Megosztás a következőn keresztül:

Az SQL Server telepítésével kapcsolatos biztonsági szempontok

A következőkre vonatkozik:SQL Server – csak Windows

A biztonság minden termék és üzlet szempontjából fontos. Az egyszerű ajánlott eljárások követésével számos biztonsági rést elkerülhet. Ez a cikk az SQL Server telepítése előtt és az SQL Server telepítése után ajánlott biztonsági eljárásokat ismerteti. Az adott funkciókra vonatkozó biztonsági útmutatást az adott funkciókra vonatkozó referenciacikkek tartalmazzák.

Az SQL Server telepítése előtt

Kövesse az alábbi ajánlott eljárásokat a kiszolgálókörnyezet beállításakor:

A fizikai biztonság javítása

A fizikai és logikai elkülönítés az SQL Server biztonságának alapja. Az SQL Server telepítésének fizikai biztonságának javítása érdekében végezze el a következő feladatokat:

  • Helyezze a kiszolgálót egy olyan helyiségbe, amely csak a jogosult személyek számára érhető el.

  • Helyezze az adatbázist üzemeltető számítógépeket fizikailag védett helyre, ideális esetben egy zárolt számítógépterembe figyelt árvízészlelési és tűzészlelési vagy elnyomási rendszerekkel.

  • Telepítse az adatbázisokat a vállalati intranet biztonságos zónájában, és ne csatlakoztassa közvetlenül az internethez az SQL Server-példányokat.

  • Készítsen rendszeresen biztonsági másolatot az összes adatról, és gondoskodjon a biztonsági másolatok biztonságossá tételéről a helyszínen kívüli helyen.

Tűzfalak használata

A tűzfalak fontosak az SQL Server telepítésének biztonságossá tételéhez. A tűzfalak akkor a leghatékonyabbak, ha az alábbi irányelveket követi:

  • Helyezzen tűzfalat a kiszolgáló és az internet közé. Engedélyezze a tűzfalat. Ha a tűzfal ki van kapcsolva, kapcsolja be. Ha a tűzfal be van kapcsolva, ne kapcsolja ki.

  • Ossza fel a hálózatot tűzfalak által elválasztott biztonsági zónákra. Tiltsa le az összes forgalmat, majd csak a szükséges elemeket fogadja el szelektíven.

  • Többrétegű környezetben több tűzfal használatával hozhat létre szűrt alhálózatokat.

  • Amikor a kiszolgálót Windows-tartományon belül telepíti, konfiguráljon belső tűzfalakat a Windows-hitelesítés engedélyezéséhez.

  • Ha az alkalmazás elosztott tranzakciókat használ, előfordulhat, hogy konfigurálnia kell a tűzfalat, hogy lehetővé tegye a Microsoft Distributed Transaction Coordinator (MS DTC) forgalmának áramlását a különálló MS DTC-példányok között. A tűzfalat úgy is konfigurálnia kell, hogy engedélyezze a forgalom áramlását az MS DTC és az erőforrás-kezelők, például az SQL Server között.

Az alapértelmezett Windows tűzfalbeállításokról, valamint az adatbázismotort, az Analysis Servicest, a Reporting Servicest és az integrációs szolgáltatásokat érintő TCP-portokról további információt A Windows tűzfal konfigurálása az SQL Server hozzáférésénekengedélyezéséhez című témakörben talál.

Szolgáltatások elkülönítése

A szolgáltatások elkülönítése csökkenti annak kockázatát, hogy egy feltört szolgáltatás másokat is veszélyeztethet. A szolgáltatások elkülönítéséhez vegye figyelembe az alábbi irányelveket:

  • Futtasson külön SQL Server-szolgáltatásokat külön Windows-fiókok alatt. Amikor csak lehetséges, használjon külön, alacsony jogosultságú Windows- vagy Helyi felhasználói fiókokat az egyes SQL Server-szolgáltatásokhoz. További információ: Windows-szolgáltatásfiókok és -engedélyek konfigurálása.

Biztonságos fájlrendszer konfigurálása

A megfelelő fájlrendszer használata növeli a biztonságot. SQL Server-telepítések esetén a következő feladatokat kell elvégeznie:

Használja az NT fájlrendszert (NTFS) vagy a Rugalmas fájlrendszert (ReFS). Az NTFS és a ReFS az SQL Server telepítéseihez ajánlott fájlrendszer, mivel stabilabb és helyreállíthatóbb, mint a FAT32 fájlrendszerek. Az NTFS vagy a ReFS olyan biztonsági beállításokat is engedélyez, mint a fájl- és könyvtárhozzáférés-vezérlési listák (ACL-ek). Az NTFS támogatja a titkosító fájlrendszert (EFS) – a fájltitkosítást is. A telepítés során az SQL Server beállítja a megfelelő ACL-eket a beállításkulcsokon és a fájlokon, ha NTFS-t észlel. Ezeket az engedélyeket nem szabad módosítani. Előfordulhat, hogy az SQL Server jövőbeli kiadásai nem támogatják a FAT fájlrendszerrel rendelkező számítógépeken történő telepítést.

