共用方式為

  • 發行項

SQL Server 安裝的安全性考量

安全性對於每一個產品和每一項業務都很重要。只要遵循簡單的最佳作法,就可以避免許多安全性漏洞。本主題會討論一些您在安裝 SQL Server 之前和安裝 SQL Server 之後應該考慮的安全性最佳作法。特定功能的參考主題中會包括那些功能的安全性指南。

安裝 SQL Server 之前

設定伺服器環境時,請遵循這些最佳作法:

  • 加強實體安全性

  • 使用防火牆

  • 隔離服務

  • 設定安全檔案系統

  • 停用 NetBIOS 和伺服器訊息區塊

加強實體安全性

實體和邏輯隔離,構成 SQL Server 安全性的基礎。若要加強 SQL Server 安裝的實體安全性,請執行下列工作:

  • 將伺服器放在只有獲得授權的人員能夠存取的地點。

  • 將主控資料庫的電腦放在實體保護位置中,最好是有上鎖的電腦機房,裡面有水災偵測和火災偵測或控制系統的監視功能。

  • 在公司內部網路的安全區域中安裝資料庫,而且請勿將 SQL Server 直接連接到網際網路。

  • 定期備份所有資料,並在遠端位置保護備份安全。

使用防火牆

防火牆對於保護 SQL Server 安裝的安全非常重要。如果您遵照這些方針,防火牆將是最有效的:

  • 將防火牆放在伺服器和網際網路之間。啟用您的防火牆。如果防火牆已關閉,請將它開啟。如果防火牆已開啟,請勿將它關閉。

  • 將網路分割成防火牆所隔開的安全區域。封鎖所有傳輸,然後選擇性地只准許必要的傳輸。

  • 在多層環境中,請使用多個防火牆來建立篩選的子網路。

  • 當您在 Windows 網域內安裝伺服器時,請設定內部防火牆允許 Windows 驗證。

  • 如果應用程式使用分散式交易,您可能必須設定防火牆,好讓 Microsoft 分散式交易協調器 (MS DTC) 傳輸可以在個別 MS DTC 執行個體之間流動。您也必須設定防火牆,好讓 MS DTC 與資源管理員 (如 SQL Server) 之間的傳輸可以流動。

如需有關預設 Windows 防火牆設定的詳細資訊以及影響 Database Engine、Analysis Services、Reporting Services 和 Integration Services 之 TCP 通訊埠的描述,請參閱<將 Windows 防火牆設定成允許 SQL Server 存取>。

隔離服務

隔離服務減少一個遭到破壞的服務被用來破壤其他服務的風險。若要隔離服務,請考慮下列方針:

  • 在個別 Windows 帳戶下執行個別的 SQL Server 服務。請盡可能針對每一個 SQL Server 服務使用低權限的個別 Windows 或本機使用者帳戶。 如需詳細資訊,請參閱<設定 Windows 服務帳戶>。

設定安全檔案系統

使用正確的檔案系統會增加安全性。如果是 SQL Server 安裝,您應該執行下列工作:

  • 使用 NTFS 檔案系統 (NTFS)。NTFS 是 SQL Server 安裝的慣用檔案系統,因為它比 FAT 檔案系統更穩定,而且具有更高的可復原性。NTFS 也會啟用一些安全性選項,例如檔案和目錄存取控制清單 (ACL) 及加密檔案系統 (EFS) 檔案加密。在安裝期間,SQL Server 將會在偵測到 NTFS 時,對登錄機碼和檔案設定適當的 ACL。這些權限不應該變更。未來的 SQL Server 版本可能不支援在含有 FAT 檔案系統的電腦上安裝。

    [!附註]

    如果您使用 EFS,資料庫檔案將會在執行 SQL Server 的帳戶識別下加密。只有這個帳戶才能夠解密該檔案。如果您必須變更執行 SQL Server 的帳戶,您應該先在舊的帳戶下解密檔案,然後在新的帳戶下重新加密檔案。

  • 針對重要資料檔使用獨立磁碟容錯陣列 (RAID)。

停用 NetBIOS 和伺服器訊息區塊

周邊網路中的伺服器應該停用所有非必要的通訊協定,包括 NetBIOS 和伺服器訊息區塊 (SMB) 在內。

NetBIOS 使用下列通訊埠:

  • UDP/137 (NetBIOS 名稱服務)

  • UDP/138 (NetBIOS 資料包服務)

  • TCP/139 (NetBIOS 工作階段服務)

SMB 使用下列通訊埠:

  • TCP/139

  • TCP/445

Web 伺服器和網域名稱系統 (DNS) 伺服器不需要 NetBIOS 或 SMB。在這些伺服器上,請停用這兩種通訊協定來減少使用者列舉的威脅。

安裝 SQL Server 之後

安裝之後,您可以遵照關於帳戶和驗證模式的這些最佳作法,來加強 SQL Server 安裝的安全性:

服務帳戶

  • 使用可能的最低權限來執行 SQL Server 服務。

  • 將 SQL Server 服務與低權限的 Windows 本機使用者帳戶或網域使用者帳戶產生關聯。

  • 如需詳細資訊,請參閱<設定 Windows 服務帳戶>。

驗證模式

  • 需要 Windows 驗證才能連接到 SQL Server。

  • 使用 Kerberos 驗證。如需詳細資訊,請參閱<註冊服務主要名稱>。

增強式密碼

  • 請務必指派增強式密碼給 sa 帳戶。

  • 一律啟用檢查密碼強度和逾期的密碼原則。

  • 對所有 SQL Server 登入一律使用增強式密碼。如需詳細資訊,請參閱<SQL Server 2008 資料庫管理員的安全性概觀>白皮書 (英文)。

 掌握最新的 SQL Server 安裝和升級資訊

若要取得 Microsoft 的最新下載、文件、影片和疑難排解資訊以及社群中的精選解決方案,請瀏覽 SQL Server 安裝頁面 (英文)。

若要得到這些更新的自動通知,請訂閱該頁面上所提供的 RSS 摘要。