Udostępnij za pośrednictwem


Uwagi dotyczące zabezpieczeń SQL Server instalacji

Bezpieczeństwo jest ważne dla każdego produktu i każdej działalności.Przez następujący prosty najważniejsze wskazówki można uniknąć wielu luk w zabezpieczeniach.W tym temacie omówiono najważniejsze wskazówki dotyczące niektórych zabezpieczeń, że należy rozważyć zarówno przed zainstalowaniem SQL Server i po zainstalowaniu SQL Server.Wskazówki dotyczące zabezpieczeń dla określonych funkcji znajduje się w tematach odniesienia do tych funkcji.

Przed zainstalowaniemSQL Server

Wykonaj te najważniejsze wskazówki kiedy użytkownik zestaw środowiska serwera w górę:

  • Zwiększenia bezpieczeństwa fizycznego

  • Użyj zapory

  • Izolowanie usług

  • Konfigurowanie bezpieczny system plików

  • Wyłącz NetBIOS i server message blok

Zwiększenia bezpieczeństwa fizycznego

Fizyczne i logiczne izolacji tworzą podstawę SQL Server zabezpieczeń.Aby zwiększyć bezpieczeństwo fizyczne SQL Server instalacji, należy wykonać następujące zadania:

  • Umieść serwer w pomieszczeniu, dostępne tylko dla osób upoważnionych.

  • Umieść komputery obsługujące bazy danych w lokalizacji fizycznie chronione, najlepiej pomieszczenie zablokowanego komputera z monitorowanych powódź wykrywania pożaru wykrywania lub tłumienia systemów i.

  • Zainstaluj bazy danych w bezpiecznej strefie intranetu firmy i nie połączyć serwerów SQL bezpośrednio z Internetem.

  • Należy regularnie tworzyć kopie zapasowe wszystkich danych i zabezpieczyć kopie zapasowe w lokalizacji poza nim.

Użyj zapory

Zapory są istotne, aby zabezpieczyć SQL Server instalacji.Zapory będzie najbardziej efektywna, jeśli należy przestrzegać następujących zasad:

  • Umieścić zapora między serwerem a Internetem.Włącz zaporę.Jeśli Zapora jest wyłączona, należy go włączyć.Jeśli Zapora jest włączona, nie ją wyłączyć.

  • Podzielić sieć na strefy zabezpieczeń, oddzielonych zapory.Blokuj cały ruch, a następnie selektywnego przyjmowania tylko co jest wymagane.

  • W środowisku wielowarstwowych służy wiele zapór do tworzenia ekranowaną podsieci.

  • Instalując serwer wewnątrz domena systemu Windows, należy skonfigurować wnętrza zapory, aby umożliwić uwierzytelnianie systemu Windows.

  • Jeśli aplikacja używa transakcje rozproszone, trzeba skonfigurować zaporę, aby umożliwić Microsoft Distributed Transaction Coordinator (MS DTC) na ruch między osobnych wystąpień usługi MS DTC.Należy także skonfigurować zaporę, aby zezwalać na ruch między menedżerami usługi MS DTC i zasób takich jak SQL Server.

Aby uzyskać więcej informacji na temat domyślnych ustawień Zapory systemu Windows i opis TCP porty mających wpływ na Aparat baz danych, Usługi Analysis Services, Reporting Services, i Integration Services, zobacz Konfigurowanie zapory systemu Windows w celu umożliwienia dostępu do programu SQL Server.

Izolowanie usług

Izolowanie usług zmniejsza ryzyko, jednym złamany usługa mogą być używane do innych złamanie.Aby wyizolować usług, należy wziąć pod uwagę następujące wskazówki:

  • Uruchom w oddzielnym SQL Server usługi w oddzielnych kont systemu Windows.O ile to możliwe, użycie oddzielnych, Windows niskiego poziomu praw lub użytkowników lokalnych kont dla każdego SQL Server usługa. Aby uzyskać więcej informacji, zobacz Konfigurowanie kont usług systemu Windows.

Konfigurowanie bezpieczny System plików

Za pomocą prawidłowego systemu plików zwiększa bezpieczeństwo.Dla SQL Server instalacji, należy wykonać następujące zadania:

  • Za pomocą systemu plików NTFS (NTFS).System NTFS jest system plików preferowany w instalacjach SQL Server , ponieważ jest bardziej stabilne i odzyskania niż systemy plików FAT.NTFS umożliwia także opcje zabezpieczeń, takich jak plik, katalog list kontroli dostępu (ACL) i szyfrowanie plików systemu szyfrowanie plików (EFS).Podczas instalacji SQL Server spowoduje zestaw odpowiedniej listy ACL na klucze rejestru i plików, jeśli wykryje NTFS.Uprawnienia te nie powinny być zmieniane.Przyszłych wersjach SQL Server może nie obsługiwać instalacji na komputerach z systemami plików FAT.

    Ostrzeżenie

    Jeśli używasz systemu EFS, pliki bazy danych będą szyfrowane tożsamością konto z uruchomioną SQL Server.Tylko to konto będzie mógł odszyfrować pliki.Jeśli trzeba zmienić konto, na którym działa SQL Server, należy najpierw odszyfrować pliki starego konta, a następnie ponownie zaszyfrować je w nowe konto.

  • Użyć dublowanej macierzy niezależnych dysków (RAID) dla plików danych krytycznych.

Wyłącz NetBIOS i bloku komunikatów serwera

Serwery w sieci granicznej powinny mieć wszystkie niepotrzebne protokoły wyłączone, włączając NetBIOS i server message blok (SMB).

NetBIOS używa następujących portów:

  • UDP/137 (usługa nazw NetBIOS)

  • UDP/138 (Usługa datagramów NetBIOS)

  • TCP/139 (Usługa sesja NetBIOS)

Protokół SMB wykorzystuje następujące porty:

  • TCP I 139

  • TCP I 445

Serwery sieci Web i serwery systemu nazw domen (DNS) nie wymagają NetBIOS lub SMB.Na tych serwerach należy wyłączyć obu protokołów zmniejszyć zagrożenie wyliczania użytkownika.

Po zainstalowaniu programu SQL Server

Po zakończeniu instalacji, można zwiększyć bezpieczeństwo SQL Server instalacji, wykonując poniższe najważniejsze wskazówki dotyczące kont i trybów uwierzytelnianie:

Kont usług

  • Uruchom SQL Server usługi za pomocą najniższe uprawnienia możliwe.

  • Skojarzenie SQL Server usług z niskim uprzywilejowanego konta użytkowników lokalnych systemu Windows lub konta użytkownika domena.

  • Aby uzyskać więcej informacji, zobacz Konfigurowanie kont usług systemu Windows.

Tryb uwierzytelniania

  • Wymagają uwierzytelniania systemu Windows do połączeń z SQL Server.

  • Korzystanie z uwierzytelnianie Kerberos.Aby uzyskać więcej informacji, zobacz Nazwa główna usługi rejestrowania.

Silne hasła

Zawiesić do daty z instalacji programu SQL Server i uaktualniania informacji

Najnowsze pliki do pobrania, artykułów, wideo i informacje dotyczące rozwiązywania problemów firmy Microsoft, jak również wybranych rozwiązań ze Wspólnoty, odwiedź witrynę SQL Server ustawienia strony

Aby otrzymywać automatyczne powiadomienia dotyczące tych aktualizacji, zasubskrybuj źródła danych RSS dostępne na tej stronie.