Вопросы безопасности при установке SQL Server
Область применения: SQL Server — только Для Windows
Безопасность является важной характеристикой для любого продукта и любого предприятия. Следуя простым рекомендациям, можно избежать многих уязвимостей в безопасности. В этой статье рассматриваются некоторые рекомендации по обеспечению безопасности, которые следует учитывать перед установкой SQL Server и после установки SQL Server. Сведения о безопасности для конкретных компонентов приводятся в справочных статьях по этим компонентам.
Перед установкой SQL Server
При настройке среды сервера выполняйте следующие рекомендации.
- Повышение физической безопасности
- Использование брандмауэров
- Изолирование служб
- Настройка безопасной файловой системы
- Отключение протоколов NetBIOS и SMB
- Установка SQL Server на контроллере домена
Повышение физической безопасности
Физическая и логическая изоляция составляют основу безопасности SQL Server. Чтобы повысить физическую безопасность установки SQL Server, выполните следующие задачи:
Установите сервер в помещении, недоступном для посторонних.
Установите компьютеры, на которых размещены базы данных, в физически защищенных местах, идеальным вариантом является запертая компьютерная комната с системой электромагнитного и противопожарного контроля или системой подавления помех.
Установите базы данных в безопасной зоне корпоративной интрасети и не подключайте экземпляры SQL Server непосредственно к Интернету.
Регулярно создавайте резервные копии данных и храните их в безопасном месте за пределами расположения компьютера.
Использование брандмауэров
Брандмауэры важны для защиты установки SQL Server. Брандмауэры будут более эффективны, если следовать приведенным ниже правилам.
Установите брандмауэр между сервером и Интернетом. Разрешите работу брандмауэра. Если он отключен, включите его. Если он включен, не отключайте.
Разделите сеть на зоны безопасности, разделенные брандмауэрами. Заблокируйте весь поток данных, после чего разрешите только необходимый.
В многоуровневой архитектуре используйте несколько брандмауэров для создания изолированных подсетей.
При установке сервера внутри домена Windows настройте внутренние брандмауэры на разрешение проверки подлинности Windows.
Если приложение использует распределенные транзакции, может потребоваться настроить брандмауэр, чтобы разрешить трафик координатору распределенных транзакций (MS DTC) передаваться между отдельными экземплярами MS DTC. Кроме того, необходимо настроить брандмауэр, чтобы разрешить трафик между MS DTC и диспетчерами ресурсов, такими как SQL Server.
Дополнительные сведения о настройках брандмауэра Windows по умолчанию и описание портов TCP, влияющих на компонент Database Engine, службы Analysis Services, службы Reporting Services и службы Integration Services, см. в разделе Настройка брандмауэра Windows для разрешения доступа к SQL Server.
Изолирование служб
Изолирование служб уменьшает риск того, что подвергнувшаяся опасности служба подвергнет опасности другие службы. Чтобы изолировать службы, следуйте приведенным ниже правилам.
- Запустите отдельные службы SQL Server в отдельных учетных записях Windows. По возможности используйте отдельные учетные записи пользователей с низким уровнем прав windows или локальных пользователей для каждой службы SQL Server. Дополнительные сведения см. в статье Настройка учетных записей службы Windows и разрешений.
Настройка безопасной файловой системы
Правильный выбор файловой системы повышает уровень безопасности. Для установок SQL Server необходимо выполнить следующие задачи:
Используйте файловую систему NT (NTFS) или отказоустойчивую файловую систему (ReFS). NTFS и ReFS являются рекомендуемой файловой системой для установки SQL Server, так как она является более стабильной и восстанавливаемой, чем файловые системы FAT32. В NTFS или ReFS также включены параметры безопасности, такие как списки управления доступом (ACL) к файлам и каталогам. NTFS также поддерживает шифрованную файловую систему (EFS) — шифрование файлов. Во время установки SQL Server установит соответствующие списки управления доступом в разделах реестра и файлах, если он обнаруживает NTFS. Эти разрешения не должны меняться. Будущие выпуски SQL Server могут не поддерживать установку на компьютерах с файловыми системами FAT.
