Поделиться через


Обеспечение безопасности SQL Server

Область применения: SQL Server

Защита SQL Server может рассматриваться как ряд шагов, включающих четыре области: платформу, проверку подлинности, объекты (включая данные) и приложения, которые обращаются к системе. В этой статье описывается создание и реализация эффективного плана безопасности.

Дополнительные сведения о безопасности SQL Server см. в рекомендациях по обеспечению безопасности SQL Server. Они включают руководство с рекомендациями и контрольный список безопасности. Не забудьте установить последний пакет обновления или накопительное обновление.

Безопасность платформы и сети

Платформа SQL Server включает физические аппаратные и сетевые системы, подключающие клиентов к серверам базы данных, а также двоичные файлы, используемые для обработки запросов к базе данных.

Физическая безопасность

Рекомендуется строго ограничивать доступ к физическим серверам и компонентам оборудования. Например, оборудование сервера базы данных и сетевые устройства должны находиться в закрытых охраняемых помещениях. Кроме того, ограничьте доступ к резервному копированию носителей, сохраняя его в безопасном расположении вне сайта.

Реализация физической сетевой безопасности начинается с запрета доступа неавторизованных пользователей к сети. Дополнительные сведения см . в рекомендациях по обеспечению безопасности SQL Server — угрозы инфраструктуры.

Безопасность операционной системы

В состав пакетов обновления и отдельных обновлений для операционной системы входят важные дополнения, позволяющие усилить безопасность. Все обновления для операционной системы необходимо устанавливать только после их тестирования с приложениями базы данных.

Кроме того, эффективную безопасность можно реализовать с помощью брандмауэров. Брандмауэр, распределяющий или ограничивающий сетевой трафик, можно настроить в соответствии с корпоративной политикой информационной безопасности. Если вы используете брандмауэр, вы повышаете безопасность на уровне операционной системы, предоставляя задушевную точку, в которой можно сосредоточить меры безопасности. В следующей таблице содержатся дополнительные сведения об использовании брандмауэра с SQL Server.

Сведения Смотрите
Настройка брандмауэра для работы с SQL Server Настройка брандмауэра Windows для доступа к компоненту Database Engine
Настройка брандмауэра для работы со службами Integration Services Службы Integration Services (службы SSIS)
Настройка брандмауэра для работы с службами Analysis Services Настройка брандмауэра Windows на разрешение доступа к службам Analysis Services
Открытие определенных портов в брандмауэре для включения доступа к SQL Server Настройка брандмауэра Windows для разрешения доступа к SQL Server
Настройка поддержки расширенной защиты для проверки подлинности с помощью привязки каналов и привязки служб Соединение с компонентом Database Engine с использованием расширенной защиты

Уменьшение контактной зоны является мерой безопасности, предполагающей остановку или отключение неиспользуемых компонентов. Уменьшение контактной зоны повышает уровень безопасности за счет уменьшения числа возможных способов атаковать систему. Ключ к ограничению области поверхности SQL Server включает выполнение обязательных служб, имеющих "наименьшие привилегии", предоставляя службы и пользователям только соответствующие права. Следующая таблица содержит дополнительные сведения по службам и доступу к системе.

Сведения Смотрите
Службы, необходимые для SQL Server Настройка учетных записей службы Windows и разрешений

Если в системе SQL Server используется службы IIS (IIS), необходимо выполнить дополнительные действия, чтобы защитить поверхность платформы. В следующей таблице содержатся сведения о SQL Server и службы IIS.

Сведения Смотрите
Безопасность IIS с помощью SQL Server Compact Защита SQL Server — безопасность операционной системы
Проверка подлинности служб Reporting Services Проверка подлинности в службах Reporting Services
Доступ к SQL Server Compact и IIS Блок-схема безопасности службы IIS

Безопасность файлов операционной системы SQL Server

SQL Server использует файлы операционной системы для операций и хранилища данных. Рекомендации по обеспечению безопасности файлов требуют ограничения доступа к этим файлам. Следующая таблица содержит сведения об этих файлах.

Сведения Смотрите
Файлы программы SQL Server Расположение файлов для экземпляра по умолчанию и именованных экземпляров SQL Server

Пакеты обновления и обновления SQL Server обеспечивают повышенную безопасность. Чтобы определить последний доступный пакет обновления для SQL Server, см . веб-сайт SQL Server .

С помощью приведенного ниже скрипта можно определить установленный в системе пакет обновления.

