Considerações de segurança para uma instalação de SQL Server

Aplica-se a:SQL Server no Windows

A segurança é importante para todo produto e todo negócio. Seguindo práticas recomendadas simples, você pode evitar muitas vulnerabilidades de segurança. Este artigo discute algumas práticas recomendadas de segurança que você deve considerar antes de instalar SQL Server e depois de instalar SQL Server. Diretrizes de segurança para recursos específicos estão incluídas nos tópicos de referência para esses recursos.

Antes de instalar SQL Server

Siga estas práticas recomendadas quando você configurar o ambiente do servidor:

• Aprimore a segurança física
• Use firewalls
• Isole serviços
• Configure um sistema de arquivos seguro
• Desabilite o NetBIOS e bloco de mensagens de servidor (SMB)
• Instalar SQL Server em um controlador de domínio

Aprimorar a segurança física

O isolamento físico e lógico forma a base da segurança SQL Server. Para aprimorar a segurança física da instalação do SQL Server, conclua as seguintes tarefas:

• Coloque o servidor em uma sala à qual somente pessoas autorizadas tenham acesso.

• Coloque os computadores que hospedam um banco de dados em um local fisicamente protegido, idealmente em uma sala de computadores trancada com sistemas de detecção de inundação e detecção ou extinção de incêndio monitorados.

• Instale bancos de dados na zona segura da intranet corporativa e não conecte suas instâncias de SQL Server diretamente à Internet.

• Faça backup de todos os dados regularmente e proteja os backups em um local externo.

Utilize os firewalls

Os firewalls são importantes para proteger a instalação do SQL Server. Os firewalls serão mais eficazes se você seguir estas diretrizes:

• Coloque um firewall entre o servidor e a Internet. Habilite seu firewall. Se seu firewall estiver desligado, ligue-o. Se o firewall estiver ativado, não desative-o.

• Divida a rede em zonas de segurança separadas por firewalls. Bloqueie todo o tráfego e admita seletivamente apenas o que for necessário.

• Em um ambiente multicamadas, use vários firewalls para criar sub-redes protegidas.

• Ao instalar o servidor dentro de um domínio do Windows, configure firewalls internos para permitir Windows Authentication.

• Se o seu aplicativo usar transações distribuídas, talvez seja necessário configurar o firewall para permitir que tráfego do MS DTC (Coordenador de Transações Distribuídas da Microsoft ) flua entre instâncias separadas do MS DTC. Você também deve configurar o firewall para permitir que o tráfego flua entre o MS DTC e os gerenciadores de recursos, como SQL Server.

Para obter mais informações sobre as configurações padrão do Firewall do Windows e uma descrição das portas TCP que afetam o Database Engine, o Analysis Services, o Reporting Services e o Integration Services, consulte Configurar o Firewall do Windows para permitir SQL Server access.

Isolar serviços

O isolamento de serviços reduz o risco de que um serviço comprometido possa ser usado para comprometer outros. Para isolar serviços, considere as seguintes diretrizes:

• Execute serviços SQL Server separados em contas separadas do Windows. Sempre que possível, use contas de usuário windows ou local separadas e de baixos direitos para cada serviço SQL Server. Para obter mais informações, consulte Configurar contas de serviço e permissões do Windows.

Configurar um sistema de arquivos seguro

O uso do sistema de arquivos correto aumenta a segurança. Para SQL Server instalações, conclua as seguintes tarefas:

Use o sistema de arquivos NT (NTFS) ou o ReFS (Sistema de Arquivos Resiliente). O NTFS e o ReFS são os sistemas de arquivos recomendados para instalações de SQL Server porque são mais estáveis e recuperáveis do que os sistemas de arquivos FAT32. NTFS ou ReFS também habilitam opções de segurança, como ACLs (listas de controle de acesso a arquivos e diretórios). O NTFS também dá suporte à criptografia de arquivo EFS (Encrypting File System). Durante a instalação, o SQL Server define as ACLs apropriadas em chaves e arquivos do Registro caso detecte o NTFS. Não altere essas permissões. Versões futuras de SQL Server podem não dar suporte à instalação em computadores com sistemas de arquivos FAT.

Observação

Se você usar o EFS, os arquivos de banco de dados serão criptografados sob a identidade da conta em execução SQL Server. Somente essa conta pode descriptografar os arquivos. Se você precisar alterar a conta que executa o SQL Server, primeiro descriptografe os arquivos da conta antiga e, em seguida, criptografe-os novamente na nova conta de serviço.

