Вопросы безопасности при установке SQL Server
Безопасность является важной характеристикой для любого продукта и любого предприятия. Следуя простым рекомендациям, можно избежать многих уязвимостей в безопасности. В этом разделе рассматриваются некоторые рекомендации по обеспечению безопасности, которые следует учитывать как перед установкой SQL Server, так и после установки SQL Server. Сведения по безопасности для конкретных компонентов приводятся в справочных разделах по этим компонентам.
Перед установкой SQL Server
При настройке среды сервера выполняйте следующие рекомендации.
Повышение физической безопасности
Физическая и логическая изоляции составляют основу безопасности SQL Server . Для повышения физической безопасности установки SQL Server выполните следующие действия.
Установите сервер в помещении, недоступном для посторонних.
Установите компьютеры, на которых размещены базы данных, в физически защищенных местах, идеальным вариантом является запертая компьютерная комната с системой электромагнитного и противопожарного контроля или системой подавления помех.
Установите базы данных в безопасной зоне корпоративной сети и не подключайте экземпляры SQL Server к Интернету напрямую.
Регулярно создавайте резервные копии данных и храните их в безопасном месте за пределами расположения компьютера.
Использование брандмауэров
Брандмауэры играют важную роль в обеспечении безопасности установки SQL Server . Брандмауэры будут более эффективны, если следовать приведенным ниже правилам.
Установите брандмауэр между сервером и Интернетом. Разрешите работу брандмауэра. Если он отключен, включите его. Если он включен, не отключайте.
Разделите сеть на зоны безопасности, разделенные брандмауэрами. Заблокируйте весь поток данных, после чего разрешите только необходимый.
В многоуровневой архитектуре используйте несколько брандмауэров для создания изолированных подсетей.
При установке сервера внутри домена Windows настройте внутренние брандмауэры на разрешение проверки подлинности Windows.
Если приложение работает с распределенными транзакциями, настройте брандмауэр на обмен данными между отдельными экземплярами координатора распределенных транзакций Microsoft (MS DTC). Кроме того, нужно настроить брандмауэр на разрешение обмена данными между MS DTC и диспетчерами ресурсов (например, SQL Server).
Дополнительные сведения о настройках брандмауэра Windows по умолчанию и описание портов TCP, влияющих на компоненты Компонент Database Engine, Службы Analysis Services, Службы Reporting Servicesи Службы Integration Services, см. в разделе Настройка брандмауэра Windows для разрешения доступа к SQL Server.
Изолирование служб
Изолирование служб уменьшает риск того, что подвергнувшаяся опасности служба подвергнет опасности другие службы. Чтобы изолировать службы, следуйте приведенным ниже правилам.
- Запускайте разные службы SQL Server под разными учетными записями Windows. Если возможно, пользуйтесь для каждой из служб SQL Server отдельными учетными записями Windows или локальных пользователей, обладающих наименьшими правами. Дополнительные сведения см. в статье Настройка учетных записей службы Windows и разрешений.
Настройка безопасной файловой системы
Правильный выбор файловой системы повышает уровень безопасности. Для установки SQL Server необходимо выполнить следующие действия.
Используйте файловую систему NTFS. NTFS является предпочтительной файловой системой для установки SQL Server, так как она более стабильна и может быть восстановлена, чем файловые системы FAT. Кроме того, NTFS реализует параметры управления доступом к файлам и каталогам (ACL), шифрование файловой системы (EFS) и другие средства обеспечения безопасности. Во время установки SQL Server установит необходимые списки ACL на разделы реестра и файлы, если программа установки обнаружит NTFS. Эти разрешения не должны меняться. В будущих выпусках SQL Server может не поддерживаться установка на компьютеры с файловой системой FAT.
Примечание
При использовании EFS файлы базы данных будут зашифрованы идентификатором учетной записи, под которой запущен SQL Server. Только эта учетная запись сможет расшифровать файлы. Если необходимо изменить учетную запись, которая выполняется SQL Server, сначала расшифруйте файлы в старой учетной записи, а затем повторно зашифруйте их под новой учетной записью.
Используйте дисковый массив (RAID) для наиболее критичных файлов данных.
Отключение протоколов NetBIOS и SMB
На внешних серверах сети должны быть отключены все ненужные протоколы, включая NetBIOS и SMB.
NetBIOS использует следующие порты:
UDP/137 (служба имен NetBIOS);
UDP/138 (служба дейтаграмм NetBIOS);
UDP/139 (служба сеанса NetBIOS).
SMB использует следующие порты:
TCP/139
TCP/445
Веб-серверы и DNS-серверы не требуют наличия NetBIOS или SMB. Отключите на них оба протокола, чтобы снизить угрозу раскрытия списка пользователей.
Установка SQL Server на контроллере домена
Из соображений безопасности не рекомендуется устанавливать SQL Server 2014 на контроллере домена. SQL Server не заблокирует установку на компьютере, который является контроллером домена, однако при этом будут применены следующие ограничения.
Запуск служб SQL Server на контроллере домена в учетной записи локальной службы невозможен.
После установки SQL Server компьютер, который является членом домена, нельзя будет сделать контроллером домена. Перед этим придется удалить SQL Server .
После установки SQL Server компьютер, который является контроллером домена, нельзя будет сделать членом домена. Перед этим придется удалить SQL Server .
SQL Server не поддерживает экземпляры отказоустойчивого кластера, где узлы кластера являются контроллерами домена.
Программа установкиSQL Server не может создавать группы безопасности или подготавливать учетные записи служб SQL Server на контроллере домена, доступном только для чтения. В такой ситуации программа установки завершается ошибкой.
Во время или после установки SQL Server
После установки вы можете повысить безопасность установки SQL Server , следуя приведенным ниже рекомендациям относительно учетных записей и режимов проверки подлинности.
Учетные записи службы
Запускайте службы SQL Server с минимально возможными разрешениями.
Связывайте службы SQL Server с учетными записями локальных пользователей Windows, имеющих наименьшие права доступа, или учетными записями пользователей домена.
Дополнительные сведения см. в статье Настройка учетных записей службы Windows и разрешений.
Режим проверки подлинности
Требует проверку подлинности Windows для подключений к SQL Server.
Используйте проверку подлинности Kerberos. Дополнительные сведения см. в разделе Регистрация имени участника-службы для соединений Kerberos.
Надежные пароли
Всегда назначайте надежный пароль учетной записи
sa
.Всегда включайте проверку политики паролей для определения надежности и срока действия пароля.
Для всех имен входа SQL Server используйте только надежные пароли.
Важно!
Во время установки SQL Server Express для группы BUILTIN\Users добавляется имя входа. Благодаря этому все прошедшие проверку подлинности пользователи компьютера получают доступ к экземпляру SQL Server Express как члены роли public. Имя входа группы BUILTIN\Users можно удалить, чтобы ограничить доступ к компоненту Компонент Database Engine только пользователям компьютера, у которых есть отдельные имена входа, или членам других групп Windows с именами входа.
См. также:
Требования к аппаратному и программному обеспечению для установки SQL Server 2014
Сетевые протоколы и библиотеки
Регистрация имя участника-службы для соединений Kerberos