Lista kontrolna: Konfiguracja zabezpieczeń aparatu bazy danych

Ta lista kontrolna przegląda klucz opcje konfiguracja zabezpieczeń dla Aparat baz danych programu SQL Server.Ta lista służy do inspekcji okresowo na Aparat baz danych środowiska.Te zalecane ustawienia powinny być dostosowane zależnie od potrzeb firm i zabezpieczeń.

Fizyczne zabezpieczenia

...	Opis
	Jest to komputer, który obsługuje Aparat baz danych się w centrum danych o ograniczonym dostępie? Porada Aby uzyskać więcej informacji, zobacz Plan zabezpieczeń próbki: Wielbicieli Works.
	Kopie zapasowe są przechowywane w bezpiecznym miejscu? Porada Aby uzyskać więcej informacji, zobacz Zagadnienia zabezpieczeń dotyczące wykonywania kopii zapasowych i przywracania.
	Dostępu do Aparat baz danych pliki (.mdf, — ndf, pliki ldf) ograniczone uprawnienia systemu plików? Porada złośliwych użytkowników, którzy uzyskują dostęp do plików bazy danych można dołączyć je do innych wystąpień Aparat baz danych.Aby uzyskać więcej informacji Zabezpieczanie danych i plików dziennika.
	Dostępu do Aparat baz danych pliki binarne (sqlservr.exe w binn folder) ograniczone uprawnienia systemu plików? Porada: Złośliwi użytkownicy, którzy mają dostęp SQL Server pliki binarne mogą powodować szkody oraz odmowę usługa.
	Dostęp jest inspekcji plików ograniczony przez uprawnienia systemu plików? Porada w środowisku wysoki poziom zabezpieczeń w dzienniku zabezpieczeń systemu Windows jest odpowiednią lokalizację zapisu program access obiektu rekordu zdarzenia.Inne lokalizacje inspekcji są obsługiwane, ale są z zastrzeżeniem włamania.Aby uzyskać więcej informacji, zobacz Jak Pisanie zdarzenia inspekcji serwera do dziennika zabezpieczeń.
	Są kopie zapasowe kluczy publicznego i prywatnego szyfrowanie przechowywane w bezpiecznym miejscu? Porada Jeśli szyfrowanie kluczs kopie zapasowe na nośniku wymiennym (CD, dysk flash), klucz kopii zapasowych powinien być przechowywany w bezpiecznym miejscu, taki jak bezpieczny dostęp kontrolowany.Jeżeli zapasową na inny dysk twardy komputera muszą być odpowiednio chronione.
	Jeśli używasz zarządzania klucza rozszerzonego (EKM) są moduły zabezpieczeń sprzętowych (HSM) odpowiednio chronione? Porada skontaktuj się z dostawcą HSM zaleceń.

Konfiguracji systemu operacyjnego

...	Opis
	Jest SQL Server komputer chroniony przez zaporę tylko niezbędne wyjątków? Porada użycie wf.msc (lub firewall.cpl), aby skonfigurować Zaporę systemu Windows.Aby uzyskać więcej informacji, zobacz Konfigurowanie zapory systemu Windows w celu umożliwienia dostępu do programu SQL Server.
	Są serwera i klient skonfigurowany do korzystania z uwierzytelniania ochrony rozszerzonej systemów operacyjnych? Porada Aby uzyskać więcej informacji, zobacz Łączenie z aparatu bazy danych, używając rozszerzonej ochrony i Ochrony rozszerzonej uwierzytelniania.
	System operacyjny jest skonfigurowany, aby zezwolić na aktualizacje automatyczne jest to możliwe? Porada środowiskach produkcji wymagają zazwyczaj testowanie przed zastosowaniem aktualizacji.Aktualizacje powinny być badane i stosowane w regularnych odstępach czasu.Jeśli badania nie jest wykonywana, automatyczne instalowanie aktualizacji może być najlepszym wyborem.

Konfiguracje wystąpienie bazy danych

...	Opis
	Jest Aparat baz danych skonfigurowane do uruchamiania przy użyciu konta z przynajmniej uprawnienia konieczne do tego potrzebne? Porada Aby uzyskać więcej informacji, zobacz Konfigurowanie kont usług systemu Windows.
	Jest SQL Server uwierzytelniania nie włączone, chyba że wymagane według potrzeb biznesowych? Tip See Wybieranie trybu uwierzytelniania.
	Jeśli SQL Server jest włączone uwierzytelnianie konta SA została wyłączona? Porada konta SA jest dobrze znaną i częstych miejsce docelowe złośliwych użytkowników.Wyłączyć konto za pomocą Logowania ZMIENIA instrukcja.Ogranicz członkostwo sysadmin stała rola serwera do logowania, które korzystają z uwierzytelniania systemu Windows.
	Jeśli SQL Server jest włączone uwierzytelnianie konta SA została zmieniona nazwa? Porada konta SA jest dobrze znanych i jest często miejsce docelowe złośliwych użytkowników.Zmiana nazwy konta za pomocą Logowania ZMIENIA instrukcja może pomóc chronić konto.
	Czy konto SA ma silne hasło? Porada hasło konta SA jest określony podczas SQL Server Instalatora.Jednakże można zmienić, korzystając z Logowania ZMIENIA instrukcja.
	Jeśli SQL Server Uwierzytelnianie jest włączone, jest SQL Server wymagać silnych haseł? Tip SQL Server logins inherit the password policy of the computer unless specifically exempted.Aby uzyskać więcej informacji, zobacz CHECK_POLICY z opcją Tworzenia logowania i Logowania ZMIENIA.
	Są niepotrzebne SQL Server Funkcje wyłączone? Porada za pomocą aspekt Surface Area Configuration zarządzania opartego na zasadach.Aby uzyskać więcej informacji, zobacz Opis konfiguracji obszaru powierzchni.
	Jest xp_cmdshell wyłączone, chyba że jest to absolutnie konieczne? Porada Aby uzyskać więcej informacji, zobacz xp_cmdshell (języka Transact-SQL).
	Jest tworzenie łańcucha własności między bazami danych zestaw do OFF chyba, że wiele baz danych są wdrażane jako pojedynczą jednostkę? Porada Aby uzyskać więcej informacji, zobacz Opcja łańcuch własności krzyżowego db.
	Należy regularnie działają najlepiej Analyzer praktyk (BPA) przeciwko SQL Server? Porada użycie Microsoft SQL Server 2008 R2 Best Practices Analyzer lub SQL Server 2005 Best Practices Analyzer (sierpień 2008).
	Jest Aparat baz danych najnowszego dodatku usługa pack stosowane? Porada środowiskach produkcji wymagają zazwyczaj badania przed zastosowaniem dodatków usługa pack.Jeśli badania nie jest wykonywana, automatyczne instalowanie dodatków usługa pack może być najlepszym wyborem.
	Została potwierdzona tej próbce baz danych (takich jak AdventureWorks2008R2) nie są zainstalowane na produkcji baz danych? Porada użycie SQL Server Management Studio do sprawdzania bazy danych przykładowych.

Zobacz także

Koncepcje

Lista kontrolna: Rozszerzone zabezpieczenia połączeń aparat bazy danych

Lista kontrolna: Ograniczanie dostępu do danych

Lista kontrolna: Szyfrowanie danych poufnych