SQL Server yüklemesi için güvenlikle ilgili dikkat edilmesi gerekenler

Şunlar için geçerlidir:Windows üzerinde SQL Server

Güvenlik her ürün ve her işletme için önemlidir. Basit en iyi yöntemleri izleyerek birçok güvenlik açığından kaçınabilirsiniz. Bu makalede hem SQL Server'ı yüklemeden önce hem de SQL Server'ı yükledikten sonra göz önünde bulundurmanız gereken bazı en iyi güvenlik yöntemleri açıklanır. Belirli özelliklere yönelik güvenlik kılavuzu, bu özelliklere yönelik başvuru makalelerinde yer alır.

SQL Server'i yüklemeden önce

Sunucu ortamını ayarlarken şu en iyi yöntemleri izleyin:

• Fiziksel güvenliği geliştirme
• Güvenlik duvarlarını kullanma
• Hizmetleri izole et
• Güvenli bir dosya sistemi yapılandırma
• NetBIOS ve sunucu ileti bloğunu devre dışı bırakma
• SQL Server'ı bir etki alanı denetleyicisine yükleme

Fiziksel güvenliği geliştirme

Fiziksel ve mantıksal yalıtım, SQL Server güvenliğinin temelini oluşturur. SQL Server yüklemesinin fiziksel güvenliğini geliştirmek için aşağıdaki görevleri gerçekleştirin:

• Sunucuyu yalnızca yetkili kişilerin erişebileceği bir odaya yerleştirin.

• Bir veritabanını barındıran bilgisayarları fiziksel olarak korunan bir konuma, ideal olarak izlenen taşkın algılama ve yangın algılama veya gizleme sistemlerine sahip kilitli bir bilgisayar odasına yerleştirin.

• Veritabanlarını kurumsal intranetin güvenli bölgesine yükleyin ve SQL Server örneklerinizi doğrudan İnternet'e bağlamayın.

• Tüm verileri düzenli olarak yedekleyin ve yedeklemelerin site dışında bir konumda güvenliğini sağlayın.

Güvenlik duvarlarını kullanma

Güvenlik duvarları SQL Server yüklemesinin güvenliğini sağlamaya yardımcı olmak için önemlidir. Güvenlik duvarları en çok şu yönergeleri izlerseniz etkilidir:

• Sunucu ile İnternet arasına bir güvenlik duvarı yerleştirin. Güvenlik duvarınızı etkinleştirin. Güvenlik duvarınız kapalıysa açın. Güvenlik duvarınız açıksa kapatmayın.

• Ağı güvenlik duvarlarıyla ayrılmış güvenlik bölgelerine bölün. Tüm trafiği engelleyin ve ardından yalnızca gerekli olanları seçmeli olarak kabul edin.

• Çok katmanlı bir ortamda, taranmış alt ağlar oluşturmak için birden çok güvenlik duvarı kullanın.

• Sunucuyu bir Windows etki alanına yüklerken, windows kimlik doğrulamasına izin vermek için iç güvenlik duvarlarını yapılandırın.

• Uygulamanız dağıtılmış işlemler kullanıyorsa, güvenlik duvarını Microsoft Dağıtılmış İşlem Düzenleyicisi (MS DTC) trafiğinin ayrı MS DTC örnekleri arasında akmasına izin verecek şekilde yapılandırmanız gerekebilir. Ayrıca güvenlik duvarını MS DTC ile SQL Server gibi kaynak yöneticileri arasında trafiğin akmasına izin verecek şekilde yapılandırmanız gerekir.

Varsayılan Windows Güvenlik Duvarı ayarları ve Veritabanı Altyapısı, Analysis Services, Raporlama Hizmetleri ve Tümleştirme Hizmetleri'ni etkileyen TCP bağlantı noktalarının açıklaması hakkında daha fazla bilgi için bkz. Windows Güvenlik Duvarı'nı SQL Server erişimine izin verecek şekilde yapılandırma.

