.gif "Icône de champ booléen") |
- Le moteur de base de données est-il configuré pour écouter sur les protocoles requis et sur aucun autre ?
Conseil Utilisez le Gestionnaire de configuration SQL Server pour activer TCP/IP ou des canaux nommés, uniquement si des clients en ont besoin. Pour plus d'informations, consultez Choix d'un protocole réseau et Procédure : activer ou désactiver un protocole réseau de serveur (Gestionnaire de configuration SQL Server).
|
|
- Les points de terminaison Service Broker, HTTP et de mise en miroir de base de données sont-ils créés uniquement si nécessaire ?
Conseil Pour plus d'informations, consultez Protocoles réseau et points de terminaison TDS.
|
|
- Les connexions sont-elles effectuées à l'aide de l'authentification Windows chaque fois que c'est possible ?
Conseil Pour plus d'informations, consultez Choix d'un mode d'authentification.
|
|
- Le moteur de base de données est-il configuré pour utiliser un certificat émis par une autorité approuvée pour sécuriser les communications ?
Conseil La configuration par défaut à l'aide d'un certificat auto-signé est moins sécurisée. Utilisez l'outil de certificats Windows (certmgr.msc), puis le Gestionnaire de configuration SQL Server pour installer un certificat. Pour plus d'informations, consultez Procédure : activer des connexions chiffrées dans le moteur de base de données (Gestionnaire de configuration SQL Server).
|
|
- SQL Server est-il configuré pour autoriser uniquement des connexions sécurisées sur le réseau ?
Conseil Utilisez le paramètre serveur Forcer le chiffrement dans le Gestionnaire de configuration SQL Server. Pour plus d'informations, consultez Procédure : activer des connexions chiffrées dans le moteur de base de données (Gestionnaire de configuration SQL Server).
|
|
- Lorsque c'est possible, SQL Server utilise-t-il l'authentification Kerberos pour les clients de l'authentification Windows ?
Conseil Pour plus d'informations, consultez Authentification Kerberos et SQL Server.
|
|
- Le moteur de base de données s'exécute-t-il sous un compte de domaine qui n'est pas utilisé par un autre service sur Windows Server 2003 et Windows XP ?
Conseil L'utilisation de comptes distincts pour les services permet d'empêcher un service compromis d'accéder à d'autres services.
|
|
- Si le moteur de base de données s'exécute sous un compte de domaine, le mot de passe du compte est-il modifié régulièrement ?
Conseil Sur Windows 7 et Windows Server 2008 R2, envisagez d'exécuter le moteur de base de données sous un Compte de service administré afin que le domaine gère le mot de passe. Le Service réseau est un bon choix. Pour plus d'informations sur les Comptes de service administrés, consultez Guide pas à pas des comptes de service.
|
|
- Les instances nommées du moteur de base de données sont-elles configurées pour écouter sur un port fixe ?
Conseil Les ports fixes vous permettent d'ouvrir uniquement le port correct dans le pare-feu. Utilisez le Gestionnaire de configuration SQL Server pour configurer des ports fixes. Pour plus d'informations, consultez Configuring a Fixed Port.
|
|
- Avez-vous configuré l'audit de connexion pour conserver un enregistrement des échecs de connexion ?
Conseil Configurez-le à l'aide des Propriétés du serveur (page Sécurité) dans SQL Server Management Studio.
|
|
- Avez-vous configuré SQL Server Audit pour auditer les échecs de connexion ?
Conseil Pour plus d'informations, consultez Fonctionnement de SQL Server Audit.
|
|
- Avez-vous supprimé du moteur de base de données des connexions inutiles ou obsolètes ?
Conseil Cela demande peut-être une révision manuelle périodique. Autoriser l'accès essentiellement via des groupes Windows permet de simplifier cette tâche.
|