Siguranța este o caracteristică importantă pentru orice produs și orice întreprindere. În urma recomandărilor simple, puteți evita multe vulnerabilități de securitate. Această secțiune prezintă câteva dintre cele mai bune practici de securitate care trebuie respectate atât înainte, cât și după instalarea serverului SQL. Informații de siguranță pentru anumite componente sunt furnizate în secțiunile de ajutor pentru aceste componente.
Când configurați mediul serverului, urmați aceste instrucțiuni.
Îmbunătățirea securității fizice
Izolarea fizică și logică reprezintă baza securității SQL Server. Pentru a îmbunătăți securitatea instalărilor SQL Server, urmați acești pași:
Instalați serverul într-o cameră care nu este disponibilă pentru cei din afară.
Instalați calculatoarele pe care sunt amplasate bazele de date în locuri securizate din punct de vedere fizic, opțiunea ideală este o cameră de calculator blocată cu un sistem de control electromagnetic și de incendiu sau un sistem de anulare a interferențelor.
Instalați bazele de date în zona securizată a rețelei corporative și nu conectați direct instanțele SQL Server la Internet.
Actualizați în mod regulat datele și stocați-le într-un loc sigur în afara calculatorului.
Utilizarea firewall-urilor
Firewall-urile joacă un rol important în asigurarea instalării SQL Server. Firewall-urile vor fi mai eficiente dacă respectați regulile de mai jos.
Instalați paravanul de protecție între server și Internet. Permiteți firewall-ului să funcționeze. Dacă este oprit, porniți-l. Dacă este pornit, nu deconectați-l.
Împărțiți rețeaua în zone de securitate separate de firewall-uri. Blocați întregul flux de date, apoi permiteți numai datele solicitate.
Într-o arhitectură pe mai multe niveluri, utilizați mai multe firewall-uri pentru a crea subrețele izolate.
Când instalați un server într-un domeniu Windows, configurați firewall-urile interne pentru a permite autentificarea Windows.
Pentru mai multe informații despre parametrii implicit Windows Firewall, precum și porturile TCP, pe care activitatea componentei componente Database Engine, precum și serviciile Analysis Services Service, Reporting Services Serviciul și servicii de integrare, a se vedea., Consultați Setările pentru firewall Windows pentru a permite accesul la SQL Server.
Servicii de izolare
Izolarea serviciilor reduce riscul ca serviciul pe cale de dispariție să pună în pericol alte servicii. Pentru a izola serviciile, urmați regulile de mai jos.
Executați diferite servicii SQL Server sub diferite conturi Windows. Dacă este posibil, utilizați conturi separate Windows sau conturi locale de utilizator pentru fiecare dintre serviciile SQL Server cu cele mai puține drepturi posibile. Pentru informații suplimentare, consultați Configurarea conturilor și permisiunilor pentru servicii Windows.
Configurarea unui sistem de fișiere securizat
Alegerea sistemului de fișiere potrivit crește nivelul de securitate. Pentru a instala SQL Server, urmați acești pași:
Utilizați sistemul de fișiere NTFS. Este recomandat să instalați SQL Server pe un sistem de fișiere NTFS, deoarece oferă mai multă stabilitate și recuperare decât sistemele de fișiere FAT. În plus, NTFS implementează accesul la fișiere și controlul accesului la director (ACL), criptarea sistemului de fișiere (EFS) și alte caracteristici de securitate. În timpul instalării, SQL Server va instala ACL-urile necesare cheilor de registry și fișiere dacă programul de instalare detectează NTFS. Aceste autorizații nu ar trebui modificate. Versiunile viitoare ale serverului SQL nu acceptă instalarea pe computerele cu sistemul de fișiere FAT.
Utilizați o matrice de discuri (RAID) pentru cele mai importante fișiere de date.
Dezactivarea protocoalelor NetBIOS și SMB
Pe serverele externe ale rețelei, toate protocoalele inutile, inclusiv NetBIOS și SMB, trebuie să fie dezactivate.
NetBIOS utilizează următoarele porturi:
UDP / 137 (serviciu de nume NetBIOS);
UDP / 138 (serviciu datagrame NetBIOS);
UDP / 139 (serviciul de sesiuni NetBIOS).
SMB utilizează următoarele porturi:
Serverele web și serverele DNS nu necesită prezența NetBIOS sau SMB. Dezactivați ambele protocoale pentru a reduce amenințarea la dezvăluirea listei de utilizatori.
Instalarea serverului SQL pe un controler de domeniu
Nu puteți porni serviciile SQL Server pe un controler de domeniu din contul de serviciu local.
După instalarea SQL Server, computerul care este membru al domeniului nu poate fi creat un controler de domeniu. Înainte de aceasta, va trebui să dezinstalați SQL Server.
După instalarea serverului SQL, computerul care este controlerul de domeniu nu poate deveni membru al domeniului. Înainte de aceasta, va trebui să dezinstalați SQL Server.
SQL Server nu acceptă instanțe ale unui cluster de eroare, unde nodurile de cluster sunt controlori de domeniu.
Programul de instalare SQL Server nu poate crea grupuri de securitate sau să pregătească conturi de servicii SQL Server pe un controler de domeniu numai pentru citire. În această situație, programul de instalare nu reușește.