Hizmetleri izole etme

Hizmetlerin yalıtılması, güvenliği aşılmış bir hizmetin başkalarının güvenliğini tehlikeye atmak için kullanılabilmesi riskini azaltır. Hizmetleri yalıtmak için aşağıdaki yönergeleri göz önünde bulundurun:

• Ayrı Windows hesapları altında ayrı SQL Server hizmetleri çalıştırın. Mümkün olduğunda, her SQL Server hizmeti için ayrı, düşük haklara sahip Windows veya Yerel kullanıcı hesapları kullanın. Daha fazla bilgi için bkz. Windows hizmet hesaplarını ve izinlerini yapılandırma.

Güvenli bir dosya sistemi yapılandırma

Doğru dosya sisteminin kullanılması güvenliği artırır. SQL Server yüklemeleri için aşağıdaki görevleri gerçekleştirmeniz gerekir:

NT dosya sistemini (NTFS) veya Dayanıklı Dosya Sistemi'ni (ReFS) kullanın. NTFS ve ReFS, FAT32 dosya sistemlerinden daha kararlı ve kurtarılabilir olduğundan SQL Server yüklemeleri için önerilen dosya sistemidir. NTFS veya ReFS, dosya ve dizin erişim denetim listeleri (ACL' ler) gibi güvenlik seçeneklerini de etkinleştirir. NTFS, Şifreleme Dosya Sistemi (EFS) - dosya şifrelemesini de destekler. Yükleme sırasında, SQL Server NTFS algılarsa kayıt defteri anahtarları ve dosyalarında uygun ACL'leri ayarlar. Bu izinler değiştirilmemelidir. SQL Server'ın gelecekteki sürümleri FAT dosya sistemlerine sahip bilgisayarlara yüklemeyi desteklemeyebilir.

Uyarı

EFS kullanıyorsanız, veritabanı dosyaları SQL Server çalıştıran hesabın kimliği altında şifrelenir. Dosyaların şifresini yalnızca bu hesap çözebilir. SQL Server çalıştıran hesabı değiştirmeniz gerekiyorsa, önce eski hesabın altındaki dosyaların şifresini çözmeniz ve sonra bunları yeni hizmet hesabı altında yeniden şifrelemeniz gerekir.

Uyarı

EFS aracılığıyla dosya şifrelemesi kullanılması, şifreleme nedeniyle eşzamansız G/Ç'nin eşzamanlı hale gelmesiyle G/Ç performansının yavaşlamasına neden olabilir. Bkz. Asenkron disk G/Ç, Windows'da senkron olarak görünür. Bunun yerine Saydam veri şifrelemesi (TDE), Always Encrypted ve sütun düzeyinde şifreleme Şifreleme işlevleri gibi SQL Server şifreleme teknolojilerini kullanmayı düşünebilirsiniz.

NetBIOS ve Sunucu İleti Bloğunu Devre Dışı Bırakma

Çevre ağındaki sunucularda NetBIOS ve sunucu ileti bloğu (SMB) dahil olmak üzere tüm gereksiz protokoller devre dışı bırakılmalıdır.

NetBIOS aşağıdaki bağlantı noktalarını kullanır:

• UDP/137 (NetBIOS ad hizmeti)
• UDP/138 (NetBIOS datagram hizmeti)
• TCP/139 (NetBIOS oturum hizmeti)

SMB aşağıdaki bağlantı noktalarını kullanır:

• TCP/139
• TCP/445

Web sunucuları ve Etki Alanı Adı Sistemi (DNS) sunucuları NetBIOS veya SMB gerektirmez. Bu sunucularda, kullanıcı tanımlaması tehdidini azaltmak için her iki protokolü de devre dışı bırakın.

SQL Server'ı bir etki alanı denetleyicisine yükleme

Güvenlik nedeniyle SQL Server'ı bir etki alanı denetleyicisine yüklememenizi öneririz. SQL Server Kurulumu, etki alanı denetleyicisi olan bir bilgisayara yüklemeyi engellemez, ancak aşağıdaki sınırlamalar geçerlidir:

• SQL Server hizmetlerini yerel hizmet hesabı altındaki bir etki alanı denetleyicisinde çalıştıramazsınız.

