Анализ безопасности при установке SQL Server

  • Статья

Безопасность важна не только для Microsoft SQL Server и корпорации Майкрософт, но и для каждого продукта и бизнеса в целом. Следуя простым рекомендациям, можно избежать многих уязвимостей в безопасности. В этом разделе описываются некоторые рекомендации по безопасности, которым стоит следовать как до, так и после установки SQL Server. Сведения по безопасности для конкретных компонентов приводятся в справочных разделах по этим компонентам.

Перед установкой SQL Server

При настройке среды сервера выполняйте следующие рекомендации.

  • Повышение физической безопасности
  • Использование брандмауэров
  • Изолирование служб
  • Создание учетных записей служб с минимально возможными правами доступа
  • Отключение протоколов NetBIOS и SMB

Повышение физической безопасности

Физическая и логическая изоляции составляют основу безопасности SQL Server. Для повышения физической безопасности установки SQL Server выполните следующие действия.

  • Поместите сервер в помещении, недоступном для посторонних.
  • Установите компьютеры, на которых размещены базы данных, в физически защищенных местах, идеальным вариантом является запертая компьютерная комната с системой электромагнитного и противопожарного контроля или системой подавления помех.
  • Установите базы данных в безопасной зоне корпоративной сети, которая не подключена к Интернету напрямую.
  • Регулярно создавайте резервные копии и храните их в безопасном месте за пределами расположения компьютера.

Использование брандмауэров

Брандмауэры являются неотъемлемой частью безопасности установки SQL Server. Брандмауэры будут более эффективны, если следовать приведенным ниже правилам.

  • Установите брандмауэр между сервером и Интернетом.
  • Разделите сеть на зоны безопасности, разделенные брандмауэрами. Заблокируйте весь поток данных, после чего разрешите только необходимый.
  • В многоуровневом окружении используйте несколько брандмауэров для создания защищенных подсетей.
  • Настройте внутренние брандмауэры на разрешение проверки подлинности Windows, если устанавливаете сервер внутри домена Windows.
  • В домене Windows, в котором все версии Windows являются Windows XP или Windows Server 2003 или более поздних версий, отключите проверку подлинности NTLM. .
  • Если приложение использует распределенные транзакции, возможно, придется настроить брандмауэр так, чтобы разрешить передачу данных координатора распределенных транзакций Microsoft (MS DTC) между отдельными экземплярами MS DTC и между MS DTC и диспетчерами ресурсов, такими как SQL Server.

Изолирование служб

Изолирование служб уменьшает риск того, что подвергнувшаяся опасности служба подвергнет опасности другие службы. Чтобы изолировать службы, следуйте приведенным ниже правилам.

  • Если это возможно, не устанавливайте SQL Server на контроллере домена.
  • Запускайте разные службы SQL Server под разными учетными записями Windows.
  • В многоуровневых системах запускайте веб-логику и бизнес-логику на разных компьютерах.

Создание учетных записей служб с минимальными правами доступа

Установка сервера SQL Server автоматически настраивает учетные записи служб с определенными разрешениями, необходимыми для SQL Server. При изменении или настройке служб Windows, используемых сервером SQL Server 2005, следует предоставлять только те разрешения, которые необходимы. Дополнительные сведения см. в разделе Настройка учетных записей служб Windows.

Отключение протоколов NetBIOS и SMB

На внешних серверах сети должны быть отключены все ненужные протоколы, включая NetBIOS и SMB.

NetBIOS использует следующие порты:

  • UDP/137 (служба имен NetBIOS);
  • UDP/138 (служба дейтаграмм NetBIOS);
  • UDP/139 (служба сеанса NetBIOS).

SMB использует следующие порты:

  • TCP/139
  • TCP/445

Веб-серверы и DNS-серверы не требуют наличия NetBIOS или SMB. На этих серверах отключите оба протокола, чтобы избежать угрозы перечисления пользователей. Дополнительные сведения об отключении данных протоколов см. в разделах Как отключить протокол NetBIOS через TCP/IP или Как отключить протокол SMB.

После установки SQL Server

После установки можно усилить безопасность установки SQL Server, следуя приведенным ниже советам относительно учетных записей и режимов проверки подлинности.

Учетные записи службы

  • Запускайте службы SQL Server с минимально возможными правами доступа.
  • Свяжите службы SQL Server с учетными записями Windows.

Режим проверки подлинности

  • Требует проверку подлинности Windows для подключений к SQL Server.

Надежные пароли

  • Всегда назначайте надежный пароль учетной записи sa.
  • Всегда включайте проверку политики паролей.
  • Для любых имен входа SQL Server пользуйтесь только надежными паролями.

См. также

Другие ресурсы

Политика паролей

Справка и поддержка

Получение помощи по SQL Server 2005