Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Защита SQL Server может рассматриваться как ряд шагов, включающих четыре области: платформу, проверку подлинности, объекты (включая данные) и приложения, которые обращаются к системе. В следующих разделах вы узнаете, как создать и реализовать эффективный план безопасности.
Дополнительные сведения о безопасности SQL Server можно найти на веб-сайте SQL Server . Это включает в себя руководство по рекомендациям и контрольный список безопасности. Этот сайт также предоставляет последнюю информацию о пакете обновления и файлы для загрузки.
Безопасность платформы и сети
Платформа SQL Server включает физические аппаратные и сетевые системы, подключающие клиентов к серверам базы данных, а также двоичные файлы, используемые для обработки запросов к базе данных.
Физическая безопасность
Рекомендации по физической безопасности строго ограничивают доступ к физическим серверам и аппаратным компонентам. Например, используйте заблокированные комнаты с ограниченным доступом для оборудования сервера базы данных и сетевых устройств. Кроме того, ограничьте доступ к носителю резервного копирования, сохраняя его в безопасном расположении вне сайта.
Реализация безопасности физической сети начинается с сохранения несанкционированных пользователей из сети. В следующей таблице содержатся дополнительные сведения о сетевой безопасности.
| Сведения о | Смотри |
|---|---|
| Сетевой доступ к другим выпускам SQL Server и SQL Server Compact | Настройка и защита среды сервера в sql Server Compact Books Online |
Безопасность операционной системы
Пакеты обновления и обновления операционной системы включают важные улучшения безопасности. Примените все обновления и обновления к операционной системе после их тестирования с помощью приложений базы данных.
Брандмауэры также предоставляют эффективные способы реализации безопасности. Логическое значение брандмауэра — это разделитель или ограничение сетевого трафика, который можно настроить для применения политики безопасности данных организации. Если вы используете брандмауэр, вы увеличите безопасность на уровне операционной системы, создав узловую точку, в которой можно сосредоточить меры безопасности. В следующей таблице содержатся дополнительные сведения об использовании брандмауэра с SQL Server.
| Сведения о | Смотри |
|---|---|
| Настройка брандмауэра для работы с SQL Server | настройка брандмауэра Windows для доступа к ядрам СУБД |
| Настройка брандмауэра для работы со службами Integration Services | Настройка параметров брандмауэра Windows для доступа к службам SSIS |
| Настройка брандмауэра для работы с службами Analysis Services | Настройка брандмауэра Windows на разрешение доступа к службам Analysis Services |
| Открытие определенных портов в брандмауэре для включения доступа к SQL Server | Настройка брандмауэра Windows для разрешения доступа к SQL Server |
| Настройка поддержки расширенной защиты для проверки подлинности с помощью привязки канала и привязки службы | Подключение к ядру СУБД с помощью расширенной защиты |
Сокращение области поверхности — это мера безопасности, которая включает остановку или отключение неиспользуемых компонентов. Сокращение площади поверхности помогает повысить безопасность, предоставляя меньше возможностей для потенциальных атак на систему. Ключ к ограничению области поверхности SQL Server включает выполнение обязательных служб, имеющих "наименьшие привилегии", предоставляя службы и пользователям только соответствующие права. В следующей таблице содержатся дополнительные сведения о службах и системных доступах.
| Сведения о | Смотри |
|---|---|
| Службы, необходимые для SQL Server | Настройка учетных записей службы Windows и разрешений |
Если в системе SQL Server используются службы IIS, необходимо выполнить дополнительные действия, чтобы защитить поверхность платформы. В следующей таблице содержатся сведения о SQL Server и службах Internet Information Services.
| Сведения о | Смотри |
|---|---|
| Безопасность IIS с помощью SQL Server Compact | "Безопасность IIS" в SQL Server Compact Books Online |
| Аутентификация служб Reporting Services | Проверка подлинности в службах отчетности |
| Доступ к SQL Server Compact и IIS | Блок-схема безопасности Служб Интернета в SQL Server Compact Books Online |
Безопасность файлов операционной системы SQL Server
SQL Server использует файлы операционной системы для операций и хранилища данных. Для обеспечения безопасности файлов рекомендуется ограничить доступ к этим файлам. В следующей таблице содержатся сведения об этих файлах.
| Сведения о | Смотри |
|---|---|
| Файлы программы SQL Server | Расположение файлов для экземпляров SQL Server по умолчанию и с именами |
Пакеты и обновления для SQL Server предоставляют повышенную безопасность. Чтобы определить последний доступный пакет обновления для SQL Server, см. веб-сайт SQL Server .
