Bir SQL Server Yüklemesi için Güvenlikle İlgili Hususlar
Güvenlik, her ürün ve her işletme için önem taşır. Basit en iyi uygulamaları izleyerek güvenlik açısından pek çok zayıflıktan kurtulabilirsiniz. Bu konuda, hem SQL Server'ı yüklemeden önce hem de SQL Server'ı yükledikten sonra göz önünde bulundurmanız gereken bazı güvenlik en iyi uygulamaları açıklanmaktadır. Bazı özellikler için başvuru konularında bu özelliklere ilişkin güvenlik önerileri yer almaktadır.
SQL Server'ı Yüklemeden Önce
Sunucu ortamını ayarlarken aşağıdaki en iyi uygulamalara uyun:
Fiziksel güvenliği arttırın
Güvenlik duvarları kullanın
Hizmetleri yalıtın
Güvenli bir dosya sistemi yapılandırın
NetBIOS ve sunucu ileti bloğunu devre dışı bırakın
Fiziksel Güvenliği Arttırın
Fiziksel ve mantıksal yalıtım, SQL Server güvenliğinin temelini oluşturur. SQL Server yüklemesinin fiziksel güvenliğini arttırmak için aşağıdakileri yapın:
Sunucuyu sadece yetkili kişilerin erişebileceği bir odaya koyun.
Bir veritabanını barındıran bilgisayarları fiziksel olarak korunan bir konuma, ideal durumlarda izlenen su baskını alarmı, yangı alarmı veya önleme sistemleri bulunan kilitli bir bilgisayar odasına yerleştirin.
Veritabanlarını şirket intranetinin güvenli bölgesine yerleştirin ve SQL Server'larınızı doğrudan internete bağlamayın.
Tüm verileri düzenli olarak yedekleyin ve yedekleri işyeri dışında bir konumda saklayın.
Güvenlik Duvarları Kullanın
Güvenlik duvarları SQL Server yüklemesinin güvende tutulmasına yardımcı olmak için önemlidir. Aşağıdaki ilkelere uyarsanız güvenlik duvarları çok etkili olur:
Sunucu ile internet arasına bir güvenlik duvarı yerleştirin. Güvenlik duvarınızı etkinleştirin. Güvenlik duvarınız kapalıysa açın. Güvenlik duvarınız açıksa kapatmayın.
Ağı güvenlik duvarlarıyla birbirinden ayrılan güvenlik alanlarına bölün. Tüm trafiği engelleyin ve sonra sadece gerekli olanlara seçerek izin verin.
Çok katmanlı bir ortamda, denetimli alt ağlar oluşturmak için birden fazla güvenlik duvarı kullanın.
Sunucuyu bir Windows etki alanı içine kurarken, iç güvenlik duvarlarını Windows Kimlik Doğrulama'ya izin verecek şekilde yapılandırın.
Uygulamanız dağıtılmış işlemler kullanıyorsa, güvenlik duvarını, Microsoft Dağıtılmış İşlem Düzenleyicisi (MS DTC) trafiğinin ayrı MS DTC örnekleri arasında akabileceği şekilde yapılandırmanız gerekebilir. Ayrıca güvenlik duvarını, MS DTC ile SQL Server gibi kaynak yöneticileri arasında trafiğin akmasını sağlayacak şekilde yapılandırmanız da gerekecektir.
Varsayılan Windows güvenlik duvarı ayarlarıyla ilgili daha fazla bilgi ve Veritabanı Altyapısı, Analysis Services, Reporting Services ve Integration Services'ı etkileyen TCP portlarının tanımı için bkz. Windows Güvenlik Duvarı'nı SQL Server Erişimine İzin Vermek Üzere Yapılandırın.
Hizmetleri Yalıtın
Hizmetlerin yalıtılmış, tehlikeye giren bir hizmetin diğerlerini tehlikeye atma riskini azaltır. Hizmetleri yalıtmak için aşağıdakileri ilkeleri göz önünde bulundurun:
- Ayrı Windows hesapları altında ayrı SQL Server hizmetleri çalıştırın. Mümkün olduğu durumlarda, her SQL Server hizmeti için düşük haklara sahip ayrı Windows veya Yerel kullanıcı hesapları kullanın. Daha fazla bilgi için bkz. Windows Hizmet Hesapları ve İzinlerini Yapılandırma.
Güvenli Bir Dosya Sistemi Yapılandırın
Doğru dosya sistemini kullanmak güvenliği arttırır. SQL Server yüklemeleri için aşağıdakileri yapmalısınız:
NTFS dosya sistemi (NTFS) kullanın. NTFS, FAT dosya sistemlerine göre daha istikrarlı ve kurtarılabilir olduğundan, SQL Server yüklemeleri için tercih edilen dosya sistemidir. NTFS ayrıca dosya ve dizin erişimi denetim listeleri (ACL'ler) ve Şifreleme Dosya Sistemi (EFS) dosya şifrelemesi gibi güvenlik seçenekleri sağlar. Yükleme sırasında, SQL Server, NTFS'yi algılarsa, kayıt defteri anahtarları ve dosyalarında uygun ACL'leri ayarlar. Bu izinler değiştirilmemelidir. SQL Server'ın gelecekteki sürümleri, FAT dosya sistemleri bulunan bilgisayarlara yüklemeyi desteklemeyebilir.
