Considerações sobre segurança para uma instalação do SQL Server
Aplica-se a: SQL Server – Somente Windows
A segurança é importante para todo produto e todo negócio. Seguindo práticas recomendadas simples, você pode evitar muitas vulnerabilidades de segurança. Este artigo discute algumas práticas recomendadas de segurança que você deve considerar antes de instalar o SQL Server e depois de instalar o SQL Server. Diretrizes de segurança para recursos específicos estão incluídas nos tópicos de referência para esses recursos.
Antes de instalar o SQL Server
Siga estas práticas recomendadas quando você configurar o ambiente do servidor:
- Aprimore a segurança física
- Use firewalls
- Isole serviços
- Configure um sistema de arquivos seguro
- Desabilite os protocolos NetBIOS e SMB
- Instalando o SQL Server em um controlador de domínio
Aprimore a segurança física
O isolamento físico e lógico compõe a base de segurança do SQL Server . Para aprimorar a segurança física da instalação do SQL Server , execute as seguintes tarefas:
Coloque o servidor em uma sala à qual somente pessoas autorizadas tenham acesso.
Coloque os computadores que hospedam um banco de dados em um local fisicamente protegido, idealmente em uma sala de computadores trancada com sistemas de detecção de inundação e detecção ou extinção de incêndio monitorados.
Instale os bancos de dados na zona segura da intranet corporativa e não conecte as instâncias do SQL Server diretamente à Internet.
Faça backup de todos os dados regularmente e proteja os backups em um local externo.
Use firewalls
Os firewalls são importantes para ajudar a proteger a instalação do SQL Server . Os firewalls serão mais efetivos se você seguir estas diretrizes:
Coloque um firewall entre o servidor e a Internet. Habilite seu firewall. Se seu firewall estiver desligado, ligue-o. Se seu firewall estiver ligado, não desligue-o.
Divida a rede em zonas de segurança separadas por firewalls. Bloqueie todo o tráfego e admita seletivamente apenas o que for necessário.
Em um ambiente multicamadas, use vários firewalls para criar sub-redes filtradas.
Quando você estiver instalando o servidor dentro de um domínio do Windows, configure firewalls interiores para permitir a Autenticação do Windows.
Se o seu aplicativo usar transações distribuídas, talvez seja necessário configurar o firewall para permitir que tráfego do MS DTC (Coordenador de Transações Distribuídas da Microsoft ) flua entre instâncias separadas do MS DTC. Você também precisará configurar o firewall para permitir que o tráfego flua entre o MS DTC e gerenciadores de recursos, como o SQL Server.
Para obter mais informações sobre as configurações de firewall do Windows padrão e obter uma descrição das portas TCP que afetam o Mecanismo de Banco de Dados, Serviços de análise, Reporting Servicese Integration Services, veja Configurar o Firewall do Windows para permitir acesso ao SQL Server.
Isole serviços
O isolamento de serviços reduz o risco de que um serviço comprometido possa ser usado para comprometer outros. Para isolar serviços, considere as seguintes diretrizes:
- Execute serviços separados do SQL Server sob contas separadas do Windows. Sempre que possível, use contas de usuário Local ou do Windows separadas e com poucos direitos para cada serviço do SQL Server . Para obter mais informações, consulte Configurar contas de serviço e permissões do Windows.
Configure um sistema de arquivos seguro
O uso do sistema de arquivos correto aumenta a segurança. Para instalações do SQL Server , você deve executar as seguintes tarefas:
Use o sistema de arquivos NT (NTFS) ou o ReFS (Sistema de Arquivos Resiliente). O NTFS e o ReFS são o sistema de arquivos recomendado para instalações do SQL Server porque são mais estáveis e recuperáveis do que os sistemas de arquivos FAT32. O NTFS ou o ReFS também habilita opções de segurança como ACLs (listas de controle de acesso) de arquivo e diretório. O NTFS também dá suporte à criptografia de arquivo EFS (Encrypting File System). Durante a instalação, o SQL Server definirá ACLs apropriadas em chaves do Registro e arquivos se ele detectar NTFS. Essas permissões não devem ser alteradas. As versões futuras do SQL Server podem não dar suporte à instalação em computadores com sistemas de arquivos FAT.