Megjegyzés:

EFS használata esetén az adatbázisfájlok az SQL Servert futtató fiók identitása alatt lesznek titkosítva. Csak ez a fiók tudja visszafejteni a fájlokat. Ha módosítania kell az SQL Servert futtató fiókot, először vissza kell fejtenie a fájlokat a régi fiók alatt, majd újra kell titkosítania őket az új szolgáltatásfiókban.

Figyelmeztetés

A fájltitkosítás EFS-en keresztüli használata lassabb I/O-teljesítményt eredményezhet, mivel a titkosítás miatt az aszinkron I/O szinkronná válik. Lásd: Az aszinkron lemez I/O szinkronként jelenik meg a Windowsban. Ehelyett érdemes lehet olyan SQL Server-titkosítási technológiákat használni, mint a Transzparens adattitkosítás (TDE),az Always Encrypted és az oszlopszintű titkosítási titkosítási függvények.

NetBIOS és kiszolgálói üzenetblokk letiltása

A szegélyhálózat kiszolgálóinak le kell tiltani az összes szükségtelen protokollt, beleértve a NetBIOS-t és a kiszolgálói üzenetblokkot (SMB).

A NetBIOS a következő portokat használja:

  • UDP/137 (NetBIOS névszolgáltatás)
  • UDP/138 (NetBIOS datagram szolgáltatás)
  • TCP/139 (NetBIOS munkamenet-szolgáltatás)

Az SMB a következő portokat használja:

  • TCP/139
  • TCP/445

A webkiszolgálók és a DNS-kiszolgálók nem igényelnek NetBIOS-t vagy SMB-t. Ezeken a kiszolgálókon tiltsa le mindkét protokollt a felhasználói számbavétel veszélyének csökkentése érdekében.

Az SQL Server telepítése tartományvezérlőre

Biztonsági okokból javasoljuk, hogy ne telepítse az SQL Servert tartományvezérlőre. Az SQL Server telepítője nem blokkolja a telepítést olyan számítógépen, amely tartományvezérlő, de az alábbi korlátozások érvényesek:

  • Az SQL Server-szolgáltatásokat helyi szolgáltatásfiók alatt nem futtathatja tartományvezérlőn.

  • Miután telepítette az SQL Servert egy számítógépre, nem módosíthatja a számítógépet tartománytagról tartományvezérlőre. A gazdaszámítógép tartományvezérlőre való módosítása előtt el kell távolítania az SQL Servert.

  • Miután telepítette az SQL Servert egy számítógépre, nem módosíthatja a számítógépet tartományvezérlőről tartománytagra. Mielőtt tartománytaggá módosítja a gazdaszámítógépet, el kell távolítania az SQL Servert.

  • Az SQL Server feladatátvevő fürtpéldányai nincsenek támogatva, ha a fürtcsomópontok tartományvezérlők.

  • Az SQL Server telepítője nem tud biztonsági csoportokat létrehozni vagy SQL Server-szolgáltatásfiókokat kiépni írásvédett tartományvezérlőn. Ebben a forgatókönyvben a telepítés sikertelen.

Az SQL Server telepítése közben vagy után

A telepítés után növelheti az SQL Server telepítésének biztonságát az alábbi ajánlott fiókokra és hitelesítési módokra vonatkozó ajánlott eljárások követésével:

Szolgáltatásfiókok

  • Futtassa az SQL Server-szolgáltatásokat a lehető legalacsonyabb engedélyekkel.

  • SQL Server-szolgáltatásokat társíthat alacsony jogosultságú helyi Windows-felhasználói fiókokkal vagy tartományi felhasználói fiókokkal.

  • További információ: Windows-szolgáltatásfiókok és -engedélyek konfigurálása.

Hitelesítési mód

Erős jelszavak

  • Mindig rendeljen erős jelszót az sa-fiókhoz .
  • Mindig engedélyezze a jelszóházirend-ellenőrzést a jelszó erősségének és lejáratának ellenőrzéséhez.
  • Mindig használjon erős jelszavakat minden SQL Server-bejelentkezéshez.

Fontos

Az SQL Server Express telepítése során a rendszer hozzáad egy bejelentkezést a BUILTIN\Users csoporthoz. Ez lehetővé teszi, hogy a számítógép összes hitelesített felhasználója nyilvános szerepkör tagjaként hozzáférjen az SQL Server Express példányához. A BUILTIN\Users bejelentkezés biztonságosan eltávolítható, így korlátozható az adatbázismotor hozzáférése azon számítógép-felhasználók számára, akik egyéni bejelentkezéssel rendelkeznek, vagy más, bejelentkezéssel rendelkező Windows-csoportok tagjai.

Kapcsolódó tartalom