[!NOT]
EFS kullanıyorsanız, veritabanı dosyaları, SQL Server'ı çalıştıran hesabın kimliği altında şifrelenecektir. Dosyaların şifresini sadece bu hesap çözebilecektir. SQL Server'ı hesabı değiştirmeniz gerekirse, önce dosyaların şifresini eski hesapla çözmeli ve sonra bunları yeni hesabı kullanarak yeniden şifrelemelisiniz.
Önemli veri dosyaları için yedekli bağımsız diskler dizisi (RAID) kullanın.
NetBIOS ve Sunucu İleti Bloğunu Devre Dışı Bırakın
Çevre ağındaki sunucuların, NetBIOS ve sunucu ileti bloğu (SMB) da dahil, tüm gereksiz protokolleri devre dışı bırakılmalıdır.
NetBIOS aşağıdaki bağlantı noktalarını kullanır:
UDP/137 (NetBIOS ad hizmeti)
UDP/138 (NetBIOS veri birimi hizmeti)
TCP/139 (NetBIOS oturum hizmeti)
SMB aşağıdaki bağlantı noktalarını kullanır:
TCP/139
TCP/445
Web sunucuları ve Etki Alanı Adı Sistemi (DNS) sunucuları, NetBIOS veya SMB gerektirmez. Bu sunucularda, kullanıcı numaralandırması tehdidini azaltmak için her iki protokolü de devre dışı bırakın.
Bir Etki Alanı Denetleyicisi'nde SQL Server'ı Yükleme
Güvenlikle ilgili nedenlerden dolayı, SQL Server 2012'ı bir etki alanı denetleyicisine yüklememenizi öneriyoruz. SQL Server Kurulumu, etki alanı denetleyicisi olan bir bilgisayara yüklemeyi engellemez, fakat aşağıdaki sınırlamalar geçerlidir:
Bir etki alanı denetleyicisinde SQL Server hizmetlerini yerel bir hizmet hesabı altında çalıştıramazsınız.
SQL Server bir bilgisayara yüklendikten sonra, bu bilgisayarı etki alanı üyesinden etki alanı denetleyicisine çeviremezsiniz. Ana bilgisayarı etki alanı denetleyicisine çevirmeden önce SQL Server'ı kaldırmanız gerekir.
SQL Server bir bilgisayara yüklendikten sonra, bu bilgisayarı etki alanı denetleyicisinden etki alanı üyesine çeviremezsiniz. Ana bilgisayarı etki alanı üyesine çevirmeden önce SQL Server'ı kaldırmanız gerekir.
Küme düğümlerinin etki alanı denetleyicileri olduğu durumlarda SQL Server yük devretme kümesi örnekleri desteklenmez.
SQL Server Kurulumu, salt okunur bir etki alanı denetleyicisi üzerinde güvenlik grupları oluşturamaz ya da SQL Server hizmet hesapları hazırlayamaz. Bu senaryoda Kurulum başarısız olacaktır.
SQL Server'ın Yüklemesi Sırasından veya Yüklenmesinden Sonra
Yüklemeden sonra, hesaplar ve kimlik doğrulama modlarıyla ilgili aşağıdaki en iyi uygulamalara uyarak SQL Server'ın güvenliğini arttırabilirsiniz:
Hizmet hesapları
SQL Server hizmetlerini mümkün olan en düşük izinleri kullanarak çalıştırın.
SQL Server hizmetlerini, düşük ayrıcalıklı Windows yerel kullanıcı hesapları ya da etki alanı kullanıcı hesaplarıyla ilişkilendirin.
Daha fazla bilgi için, bkz. Windows Hizmet Hesapları ve İzinlerini Yapılandırma.
Kimlik doğrulama modu
SQL Server'a bağlantılar için Windows Kimlik Doğrulaması kullanın.
Kerberos kimlik doğrulaması kullanın. Daha fazla bilgi için, bkz. Kerberos bağlantıları için bir hizmet asıl adı kayıt.
Güçlü parolalar
sa hesabına her zaman güçlü bir parola atayın.
Parola gücü ve geçerlilik süresinin kontrolü için parola ilkesini her zaman etkinleştirin.
Tüm SQL Server oturumları için daima güçlü parolalar kullanın.
Güvenlik Notu |
---|
SQL Server Express'ın kurulumu sırasında, BUILTIN\Users grubuna bir oturum eklenir. Bu şekilde bilgisayarın yetkilendirilmiş tüm kullanıcıları, SQL Server Express örneğine bir ortak rol üyesi olarak erişebilir. Kişisel oturumları olan ya da oturuma sahip başka Windows gruplarına üye olan bilgisayar kullanıcılarının Veritabanı Altyapısı erişimini sınırlandırmak amacıyla, BUILTIN\Users oturumu güvenli bir şekilde kaldırılabilir. |
Ayrıca bkz.
Başvuru
SQL Server 2012'yi Yüklemek için Donanım ve Yazılım Gereksinimleri
Ağ protokolleri ve ağ kitaplıkları