Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A következőre vonatkozik: :
SQL Server Windows rendszeren
A biztonság minden termék és üzlet szempontjából fontos. Az egyszerű ajánlott eljárások követésével számos biztonsági rést elkerülhet. Ez a cikk néhány ajánlott biztonsági eljárást ismerteti, amelyeket érdemes megfontolnia a SQL Server telepítése előtt és a SQL Server telepítése után is. Az adott funkciókra vonatkozó biztonsági útmutatást az adott funkciókra vonatkozó referenciacikkek tartalmazzák.
A SQL Server telepítése előtt
Kövesse az alábbi ajánlott eljárásokat a kiszolgálókörnyezet beállításakor:
- A fizikai biztonság javítása
- Tűzfalak használata
- Szolgáltatások elkülönítése
- Biztonságos fájlrendszer konfigurálása
- A NetBIOS és a kiszolgálói üzenetblokk letiltása
- Telepítse az SQL Server-t a tartományvezérlőn
A fizikai biztonság javítása
A fizikai és logikai elkülönítés a SQL Server biztonság alapja. A SQL Server telepítésének fizikai biztonságának javítása érdekében végezze el a következő feladatokat:
Helyezze a kiszolgálót egy olyan helyiségbe, amely csak a jogosult személyek számára érhető el.
Helyezze az adatbázist üzemeltető számítógépeket fizikailag védett helyre, ideális esetben egy zárolt számítógépterembe figyelt árvízészlelési és tűzészlelési vagy elnyomási rendszerekkel.
Telepítse az adatbázisokat a vállalati intranet biztonságos zónájában, és ne csatlakoztassa közvetlenül az internethez SQL Server példányokat.
Készítsen rendszeresen biztonsági másolatot az összes adatról, és gondoskodjon a biztonsági másolatok biztonságossá tételéről a helyszínen kívüli helyen.
Tűzfalak használata
A tűzfalak fontosak a SQL Server telepítésének biztonságossá tételéhez. A tűzfalak akkor a leghatékonyabbak, ha az alábbi irányelveket követi:
Helyezzen tűzfalat a kiszolgáló és az internet közé. Engedélyezze a tűzfalat. Ha a tűzfal ki van kapcsolva, kapcsolja be. Ha a tűzfal be van kapcsolva, ne kapcsolja ki.
Ossza fel a hálózatot tűzfalak által elválasztott biztonsági zónákra. Tiltsa le az összes forgalmat, majd csak a szükséges elemeket fogadja el szelektíven.
Többszintű környezetben több tűzfal használatával hozzon létre szűrt alhálózatokat.
Amikor windowsos tartományon belül telepíti a kiszolgálót, konfiguráljon belső tűzfalakat a Windows Authentication engedélyezéséhez.
Ha az alkalmazás elosztott tranzakciókat használ, előfordulhat, hogy konfigurálnia kell a tűzfalat, hogy lehetővé tegye a Microsoft Distributed Transaction Coordinator (MS DTC) forgalmának áramlását a különálló MS DTC-példányok között. A tűzfalat úgy is konfigurálnia kell, hogy engedélyezze a forgalom áramlását az MS DTC és az erőforrás-kezelők, például a SQL Server között.
Az alapértelmezett Windows tűzfalbeállításokról, valamint a Database Engine, az Analysis Services, a Reporting Services és az Integration Services-re hatással lévő TCP-portok leírásáról a Windows tűzfal konfigurálása SQL Server hozzáférés engedélyezésére című részben talál információt.
Szolgáltatások elkülönítése
A szolgáltatások elkülönítése csökkenti annak kockázatát, hogy egy feltört szolgáltatás másokat is veszélyeztethet. A szolgáltatások elkülönítéséhez vegye figyelembe az alábbi irányelveket:
- Futtasson külön SQL Server szolgáltatásokat külön Windows-fiókokban. Amikor csak lehetséges, használjon külön, alacsony jogosultságú Windows- vagy Helyi felhasználói fiókokat minden SQL Server szolgáltatáshoz. További információ: Windows-szolgáltatásfiókok és -engedélyek konfigurálása.
Biztonságos fájlrendszer konfigurálása
A megfelelő fájlrendszer használata növeli a biztonságot. SQL Server telepítések esetén végezze el a következő feladatokat:
Használja az NT fájlrendszert (NTFS) vagy a Rugalmas fájlrendszert (ReFS). Az NTFS és a ReFS a SQL Server telepítéseihez ajánlott fájlrendszerek, mivel stabilabbak és helyreállíthatók, mint a FAT32 fájlrendszerek. Az NTFS vagy a ReFS olyan biztonsági beállításokat is engedélyez, mint a fájl- és könyvtár access control listák (ACL-ek). Az NTFS támogatja a titkosító fájlrendszert (EFS) – a fájltitkosítást is. A telepítés során SQL Server beállítja a megfelelő ACL-eket a beállításkulcsokon és a fájlokon, ha NTFS-t észlel. Ne módosítsa ezeket az engedélyeket. Előfordulhat, hogy a SQL Server jövőbeli kiadásai nem támogatják a FAT fájlrendszerrel rendelkező számítógépeken történő telepítést.
Megjegyzés:
HA EFS-t használ, az adatbázisfájlokat a rendszer a SQL Server futtató fiók identitása alatt titkosítja. Csak ez a fiók tudja visszafejteni a fájlokat. Ha módosítania kell a SQL Server futtató fiókot, először fejtse vissza a fájlokat a régi fiók alatt, majd titkosítsa újra azokat az új szolgáltatásfiókban.