Aviso

O uso da criptografia de arquivo por meio do EFS pode levar a um desempenho de E/S mais lento porque a criptografia faz com que a E/S assíncrona se torne síncrona. Confira A E/S de disco assíncrona aparece como síncrona no Windows. Em vez disso, considere usar tecnologias de criptografia SQL Server como Transparent data encryption (TDE), Always Encrypted e funções de criptografia de nível de coluna Criptográficas.

Desabilitar NetBIOS e Server Message Block (SMB)

Desabilite todos os protocolos desnecessários em servidores na rede de perímetro, incluindo NetBIOS e SMB (bloco de mensagens do servidor).

O NetBIOS usa as seguintes portas:

• UDP/137 (serviço de nome do NetBIOS)
• UDP/138 (serviço de datagrama do NetBIOS)
• TCP/139 (serviço de sessão do NetBIOS)

O SMB usa as seguintes portas:

• TCP/139
• TCP/445

Servidores Web e servidores DNS (Sistema de Nomes de Domínio) não exigem NetBIOS ou SMB. Nesses servidores, desabilite os dois protocolos para reduzir a ameaça de enumeração de usuário.

Instalar SQL Server em um controlador de domínio

Por motivos de segurança, não instale SQL Server em um controlador de domínio. A instalação do SQL Server não bloqueia a instalação em um computador que é um controlador de domínio, mas as seguintes limitações se aplicam:

• Não é possível executar serviços do SQL Server em um controlador de domínio sob uma conta de serviço local.

• Depois de instalar SQL Server em um computador, você não poderá alterar o computador de um membro de domínio para um controlador de domínio. Você deve desinstalar SQL Server antes de alterar o computador host para um controlador de domínio.

• Depois de instalar SQL Server em um computador, você não poderá alterar o computador de um controlador de domínio para um membro de domínio. Você deve desinstalar SQL Server antes de alterar o computador host para um membro de domínio.

• As instâncias de cluster de failover do SQL Server não são suportadas quando os nós do cluster são controladores de domínio.

• A Instalação do SQL Server não pode criar grupos de segurança ou contas de serviço SQL Server em um controlador de domínio em modo de somente leitura. Nesse cenário, a instalação falhará.

Garantir que os direitos de usuário necessários sejam atribuídos à instalação bem-sucedida

A instalação requer que os seguintes direitos de usuário sejam concedidos à conta sob a qual SQL Server está instalado:

• Arquivos e diretórios de backup
• Depurar programas
• Gerenciar a auditoria e o log de segurança

Esses privilégios de usuário geralmente são concedidos por padrão ao grupo de administradores local (BUILTIN\Administrators). Na maioria dos casos, você não precisa tomar nenhuma ação para atribuí-los. No entanto, se uma política de segurança revogar esses privilégios, verifique se eles estão atribuídos corretamente, ou a Instalação do SQL Server falhará com o seguinte erro:

The account that is running SQL Server Setup doesn't have one or all of the following rights: the right to back up files and directories, the right to manage auditing and the security log and the right to debug programs. To continue, use an account with both of these rights.

Durante ou após a instalação do SQL Server

Após a instalação, aprimore a segurança da instalação do SQL Server seguindo estas práticas recomendadas em relação a contas e modos de autenticação:

Contas de serviço

• Execute SQL Server serviços usando as permissões mais baixas possíveis.

• Associe SQL Server serviços a contas de usuário locais do Windows com baixo privilégio ou contas de usuário de domínio.

• Para obter mais informações, consulte Configurar contas de serviço e permissões do Windows.

Modo de autenticação

• Exigir Windows Authentication para conexões SQL Server.

• Usar a autenticação Kerberos. Para obter mais informações, veja Registrar um Nome Principal de Serviço para conexões de Kerberos.

Senhas fortes

• Sempre atribua uma senha forte à conta sa .
• Sempre habilite a verificação da política de senha para conferir a força e a expiração das senhas.
• Sempre use senhas fortes para todos os logons SQL Server.

Importante

Durante a instalação do SQL Server Express, um logon é adicionado para o grupo BUILTIN\Users. Esse grupo concede a todos os usuários do computador acesso à instância do SQL Server Express como membro da função public. Você pode remover com segurança o grupo BUILTIN\Users para restringir Database Engine access a usuários de computador que têm logons individuais ou são membros de outros grupos do Windows com logons.

Conteúdo relacionado

• Requisitos de hardware e software para SQL Server 2022
• Protocolos de rede e bibliotecas de rede
• Registrar um Nome Principal de Serviço para conexões de Kerberos