Вопросы безопасности для установки SQL Server

Применимо к:SQL Server в Windows

Безопасность является важной характеристикой для любого продукта и любого предприятия. Следуя простым рекомендациям, можно избежать многих уязвимостей в безопасности. В этой статье рассматриваются некоторые рекомендации по обеспечению безопасности, которые следует учитывать перед установкой SQL Server и после установки SQL Server. Сведения о безопасности для конкретных компонентов приводятся в справочных статьях по этим компонентам.

Перед установкой SQL Server

При настройке среды сервера выполняйте следующие рекомендации.

• Повышение физической безопасности
• Использование брандмауэров
• Изолирование сервисов
• Настройка безопасной файловой системы
• Отключение протоколов NetBIOS и SMB
• Install SQL Server на контроллере домена

Повышение физической безопасности

Физическая и логическая изоляция формируют основу безопасности SQL Server. Чтобы повысить физическую безопасность установки SQL Server, выполните следующие задачи:

• Установите сервер в помещении, недоступном для посторонних.

• Установите компьютеры, на которых размещены базы данных, в физически защищенных местах, идеальным вариантом является запертая компьютерная комната с системой электромагнитного и противопожарного контроля или системой подавления помех.

• Установите базы данных в безопасной зоне корпоративной интрасети и не подключайте экземпляры SQL Server непосредственно к Интернету.

• Регулярно создавайте резервные копии данных и храните их в безопасном месте за пределами расположения компьютера.

Использование брандмауэров

Брандмауэры важны для защиты SQL Server установки. Брандмауэры наиболее эффективны при выполнении следующих рекомендаций:

• Установите брандмауэр между сервером и Интернетом. Разрешите работу брандмауэра. Если ваш файрвол отключен, включите его. Если брандмауэр включен, не отключите его.

• Разделите сеть на зоны безопасности, разделенные брандмауэрами. Заблокируйте весь поток данных, после чего разрешите только необходимый.

• В многоуровневой среде используйте несколько брандмауэров для создания экранированных подсетей.

• При установке сервера в домене Windows настройте внутренние брандмауэры, чтобы разрешить Windows Authentication.

• Если приложение использует распределенные транзакции, может потребоваться настроить брандмауэр, чтобы разрешить трафик координатору распределенных транзакций (MS DTC) передаваться между отдельными экземплярами MS DTC. Кроме того, необходимо настроить брандмауэр, чтобы разрешить трафик между MS DTC и диспетчерами ресурсов, такими как SQL Server.

Дополнительные сведения о параметрах брандмауэра Windows по умолчанию и описании TCP-портов, которые влияют на Database Engine, службы Analysis Services, службы Reporting Services и службы Integration Services, см. в разделе Настройка брандмауэра Windows для разрешения доступа SQL Server.

Изоляция служб

Изолирование служб уменьшает риск того, что подвергнувшаяся опасности служба подвергнет опасности другие службы. Чтобы изолировать службы, следуйте приведенным ниже рекомендациям.

• Запустите отдельные службы SQL Server в отдельных учетных записях Windows. По возможности используйте отдельные учетные записи пользователей с низким уровнем прав windows или локальных пользователей для каждой службы SQL Server. Дополнительные сведения см. в статье Настройка учетных записей службы Windows и разрешений.

Настройка безопасной файловой системы

Правильный выбор файловой системы повышает уровень безопасности. Для SQL Server установки выполните следующие задачи:

Используйте файловую систему NT (NTFS) или отказоустойчивую файловую систему (ReFS). NTFS и ReFS являются рекомендуемыми файловыми системами для установки SQL Server, так как они являются более стабильными и восстанавливаемыми, чем файловые системы FAT32. NTFS или ReFS также позволяют включить такие параметры безопасности, как списки контроля доступа для файлов и каталогов (ACL). NTFS также поддерживает шифрованную файловую систему (EFS) — шифрование файлов. Во время установки SQL Server задает соответствующие списки управления доступом в разделах реестра и файлах, если он обнаруживает NTFS. Не изменяйте эти разрешения. Будущие выпуски SQL Server могут не поддерживать установку на компьютерах с файловыми системами FAT.

Отключение протоколов NetBIOS и SMB

Отключите все ненужные протоколы на серверах в сети периметра, включая NetBIOS и блок сообщений сервера (SMB).

NetBIOS использует следующие порты:

• UDP/137 (служба имен NetBIOS);
• UDP/138 (служба дейтаграмм NetBIOS);
• TCP/139 (служба сеанса NetBIOS).

SMB использует следующие порты:

• TCP/139
• TCP/445

Веб-серверы и DNS-серверы не требуют NetBIOS или SMB. Отключите на них оба протокола, чтобы снизить угрозу раскрытия списка пользователей.

Установка SQL Server на контроллере домена

По соображениям безопасности не устанавливайте SQL Server на контроллере домена. Программа установки SQL Server не блокирует установку на компьютере, который является контроллером домена, но применяются следующие ограничения.

• Нельзя запускать службы SQL Server на контроллере домена в локальной учетной записи службы.

• После установки SQL Server на компьютере невозможно изменить компьютер с члена домена на контроллер домена. Перед изменением хост-компьютера на контроллер домена необходимо удалить SQL Server.

• После установки SQL Server на компьютере невозможно изменить компьютер с контроллера домена на член домена. Перед преобразованием компьютера из хоста в доменный участник необходимо удалить SQL Server.

• SQL Server экземпляры отказоустойчивого кластера не поддерживаются, где узлы кластера являются контроллерами домена.

• Установка SQL Server не может создавать группы безопасности и учетные записи службы SQL Server на контроллере домена только для чтения. В этом сценарии установка завершается сбоем.

Убедитесь, что необходимые права пользователя назначены для успешной установки

Для установки требуется, чтобы следующие права пользователя были предоставлены учетной записи, в которой установлен SQL Server:

• Резервные копии файлов и каталогов
• Отладка программ
• Управление журналом аудита и безопасности

Эти привилегии пользователей обычно предоставляются локальной группе администраторов (BUILTIN\Administrators). В большинстве случаев вам не нужно предпринимать никаких действий, чтобы назначить их. Однако если политика безопасности отменяет эти привилегии, убедитесь, что они назначены правильно или программа установки SQL Server завершается сбоем со следующей ошибкой:

The account that is running SQL Server Setup doesn't have one or all of the following rights: the right to back up files and directories, the right to manage auditing and the security log and the right to debug programs. To continue, use an account with both of these rights.

Во время или после установки SQL Server

После установки улучшите безопасность установки SQL Server, следуя приведенным ниже рекомендациям в отношении учетных записей и режимов проверки подлинности:

учетные записи служб;

• Запустите службы SQL Server с помощью самых низких возможных разрешений.

• Свяжите службы SQL Server с учетными записями локальных пользователей Windows с низким уровнем привилегий или учетными записями пользователей домена.

• Дополнительные сведения см. в статье Настройка учетных записей службы Windows и разрешений.

Режим проверки подлинности

• Требовать Windows Authentication для подключений к SQL Server.

• Используйте проверку подлинности Kerberos. Дополнительные сведения см. в разделе "Регистрация имени службы для подключений Kerberos".

Надежные пароли

• Всегда назначайте надежный пароль для учетной записи sa .
• Всегда включайте проверку политики паролей для определения надежности и срока действия пароля.
• Обязательно используйте надежные пароли для всех учётных записей SQL Server.

Связанный контент

• требования к аппаратным и программным требованиям для SQL Server 2022
• Сетевые протоколы и библиотеки
• Регистрация имени субъекта-службы для подключений Kerberos