Примечание.
При использовании EFS файлы базы данных будут зашифрованы под удостоверением учетной записи под управлением SQL Server. Только эта учетная запись сможет расшифровать файлы. Если необходимо изменить учетную запись, которая запускает SQL Server, необходимо сначала расшифровать файлы под старой учетной записью, а затем повторно зашифровать их под новой учетной записью службы.
Предупреждение
Использование шифрования файлов с помощью EFS может привести к снижению производительности операций ввода-вывода, так как шифрование приводит к синхронизации асинхронного ввода-вывода. См. раздел Асинхронный дисковый ввод-вывод отображается в Windows как синхронный. Вместо этого можно использовать такие технологии шифрования SQL Server, как прозрачное шифрование данных (TDE), Always Encrypted и функции T-SQL на уровне столбцов.
Отключение протоколов NetBIOS и SMB
На внешних серверах сети должны быть отключены все ненужные протоколы, включая NetBIOS и SMB.
NetBIOS использует следующие порты:
UDP/137 (служба имен NetBIOS);
UDP/138 (служба дейтаграмм NetBIOS);
UDP/139 (служба сеанса NetBIOS).
SMB использует следующие порты:
TCP/139
TCP/445
Веб-серверы и DNS-серверы не требуют наличия NetBIOS или SMB. Отключите на них оба протокола, чтобы снизить угрозу раскрытия списка пользователей.
Установка SQL Server на контроллере домена
По соображениям безопасности рекомендуется не устанавливать SQL Server на контроллере домена. Программа установки SQL Server не блокирует установку на компьютере, который является контроллером домена, но применяются следующие ограничения:
Службы SQL Server нельзя запускать на контроллере домена в локальной учетной записи службы.
После установки SQL Server на компьютере невозможно изменить компьютер с члена домена на контроллер домена. Перед изменением хост-компьютера на контроллер домена необходимо удалить SQL Server.
После установки SQL Server на компьютере невозможно изменить компьютер с контроллера домена на член домена. Перед изменением узла компьютера на член домена необходимо удалить SQL Server.
Экземпляры отказоустойчивого кластера SQL Server не поддерживаются, где узлы кластера являются контроллерами домена.
Программа установки SQL Server не может создавать группы безопасности или подготавливать учетные записи службы SQL Server на контроллере домена только для чтения. В такой ситуации программа установки завершается ошибкой.
Во время или после установки SQL Server
После установки вы можете повысить безопасность установки SQL Server, выполнив следующие рекомендации, касающиеся учетных записей и режимов проверки подлинности:
учетные записи служб;
Запустите службы SQL Server с помощью самых низких возможных разрешений.
Связывание служб SQL Server с учетными записями локальных пользователей Windows с низким уровнем привилегий или учетными записями пользователей домена.
Дополнительные сведения см. в статье Настройка учетных записей службы Windows и разрешений.
Режим проверки подлинности
Требовать проверку подлинности Windows для подключений к SQL Server.
Используйте проверку подлинности Kerberos. Дополнительные сведения см. в разделе Регистрация имени участника-службы для соединений Kerberos.
Надежные пароли
Всегда назначайте надежный пароль для учетной записи sa .
Всегда включайте проверку политики паролей для определения надежности и срока действия пароля.
Всегда используйте надежные пароли для всех имен входа SQL Server.
Внимание
Во время установки SQL Server Express для группы BUILDIN\Users добавляется имя входа. Это позволяет всем пользователям, прошедшим проверку подлинности, получить доступ к экземпляру SQL Server Express в качестве члена общедоступной роли. Имя входа BUILDIN\Users можно безопасно удалить, чтобы ограничить ядро СУБД доступ к пользователям компьютера, у которых есть отдельные имена входа или члены других групп Windows с именами входа.
См. также
Требования к оборудованию и программному обеспечению для установки SQL Server
Сетевые протоколы и библиотеки
Регистрация имя участника-службы для соединений Kerberos