SELECT CONVERT(char(20), SERVERPROPERTY('productlevel'));  

Субъекты и безопасность объектов базы данных

Субъекты — это лица, группы и процессы, которым предоставлен доступ к SQL Server. Защищаемые объекты — это сервер, база данных и объекты, которые содержит база данных. Каждый из них имеет набор разрешений, которые можно настроить для уменьшения области поверхности SQL Server. Следующая таблица содержит сведения об участниках и защищаемых объектах.

Сведения Смотрите
Пользователи, роли и процессы сервера и базы данных Субъекты (ядро СУБД)
Безопасность объектов сервера и базы данных Защищаемые объекты
Иерархия безопасности SQL Server Иерархия разрешений (ядро СУБД)

Шифрование и сертификаты

Шифрование не решает проблемы управления доступом. Однако оно повышает безопасность, ограничивая потерю данных даже в тех редких случаях, когда средства управления доступом удается обойти. Например, если главный компьютер, на котором установлена база данных, был настроен неправильно, и злонамеренный пользователь смог получить конфиденциальные данные (например, номера кредитных карточек), то украденная информация будет бесполезна, если она была предварительно зашифрована. В следующей таблице содержатся дополнительные сведения о шифровании в SQL Server.

Сведения Смотрите
Иерархия шифрования в SQL Server Иерархия средств шифрования
Реализация безопасных соединений Включение шифрования соединений в ядре СУБД (диспетчер конфигурации SQL Server)
Функции шифрования Криптографические функции (Transact-SQL)

Сертификаты — это совместно используемые на двух серверах программные «ключи», которые позволяют обеспечить безопасную передачу данных с помощью надежной проверки подлинности. Вы можете создавать и использовать сертификаты в SQL Server для повышения безопасности объектов и подключений. В следующей таблице содержатся сведения об использовании сертификатов с SQL Server.

Сведения Смотрите
Создание сертификата для использования SQL Server CREATE CERTIFICATE (Transact-SQL)
Использование сертификатов при зеркальном отображении базы данных Использование сертификатов для конечной точки зеркального отображения базы данных (Transact-SQL)

Безопасность приложений

Клиентские программы

Рекомендации по безопасности SQL Server включают написание защищенных клиентских приложений. Дополнительные сведения об обеспечении безопасности клиентских приложений на сетевом уровне см. в разделе Client Network Configuration.

Управление приложениями в Защитнике Windows (WDAC)

Управление приложениями в Защитнике Windows (WDAC) предотвращает попытки несанкционированного выполнения кода. WDAC является эффективным способом устранения угрозы со стороны вредоносных программ с исполняемыми файлами. Дополнительные сведения см. в подразделе документации Управление приложениями в Защитнике Windows.

Средства безопасности SQL Server, служебные программы, представления и функции

SQL Server предоставляет средства, служебные программы, представления и функции, которые можно использовать для настройки и администрирования безопасности.

Средства безопасности и служебные программы SQL Server

В следующей таблице содержатся сведения о средствах и служебных программах SQL Server, которые можно использовать для настройки и администрирования безопасности.

Сведения Смотрите
Подключение, настройка и управление SQL Server Использование среды SQL Server Management Studio
Подключение к SQL Server и выполнение запросов в командной строке Программа sqlcmd
Конфигурация сети и управление для SQL Server Диспетчер конфигурации SQL Server
Включение и отключение компонентов с помощью средства управления на основе политики Администрирование серверов с помощью управления на основе политик
Управление симметричными ключами для сервера отчетов Служебная программа rskeymgmt (SSRS)

Представления и функции каталога безопасности SQL Server

Ядро СУБД предоставляет сведения о безопасности в нескольких представлениях и функциях, оптимизированных для производительности и служебной программы. Следующая таблица содержит сведения о представлениях и функциях безопасности.

Сведения Смотрите
Представления каталога безопасности SQL Server, возвращающие сведения о разрешениях уровня базы данных и уровня сервера, субъектах, ролях и т. д. Кроме того, существуют представления каталога, содержащие сведения о ключах шифрования, сертификатах и учетных данных. Представления каталога безопасности (Transact-SQL)
Функции безопасности SQL Server, возвращающие сведения о текущем пользователе, разрешениях и схемах. Функция безопасности (Transact-SQL)
Динамические административные представления SQL Server. Динамические административные представления и функции, связанные с безопасностью (Transact-SQL)