Чтобы определить пакет обновления, установленный в системе, можно использовать следующий скрипт.
SELECT CONVERT(char(20), SERVERPROPERTY('productlevel'));
GO
Субъекты и безопасность объектов базы данных
Субъекты — это лица, группы и процессы, которым предоставлен доступ к SQL Server. Защищаемые объекты — это сервер, база данных и объекты, которые содержит база данных. Каждый из них имеет набор разрешений, которые можно настроить для уменьшения области поверхности SQL Server. Следующая таблица содержит сведения об участниках и защищаемых объектах.
| Сведения о | Смотри |
|---|---|
| Пользователи, роли и процессы сервера и базы данных | Субъекты (ядро СУБД) |
| Безопасность объектов сервера и базы данных | Защищаемые объекты |
| Иерархия безопасности SQL Server | Иерархия разрешений (ядро СУБД) |
Шифрование и сертификаты
Шифрование не решает проблемы управления доступом. Однако оно повышает безопасность, ограничивая потерю данных даже в тех редких случаях, когда средства управления доступом удается обойти. Например, если компьютер узла базы данных неправильно настроен и злоумышленник получает конфиденциальные данные, такие как номера кредитных карт, то украденные данные могут быть бесполезными, если он зашифрован. В следующей таблице содержатся дополнительные сведения о шифровании в SQL Server.
| Сведения о | Смотри |
|---|---|
| Иерархия шифрования в SQL Server | Иерархия средств шифрования |
| Реализация безопасных соединений | Включение шифрования соединений в ядре СУБД (диспетчер конфигурации SQL Server) |
| Функции шифрования | Криптографические функции (Transact-SQL) |
Сертификаты — это ключи программного обеспечения, совместно используемые двумя серверами, которые обеспечивают безопасную связь путем строгой проверки подлинности. Вы можете создавать и использовать сертификаты в SQL Server для повышения безопасности объектов и подключений. В следующей таблице содержатся сведения об использовании сертификатов с SQL Server.
| Сведения о | Смотри |
|---|---|
| Создание сертификата для использования SQL Server | СОЗДАТЬ СЕРТИФИКАТ (Transact-SQL) |
| Использование сертификата с зеркальным отображением базы данных | Использование сертификатов для конечной точки зеркального отображения базы данных (Transact-SQL) |
Безопасность приложений
Рекомендации по безопасности SQL Server включают написание защищенных клиентских приложений.
Дополнительные сведения об обеспечении безопасности клиентских приложений на сетевом уровне см. в разделе Client Network Configuration.
Средства безопасности SQL Server, служебные программы, представления и функции
SQL Server предоставляет средства, служебные программы, представления и функции, которые можно использовать для настройки и администрирования безопасности.
Средства безопасности и служебные программы SQL Server
В следующей таблице содержатся сведения о средствах и служебных программах SQL Server, которые можно использовать для настройки и администрирования безопасности.
| Сведения о | Смотри |
|---|---|
| Подключение, настройка и управление SQL Server | Использование среды SQL Server Management Studio |
| Подключение к SQL Server и выполнение запросов в командной строке | Служебная программа sqlcmd |
| Конфигурация сети и управление для SQL Server | Диспетчер конфигурации SQL Server |
| Включение и отключение функций с помощью управления на основе политик | Администрирование серверов с помощью управления на основе политик |
| Управление симметричными ключами для сервера отчетов | Служебная программа rskeymgmt (SSRS) |
Представления и функции каталога безопасности SQL Server
Ядро СУБД предоставляет сведения о безопасности в нескольких представлениях и функциях, оптимизированных для производительности и служебной программы. В следующей таблице содержатся сведения о представлениях и функциях безопасности.
| Сведения о | Смотри |
|---|---|
| Представления каталога безопасности SQL Server, возвращающие сведения о разрешениях уровня базы данных и уровня сервера, субъектах, ролях и т. д. Кроме того, существуют представления каталога, содержащие сведения о ключах шифрования, сертификатах и учетных данных. | Представления каталога безопасности (Transact-SQL) |
| Функции безопасности SQL Server, возвращающие сведения о текущем пользователе, разрешениях и схемах. | Функция безопасности (Transact-SQL) |
| Динамические административные представления SQL Server. | Динамические административные представления и функции, связанные с безопасностью (Transact-SQL) |
Связанные материалы
Вопросы безопасности при установке SQL Server
Центр безопасности для ядра СУБД SQL Server и Базы данных Azure SQL