Diese Checkliste dient zum Prüfen von Schlüsseloptionen beim Herstellen einer Verbindung mit dem SQL Server Database Engine (Datenbankmodul). Verwenden Sie die Checkliste zum Prüfen der Umgebung, um zu gewährleisten, dass Verbindungen mit dem Database Engine (Datenbankmodul) mit für Ihre Anforderungen ausreichender Sicherheit hergestellt werden.
Datenbankmodulkonfiguration
.gif "Boolesches Feld (Symbol)") |
- Ist das Database Engine (Datenbankmodul) so konfiguriert, dass ausschließlich die erforderlichen Protokolle gelauscht werden?
Tipp: Verwenden Sie den SQL Server-Konfigurations-Manager, um TCP/IP oder Named Pipes nur bei Bedarf von Clients zu aktivieren. Weitere Informationen finden Sie unter Auswählen eines Netzwerkprotokolls und Vorgehensweise: Aktivieren oder Deaktivieren eines Server-Netzwerkprotokolls (SQL Server-Konfigurations-Manager).
|
|
- Werden Endpunkte für Service Broker, HTTP und Datenbankspiegelung ausschließlich bei Bedarf erstellt?
Tipp: Weitere Informationen erhalten Sie unter Netzwerkprotokolle und TDS-Endpunkte.
|
|
- Werden Verbindungen möglichst mithilfe der Windows-Authentifizierung hergestellt?
Tipp: Weitere Informationen erhalten Sie unter Auswählen eines Authentifizierungsmodus.
|
|
- Ist das Database Engine (Datenbankmodul) zur Verwendung eines Zertifikats einer vertrauenswürdigen Autorität konfiguriert, um die Kommunikation zu schützen?
Tipp: Die Standardkonfiguration mit einem selbst signierten Zertifikat ist weniger sicher. Verwenden Sie das Windows-Zertifikattool (certmgr.msc) und den SQL Server-Konfigurations-Manager, um ein Zertifikat zu installieren. Weitere Informationen finden Sie unter Vorgehensweise: Aktivieren von verschlüsselten Verbindungen zum Datenbankmodul (SQL Server-Konfigurations-Manager)..
|
|
- Ist SQL Server so konfiguriert, dass ausschließlich sichere Netzwerkverbindungen gestattet werden?
Tipp: Verwenden Sie die Servereinstellung Verschlüsselung erzwingen im SQL Server-Konfigurations-Manager. Weitere Informationen finden Sie unter Vorgehensweise: Aktivieren von verschlüsselten Verbindungen zum Datenbankmodul (SQL Server-Konfigurations-Manager)..
|
|
- Wird von SQL Server möglichst die Kerberos-Authentifizierung für Windows-Authentifizierungsclients verwendet?
Tipp: Weitere Informationen erhalten Sie unter Kerberos-Authentifizierung und SQL Server.
|
|
- Wird unter Windows Server 2003 und Windows XP das Database Engine (Datenbankmodul) in einem Domänenkonto ausgeführt, das von keinem anderen Dienst verwendet wird?
Tipp: Das Verwenden einzelner Konten für Dienste schützt Dienste vor dem Zugriff durch gefährdete Dienste.
|
|
- Wenn das Database Engine (Datenbankmodul) in einem Domänenkonto ausgeführt wird, wird das Kennwort für das Konto regelmäßig geändert?
Tipp: Unter Windows 7 und Windows Server 2008 R2 empfiehlt sich das Ausführen des Database Engine (Datenbankmodul) in einem verwalteten Dienstkonto, damit das Kennwort von der Domäne verwaltet wird. Netzwerkdienst ist eine gute Wahl. Informationen zu verwalteten Dienstkonten finden Sie in der schrittweisen Anleitung für Dienstkonten.
|
|
- Sind benannte Instanzen des Database Engine (Datenbankmodul) zum Lauschen eines festen Ports konfiguriert?
Tipp: Feste Ports gestatten ausschließlich das Öffnen des richtigen Firewallports. Verwenden Sie den SQL Server-Konfigurations-Manager, um feste Ports zu konfigurieren. Weitere Informationen finden Sie unter Configuring a Fixed Port.
|
|
- Wurde die Anmeldungsüberwachung so konfiguriert, dass ein Datensatz für fehlerhafte Anmeldungen beibehalten wird?
Tipp: Verwenden Sie zum Konfigurieren die Servereigenschaften (Sicherheit) in SQL Server Management Studio.
|
|
- Wurde die SQL Server-Überwachung zur Überwachung fehlerhafter Anmeldungen konfiguriert?
Tipp: Weitere Informationen erhalten Sie unter Grundlegendes zu SQL Server Audit.
|
|
- Wurden unnötige oder veraltete Anmeldenamen aus dem Database Engine (Datenbankmodul) entfernt?
Tipp: Hierfür müssen ggf. regelmäßig manuelle Überprüfungen durchgeführt werden. Dies kann erleichtert werden, indem der Zugriff hauptsächlich über Windows-Gruppen aktiviert wird.
|
Clienteinstellungen
|
- Sind Clients so konfiguriert, dass Verbindungen ausschließlich mit Secured Sockets Layer (SSL) hergestellt werden?
Tipp: Verwenden Sie die Clienteinstellung Protokollverschlüsselung erzwingen im SQL Server-Konfigurations-Manager. Weitere Informationen finden Sie unter Vorgehensweise: Aktivieren von verschlüsselten Verbindungen zum Datenbankmodul (SQL Server-Konfigurations-Manager)..
|
|
- Sind Clients so konfiguriert, dass zum Herstellen einer Verbindung Konten mit dem geringsten für die Geschäftsanforderung erforderlichen Recht verwendet werden?
Tipp: Anwendungen sollten keine Verbindungen anhand von Konten herstellen, die Mitglieder der festen sysadmin-Serverrolle oder Mitglieder der dbo_owner-Datenbankrolle sind. Durch das Konfigurieren von Anwendungen zur Herstellung von Verbindungen anhand von Konten mit beschränkten Privilegien wird das Risiko für Anwendungsprobleme, z. B. SQL Injection, gesenkt.
|
|
- Stellen Administratoren statt mit dem sa-Konto Verbindungen unter Verwendung von Windows-Anmeldungen her?
Tipp: Windows-Konten, die Mitglieder der festen sysadmin -Serverrolle sind, verfügen über die gleichen Privilegien wie das sa-Konto. Beim Verwenden der Windows-Anmeldungen werden Administratoren immer noch individuell ermittelt und können überwacht werden. Bei Verwendung des sa-Kontos kann der handelnde Administrator möglicherweise nicht eindeutig bestimmt werden. Es wird empfohlen, das sa-Konto bei Verwendung der Authentifizierung im gemischten Modus zu deaktivieren.
|
|
- Verbinden sich Administratoren unter Verwendung von Konten mit weniger Privilegien, wenn keine administrativen Aktionen durchgeführt werden sollen?
Tipp: Durch Verringern der Anzahl der Administratorverbindungen kann das Risiko von Fehlern und böswilligen Aktionen gesenkt werden. Es empfiehlt sich, für Benutzer, die nur selten administrativen Zugriff benötigen, Konten mit weniger Privilegien einzurichten.
|
Betriebssystemeinstellungen