Figyelmeztetés
A fájltitkosítás EFS-n keresztüli használata lassabb I/O-teljesítményt eredményezhet, mivel a titkosítás miatt az aszinkron I/O szinkronvá válik. Lásd: Az aszinkron lemez I/O szinkronként jelenik meg a Windowsban. Ehelyett érdemes lehet SQL Server titkosítási technológiákat használni, például Transparent data encryption (TDE), Always Encrypted és oszlopszintű titkosítási Titkosítási függvények.
NetBIOS és kiszolgálói üzenetblokk letiltása
Tiltsa le az összes szükségtelen protokollt a szegélyhálózat kiszolgálóin, beleértve a NetBIOS-t és a kiszolgálói üzenetblokkot (SMB).
A NetBIOS a következő portokat használja:
- UDP/137 (NetBIOS névszolgáltatás)
- UDP/138 (NetBIOS datagram szolgáltatás)
- TCP/139 (NetBIOS munkamenet-szolgáltatás)
Az SMB a következő portokat használja:
- TCP/139
- TCP/445
A webkiszolgálók és a DNS-kiszolgálók nem igényelnek NetBIOS-t vagy SMB-t. Ezeken a kiszolgálókon tiltsa le mindkét protokollt a felhasználói számbavétel veszélyének csökkentése érdekében.
SQL Server telepítése tartományvezérlőre
Biztonsági okokból ne telepítse a SQL Server tartományvezérlőre. SQL Server beállítás nem blokkolja a telepítést egy tartományvezérlőt futtató számítógépen, de az alábbi korlátozások érvényesek:
Helyi szolgáltatásfiókban nem futtathat SQL Server szolgáltatásokat egy tartományvezérlőn.
Miután telepítette a SQL Server egy számítógépre, nem módosíthatja a számítógépet tartománytagról tartományvezérlőre. A gazdaszámítógép tartományvezérlőre való módosítása előtt el kell távolítania SQL Server.
Miután telepítette a SQL Server egy számítógépre, nem módosíthatja a számítógépet tartományvezérlőről tartománytagra. A gazdaszámítógép tartománytagra való módosítása előtt el kell távolítania SQL Server.
SQL Server feladatátvevő fürtpéldányok nem támogatottak, ahol a fürtcsomópontok tartományvezérlők.
SQL Server telepítő nem tud biztonsági csoportokat vagy SQL Server szolgáltatásfiókokat létrehozni írásvédett tartományvezérlőn. Ebben a forgatókönyvben a telepítés sikertelen.
Győződjön meg arról, hogy a szükséges felhasználói jogosultságok hozzá vannak rendelve a sikeres telepítéshez
A beállításhoz a következő felhasználói jogosultságokat kell biztosítani ahhoz a fiókhoz, amely alatt a SQL Server telepítve van:
- Fájlok és könyvtárak biztonsági mentése
- Programok hibakeresése
- Az auditálási és biztonsági naplók kezelése
Ezek a felhasználói jogosultságok általában alapértelmezés szerint a helyi rendszergazdai csoportnak (BUILTIN\Administrators) vannak megadva. A legtöbb esetben nem kell semmilyen műveletet elvégeznie a hozzárendelésükhöz. Ha azonban egy biztonsági szabályzat visszavonja ezeket a jogosultságokat, győződjön meg arról, hogy helyesen vannak hozzárendelve, vagy SQL Server a beállítás a következő hibával meghiúsul:
The account that is running SQL Server Setup doesn't have one or all of the following rights: the right to back up files and directories, the right to manage auditing and the security log and the right to debug programs. To continue, use an account with both of these rights.
A SQL Server telepítése során vagy után
A telepítést követően növelje a SQL Server telepítésének biztonságát a fiókokra és hitelesítési módokra vonatkozó ajánlott eljárások követésével:
Szolgáltatásfiókok
Futtassa SQL Server szolgáltatásokat a lehető legalacsonyabb engedélyekkel.
SQL Server-szolgáltatások társítása alacsony jogosultságú windowsos helyi felhasználói fiókokkal vagy tartományi felhasználói fiókokkal.
További információ: Windows-szolgáltatásfiókok és -engedélyek konfigurálása.
Hitelesítési mód
SQL Server kapcsolatokhoz Windows Authentication szükséges.
Kerberos-hitelesítés használata. További információ: Szolgáltatásnév regisztrálása Kerberos-kapcsolatokhoz.
Erős jelszavak
- Mindig rendeljen erős jelszót az sa-fiókhoz .
- Mindig engedélyezze a jelszóházirend-ellenőrzést a jelszó erősségének és lejáratának ellenőrzéséhez.
- Mindig használjon erős jelszavakat minden SQL Server bejelentkezéshez.
Fontos
A SQL Server Express beállítása során a rendszer hozzáad egy bejelentkezést a BUILTIN\Users csoporthoz. Ez a csoport minden felhasználójának hozzáférést biztosít az SQL Server Express példányához mint a nyilvános szerepkör tagja. A BUILTIN\Users csoportot biztonságosan eltávolíthatja, hogy a Database Engine access azokra a számítógépfelhasználókra korlátozza, akik egyéni bejelentkezéssel rendelkeznek, vagy más, bejelentkezéssel rendelkező Windows-csoportok tagjai.