Consideraciones de seguridad para una instalación de SQL Server

Se aplica a:SQL Server: solo Windows

La seguridad es importante para todos los productos y negocios. Si aplica las siguientes prácticas recomendadas de seguridad, puede evitar muchas vulnerabilidades de seguridad. En este artículo se tratan algunas prácticas recomendadas de seguridad que deben tenerse en cuenta antes de instalar SQL Server y después de instalar SQL Server. En los artículos de referencia para estas características se incluyen directrices de seguridad para características específicas.

Antes de instalar SQL Server

Siga estas prácticas recomendadas cuando configure el entorno del servidor.

Mejorar la seguridad física

El aislamiento físico y lógico constituye la base de la seguridad de SQL Server . Para mejorar la seguridad física de la instalación de SQL Server , realice las siguientes tareas:

  • Coloque el servidor en una sala que solo sea accesible a personas autorizadas.

  • Coloque los equipos que hospedan bases de datos en una ubicación protegida físicamente, como una sala de equipos cerrada con sistemas supervisados de detección de inundaciones y de extinción o detección de incendios.

  • Instala las bases de datos en una zona segura de la intranet corporativa y no conectes tus instancias de SQL Server directamente a Internet.

  • Realice periódicamente copias de seguridad de todos los datos y manténgalas protegidas en una ubicación fuera de las instalaciones.

Usar firewalls

Los firewalls son importantes para ayudar a proteger la instalación de SQL Server . Los firewalls serán más efectivos si sigue estas instrucciones:

  • Instale un firewall entre el servidor e Internet. Habilite el firewall. Si el firewall está desactivado, actívelo. Si el firewall está activado, no lo desactive.

  • Divida la red en zonas de seguridad separadas por firewalls. Bloquee todo el tráfico y, a continuación, admita solo el necesario.

  • En un entorno de varios niveles, utilice varios firewalls para crear subredes filtradas.

  • Si instala el servidor en un dominio de Windows, configure firewalls internos para permitir la autenticación de Windows.

  • Si la aplicación utiliza transacciones distribuidas, puede que tenga que configurar el firewall para permitir que el tráfico del Coordinador de transacciones distribuidas de Microsoft (MS DTC, Microsoft Distributed Transaction Coordinator) fluya entre instancias independientes de MS DTC. También tendrá que configurar el firewall para permitir que el tráfico fluya entre los administradores de recursos y MS DTC como SQL Server.

Para obtener más información sobre la configuración predeterminada de Firewall de Windows y una descripción de los puertos TCP que afectan al Motor de base de datos, a Analysis Services, a Reporting Servicesy a Integration Services, vea Configurar Firewall de Windows para permitir el acceso a SQL Server.

Aislar servicios

El aislamiento de servicios reduce el riesgo de que se utilice un servicio cuya seguridad se haya vulnerado para vulnerar la seguridad de otros servicios. Para aislar los servicios, tenga en cuenta estas instrucciones:

  • Ejecute los servicios de SQL Server por separado en distintas cuentas de Windows. Siempre que sea posible, utilice derechos de Windows independientes y bajos, o cuentas de usuario local para cada servicio de SQL Server . Para obtener más información, consulte Configurar los permisos y las cuentas de servicio de Windows.

Configurar un sistema de archivos seguro

Si se usa el sistema de archivos correcto, se aumenta la seguridad. En las instalaciones de SQL Server , debería hacer lo siguiente:

Use el sistema de archivos NT (NTFS) o el sistema de archivos resistente (ReFS). NTFS y ReFS son los sistemas de archivos preferidos para las instalaciones de SQL Server porque son más estables y recuperables que los sistemas de archivos FAT32. NTFS o ReFS también habilitan opciones de seguridad como listas de control de acceso (ACL) a directorios y archivos. NTFS también admite Sistema de cifrado de archivos (EFS) para el cifrado de archivos. Durante la instalación, SQL Server establecerá las ACL adecuadas en las claves del Registro y archivos si detecta NTFS. No se deberían cambiar estos permisos. Puede que las versiones futuras de SQL Server no admitan la instalación en equipos con sistemas de archivos FAT.

