Ескертпе
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Жүйеге кіруді немесе каталогтарды өзгертуді байқап көруге болады.
Бұл бетке кіру үшін қатынас шегін айқындау қажет. Каталогтарды өзгертуді байқап көруге болады.
Область применения:
SQL Server
Защита SQL Server может рассматриваться как ряд шагов, включающих четыре области: платформу, проверку подлинности, объекты (включая данные) и приложения, которые обращаются к системе. В этой статье описывается создание и реализация эффективного плана безопасности.
Дополнительные сведения о безопасности SQL Server см. в рекомендациях по обеспечению безопасности SQL Server. Они включают руководство с рекомендациями и контрольный список безопасности. Не забудьте установить последний пакет обновления или накопительное обновление.
Безопасность платформы и сети
Платформа SQL Server включает физические аппаратные и сетевые системы, подключающие клиентов к серверам базы данных, а также двоичные файлы, используемые для обработки запросов к базе данных.
Физическая безопасность
Рекомендуется строго ограничивать доступ к физическим серверам и компонентам оборудования. Например, оборудование сервера базы данных и сетевые устройства должны находиться в закрытых охраняемых помещениях. Кроме того, ограничьте доступ к резервному копированию носителей, сохраняя его в безопасном расположении вне сайта.
Реализация физической сетевой безопасности начинается с запрета доступа неавторизованных пользователей к сети. Дополнительные сведения см . в рекомендациях по обеспечению безопасности SQL Server — угрозы инфраструктуры.
Безопасность операционной системы
В состав пакетов обновления и отдельных обновлений для операционной системы входят важные дополнения, позволяющие усилить безопасность. Все обновления для операционной системы необходимо устанавливать только после их тестирования с приложениями базы данных.
Кроме того, эффективную безопасность можно реализовать с помощью брандмауэров. Брандмауэр, распределяющий или ограничивающий сетевой трафик, можно настроить в соответствии с корпоративной политикой информационной безопасности. Если вы используете брандмауэр, вы повышаете безопасность на уровне операционной системы, предоставляя задушевную точку, в которой можно сосредоточить меры безопасности. В следующей таблице содержатся дополнительные сведения об использовании брандмауэра с SQL Server.
| Сведения | Смотрите |
|---|---|
| Настройка брандмауэра для работы с SQL Server | Настройка брандмауэра Windows для доступа к компоненту Database Engine |
| Настройка брандмауэра для работы со службами Integration Services | Службы Integration Services (службы SSIS) |
| Настройка брандмауэра для работы с службами Analysis Services | Настройка брандмауэра Windows на разрешение доступа к службам Analysis Services |
| Открытие определенных портов в брандмауэре для включения доступа к SQL Server | Настройка брандмауэра Windows для разрешения доступа к SQL Server |
| Настройка поддержки расширенной защиты для проверки подлинности с помощью привязки каналов и привязки служб | Соединение с компонентом Database Engine с использованием расширенной защиты |
Уменьшение контактной зоны является мерой безопасности, предполагающей остановку или отключение неиспользуемых компонентов. Уменьшение контактной зоны повышает уровень безопасности за счет уменьшения числа возможных способов атаковать систему. Ключ к ограничению области поверхности SQL Server включает выполнение обязательных служб, имеющих "наименьшие привилегии", предоставляя службы и пользователям только соответствующие права. Следующая таблица содержит дополнительные сведения по службам и доступу к системе.
| Сведения | Смотрите |
|---|---|
| Службы, необходимые для SQL Server | Настройка учетных записей службы Windows и разрешений |
Если в системе SQL Server используется службы IIS (IIS), необходимо выполнить дополнительные действия, чтобы защитить поверхность платформы. В следующей таблице содержатся сведения о SQL Server и службы IIS.
| Сведения | Смотрите |
|---|---|
| Безопасность IIS с помощью SQL Server Compact | Защита SQL Server — безопасность операционной системы |
| Проверка подлинности служб Reporting Services | Проверка подлинности в службах Reporting Services |
| Доступ к SQL Server Compact и IIS | Блок-схема безопасности службы IIS |
Безопасность файлов операционной системы SQL Server
SQL Server использует файлы операционной системы для операций и хранилища данных. Рекомендации по обеспечению безопасности файлов требуют ограничения доступа к этим файлам. Следующая таблица содержит сведения об этих файлах.
| Сведения | Смотрите |
|---|---|
| Файлы программы SQL Server | Расположение файлов для экземпляра по умолчанию и именованных экземпляров SQL Server |
Пакеты обновления и обновления SQL Server обеспечивают повышенную безопасность. Чтобы определить последний доступный пакет обновления для SQL Server, см . веб-сайт SQL Server .
С помощью приведенного ниже скрипта можно определить установленный в системе пакет обновления.