• SQL Server bir bilgisayara yüklendikten sonra, bilgisayarı bir etki alanı üyesinden etki alanı denetleyicisine değiştiremezsiniz. Konak bilgisayarı bir etki alanı denetleyicisi olarak değiştirmeden önce SQL Server'ı kaldırmanız gerekir.

• SQL Server bir bilgisayara yüklendikten sonra, bilgisayarı bir etki alanı denetleyicisinden etki alanı üyesine değiştiremezsiniz. Ana bilgisayarı bir etki alanı üyesi olarak değiştirmeden önce SQL Server'ı kaldırmanız gerekir.

• Sql Server yük devretme kümesi örnekleri, küme düğümlerinin etki alanı denetleyicileri olduğu durumlarda desteklenmez.

• SQL Server Kurulumu, salt okunur bir etki alanı denetleyicisinde güvenlik grupları oluşturamaz veya SQL Server hizmet hesapları sağlayamaz. Bu senaryoda Kurulum başarısız olur.

Başarılı yükleme için gerekli kullanıcı haklarının atandığından emin olun

Kurulum, SQL Server'ın yüklendiği hesaba aşağıdaki kullanıcı haklarının verilmesini gerektirir:

• Dosyaları ve dizinleri yedekleme
• Programlarda hata ayıklama
• Denetim ve güvenlik günlüğünü yönetme

Bu kullanıcı ayrıcalıkları genellikle varsayılan olarak yerel yönetici grubuna (BUILTIN\Administrators ) verilir. Çoğu durumda, bunları atamak için herhangi bir eylem gerekmez. Ancak, bir güvenlik ilkesi bu ayrıcalıkları iptal ederse, bunların doğru atandığından emin olmanız gerekir veya SQL Server Kurulumu aşağıdaki hatayla başarısız olur:

The account that is running SQL Server Setup doesn't have one or all of the following rights: the right to back up files and directories, the right to manage auditing and the security log and the right to debug programs. To continue, use an account with both of these rights.

SQL Server yüklemesi sırasında veya sonrasında

Yüklemeden sonra, hesaplar ve kimlik doğrulama modlarıyla ilgili şu en iyi yöntemleri izleyerek SQL Server yüklemesinin güvenliğini geliştirebilirsiniz:

Hizmet hesapları

• Mümkün olan en düşük izinleri kullanarak SQL Server hizmetlerini çalıştırın.

• SQL Server hizmetlerini düşük ayrıcalıklı Windows yerel kullanıcı hesaplarıyla veya etki alanı kullanıcı hesaplarıyla ilişkilendirin.

• Daha fazla bilgi için bkz. Windows hizmet hesaplarını ve izinlerini yapılandırma.

Kimlik doğrulama modu

• SQL Server bağlantıları için Windows Kimlik Doğrulaması iste.

• Kerberos kimlik doğrulamayı kullanın. Daha fazla bilgi için bkz . Kerberos bağlantıları için Hizmet Asıl Adı Kaydetme.

Güçlü parolalar

• Sa hesabına her zaman güçlü bir parola atayın.
• Parola gücü ve süre sonu için parola ilkesi denetimini her zaman etkinleştirin.
• Tüm SQL Server oturum açma işlemleri için her zaman güçlü parolalar kullanın.

Önemli

SQL Server Express kurulumu sırasında BUILTIN\Users grubuna bir oturum açma bilgisi eklenir. Bu, bilgisayarın kimliği doğrulanmış tüm kullanıcılarının SQL Server Express örneğine ortak rolün bir üyesi olarak erişmesine olanak tanır. Veritabanı Motoru erişimini, bireysel girişleri olan veya girişleri olan diğer Windows gruplarına üye olan bilgisayar kullanıcılarına kısıtlamak için BUILTIN\Users giriş güvenli bir biçimde kaldırılabilir.

İlgili içerik

• SQL Server 2022 için donanım ve yazılım gereksinimleri
• Ağ Protokolleri ve Ağ Kitaplıkları
• Kerberos bağlantıları için Hizmet Asıl Adı kaydetme