Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Безопасность важна для каждого продукта и каждого бизнеса. Следуя простым рекомендациям, можно избежать многих уязвимостей безопасности. В этом разделе рассматриваются некоторые рекомендации по обеспечению безопасности, которые следует учитывать перед установкой SQL Server и после установки SQL Server. Рекомендации по безопасности для конкретных функций включены в справочные разделы для этих функций.
Перед установкой SQL Server
Следуйте приведенным ниже рекомендациям при настройке среды сервера:
Повышение физической безопасности
Физическая и логическая изоляция составляют основу безопасности SQL Server. Чтобы повысить физическую безопасность установки SQL Server, выполните следующие задачи:
Поместите сервер в комнату, доступную только авторизованным лицам.
Поместите компьютеры, на которых размещена база данных в физическом защищенном расположении, в идеале заблокированная компьютерная комната с отслеживаемой системой обнаружения наводнений и обнаружения пожаров или подавления.
Установите базы данных в защищенной зоне корпоративной интрасети и не подключайте серверы SQL Server непосредственно к Интернету.
Регулярно выполняйте резервное копирование всех данных и храните резервные копии вне рабочей площадки.
Использование брандмауэров
Брандмауэры важны для защиты установки SQL Server. Брандмауэры будут наиболее эффективными при выполнении следующих рекомендаций:
Разместите брандмауэр между сервером и Интернетом. Включите брандмауэр. Если брандмауэр отключен, включите его. Если брандмауэр включен, не отключите его.
Разделите сеть на зоны безопасности, разделенные брандмауэрами. Блокировать весь трафик, а затем выборочно признать только то, что требуется.
В многоуровневой среде используйте несколько брандмауэров для создания экранированных подсетей.
При установке сервера в домене Windows настройте внутренние брандмауэры, чтобы разрешить проверку подлинности Windows.
Если приложение использует распределенные транзакции, может потребоваться настроить брандмауэр, чтобы разрешить трафик координатору распределенных транзакций (MS DTC) передаваться между отдельными экземплярами MS DTC. Кроме того, необходимо настроить брандмауэр, чтобы разрешить трафик между MS DTC и диспетчерами ресурсов, такими как SQL Server.
Дополнительные сведения о настройках брандмауэра Windows по умолчанию и описание портов TCP, влияющих на компонент Database Engine, службы Analysis Services, службы Reporting Services и службы Integration Services, см. в разделе Настройка брандмауэра Windows для разрешения доступа к SQL Server.
Изоляция служб
Изоляция служб снижает риск того, что одна скомпрометированная служба может использоваться для компрометации других. Чтобы изолировать сервисы, следуйте следующим рекомендациям.
- Запустите отдельные службы SQL Server в отдельных учетных записях Windows. По возможности используйте отдельные учетные записи пользователей с низким уровнем прав windows или локальных пользователей для каждой службы SQL Server. Дополнительные сведения см. в статье Настройка учетных записей службы Windows и разрешений.
Настройка защищенной файловой системы
Использование правильной файловой системы повышает безопасность. Для установок SQL Server необходимо выполнить следующие задачи:
Используйте файловую систему NTFS (NTFS). NTFS является предпочтительной файловой системой для установки SQL Server, так как она является более стабильной и восстанавливаемой, чем файловые системы FAT. NTFS также включает такие параметры безопасности, как списки управления доступом к файлам и каталогам (ACL) и шифрование файловой системы (EFS). Во время установки SQL Server установит соответствующие списки управления доступом в разделах реестра и файлах, если он обнаруживает NTFS. Эти разрешения не должны быть изменены. Будущие выпуски SQL Server могут не поддерживать установку на компьютерах с файловыми системами FAT.
Замечание
При использовании EFS файлы базы данных будут зашифрованы под удостоверением учетной записи под управлением SQL Server. Только эта учетная запись сможет расшифровать файлы. Если необходимо изменить учетную запись, на которой выполняется SQL Server, необходимо сначала расшифровать файлы под старой учетной записью, а затем повторно зашифровать их под новой учетной записью.
Используйте избыточный массив независимых дисков (RAID) для критически важных файлов данных.
Отключение NetBIOS и Server Message Block (SMB)
Серверы в сети периметра должны иметь все ненужные протоколы отключенными, включая NetBIOS и блок сообщений сервера (SMB).
NetBIOS использует следующие порты:
UDP/137 (служба имен NetBIOS)
UDP/138 (служба датаграмм NetBIOS)
TCP/139 (служба сеансов NetBIOS)
SMB использует следующие порты:
TCP/139
TCP/445
Веб-серверы и DNS-серверы не требуют NetBIOS или SMB. На этих серверах отключите оба протокола, чтобы уменьшить угрозу перечисления пользователей.
Установка SQL Server на контроллере домена
По соображениям безопасности рекомендуется не устанавливать SQL Server 2014 на контроллер домена. Программа установки SQL Server не блокирует установку на компьютере, который является контроллером домена, но применяются следующие ограничения:
Службы SQL Server нельзя запускать на контроллере домена в локальной учетной записи службы.
После установки SQL Server на компьютере невозможно изменить компьютер с члена домена на контроллер домена. Перед изменением хост-компьютера на контроллер домена необходимо удалить SQL Server.
После установки SQL Server на компьютере невозможно изменить компьютер с контроллера домена на член домена. Перед тем как изменить хост-компьютер, чтобы он стал членом домена, необходимо удалить SQL Server.
Экземпляры отказоустойчивого кластера SQL Server не поддерживаются, где узлы кластера являются контроллерами домена.
Программа установки SQL Server не может создавать группы безопасности или подготавливать учетные записи службы SQL Server на контроллере домена только для чтения. В этом сценарии установка завершится неудачей.
Во время или после установки SQL Server
После установки вы можете повысить безопасность установки SQL Server, выполнив следующие рекомендации, касающиеся учетных записей и режимов проверки подлинности:
Учетные записи служб
Запустите службы SQL Server с помощью самых низких возможных разрешений.
Связывание служб SQL Server с учетными записями локальных пользователей Windows с низким уровнем привилегий или учетными записями пользователей домена.
Дополнительные сведения см. в статье Настройка учетных записей службы Windows и разрешений.
Режим проверки подлинности
Требовать проверку подлинности Windows для подключений к SQL Server.
Используйте проверку подлинности Kerberos. Дополнительные сведения см. в разделе Регистрация имени основного участника для соединений Kerberos.
Надежные пароли
Всегда назначьте надежный пароль учетной
saзаписи.Всегда включите проверку безопасности и срока действия политики паролей.
Всегда используйте надежные пароли для всех имен входа SQL Server.
Это важно
Во время установки SQL Server Express для группы BUILDIN\Users добавляется имя входа. Это позволяет всем пользователям, прошедшим проверку подлинности, получить доступ к экземпляру SQL Server Express в качестве члена общедоступной роли. Имя входа BUILTIN\Users можно безопасно удалить, чтобы ограничить доступ к ядру СУБД пользователям компьютера, у которых есть индивидуальные логины, или членам других групп Windows с логинами.
См. также
Требования к оборудованию и программному обеспечению для установки SQL Server 2014
Сетевые протоколы и библиотеки
Зарегистрируйте имя учетной записи службы для подключений Kerberos