SQL Server インストールのセキュリティに関する注意点

Microsoft SQL Server や Microsoft にとってだけではなく、あらゆる製品、あらゆる企業にとってセキュリティは重要です。単純なベスト プラクティスに従うことで、多くのセキュリティの脆弱性を避けることができます。ここでは、SQL Server をインストールする前とインストールした後の両方で採用すべき、いくつかのセキュリティ対策について説明します。特定の機能のセキュリティについては、その機能の参照トピックで説明しています。

SQL Server をインストールする前

サーバー環境をセットアップする場合、次のベスト プラクティスに従ってください。

  • 物理的なセキュリティの強化
  • ファイアウォールの使用
  • サービスの分離
  • 最小限の権限を与えたサービス アカウントの作成
  • NetBIOS とサーバー メッセージ ブロックの無効化

物理的なセキュリティの強化

SQL Server のセキュリティは、物理的な分離と論理的な分離に基づいています。SQL Server インストールの物理的なセキュリティを強化するには、次のタスクを実行します。

  • 無許可の人が入れない部屋にサーバーを配置します。
  • データベースをホストするコンピュータを物理的に保護された場所に配置します。水位報知器および火災報知器や消火システムによって監視された、鍵がかかるコンピュータ ルームが理想的です。
  • データベースは、企業イントラネットの安全なゾーンにインストールします。決してインターネットに直接接続しないでください。
  • すべてのデータを定期的にバックアップし、コピーを拠点外の場所に保存します。

ファイアウォールの使用

ファイアウォールは、SQL Server インストールのセキュリティ確保に重要です。次のガイドラインに従った場合、ファイアウォールが最も効果的になります。

  • ファイアウォールをサーバーとインターネットの間に配置します。
  • ファイアウォールでネットワークをセキュリティ ゾーンに分割します。すべてのトラフィックをブロックした後、必要なトラフィックのみを選択的に許可します。
  • 多層環境では、複数のファイアウォールを使用してスクリーンド サブネットを作成します。
  • Windows ドメイン内にサーバーをインストールする場合は、Windows 認証を可能にする内部ファイアウォールを構成します。
  • Windows ドメインで、Windows のすべてのバージョンが Windows XP または Windows Server 2003 以降である場合は、NTLM 認証を無効にします。 .
  • アプリケーションで分散トランザクションを使用する場合は、Microsoft 分散トランザクション コーディネータ (MS DTC) トラフィックが、各 MS DTC インスタンス間、および SQL Server などのリソース マネージャと MS DTC との間を流れるように、ファイアウォールを構成します。

サービスの分離

サービスを分離すると、いずれかのサービスが停止した場合でも、その他のサービスに影響が及ぶのを防ぐことができます。サービスを分離するには、次のガイドラインに従ってください。

  • できる限り、SQL Server をドメイン コントローラにインストールしないでください。
  • 各 SQL Server サービスを個別の Windows アカウントで実行します。
  • 多層環境では、Web ロジックとビジネス ロジックを個別のコンピュータで実行します。

最低限の権限を持たせたサービス アカウントの作成

SQL Server のセットアップでは、SQL Server に必要な特定の権限が設定されたサービス アカウントが自動的に構成されます。SQL Server 2005 で使用される Windows サービスを変更または構成するときには、必要な権限のみを許可する必要があります。詳細については、「Windows サービス アカウントの設定」を参照してください。

NetBIOS とサーバー メッセージ ブロックの無効化

境界領域ネットワーク内のサーバーでは、NetBIOS とサーバー メッセージ ブロック (SMB) を含め、不要なプロトコルをすべて無効にする必要があります。

NetBIOS には次のポートを使用します。

  • UDP/137 (NetBIOS ネーム サービス)
  • UDP/138 (NetBIOS データグラム サービス)
  • TCP/139 (NetBIOS セッション サービス)

SMB には次のポートを使用します。

  • TCP/139
  • TCP/445

Web サーバーとドメイン ネーム システム (DNS) サーバーは NetBIOS と SMB をいずれも必要としません。これらのサーバーでは、両方のプロトコルを無効にしてユーザー列挙の脅威を緩和します。これらのプロトコルを無効化する方法の詳細については、「NetBIOS over TCP/IP を無効にする方法」および「サーバー メッセージ ブロックを無効にする方法」を参照してください。

SQL Server をインストールした後

インストール後にアカウントと認証モードに関する次のベスト プラクティスに従うと、SQL Server インストールのセキュリティを強化できます。

サービス アカウント

  • SQL Server サービスを可能な限り最低限の権限で実行します。
  • SQL Server サービスを Windows アカウントに関連付けます。

認証モード

  • SQL Server との接続には Windows 認証が必要です。

強力なパスワード

  • sa アカウントには、必ず強力なパスワードを割り当てます。
  • 必ず、パスワードのポリシーのチェックを有効にします。
  • すべての SQL Server ログインに、必ず強力なパスワードを使用します。

参照

その他の技術情報

パスワード ポリシー

ヘルプおよび情報

SQL Server 2005 の参考資料の入手