SELECT CONVERT(char(20), SERVERPROPERTY('productlevel'));
Субъекты и безопасность объектов базы данных
Субъекты — это лица, группы и процессы, которым предоставлен доступ к SQL Server. Защищаемые объекты — это сервер, база данных и объекты, которые содержит база данных. Каждый из них имеет набор разрешений, которые можно настроить для уменьшения области поверхности SQL Server. Следующая таблица содержит сведения об участниках и защищаемых объектах.
| Сведения | Смотрите |
|---|---|
| Пользователи, роли и процессы сервера и базы данных | Субъекты (ядро СУБД) |
| Безопасность объектов сервера и базы данных | Защищаемые объекты |
| Иерархия безопасности SQL Server | Иерархия разрешений (ядро СУБД) |
Шифрование и сертификаты
Шифрование не решает проблемы управления доступом. Однако оно повышает безопасность, ограничивая потерю данных даже в тех редких случаях, когда средства управления доступом удается обойти. Например, если хост-компьютер базы данных неправильно настроен, а злоумышленник получает конфиденциальные данные, такие как номера кредитных карт, то украденные данные могут быть бесполезными, если это зашифровано. В следующей таблице содержатся дополнительные сведения о шифровании в SQL Server.
| Сведения | Смотрите |
|---|---|
| Иерархия шифрования в SQL Server | Иерархия средств шифрования |
| Реализация безопасных соединений | Включение шифрования соединений в ядре СУБД (диспетчер конфигурации SQL Server) |
| Функции шифрования | Криптографические функции (Transact-SQL) |
Сертификаты — это совместно используемые на двух серверах программные «ключи», которые позволяют обеспечить безопасную передачу данных с помощью надежной проверки подлинности. Вы можете создавать и использовать сертификаты в SQL Server для повышения безопасности объектов и подключений. В следующей таблице содержатся сведения об использовании сертификатов с SQL Server.
| Сведения | Смотрите |
|---|---|
| Создание сертификата для использования SQL Server | СОЗДАТЬ СЕРТИФИКАТ (Transact-SQL) |
| Использование сертификатов при зеркальном отображении базы данных | Использование сертификатов для конечной точки зеркального отображения базы данных (Transact-SQL) |
Безопасность приложений
Клиентские программы
Рекомендации по безопасности SQL Server включают написание защищенных клиентских приложений. Дополнительные сведения об обеспечении безопасности клиентских приложений на сетевом уровне см. в разделе Client Network Configuration.
Управление приложениями в Защитнике Windows (WDAC)
Управление приложениями в Защитнике Windows (WDAC) предотвращает попытки несанкционированного выполнения кода. WDAC является эффективным способом устранения угрозы со стороны вредоносных программ с исполняемыми файлами. Дополнительные сведения см. в подразделе документации Управление приложениями в Защитнике Windows.
Средства безопасности SQL Server, служебные программы, представления и функции
SQL Server предоставляет средства, служебные программы, представления и функции, которые можно использовать для настройки и администрирования безопасности.
Средства безопасности и служебные программы SQL Server
В следующей таблице содержатся сведения о средствах и служебных программах SQL Server, которые можно использовать для настройки и администрирования безопасности.
| Сведения | Смотрите |
|---|---|
| Подключение, настройка и управление SQL Server | Использование среды SQL Server Management Studio |
| Подключение к SQL Server и выполнение запросов в командной строке | Служебная программа Sqlcmd |
| Конфигурация сети и управление для SQL Server | Диспетчер конфигурации SQL Server |
| Включение и отключение компонентов с помощью средства управления на основе политики | Администрирование серверов с помощью управления на основе политик |
| Управление симметричными ключами для сервера отчетов | Служебная программа Rskeymgmt (SSRS) |
Представления и функции каталога безопасности SQL Server
Ядро СУБД предоставляет сведения о безопасности в нескольких представлениях и функциях, оптимизированных для производительности и служебной программы. Следующая таблица содержит сведения о представлениях и функциях безопасности.
| Сведения | Смотрите |
|---|---|
| Представления каталога безопасности SQL Server, возвращающие сведения о разрешениях уровня базы данных и уровня сервера, субъектах, ролях и т. д. Кроме того, существуют представления каталога, содержащие сведения о ключах шифрования, сертификатах и учетных данных. | Представления каталога безопасности (Transact-SQL) |
| Функции безопасности SQL Server, возвращающие сведения о текущем пользователе, разрешениях и схемах. | Функция безопасности (Transact-SQL) |
| Динамические административные представления SQL Server. | Динамические административные представления и функции, связанные с безопасностью (Transact-SQL) |
Связанный контент
- Вопросы безопасности для установки SQL Server
- Безопасность системы управления базами данных SQL Server и базы данных Azure SQL
- Оптимальные методы обеспечения безопасности SQL Server 2012 — рабочие и административные задачи
- Сборник схем для выполнения типовых требований к безопасности Базы данных SQL Azure и Управляемого экземпляра SQL Azure
- Блог по безопасности SQL Server
- Оптимальные методы обеспечения безопасности и безопасность на уровне меток (технические описания)
- Безопасность на уровне строк
- Защита интеллектуальной собственности SQL Server