Observação
Se você usar EFS, os arquivos de banco de dados serão criptografados sob a identidade da conta que está executando o SQL Server. Apenas essa conta poderá descriptografar os arquivos. Se você precisar alterar a conta que executa o SQL Server, primeiro, precisará descriptografar os arquivos na conta antiga e criptografá-los novamente na nova conta de serviço.
Aviso
O uso da criptografia de arquivo via EFS pode resultar em um desempenho de E/S mais lento porque a criptografia faz com que a E/S assíncrona se torne síncrona. Confira A E/S de disco assíncrona aparece como síncrona no Windows. Em vez disso, considere o uso de tecnologias de criptografia do SQL Server como a TDE (Transparent Data Encryption), o Always Encrypted e as funções T-SQL de criptografia em nível de coluna.
Desabilite os protocolos NetBIOS e SMB
Todos os servidores na rede de perímetro devem ter os protocolos desnecessários desabilitados, incluindo NetBIOS e SMB.
O NetBIOS usa as seguintes portas:
UDP/137 (serviço de nome do NetBIOS)
UDP/138 (serviço de datagrama do NetBIOS)
TCP/139 (serviço de sessão do NetBIOS)
O SMB usa as seguintes portas:
TCP/139
TCP/445
Os servidores Web e DNS (Sistema de Nome de Domínio) não requerem NetBIOS ou SMB. Nesses servidores, desabilite os dois protocolos para reduzir a ameaça de enumeração de usuário.
Instalando o SQL Server em um controlador de domínio
Por motivos de segurança, é recomendável não instalar o SQL Server em um controlador de domínio. SQL Server não bloqueará a instalação em um computador que seja um controlador de domínio, mas as seguintes limitações se aplicam:
Você não pode executar os serviços do SQL Server em um controlador de domínio sob uma conta de serviço local.
Depois que o SQL Server for instalado em um computador, você não poderá alterar o computador de um membro do domínio para um controlador de domínio. Você deve desinstalar o SQL Server antes de alterar o computador host para um controlador de domínio.
Depois que o SQL Server for instalado em um computador, você não poderá alterar o computador de um controlador de domínio para um membro do domínio. Você deve desinstalar o SQL Server antes de alterar o computador host para um membro do domínio.
Não há suporte às instâncias de cluster de failover doSQL Server em que os nós de agrupamento sejam controladores de domínio.
A Instalação doSQL Server não pode criar grupos de segurança ou provisionar contas de serviço do SQL Server em um controlador de domínio somente leitura. Nesse cenário, haverá falha na Instalação.
Durante ou após a instalação do SQL Server
Após a instalação, você pode aprimorar a segurança da instalação do SQL Server seguinte estas práticas recomendadas relativas a contas e modos de autenticação:
Contas de serviço
Execute os serviços do SQL Server usando as menores permissões possíveis.
Associe os serviços do SQL Server a contas de usuário locais do Windows ou contas de usuário do domínio com pouco privilégio.
Para obter mais informações, consulte Configurar contas de serviço e permissões do Windows.
Modo de autenticação
Requeira Autenticação do Windows para conexões com o SQL Server.
Usar a autenticação Kerberos. Para obter mais informações, veja Registrar um nome de entidade de serviço para conexões de Kerberos.
Senhas fortes
Sempre atribua uma senha forte à conta sa .
Sempre habilite a verificação de política de senha sobre nível de segurança e expiração de senhas.
Use sempre senhas fortes para todos os logons do SQL Server .
Importante
Durante instalação do SQL Server Express , é adicionado um logon para o grupo BUILTIN\Users. Assim, todos os usuários autenticados do computador podem acessar a instância do SQL Server Express como membros da função pública. O logon BUILTIN\Users pode ser removido com segurança para restringir o acesso a Mecanismo de Banco de Dados aos usuários do computador que têm logons individuais ou que são membros de outros grupos do Windows com logons.
Consulte Também
Requisitos de Hardware e Software para a Instalação do SQL Server
Protocolos de rede e bibliotecas de rede
Registrar um nome de entidade de serviço para conexões de Kerberos