Sicherheitsüberlegungen für eine SQL Server-Installation

Sicherheit spielt nicht nur für Microsoft SQL Server und Microsoft eine wichtige Rolle, sondern für jedes Produkt und jede Art von Unternehmen. Indem Sie einige einfache bewährte Methoden verwenden, können Sie viele Sicherheitsrisiken vermeiden. In diesem Thema werden einige bewährte Sicherheitsmethoden behandelt, die Sie vor dem Installieren von SQL Server und nach dem Installieren von SQL Server anwenden sollten. Sicherheitshinweise für bestimmte Features sind in den Referenzthemen für diese Features enthalten.

Vor dem Installieren von SQL Server

Folgen Sie diesen bewährten Methoden, wenn Sie die Serverumgebung einrichten:

  • Erhöhen der physikalischen Sicherheit
  • Verwenden von Firewalls
  • Isolieren von Diensten
  • Erstellen von Dienstkonten mit geringsten Privilegien
  • Deaktivieren von NetBIOS und Server Message Block

Erhöhen der physikalischen Sicherheit

Physikalische und logische Isolation bilden die Basis der Sicherheit von SQL Server. Führen Sie die folgenden Aufgaben aus, um die physikalische Sicherheit der SQL Server-Installation zu erhöhen:

  • Platzieren Sie den Server in einem Raum, den nur autorisierte Benutzer betreten dürfen.
  • Stellen Sie Computer, die Datenbanken hosten, an physikalisch geschützten Orten auf. Im Idealfall sollte dies ein verschlossener Computerraum mit Systemen für Überschwemmungsschutz und Feuererkennung bzw. Brandbekämpfung sein.
  • Installieren Sie Datenbanken in der sicheren Zone des Intranets im Unternehmen und ohne direkte Verbindung mit dem Internet.
  • Führen Sie regelmäßig Datensicherungen durch, und bewahren Sie die Kopien an einem sicheren Ort außerhalb des Unternehmensgebäudes auf.

Verwenden von Firewalls

Firewalls sind ein wichtiger Bestandteil, wenn es um die Sicherung der SQL Server-Installation geht. Sie bieten den wirksamsten Schutz, wenn Sie die folgenden Richtlinien beachten:

  • Richten Sie zwischen Server und Internet eine Firewall ein.
  • Unterteilen Sie das Netzwerk in Sicherheitszonen, die durch Firewalls voneinander getrennt sind. Blockieren Sie zunächst sämtlichen Datenverkehr, und lassen Sie anschließend nur ausgewählte Verbindungen zu.
  • Verwenden Sie in einer mehrstufigen Umgebung mehrere Firewalls, um Umkreisnetzwerke zu erstellen.
  • Wenn Sie den Server in einer Windows-Domäne installieren, konfigurieren Sie innere Firewalls so, dass die Windows-Authentifizierung zulässig ist.
  • Deaktivieren Sie in einer Windows-Domäne, in der es sich bei allen Windows-Versionen um Windows XP bzw. Windows Server 2003 oder höher handelt, die NTLM-Authentifizierung. .
  • Wenn Ihre Anwendung verteilte Transaktionen verwendet, müssen Sie die Firewall möglicherweise so konfigurieren, dass MS DTC-Datenverkehr (Microsoft Distributed Transaction Coordinator) zwischen separaten MS DTC-Instanzen sowie zwischen MS DTC und Ressourcen-Managern wie SQL Server übermittelt werden kann.

Isolieren von Diensten

Durch das Isolieren von Diensten reduzieren Sie das Risiko, dass durch einen gefährdeten Dienst andere Dienste ebenfalls gefährdet werden. Beachten Sie beim Isolieren von Diensten die folgenden Richtlinien:

  • Installieren Sie nach Möglichkeit SQL Server nicht auf einem Domänencontroller.
  • Führen Sie separate SQL Server-Dienste unter separaten Windows-Konten aus.
  • Führen Sie in einer mehrstufigen Umgebung Web- und Geschäftslogik auf getrennten Computern aus.

Erstellen von Dienstkonten mit geringsten Privilegien

Das SQL Server-Setup konfiguriert das Dienstkonto bzw. die Dienstkonten automatisch mit den spezifischen für SQL Server erforderlichen Berechtigungen. Beim Ändern oder Konfigurieren der Windows-Dienste, die von SQL Server 2005 verwendet werden, sollten Sie nur die erforderlichen Berechtigungen erteilen. Weitere Informationen finden Sie unter Einrichten von Windows-Dienstkonten.

Deaktivieren von NetBIOS und Server Message Block

Für Server im Umkreisnetzwerk sollten alle nicht erforderlichen Protokolle deaktiviert sein, einschließlich NetBIOS und Server Message Block (SMB).

NetBIOS verwendet die folgenden Ports:

  • UDP/137 (NetBIOS-Namensdienst)
  • UDP/138 (NetBIOS-Datagrammdienst)
  • TCP/139 (NetBIOS-Sitzungsdienst)

SMB verwendet die folgenden Ports:

  • TCP/139
  • TCP/445

Für Webserver und DNS-Server (Domain Name System) ist die Verwendung von NetBIOS oder SMB nicht erforderlich. Deaktivieren Sie auf diesen Servern beide Protokolle, um das Risiko eines Angriffs durch Aufzählen von Benutzern zu minimieren. Weitere Informationen zum Deaktivieren dieser Protokolle finden Sie unter Vorgehensweise: Deaktivieren von NetBIOS über TCP/IP und Vorgehensweise: Deaktivieren von Server Message Block.

Nach dem Installieren von SQL Server

Nach der Installation können Sie die Sicherheit der SQL Server-Installation erhöhen, indem Sie sich den folgenden bewährten Methoden für Konten und Authentifizierungsmodi folgen:

Dienstkonten

  • Führen Sie SQL Server-Dienste mit den niedrigstmöglichen Privilegien aus.
  • Ordnen Sie SQL Server-Dienste Windows-Konten zu.

Authentifizierungsmodus

  • Setzen Sie die Windows-Authentifizierung für Verbindungen mit SQL Server voraus.

Sichere Kennwörter

  • Weisen Sie dem sa-Konto immer ein sicheres Kennwort zu.
  • Aktivieren Sie immer die Richtlinienüberprüfung für Kennwörter.
  • Verwenden Sie für alle SQL Server-Anmeldungen sichere Kennwörter.

Siehe auch

Andere Ressourcen

Kennwortrichtlinie

Hilfe und Informationen

Informationsquellen für SQL Server 2005