Nota

Si utiliza EFS, los archivos de base de datos se cifrarán con la identidad de la cuenta que ejecuta SQL Server. Solo esta cuenta podrá descifrar los archivos. Si debe cambiar la cuenta que ejecuta SQL Server, primero debe descifrar los archivos en la cuenta anterior y volver a cifrarlos en la cuenta nueva.

Advertencia

El uso del cifrado de archivos mediante EFS provocr un rendimiento de E/S más lento porque el cifrado hace que la E/S asincrónica se vuelva sincrónica. Consulte La E/S de disco asincrónica aparece como sincrónica en Windows. En su lugar, puede usar tecnologías de cifrado de SQL Server como Cifrado de datos transparente (TDE), Always Encrypted y funciones T-SQL de cifrado de nivel de columna.

Deshabilitar NetBIOS y Bloque de mensajes de servidor

Los servidores de la red perimetral deben tener deshabilitados todos los protocolos innecesarios, incluidos NetBIOS y Bloque de mensajes de servidor (SMB).

NetBIOS utiliza los siguientes puertos:

  • UDP/137 (servicio de nombre NetBIOS)

  • UDP/138 (servicio de datagrama NetBIOS)

  • TCP/139 (servicio de sesión NetBIOS)

SMB utiliza los siguientes puertos:

  • TCP/139

  • TCP/445

Los servidores web y los servidores del Sistema de nombres de dominio (DNS) no requieren NetBIOS o SMB. En estos servidores, deshabilite los dos protocolos para reducir la amenaza de enumeración de usuarios.

Instalar SQL Server en un controlador de dominio

Por razones de seguridad, se recomienda que no se instale SQL Server en un controlador de dominio. SQL Server no bloqueará la instalación en un equipo que sea un controlador de dominio, pero se aplican las limitaciones siguientes:

  • No puede ejecutar los servicios SQL Server en un controlador de dominio bajo una cuenta del servicio local.

  • Una vez instalado en un equipo de SQL Server , no puede cambiar el equipo de un miembro de dominio a un controlador de dominio. Debe desinstalar SQL Server antes de cambiar el equipo host a un controlador de dominio.

  • Una vez instalado en un equipo de SQL Server , no puede cambiar el equipo de un controlador de dominio a un miembro de dominio. Debe desinstalar SQL Server antes de cambiar el equipo host a un miembro de dominio.

  • Las instancias del clúster de conmutación por error deSQL Server no se admiten si los nodos de clúster son controladores de dominio.

  • El programa de instalación deSQL Server no puede crear grupos de seguridad ni suministrar cuentas de servicio de SQL Server en un controlador de dominio de solo lectura. En este escenario, se producirá un error de instalación.

Durante o después de la instalación de SQL Server

Tras la instalación, puede mejorar la seguridad de la instalación de SQL Server si sigue estas prácticas recomendadas relativas a las cuentas y los modos de autenticación:

Cuentas de servicio

  • Ejecute los servicios de SQL Server con los mínimos permisos posibles.

  • Asocie los servicios de SQL Server a las cuentas de usuario local de Windows con menos privilegios, o a las cuentas de usuario de dominio.

  • Para obtener más información, consulte Configurar los permisos y las cuentas de servicio de Windows.

Modo de autenticación

Contraseñas seguras

  • Asigne una contraseña segura a la cuenta sa .

  • Habilite siempre la directiva de contraseñas comprobando el nivel y la fecha de expiración de la contraseña.

  • Use siempre contraseñas seguras en todos los inicios de sesión de SQL Server .

Importante

Durante la instalación de SQL Server Express se agrega un inicio de sesión para el grupo BUILTIN\Users. Esto permite que todos los usuarios autenticados del equipo tengan acceso a la instancia de SQL Server Express como un miembro del rol public. El inicio de sesión BUILTIN\Users se pueden quitar de manera segura para restringir el acceso al Motor de base de datos a los usuarios de equipos que tienen inicios de sesión individuales o son miembros de otros grupos de Windows con inicios de sesión.

Consulte también

Requisitos de hardware y software para instalar SQL Server
Protocolos de red y bibliotecas de red
Registrar un nombre principal de servicio para las conexiones con Kerberos