Uwagi dotyczące zabezpieczeń SQL Server instalacji
Bezpieczeństwo jest ważne dla każdego produktu i każdej działalności.Przez następujący prosty najważniejsze wskazówki można uniknąć wielu luk w zabezpieczeniach.W tym temacie omówiono najważniejsze wskazówki dotyczące niektórych zabezpieczeń, że należy rozważyć zarówno przed zainstalowaniem SQL Server i po zainstalowaniu SQL Server.Wskazówki dotyczące zabezpieczeń dla określonych funkcji znajduje się w tematach odniesienia do tych funkcji.
Przed zainstalowaniemSQL Server
Wykonaj te najważniejsze wskazówki kiedy użytkownik zestaw środowiska serwera w górę:
Zwiększenia bezpieczeństwa fizycznego
Użyj zapory
Izolowanie usług
Konfigurowanie bezpieczny system plików
Wyłącz NetBIOS i server message blok
Zwiększenia bezpieczeństwa fizycznego
Fizyczne i logiczne izolacji tworzą podstawę SQL Server zabezpieczeń.Aby zwiększyć bezpieczeństwo fizyczne SQL Server instalacji, należy wykonać następujące zadania:
Umieść serwer w pomieszczeniu, dostępne tylko dla osób upoważnionych.
Umieść komputery obsługujące bazy danych w lokalizacji fizycznie chronione, najlepiej pomieszczenie zablokowanego komputera z monitorowanych powódź wykrywania pożaru wykrywania lub tłumienia systemów i.
Zainstaluj bazy danych w bezpiecznej strefie intranetu firmy i nie połączyć serwerów SQL bezpośrednio z Internetem.
Należy regularnie tworzyć kopie zapasowe wszystkich danych i zabezpieczyć kopie zapasowe w lokalizacji poza nim.
Użyj zapory
Zapory są istotne, aby zabezpieczyć SQL Server instalacji.Zapory będzie najbardziej efektywna, jeśli należy przestrzegać następujących zasad:
Umieścić zapora między serwerem a Internetem.Włącz zaporę.Jeśli Zapora jest wyłączona, należy go włączyć.Jeśli Zapora jest włączona, nie ją wyłączyć.
Podzielić sieć na strefy zabezpieczeń, oddzielonych zapory.Blokuj cały ruch, a następnie selektywnego przyjmowania tylko co jest wymagane.
W środowisku wielowarstwowych służy wiele zapór do tworzenia ekranowaną podsieci.
Instalując serwer wewnątrz domena systemu Windows, należy skonfigurować wnętrza zapory, aby umożliwić uwierzytelnianie systemu Windows.
Jeśli aplikacja używa transakcje rozproszone, trzeba skonfigurować zaporę, aby umożliwić Microsoft Distributed Transaction Coordinator (MS DTC) na ruch między osobnych wystąpień usługi MS DTC.Należy także skonfigurować zaporę, aby zezwalać na ruch między menedżerami usługi MS DTC i zasób takich jak SQL Server.
Aby uzyskać więcej informacji na temat domyślnych ustawień Zapory systemu Windows i opis TCP porty mających wpływ na Aparat baz danych, Usługi Analysis Services, Reporting Services, i Integration Services, zobacz Konfigurowanie zapory systemu Windows w celu umożliwienia dostępu do programu SQL Server.
Izolowanie usług
Izolowanie usług zmniejsza ryzyko, jednym złamany usługa mogą być używane do innych złamanie.Aby wyizolować usług, należy wziąć pod uwagę następujące wskazówki:
- Uruchom w oddzielnym SQL Server usługi w oddzielnych kont systemu Windows.O ile to możliwe, użycie oddzielnych, Windows niskiego poziomu praw lub użytkowników lokalnych kont dla każdego SQL Server usługa. Aby uzyskać więcej informacji, zobacz Konfigurowanie kont usług systemu Windows.
Konfigurowanie bezpieczny System plików
Za pomocą prawidłowego systemu plików zwiększa bezpieczeństwo.Dla SQL Server instalacji, należy wykonać następujące zadania:
Za pomocą systemu plików NTFS (NTFS).System NTFS jest system plików preferowany w instalacjach SQL Server , ponieważ jest bardziej stabilne i odzyskania niż systemy plików FAT.NTFS umożliwia także opcje zabezpieczeń, takich jak plik, katalog list kontroli dostępu (ACL) i szyfrowanie plików systemu szyfrowanie plików (EFS).Podczas instalacji SQL Server spowoduje zestaw odpowiedniej listy ACL na klucze rejestru i plików, jeśli wykryje NTFS.Uprawnienia te nie powinny być zmieniane.Przyszłych wersjach SQL Server może nie obsługiwać instalacji na komputerach z systemami plików FAT.
Ostrzeżenie
Jeśli używasz systemu EFS, pliki bazy danych będą szyfrowane tożsamością konto z uruchomioną SQL Server.Tylko to konto będzie mógł odszyfrować pliki.Jeśli trzeba zmienić konto, na którym działa SQL Server, należy najpierw odszyfrować pliki starego konta, a następnie ponownie zaszyfrować je w nowe konto.
Użyć dublowanej macierzy niezależnych dysków (RAID) dla plików danych krytycznych.
Wyłącz NetBIOS i bloku komunikatów serwera
Serwery w sieci granicznej powinny mieć wszystkie niepotrzebne protokoły wyłączone, włączając NetBIOS i server message blok (SMB).
NetBIOS używa następujących portów:
UDP/137 (usługa nazw NetBIOS)
UDP/138 (Usługa datagramów NetBIOS)
TCP/139 (Usługa sesja NetBIOS)
Protokół SMB wykorzystuje następujące porty:
TCP I 139
TCP I 445
Serwery sieci Web i serwery systemu nazw domen (DNS) nie wymagają NetBIOS lub SMB.Na tych serwerach należy wyłączyć obu protokołów zmniejszyć zagrożenie wyliczania użytkownika.
Po zainstalowaniu programu SQL Server
Po zakończeniu instalacji, można zwiększyć bezpieczeństwo SQL Server instalacji, wykonując poniższe najważniejsze wskazówki dotyczące kont i trybów uwierzytelnianie:
Kont usług
Uruchom SQL Server usługi za pomocą najniższe uprawnienia możliwe.
Skojarzenie SQL Server usług z niskim uprzywilejowanego konta użytkowników lokalnych systemu Windows lub konta użytkownika domena.
Aby uzyskać więcej informacji, zobacz Konfigurowanie kont usług systemu Windows.
Tryb uwierzytelniania
Wymagają uwierzytelniania systemu Windows do połączeń z SQL Server.
Korzystanie z uwierzytelnianie Kerberos.Aby uzyskać więcej informacji, zobacz Nazwa główna usługi rejestrowania.
Silne hasła
Zawsze przypisywać silne hasło, aby sa konta.
Zawsze włączone sprawdzanie siły zasady haseł i wygaśnięcia zasady haseł.
Zawsze używaj silnych haseł dla wszystkich SQL Server logowania.Aby uzyskać więcej informacji, zobacz Omówienie zabezpieczeń programu SQL Server 2008 dla administratorów bazy danych białej.
|