Этот контрольный список проверяет ключевые параметры, используемые для соединения с компонентом SQL Server Database Engine. Этот контрольный список используется для проверки среды и обеспечения защиты подключений к компоненту Database Engine в соответствии с требованиями бизнеса.
Конфигурация компонента Database Engine
|
- Настроен ли компонент Database Engine для прослушивания только необходимых протоколов?
Совет. Включите в диспетчере конфигурации SQL Server протокол TCP/IP или именованные каналы только если они требуются для клиентов. Дополнительные сведения см. в разделах Выбор сетевого протокола и Как включить или отключить протокол SNP (диспетчер конфигурации SQL Server).
|
|
- Создаются ли конечные точки компонента Service Broker, конечные точки HTTP и конечные точки зеркального отображения базы данных только в случае необходимости?
Совет. Дополнительные сведения см. в разделе Сетевые протоколы и конечные точки потока табличных данных.
|
|
- Устанавливаются ли соединения с использованием проверки подлинности Windows везде, где это возможно?
Совет. Дополнительные сведения см. в разделе Выбор режима проверки подлинности.
|
|
- Настроен ли компонент Database Engine для использования сертификата из доверенного центра для защиты связи?
Совет. Конфигурация по умолчанию, использующая самозаверяющий сертификат, обеспечивает меньшую безопасность. Для установки сертификата используйте средство сертификатов Windows (certmgr.msc), а затем диспетчер конфигурации SQL Server. Дополнительные сведения см. в разделе Как включить шифрование соединений с компонентом Database Engine (диспетчер конфигурации SQL Server).
|
|
- Разрешены ли в SQL Server только безопасные соединения по сети?
Совет. Используйте параметр сервера Принудительное шифрование в диспетчере конфигурации SQL Server. Дополнительные сведения см. в разделе Как включить шифрование соединений с компонентом Database Engine (диспетчер конфигурации SQL Server).
|
|
- Используется ли в SQL Server проверка подлинности Kerberos для клиентов с проверкой подлинности Windows там, где это возможно?
Совет. Дополнительные сведения см. в разделе SQL Server и проверка подлинности по протоколу Kerberos.
|
|
- В Windows Server 2003 и Windows XP, работает ли компонент Database Engine с учетной записью домена, которая не используется никакими другими службами?
Совет. Использование отдельных учетных записей для служб предотвращает доступ скомпрометированной службы к другим службам.
|
|
- Если компонент Database Engine работает с учетной записью домена, выполняется ли регулярная смена пароля учетной записи?
Совет. В Windows 7 и Windows Server 2008 R2 рекомендуется запускать компонент Database Engine с управляемой учетной записью службы, чтобы управление паролем выполнялось доменом. Удачным выбором будет запись Сетевая служба. Дополнительные сведения об управляемых учетных записях службы см. в разделе Пошаговое руководство по учетным записям служб.
|
|
- Настроено ли в именованных экземплярах компонента Database Engine прослушивание фиксированного порта?
Совет. Использование фиксированных портов позволяет открыть в брандмауэре только нужный порт. Для настройки фиксированных портов используйте диспетчер конфигурации SQL Server. Дополнительные сведения см. в разделе Configuring a Fixed Port.
|
|
- Настроен ли аудит входа для хранения записи о неуспешных попытках входа?
Совет. Выполните настройку с помощью свойств сервера (страница «Безопасность») в среде Среда SQL Server Management Studio.
|
|
- Настроен ли в SQL Server аудит неуспешных попыток входа?
Совет. Дополнительные сведения см. в разделе Основные сведения о подсистеме аудита SQL Server.
|
|
- Удалены ли лишние и устаревшие имена входа из компонента Database Engine?
Совет. Для этого может потребоваться периодически выполнять проверку вручную. Обеспечение доступа главным образом посредством групп Windows упрощает эту задачу.
|
Параметры клиентов
|
- Настроены клиенты для подключения только с использованием протокола SSL?
Совет. Используйте параметр клиента Принудительное шифрование протокола в диспетчере конфигурации SQL Server. Дополнительные сведения см. в разделе Как включить шифрование соединений с компонентом Database Engine (диспетчер конфигурации SQL Server).
|
|
- Настроены ли клиенты для подключения с использованием учетных записей, имеющих минимальный набор прав для бизнес-задачи?
Совет. Приложения не должны подключаться с использованием учетных записей, входящих в предопределенную роль сервера sysadmin или роль базы данных dbo_owner. Настройка приложений для подключения с использованием учетных записей, обладающих ограниченными правами, снижает риск проблем с приложениями, таких как атака путем внедрения кода SQL.
|
|
- Используют ли администраторы для подключения имена входа Windows вместо учетной записи sa?
Совет. Учетные записи Windows, входящие в предопределенную роль сервера sysadmin, имеют те же права, что и учетная запись sa. Если администраторы используют имена входа Windows, то их можно различать и проводить аудит входа. Если используется учетная запись sa, то не всегда можно определить, кто из администраторов выполнил то или иное действие. Рекомендуется отключить учетную запись sa при использовании проверки подлинности в смешанном режиме.
|
|
- Выполняют ли администраторы подключение с учетными записями, имеющими меньший набор прав, когда не выполняются административные действия?
Совет. Сокращение числа административных соединений снижает риск ошибок и злонамеренных действий. Для пользователей, которым редко требуется административный доступ, рекомендуется создать учетные записи с меньшим набором прав.
|
Параметры операционной системы
См. также
Основные понятия