SQL Server yükleme için güvenlik konuları
Güvenlik, her ürün ve her iş için önemlidir.Aşağıdaki basit en iyi uygulamalar tarafından çok sayıda güvenlik önleyebilirsiniz.Bu konuda, bazı güvenlik en iyi uygulamaları, düşündüğünüz her ikisi de önce yüklediğiniz anlatılmaktadırSQL Serverve yüklendikten sonraSQL Server.Belirli özellikler için Güvenlik Kılavuzu, başvuru konuları için bu özellikleri bulunmaktadır.
SQL Server'ı yüklemeden önce
Bu en iyi yöntemler, izleme, küme sunucu ortamında ayarlayın:
Fiziksel güvenliğini
Güvenlik duvarı kullanın.
Yalıtım Hizmetleri
Güvenli dosya sistemi yapılandırma
NetBIOS ve sunucu ileti blok devre dışı bırakma
Fiziksel güvenlik geliştirme
Temel fiziksel ve mantıksal bir ayırma oluştururSQL ServerGüvenlik.Fiziksel güvenliğini artırmak içinSQL Serveryükleme, aşağıdaki görevleri yapın:
Sunucu, yalnızca yetkili kişilerin erişebileceği bir odada yerleştirin.
İdeal bir bilgisayar kilitli oda izlenen sel algılama ve yangın algılama veya bastırma sistemleri ile fiziksel olarak korunan bir yerde bir veritabanını barındıran bilgisayar yerleştirin.
Şirket intranetine güvenli bölgede veritabanları yüklemek ve SQL Server, doğrudan Internet'e bağlanır.
Tüm verileri düzenli olarak yedeklemeniz ve güvenli site dışında bir konumda yedekler.
Güvenlik duvarları kullanma
Güvenlik duvarları güvenli hale getirmek önemliSQL Serveryükleme.Güvenlik Duvarı, aşağıdaki yönergeleri izleyin, en etkili olacaktır:
Güvenlik Duvarı sunucusu ile Internet arasında yerleştirin.Güvenlik duvarını etkinleştirin.Güvenlik duvarı kapalıysa, etkinleştirin.Güvenlik Duvarı açıksa, kapatın değil.
Ağ güvenlik duvarları tarafından ayrılmış olan güvenlik bölgeleri böler.Tüm trafiği engellemek ve daha sonra seçerek yalnızca gerekli nedir admit.
Multi-tier bir ortamda, birden çok güvenlik duvarı perdeli alt ağ oluşturmak için kullanın.
Sunucu Windows etki alanı içinde yüklerken, Windows kimlik doğrulaması sağlamak için iç güvenlik duvarlarını yapılandırın.
Uygulamanız Dağıtılmış hareketler kullanır, varsa izin vermek için güvenlik duvarını yapılandırmak içinMicrosoftDağıtılmış İşlem Eşgüdümcüsü (MS DTC) trafik akışı arasındaki ayrı MS DTC örnekleri.Da olması gibi akan MS DTC ve kaynak yöneticileri arasında trafiğe izin vermek için güvenlik duvarını yapılandırmak içinSQL Server.
Etkileyen noktaları Windows Güvenlik Duvarı varsayılan ayarlarını ve Açıklama TCP hakkında daha fazla bilgi içinDatabase Engine,Analysis Services,Reporting Services, veIntegration ServicesBkz:SQL Server erişimi için izin vermek için Windows Güvenlik Duvarı'nı yapılandırma.
Hizmetleri belirtin.
Ayırma Hizmetleri, bu bir güvenliği aşılan bir hizmet diğer yararlanmak amacıyla kullanılacak riskini azaltır.Hizmetleri gidermek için aşağıdaki yönergeleri dikkate alın:
- Farklı ÇalıştırSQL ServerHizmetleri altında ayrı Windows hesapları.Mümkün olduğunda ayrı kullanımı, düşük haklar Windows veya yerel kullanıcı hesapları herSQL Serverhizmet.Daha fazla bilgi için bkz:Windows hizmet hesapları ayarlama.
Güvenli dosya sistemi yapılandırma
Doğru dosya sistemi kullanarak güvenliği artırır.İçinSQL Serveryüklemeler, aşağıdaki görevleri gerçekleştirmelisiniz:
NTFS dosya sistemi (NTFS) kullanın.Yükleme için tercih edilen dosya sistemi NTFS'dirSQL Serverolduğu, daha kararlı ve kurtarılabilir FAT dosya sistemleri.NTFS, dosya ve Dizin erişim denetim listelerini (ACL) ve şifreleme dosya sistemi (EFS) dosya şifreleme gibi güvenlik seçeneklerini de sağlar.Yükleme sırasındaSQL Serverkayıt defteri anahtarlarını ve dosyaları, algıladığı uygun ACL'leri ayarlamak NTFS.Bu izinler değiştirilmemelidir.Gelecek sürümleriSQL ServerFAT dosya sistemlerini. bilgisayara yüklenmesini desteklemiyor
Not
EFS, kullandığınız veritabanı dosyalarını şifrelenmiş çalışan hesap kimliği altındaSQL Server.Bu hesap yalnızca dosyaların şifresini çözmek mümkün olacaktır.Çalışan hesap değiştirmeniz gerektiğiniSQL Serverilk eski hesapla dosyaların şifresini ve daha sonra re-encrypt bunları altında yeni hesap.
Bir (RAID) bağımsız diskler yedek dizisi kritik veri dosyalarını kullanın.
NetBIOS ve Sunucu İleti blok'devre dışı bırakma
Çevre ağındaki sunucuları, NetBIOS ve sunucu ileti blok (SMB) de dahil olmak üzere devre dışı bırakılmış, tüm gereksiz protokolleri olması gerekir.
NetBIOS aşağıdaki bağlantı noktalarını kullanır:
UDP/137 (NetBIOS ad hizmet)
UDP/138 (NetBIOS veri birimi hizmet)
TCP/139 (NetBIOS oturum hizmet)
SMB aşağıdaki bağlantı noktalarını kullanır:
TCP/139
TCP/445
Web sunucusu ve etki alanı adı sistemi (DNS) sunucusu, NetBIOS veya SMB gerektirmez.Bu sunucular kullanıcı numaralandırma, tehdit azaltmak için her iki iletişim kurallarını devre dışı bırakın.
SQL Server yüklendikten sonra
Yükleme işleminden sonra güvenliğini artırmakSQL ServerBu hesapları ve kimlik doğrulaması modu ile ilgili en iyi yöntemleri izleyerek yükleme:
Hizmet hesapları
ÇalıştırmaSQL ServerHizmetleri kullanarak en düşük olası izinleri.
İlişkilendirmeSQL ServerHizmetleri ile düşük ayrıcalıklı Windows yerel kullanıcı hesapları, veya etki alanı kullanıcı hesapları.
Daha fazla bilgi için bkz:Windows hizmet hesapları ayarlama.
kimlik doğrulaması modu
- Bağlantı için Windows kimlik doğrulaması gerekliSQL Server.
Güçlü parolalar
Her zaman güçlü bir parola atamanızsahesap.
Her zaman parola ilkesinin parola gücü ve kullanım süresi sonu denetimi etkinleştirin.
Her zaman tüm güçlü parolalar kullanın.SQL Serveroturum açma.Daha fazla bilgi için bkz:SQL Server 2008 güvenliğine genel bakış için Veritabanı yöneticileri teknik incelemesi.