Поделиться через


Контрольный список. Повышение безопасности соединений с компонентом Database Engine

Этот контрольный список проверяет ключевые параметры, используемые для соединения с компонентом SQL Server Database Engine. Этот контрольный список используется для проверки среды и обеспечения защиты подключений к компоненту Database Engine в соответствии с требованиями бизнеса.

Конфигурация компонента Database Engine

...

Описание

Значок логического поля
Настроен ли компонент Database Engine для прослушивания только необходимых протоколов?

Совет. Включите в диспетчере конфигурации SQL Server протокол TCP/IP или именованные каналы только если они требуются для клиентов. Дополнительные сведения см. в разделах Выбор сетевого протокола и Как включить или отключить протокол SNP (диспетчер конфигурации SQL Server).

Значок логического поля
Создаются ли конечные точки компонента Service Broker, конечные точки HTTP и конечные точки зеркального отображения базы данных только в случае необходимости?

Совет. Дополнительные сведения см. в разделе Сетевые протоколы и конечные точки потока табличных данных.

Значок логического поля
Устанавливаются ли соединения с использованием проверки подлинности Windows везде, где это возможно?

Совет. Дополнительные сведения см. в разделе Выбор режима проверки подлинности.

Значок логического поля
Настроен ли компонент Database Engine для использования сертификата из доверенного центра для защиты связи?

Совет. Конфигурация по умолчанию, использующая самозаверяющий сертификат, обеспечивает меньшую безопасность. Для установки сертификата используйте средство сертификатов Windows (certmgr.msc), а затем диспетчер конфигурации SQL Server. Дополнительные сведения см. в разделе Как включить шифрование соединений с компонентом Database Engine (диспетчер конфигурации SQL Server).

Значок логического поля
Разрешены ли в SQL Server только безопасные соединения по сети?

Совет. Используйте параметр сервера Принудительное шифрование в диспетчере конфигурации SQL Server. Дополнительные сведения см. в разделе Как включить шифрование соединений с компонентом Database Engine (диспетчер конфигурации SQL Server).

Значок логического поля
Используется ли в SQL Server проверка подлинности Kerberos для клиентов с проверкой подлинности Windows там, где это возможно?

Совет. Дополнительные сведения см. в разделе SQL Server и проверка подлинности по протоколу Kerberos.

Значок логического поля
В Windows Server 2003 и Windows XP, работает ли компонент Database Engine с учетной записью домена, которая не используется никакими другими службами?

Совет. Использование отдельных учетных записей для служб предотвращает доступ скомпрометированной службы к другим службам.

Значок логического поля
Если компонент Database Engine работает с учетной записью домена, выполняется ли регулярная смена пароля учетной записи?

Совет. В Windows 7 и Windows Server 2008 R2 рекомендуется запускать компонент Database Engine с управляемой учетной записью службы, чтобы управление паролем выполнялось доменом. Удачным выбором будет запись Сетевая служба. Дополнительные сведения об управляемых учетных записях службы см. в разделе Пошаговое руководство по учетным записям служб.

Значок логического поля
Настроено ли в именованных экземплярах компонента Database Engine прослушивание фиксированного порта?

Совет. Использование фиксированных портов позволяет открыть в брандмауэре только нужный порт. Для настройки фиксированных портов используйте диспетчер конфигурации SQL Server. Дополнительные сведения см. в разделе Configuring a Fixed Port.

Значок логического поля
Настроен ли аудит входа для хранения записи о неуспешных попытках входа?

Совет. Выполните настройку с помощью свойств сервера (страница «Безопасность») в среде Среда SQL Server Management Studio.

Значок логического поля
Настроен ли в SQL Server аудит неуспешных попыток входа?

Совет. Дополнительные сведения см. в разделе Основные сведения о подсистеме аудита SQL Server.

Значок логического поля
Удалены ли лишние и устаревшие имена входа из компонента Database Engine?

Совет. Для этого может потребоваться периодически выполнять проверку вручную. Обеспечение доступа главным образом посредством групп Windows упрощает эту задачу.

Параметры клиентов

...

Описание

Значок логического поля
Настроены клиенты для подключения только с использованием протокола SSL?

Совет. Используйте параметр клиента Принудительное шифрование протокола в диспетчере конфигурации SQL Server. Дополнительные сведения см. в разделе Как включить шифрование соединений с компонентом Database Engine (диспетчер конфигурации SQL Server).

Значок логического поля
Настроены ли клиенты для подключения с использованием учетных записей, имеющих минимальный набор прав для бизнес-задачи?

Совет. Приложения не должны подключаться с использованием учетных записей, входящих в предопределенную роль сервера sysadmin или роль базы данных dbo_owner. Настройка приложений для подключения с использованием учетных записей, обладающих ограниченными правами, снижает риск проблем с приложениями, таких как атака путем внедрения кода SQL.

Значок логического поля
Используют ли администраторы для подключения имена входа Windows вместо учетной записи sa?

Совет. Учетные записи Windows, входящие в предопределенную роль сервера sysadmin, имеют те же права, что и учетная запись sa. Если администраторы используют имена входа Windows, то их можно различать и проводить аудит входа. Если используется учетная запись sa, то не всегда можно определить, кто из администраторов выполнил то или иное действие. Рекомендуется отключить учетную запись sa при использовании проверки подлинности в смешанном режиме.

Значок логического поля
Выполняют ли администраторы подключение с учетными записями, имеющими меньший набор прав, когда не выполняются административные действия?

Совет. Сокращение числа административных соединений снижает риск ошибок и злонамеренных действий. Для пользователей, которым редко требуется административный доступ, рекомендуется создать учетные записи с меньшим набором прав.

Параметры операционной системы

...

Описание

Значок логического поля
Защищен ли компьютер с SQL Server брандмауэром, где заданы только необходимые исключения?

Совет. Для настройки брандмауэра Windows используйте команду wf.msc (или firewall.cpl). Дополнительные сведения см. в разделе Настройка Брандмауэра Windows для разрешения доступа к SQL Server.

Значок логического поля
Настроено ли в операционных системах клиента и сервера использование расширенной защиты для проверки подлинности?

Совет. Дополнительные сведения см. в разделах Соединение с компонентом Database Engine с использованием расширенной защиты и Расширенная защита для проверки подлинности.