere Informationen zu den Standardeinstellungen der Windows-Firewall und eine Beschreibung der TCP-Ports, die sich auf das Datenbank-Engine, die Analysis Services, die Reporting Servicesund die Integration Servicesauswirken, finden Sie unter Konfigurieren der Windows-Firewall für den SQL Server-Zugriff.
Isolieren von Diensten
Durch das Isolieren von Diensten reduzieren Sie das Risiko, dass durch einen gefährdeten Dienst andere Dienste ebenfalls gefährdet werden. Beachten Sie beim Isolieren von Diensten die folgenden Richtlinien:
- Führen Sie separate SQL Server -Dienste unter separaten Windows-Konten aus. Verwenden Sie für die einzelnen SQL Server -Dienste wo immer das möglich ist separate Windows-Benutzerkonten oder separate lokale Benutzerkonten mit geringen Rechten. Weitere Informationen finden Sie unter Konfigurieren von Windows-Dienstkonten und -Berechtigungen.
Konfigurieren eines sicheren Dateisystems
Die Verwendung des richtigen Dateisystems erhöht die Sicherheit. Folgende Aufgaben sollten für SQL Server -Installationen ausgeführt werden:
Verwenden Sie das NT-Dateisystem (NT File System, NTFS) oder das resiliente Dateisystem (Resilient File System, ReFS). NTFS und ReFS sind das empfohlene Dateisystem für Installationen von SQL Server, da es stabiler und wiederherstellbarer als FAT32-Dateisysteme ist. NTFS oder ReFS aktivieren auch Sicherheitsoptionen wie Datei- und Verzeichniszugriffssteuerungslisten (ACLs). Das NTFS unterstützt auch das verschlüsselnde Dateisystem (EFS): Dateiverschlüsselung. Während der Installation legt SQL Server geeignete ACLs für Registrierungsschlüssel und Dateien fest, wenn NTFS erkannt wird. Diese Berechtigungen sollten nicht geändert werden. In zukünftigen Versionen von SQL Server wird die Installation auf Computern mit FAT-Dateisystemen möglicherweise nicht mehr unterstützt.
Hinweis
Wenn Sie EFS verwenden, werden Datenbankdateien unter der Identität des Kontos verschlüsselt, das SQL Server ausführt. Nur dieses Konto kann die Dateien entschlüsseln. Falls eine Änderung des Kontos erforderlich wird, unter dem SQL Server ausgeführt wird, müssen Sie die Dateien zunächst unter dem alten Konto entschlüsseln und anschließend unter dem neuen Dienstkonto verschlüsseln.
Warnung
Die Verwendung der Dateiverschlüsselung über EFS kann zu einer langsameren E/A-Leistung führen, da die Verschlüsselung dazu führt, dass asynchrone E/A synchron wird. Weitere Informationen finden Sie unter Asynchrone Datenträger-E/A, die unter Windows als synchron dargestellt wird. Stattdessen können Sie die Verwendung von SQL Server-Verschlüsselungstechnologien wie transparenter Datenverschlüsselung (TDE),Always Encrypted und Kryptografiefunktionen auf Spaltenebene in Betracht ziehen.
Deaktivieren von NetBIOS und Server Message Block
Für Server im Umkreisnetzwerk sollten alle nicht erforderlichen Protokolle deaktiviert sein, einschließlich NetBIOS und Server Message Block (SMB).
NetBIOS verwendet die folgenden Ports:
- UDP/137 (NetBIOS-Namensdienst)
- UDP/138 (NetBIOS-Datagrammdienst)
- TCP/139 (NetBIOS-Sitzungsdienst)
SMB verwendet die folgenden Ports:
- TCP/139
- TCP/445
Webserver und DNS-Server (Domain Name System) erfordern kein NetBIOS oder SMB. Deaktivieren Sie auf diesen Servern beide Protokolle, um das Risiko eines Angriffs durch Benutzerenumeration zu verringern.
Installieren von SQL Server auf einem Domänencontroller
Aus Sicherheitsgründen sollte SQL Server nicht auf einem Domänencontroller installiert werden. SQL Server-Setup wird die Installation auf einem Computer, der als Domänencontroller fungiert, nicht blockieren, es gelten jedoch die folgenden Einschränkungen:
Sie können keine SQL Server-Dienste auf einem Domänencontroller unter einem lokalen Dienstkonto ausführen.
Nachdem SQL Server auf einem Computer installiert wurde, können Sie den Computer nicht von einem Domänenmitglied zu einem Domänencontroller ändern. Sie müssen SQL Server deinstallieren, bevor Sie den Hostcomputer zu einem Domänencontroller ändern.
Nachdem SQL Server auf einem Computer installiert wurde, können Sie den Computer nicht von einem Domänencontroller zu einem Domänenmitglied ändern. Sie müssen SQL Server deinstallieren, bevor Sie den Hostcomputer zu einem Domänenmitglied ändern.
SQL Server-Failoverclusterinstanzen werden nicht unterstützt, wenn es sich bei den Clusterknoten um Domänencontroller handelt.
Beim Setup von SQL Server können keine Sicherheitsgruppen erstellt oder SQL Server-Dienstkonten auf einem schreibgeschützten Domänencontroller bereitgestellt werden. In diesem Szenario tritt ein Setupfehler auf.
Während oder nach der Installation von SQL Server
Nach der Installation können Sie die Sicherheit der SQL Server -Installation mit diesen bewährten Methoden bezüglich Konten und Authentifizierungsmodi verbessern:
Dienstkonten
Führen Sie SQL Server -Dienste mit möglichst geringen Berechtigungen aus.
Ordnen Sie SQL Server -Dienste Windows-Benutzerkonten oder lokalen Benutzerkonten mit geringen Berechtigungen zu.
Weitere Informationen finden Sie unter Konfigurieren von Windows-Dienstkonten und -Berechtigungen.
Authentifizierungsmodus
Setzen Sie die Windows-Authentifizierung für Verbindungen mit SQL Servervoraus.
Verwenden Sie Kerberos-Authentifizierung. Weitere Informationen finden Sie unter Registrieren eines Dienstprinzipalnamens für Kerberos-Verbindungen.
Sichere Kennwörter
- Weisen Sie dem sa -Konto immer ein sicheres Kennwort zu.
- Aktivieren Sie immer die Richtlinienüberprüfung für Kennwörter, um die Sicherheit und das Ablaufdatum der Kennwörter.
- Verwenden Sie für alle SQL Server -Anmeldungen sichere Kennwörter.
Wichtig
Während der Einrichtung von SQL Server Express wird eine Anmeldung für die BUILTIN\Users Gruppe hinzugefügt. Dies ermöglicht allen authentifizierten Benutzern des Computers den Zugriff auf die Instanz von SQL Server Express als Element der öffentlichen Rolle. Die BUILTIN\Users Anmeldung kann sicher entfernt werden, um den Datenbankmodulzugriff auf Computerbenutzer einzuschränken, die über einzelne Anmeldungen verfügen oder Mitglieder anderer Windows-Gruppen mit Anmeldungen sind.