Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Şunun için geçerlidir:
SQL Server Windows'da
Güvenlik her ürün ve her işletme için önemlidir. Basit en iyi yöntemleri izleyerek birçok güvenlik açığından kaçınabilirsiniz. Bu makalede, hem SQL Server yüklemeden önce hem de SQL Server yükledikten sonra göz önünde bulundurmanız gereken bazı en iyi güvenlik yöntemleri açıklanır. Belirli özelliklere yönelik güvenlik kılavuzu, bu özelliklere yönelik başvuru makalelerinde yer alır.
SQL Server yüklemeden önce
Sunucu ortamını ayarlarken şu en iyi yöntemleri izleyin:
- Fiziksel güvenliği geliştirme
- Güvenlik duvarlarını kullanma
- Hizmetleri izole et
- Güvenli bir dosya sistemi yapılandırma
- NetBIOS ve sunucu ileti bloğunu devre dışı bırakma
- Etki alanı denetleyicisine SQL Server yükleme
Fiziksel güvenliği geliştirme
Fiziksel ve mantıksal yalıtım, SQL Server güvenliğin temelini oluşturur. SQL Server yüklemesinin fiziksel güvenliğini artırmak için aşağıdaki görevleri tamamlayın:
Sunucuyu yalnızca yetkili kişilerin erişebileceği bir odaya yerleştirin.
Bir veritabanını barındıran bilgisayarları fiziksel olarak korunan bir konuma, ideal olarak izlenen taşkın algılama ve yangın algılama veya gizleme sistemlerine sahip kilitli bir bilgisayar odasına yerleştirin.
Veritabanlarını kurumsal intranetin güvenli bölgesine yükleyin ve SQL Server örneklerinizi doğrudan İnternet'e bağlamayın.
Tüm verileri düzenli olarak yedekleyin ve yedeklemelerin site dışında bir konumda güvenliğini sağlayın.
Güvenlik duvarlarını kullanma
Güvenlik duvarları, SQL Server yüklemesinin güvenliğini sağlamak için önemlidir. Güvenlik duvarları en çok şu yönergeleri izlerseniz etkilidir:
Sunucu ile İnternet arasına bir güvenlik duvarı yerleştirin. Güvenlik duvarınızı etkinleştirin. Güvenlik duvarınız kapalıysa açın. Güvenlik duvarınız açıksa kapatmayın.
Ağı güvenlik duvarlarıyla ayrılmış güvenlik bölgelerine bölün. Tüm trafiği engelleyin ve ardından yalnızca gerekli olanları seçmeli olarak kabul edin.
Çok katmanlı bir ortamda, taranmış alt ağlar oluşturmak için birden çok güvenlik duvarı kullanın.
Sunucuyu bir Windows etki alanına yüklediğinizde, iç güvenlik duvarlarını Windows Authentication izin verecek şekilde yapılandırın.
Uygulamanız dağıtılmış işlemler kullanıyorsa, güvenlik duvarını Microsoft Dağıtılmış İşlem Düzenleyicisi (MS DTC) trafiğinin ayrı MS DTC örnekleri arasında akmasına izin verecek şekilde yapılandırmanız gerekebilir. Ayrıca güvenlik duvarını MS DTC ile SQL Server gibi kaynak yöneticileri arasında trafiğin akmasına izin verecek şekilde yapılandırmanız gerekir.
Varsayılan Windows Güvenlik Duvarı ayarları ve Database Engine, Analysis Services, Reporting Services ve Integration Services'ı etkileyen TCP bağlantı noktalarının açıklaması hakkında daha fazla bilgi için bkz. Windows Güvenlik Duvarı'nı SQL Server access izin verecek şekilde yapılandırma.
Hizmetleri izole etme
Hizmetlerin yalıtılması, güvenliği aşılmış bir hizmetin başkalarının güvenliğini tehlikeye atmak için kullanılabilmesi riskini azaltır. Hizmetleri yalıtmak için aşağıdaki yönergeleri göz önünde bulundurun:
- Ayrı Windows hesapları altında ayrı SQL Server hizmetleri çalıştırın. Mümkün olduğunda, her SQL Server hizmeti için ayrı, düşük haklara sahip Windows veya Yerel kullanıcı hesaplarını kullanın. Daha fazla bilgi için bkz. Windows hizmet hesaplarını ve izinlerini yapılandırma.
Güvenli bir dosya sistemi yapılandırma
Doğru dosya sisteminin kullanılması güvenliği artırır. SQL Server yüklemeleri için aşağıdaki görevleri tamamlayın:
NT dosya sistemini (NTFS) veya Dayanıklı Dosya Sistemi'ni (ReFS) kullanın. NTFS ve ReFS, FAT32 dosya sistemlerinden daha kararlı ve kurtarılabilir olduklarından SQL Server yüklemeleri için önerilen dosya sistemleridir. NTFS veya ReFS, dosya ve dizin access control listeleri (ACL' ler) gibi güvenlik seçeneklerini de etkinleştirir. NTFS, Şifreleme Dosya Sistemi (EFS) - dosya şifrelemesini de destekler. Yükleme sırasında SQL Server, NTFS algılarsa kayıt defteri anahtarları ve dosyalarında uygun ACL'leri ayarlar. Bu izinleri değiştirmeyin. gelecekteki SQL Server sürümleri, FAT dosya sistemlerine sahip bilgisayarlara yüklemeyi desteklemeyebilir.
Uyarı
EFS kullanıyorsanız, veritabanı dosyaları SQL Server çalıştıran hesabın kimliği altında şifrelenir. Dosyaların şifresini yalnızca bu hesap çözebilir. SQL Server çalıştıran hesabı değiştirmeniz gerekiyorsa, önce eski hesabın altındaki dosyaların şifresini çözerek yeni hizmet hesabı altında yeniden şifreleyin.
