Partilhar via


Considerações sobre segurança para uma instalação do SQL Server

Segurança é importante para todos os produtos e todas as empresas. Seguindo práticas recomendadas simples, você pode evitar muitas vulnerabilidades de segurança. Este tópico discute algumas práticas recomendadas de segurança que você deve considerar antes de instalar o SQL Server e depois de instalar o SQL Server. Está incluída orientação de segurança para recursos específicos nos tópicos de referência para esses recursos.

Antes de instalar o SQL Server

Siga estas práticas recomendadas quando você configurar o ambiente do servidor:

  • Aprimore a segurança física

  • Use firewalls

  • Isole serviços

  • Configure um sistema de arquivos seguro

  • Desabilite os protocolos NetBIOS e SMB

Aprimore a segurança física

O isolamento físico e lógico compõe a base de segurança do SQL Server. Para aprimorar a segurança física da instalação do SQL Server, execute as seguintes tarefas:

  • Coloque o servidor em uma sala à qual somente pessoas autorizadas tenham acesso.

  • Coloque os computadores que hospedam um banco de dados em um local fisicamente protegido, idealmente em uma sala de computadores trancada com sistemas de detecção de inundação e detecção ou extinção de incêndio monitorados.

  • Instale os bancos de dados na zona segura da intranet corporativa e não conecte os SQL Servers diretamente à Internet.

  • Faça backup de todos os dados regularmente e proteja os backups em um local externo.

Use firewalls

Os firewalls são importantes para ajudar a proteger a instalação do SQL Server. Os firewalls serão mais efetivos se você seguir estas diretrizes:

  • Coloque um firewall entre o servidor e a Internet. Habilite seu firewall. Se seu firewall estiver desligado, ligue-o. Se seu firewall estiver ligado, não desligue-o.

  • Divida a rede em zonas de segurança separadas por firewalls. Bloqueie todo o tráfego e admita seletivamente apenas o que for necessário.

  • Em um ambiente multicamadas, use vários firewalls para criar sub-redes filtradas.

  • Quando você estiver instalando o servidor dentro de um domínio do Windows, configure firewalls interiores para permitir a Autenticação do Windows.

  • Se o seu aplicativo usar transações distribuídas, talvez seja necessário configurar o firewall para permitir que tráfego do MS DTC (Coordenador de Transações Distribuídas da Microsoft) flua entre instâncias separadas do MS DTC. Você também precisará configurar o firewall para permitir que o tráfego flua entre o MS DTC e gerenciadores de recursos, como o SQL Server.

Para obter mais informações sobre as configurações padrão do firewall do Windows e uma descrição das portas TCP que afetam o Mecanismo de Banco de Dados, Analysis Services, Reporting Services e o Integration Services, consulte Configurando o Firewall do Windows para permitir acesso ao SQL Server.

Isole serviços

O isolamento de serviços reduz o risco de que um serviço comprometido possa ser usado para comprometer outros. Para isolar serviços, considere as seguintes diretrizes:

  • Execute serviços separados do SQL Server sob contas separadas do Windows. Sempre que possível, use contas de usuário Local ou do Windows separadas e com poucos direitos para cada serviço do SQL Server. Para obter mais informações, consulte Configurando as contas de serviço do Windows.

Configure um sistema de arquivos seguro

O uso do sistema de arquivos correto aumenta a segurança. Para instalações do SQL Server, você deve executar as seguintes tarefas:

  • Use o sistema de arquivos NTFS. NTFS é o sistema de arquivos preferido para instalações do SQL Server porque ele é mais estável e recuperável que os sistemas de arquivos FAT. O NTFS também habilita opções de segurança, como listas de controle de acesso (ACLs) a arquivos e diretórios e criptografia de arquivos do sistema de arquivos com criptografia (EFS). Durante a instalação, o SQL Server definirá ACLs apropriadas em chaves do Registro e arquivos se ele detectar NTFS. Essas permissões não devem ser alteradas. As versões futuras do SQL Server podem não dar suporte à instalação em computadores com sistemas de arquivos FAT.

    ObservaçãoObservação

    Se você usar EFS, os arquivos de banco de dados serão criptografados sob a identidade da conta que está executando o SQL Server. Apenas essa conta poderá descriptografar os arquivos. Se você precisar alterar a conta que executa o SQL Server, primeiro deverá descriptografar os arquivos sob a conta antiga e criptografá-los novamente sob a nova conta.

  • Use um RAID (Redundant Array of Independent Disks) para arquivos de dados críticos.

Desabilite os protocolos NetBIOS e SMB

Todos os servidores na rede de perímetro devem ter os protocolos desnecessários desabilitados, incluindo NetBIOS e SMB.

O NetBIOS usa as seguintes portas:

  • UDP/137 (serviço de nome do NetBIOS)

  • UDP/138 (serviço de datagrama do NetBIOS)

  • TCP/139 (serviço de sessão do NetBIOS)

O SMB usa as seguintes portas:

  • TCP/139

  • TCP/445

Os servidores Web e DNS (Sistema de Nome de Domínio) não requerem NetBIOS ou SMB. Nesses servidores, desabilite os dois protocolos para reduzir a ameaça de enumeração de usuário.

Após a instalação do SQL Server

Após a instalação, você pode aprimorar a segurança da instalação do SQL Server seguinte estas práticas recomendadas relativas a contas e modos de autenticação:

Contas de serviço

  • Execute os serviços do SQL Server usando as menores permissões possíveis.

  • Associe os serviços do SQL Server a contas de usuário locais do Windows ou contas de usuário do domínio com pouco privilégio.

  • Para obter mais informações, consulte Configurando as contas de serviço do Windows.

Modo de autenticação

Senhas fortes

  • Sempre atribua uma senha forte à conta sa.

  • Sempre habilite a verificação de diretiva de senha sobre nível de segurança e expiração de senhas.

  • Use sempre senhas fortes para todos os logons do SQL Server. Para obter mais informações, consulte o white paper SQL Server 2008 Security Overview for Database Administrators (em inglês).

 Obtenha informações recentes sobre a instalação e a atualização do SQL Server

Para obter os downloads, artigos, vídeos e informações de solução de problemas mais recentes da Microsoft, bem como soluções selecionadas da comunidade, visite a página do SQL Server Setup (em inglês)

Para receber uma notificação automática sobre essas atualizações, assine os RSS feeds disponíveis na página.