Denetim listesi: Veritabanı Altyapısı Güvenlik Yapılandırması

Anahtar güvenlik yapılandırma seçenekleri için bu denetim listesini gözden geçirme SQL Server Veritabanı Altyapısı.Düzenli olarak denetlemek için bu denetim listesini kullanın, Veritabanı Altyapısı ortamı.Bunlar önerilen ayarları güvenlik ve İşletme gereksinimlerinize göre ayarlanması.

Fiziksel güvenlik

...	Açıklama
	Barındıran bilgisayarı olan Veritabanı Altyapısı bir sınırlı erişim ile güvenli veri merkezi bulunan? TIP daha fazla bilgi için bkz: örnek güvenlik planı: Adventure Works.
	Yedekleri güvenli bir konumda depolanır? TIP daha fazla bilgi için bkz: Yedekleme ve geri yükleme için güvenlik konuları.
	Erişim Veritabanı Altyapısı (.mdf, .ndf, .ldf dosyalarını) dosyaları dosya sistemi izinleri sınırlı? TIP veritabanı dosyalarına erişim elde kötü amaçlı kullanıcıların, diğer örnekleri için bunları iliştirebilirsiniz Veritabanı Altyapısı.Daha fazla bilgi için Veri ve günlük dosyalarının güvenliğini sağlama.
	Erişim Veritabanı Altyapısı ikili dosya (sqlservr.exe de binn klasörü) dosya sistemi izinleri ile sınırlı? İpucu: Erişebilen kötü amaçlı kullanıcılar SQL Server ikili dosyaları neden olabilir hasar ve reddi hizmet.
	Dosyaları dosya sistemi izinleri ile sınırlı denetlenecek erişim mi? TIP yüksek güvenlik ortamında, Windows Güvenlik günlüğüne yazma o kayıt nesne erişimi olayları için uygun konumdur.Diğer denetim konumlar desteklenir, ancak daha fazla müdahale tabi.Daha fazla bilgi için bkz: Nasıl yapılır: Sunucu denetim olayları güvenlik günlüğüne yazma.
	Yedekleri güvenli bir konumda depolanan ortak ve özel şifreleme anahtarlarının misiniz? TIP çıkarılabilir bir medyaya (cd, flash sürücü) şifreleme anahtarlarının yedeklenmesi, anahtar yedeklemelerini kontrollü erişim ile güvenli gibi güvenli bir yerde saklanmalıdır.Bu bilgisayar başka bir sabit diske yedeklenmiş, yeterince korunmalıdır.
	Genişletilebilir Anahtar Yönetimi (ekm) kullanıyorsanız, donanım güvenlik modülleri (HSM'ler) yeterince korunmuş olur? TIP için öneriler hsm satıcınıza başvurun.

İşletim sistemi yapılandırma

...	Açıklama
	İş SQL Server bilgisayar yalnızca istisnalar gerekli güvenlik duvarı tarafından korunan? TIP Use wf.msc (veya firewall.cpl) Windows Güvenlik Duvarı'nı yapılandırmak için.Daha fazla bilgi için bkz: Windows Güvenlik Duvarı'nı SQL Server Erişimine İzin Vermek için Yapılandırma.
	Sunucu ve istemci işletim sistemleri, kimlik doğrulaması için genişletilmiş koruma kullanmak üzere yapılandırılmış? TIP daha fazla bilgi için Veritabanı Altyapısı genişletilmiş koruma kullanarak bağlanma ve Kimlik doğrulaması için genişletilmiş koruma.
	İşletim sistemine uygun olduğunda otomatik güncelleştirmelere izin verecek şekilde yapılandırılmış mı? TIP normal Üretim ortamlarının gerektirdiği güncelleştirmeleri uygulamadan önce sınama.Güncelleştirmelerin sınanmış ve düzenli olarak uygulanır.Güncelleştirmeleri otomatik olarak yüklemek, sınama değil yapılıyorsa, en iyi seçim olabilir.

Veritabanı örneği yapılandırmaları

...	Açıklama
	İş Veritabanı Altyapısı İş için gerekli en az ayrıcalıklara sahip bir hesap altında çalıştırmak için yapılandırılmış gerekir? TIP daha fazla bilgi için bkz: Windows Hizmeti Hesaplarını Ayarlama.
	İş SQL Server kimlik doğrulaması gerekli iş gereksinimine göre sürece etkin? Tip See Kimlik Doğrulaması Modu Seçme.
	SQL Server Kimlik doğrulaması etkinleştirilmişse, sa hesabını devre dışı? TIP sa tanınmış ve sık sık hedef, kötü amaçlı bir kullanıcı hesabıdır.Hesabı kullanarak devre dışı alter LOGIN deyim.Windows kimlik doğrulaması oturum açma sysadmin sabit sunucu rolü üyeliği kısıtlayın.
	SQL Server Kimlik doğrulaması etkinleştirilmişse, sa hesabını önceden yeniden adlandırılmış olan? TIP sa hesabı iyi bilinen ve sık sık bir hedef , kötü niyetli kullanıcılar.Kullanarak hesabın yeniden adlandırılması alter LOGIN deyim hesabın korunmasına yardımcı olabilir.
	Güçlü bir parola sa hesabı var mı? TIP sa hesabı parolasını sırasında belirtilen SQL Server Kur.Ancak, bunu kullanarak değiştirilebilir alter LOGIN deyim.
	SQL Server Kimlik doğrulaması etkinse, mu SQL Server güçlü parola iste? Tip SQL Server logins inherit the password policy of the computer unless specifically exempted.Daha fazla bilgi için bkz: CHECK_POLICY seçeneği create LOGIN'i ve alter LOGIN.
	Gereksiz mi SQL Server devre dışı özellikler? TIP yüzey alanı yapılandırması model ilke tabanlı yönetimi kullanabilirsiniz.Daha fazla bilgi için bkz: Surface Area Configuration'ı Anlama.
	İş xp_cmdshell kesinlikle gerekli olmadıkça devre dışı? TIP daha fazla bilgi için bkz: xp_cmdshell (Transact-sql).
	Birden çok veritabanı tek bir birim olarak dağıtılmış veritabanları arası sahiplik zincirleme off için küme? TIP daha fazla bilgi için bkz: Seçenek zincirleme çapraz db sahipliği.
	Karşı en iyi yöntemler Çözümleyicisi (bpa) düzenli olarak çalışacak yapmak SQL Server? TIP Use Microsoft sql Server 2008 R2'in en iyi yöntemler Çözümleyicisi veya sql Server 2005 en iyi yöntemler Çözümleyicisi (Ağustos 2008).
	Mu Veritabanı Altyapısı uygulanan en son hizmet paketi yüklü? TIP normal Üretim ortamlarının gerektirdiği hizmet paketi uygulamadan önce sınama.Sınama gerçekleştirildiği değil, hizmet paketlerini otomatik olarak yükleyerek en iyi seçim olabilir.
	Bu örnek onayladıktan veritabanları (gibi AdventureWorks2008R2) üretim veritabanları üzerinde yüklü? TIP Use SQL Server Management Studio denetlemek için örnek veritabanları.

Ayrıca bkz.

Kavramlar

Denetim listesi: Veritabanı Altyapısı bağlantıların güvenliğini artırma

Denetim listesi: Veri erişimi sınırlandırma

Denetim listesi: Önemli verileri şifreleme

Last updated on 2011-07-26