Uyarı
Şifreleme, asenkron G/Ç'nin senkron hale gelmesine neden olduğundan EFS aracılığıyla dosya şifrelemesi daha yavaş G/Ç performansına yol açabilir. Bkz. Asenkron disk G/Ç, Windows'da senkron olarak görünür. Bunun yerine Transparent data encryption (TDE), Always Encrypted ve sütun düzeyinde şifreleme Cryptographic functions gibi SQL Server şifreleme teknolojilerini kullanmayı göz önünde bulundurun.
NetBIOS ve Sunucu İleti Bloğunu Devre Dışı Bırakma
NetBIOS ve sunucu ileti bloğu (SMB) dahil olmak üzere çevre ağındaki sunucularda tüm gereksiz protokolleri devre dışı bırakın.
NetBIOS aşağıdaki bağlantı noktalarını kullanır:
- UDP/137 (NetBIOS ad hizmeti)
- UDP/138 (NetBIOS datagram hizmeti)
- TCP/139 (NetBIOS oturum hizmeti)
SMB aşağıdaki bağlantı noktalarını kullanır:
- TCP/139
- TCP/445
Web sunucuları ve Etki Alanı Adı Sistemi (DNS) sunucuları NetBIOS veya SMB gerektirmez. Bu sunucularda, kullanıcı tanımlaması tehdidini azaltmak için her iki protokolü de devre dışı bırakın.
Etki alanı denetleyicisine SQL Server yükleme
Güvenlik nedeniyle SQL Server bir etki alanı denetleyicisine yüklemeyin. SQL Server Kurulumu, etki alanı denetleyicisi olan bir bilgisayara yüklemeyi engellemez, ancak aşağıdaki sınırlamalar geçerlidir:
SQL Server hizmetleri yerel hizmet hesabı altındaki bir etki alanı denetleyicisinde çalıştıramazsınız.
SQL Server bir bilgisayara yükledikten sonra, bilgisayarı bir etki alanı üyesinden etki alanı denetleyicisine değiştiremezsiniz. Ana bilgisayarı bir etki alanı denetleyicisi olarak değiştirmeden önce SQL Server kaldırmanız gerekir.
SQL Server bir bilgisayara yükledikten sonra, bilgisayarı bir etki alanı denetleyicisinden etki alanı üyesine değiştiremezsiniz. Ana bilgisayarı bir etki alanı üyesi olarak değiştirmeden önce SQL Server kaldırmanız gerekir.
SQL Server yük devretme kümesi örnekleri, küme düğümlerinin etki alanı denetleyicileri olduğu durumlarda desteklenmez.
SQL Server Kurulumu, salt okunur bir etki alanı denetleyicisinde güvenlik grupları veya SQL Server hizmet hesapları oluşturamaz. Bu senaryoda Kurulum başarısız olur.
Başarılı yükleme için gerekli kullanıcı haklarının atandığından emin olun
Kurulum, SQL Server yüklendiği hesaba aşağıdaki kullanıcı haklarının verilmesini gerektirir:
- Dosyaları ve dizinleri yedekleme
- Programlarda hata ayıklama
- Denetim ve güvenlik günlüğünü yönetme
Bu kullanıcı ayrıcalıkları genellikle varsayılan olarak yerel yönetici grubuna (BUILTIN\Administrators ) verilir. Çoğu durumda, bunları atamak için herhangi bir işlem yapmanız gerekmez. Ancak, bir güvenlik ilkesi bu ayrıcalıkları iptal ederse, bunların doğru atandığından emin olun veya kurulum SQL Server aşağıdaki hatayla başarısız olur:
The account that is running SQL Server Setup doesn't have one or all of the following rights: the right to back up files and directories, the right to manage auditing and the security log and the right to debug programs. To continue, use an account with both of these rights.
SQL Server yüklemesi sırasında veya sonrasında
Yüklemeden sonra, hesaplar ve kimlik doğrulama modlarıyla ilgili şu en iyi yöntemleri izleyerek SQL Server yüklemesinin güvenliğini artırın:
Hizmet hesapları
Mümkün olan en düşük izinleri kullanarak SQL Server hizmetleri çalıştırın.
SQL Server hizmetlerini düşük ayrıcalıklı Windows yerel kullanıcı hesaplarıyla veya etki alanı kullanıcı hesaplarıyla ilişkilendirin.
Daha fazla bilgi için bkz. Windows hizmet hesaplarını ve izinlerini yapılandırma.
Kimlik doğrulama modu
SQL Server bağlantıları için Windows Authentication gerektir.
Kerberos kimlik doğrulamayı kullanın. Daha fazla bilgi için bkz . Kerberos bağlantıları için Hizmet Asıl Adı Kaydetme.
Güçlü parolalar
- Sa hesabına her zaman güçlü bir parola atayın.
- Parola gücü ve süre sonu için parola ilkesi denetimini her zaman etkinleştirin.
- Tüm SQL Server oturum açma bilgileri için her zaman güçlü parolalar kullanın.
Önemli
SQL Server Express kurulumu sırasında BUILTIN\Users grubu için bir oturum açma bilgisi eklenir. Bu grup, bilgisayarın tüm kullanıcılarına ortak rolün bir üyesi olarak SQL Server Express örneğine erişim verir. Bireysel oturum açmaları olan veya oturum açma bilgileri olan diğer Windows gruplarının üyeleri olan bilgisayar kullanıcıları için Database Engine erişimini kısıtlamak amacıyla BUILTIN\Users grubunu güvenle kaldırabilirsiniz.