Limitações de segurança para SQL Server em Linux

Aplica-se a:SQL Server – Linux

O SQL Server em Linux atualmente tem as seguintes limitações:

• Uma política de senha padrão é fornecida. MUST_CHANGE é a única opção que você pode configurar. Quando a opção CHECK_POLICY está habilitada, ela impõe apenas a política padrão fornecida pelo SQL Server e não aplica as políticas de senha do Windows definidas nas políticas de grupo do Active Directory.
• Não há suporte para gerenciamento extensível de chaves no SQL Server 2022 (16.x) 11 e versões anteriores. O Gerenciamento extensível de chaves só tem suporte por meio do AKV (Azure Key Vault).
• O modo de autenticação do SQL Server não pode ser desabilitado.
• A expiração da senha é embutida no código para acontecer a cada 90 dias se você usa a autenticação do SQL Server.
• Não há suporte para o uso de chaves armazenadas no Azure Key Vault no SQL Server 2022 (16.x) 11 e versões anteriores.
• O SQL Server gera seu próprio certificado autoassinado para criptografar conexões. O SQL Server pode ser configurado para usar um certificado fornecido pelo usuário para TLS.

Observação

Se você não planeja conectar seus contêineres SQL Server ao Windows Active Directory, a expiração da senha será definida para 90 dias, caso você use apenas a autenticação do SQL Server. Para contornar esse problema, considere alterar a política de CHECK_EXPIRATION.

Para obter mais informações sobre os recursos de segurança disponíveis no SQL Server, confira Segurança para o Mecanismo de Banco de Dados do SQL Server e Banco de Dados SQL do Azure.

Desabilitar a conta SA como uma melhor prática

Ao se conecta à instância do SQL Server usando a conta de administrador do sistema (sa) pela primeira vez após a instalação, é importante seguir essas etapas e desabilitar imediatamente a conta sa como uma melhor prática de segurança.

1. Crie um novo logon e torne-o um membro da função de servidor sysadmin.

   • Dependendo se você tem uma implantação de contêiner ou não contêiner, habilite a autenticação do Windows, crie um novo logon baseado no Windows e adicione-o à função de servidor sysadmin.

     • Tutorial: usar o adutil para configurar a autenticação do Active Directory com o SQL Server no Linux

     • Tutorial: Configurar a autenticação do Active Directory com contêineres do SQL Server em Linux

   • Do contrário, crie um logon usando a autenticação do SQL Server e adicione-o à função de servidor sysadmin.

2. Conecte-se à instância do SQL Server usando o novo logon que você criou.

3. Desative a conta sa, conforme recomendado para as melhores práticas de segurança.

Conteúdo relacionado

• Passo a passo dos recursos de segurança do SQL Server no Linux
• Configurar SQL Server em Linux com a ferramenta mssql-conf
• Edições e recursos suportados do SQL Server 2022 no Linux