Sichern von SQL Server

Artikel
12/15/2008

Neu: 12. Dezember 2006

Zum Sichern von SQL Server gehören drei Bereiche: die Plattform und das Netzwerk, Prinzipale und sicherungsfähige Elemente, und auf Datenbanken zugreifende Anwendungen. In den folgenden Themen werden Sie durch das Erstellen und Implementieren eines effektiven Sicherheitsplans geführt.

Sie finden weitere Informationen zur Sicherheit von SQL Server auf der Website von SQL Server, einschließlich eines Handbuches mit empfohlenen Vorgehensweisen und einer Sicherheitsprüfliste. Auf der Site finden Sie außerdem die neuesten Informationen und Downloads zu Service Packs.

Plattform- und Netzwerksicherheit

Die Plattform für SQL Server enthält die physikalische Hardware und die Netzwerksysteme zum Verbinden von Clients mit den Datenbankservern, sowie binäre Dateien zum Verarbeiten von Datenbankanfragen.

Physikalische Sicherheit

Durch die empfohlenen Vorgehensweisen für physikalische Sicherheit wird der Zugriff auf den physikalischen Server und Hardwarekomponenten beschränkt. Verwenden Sie beispielsweise abgeschlossene Räume mit eingeschränktem Zugang für die Datenbankserverhardware und für Netzwerkgeräte. Beschränken Sie außerdem den Zugriff auf Sicherungsmedien durch Aufbewahren der Medien an einem sicheren, getrennten Ort.

Das Implementieren der physikalischen Netzwerksicherheit beginnt mit dem Fernhalten unbefugter Benutzer vom Netzwerk. Das folgende Diagramm enthält weitere Informationen zu Netzwerksicherheitsinformationen.

Informationen zu	Finden Sie unter
Netzwerke und SQL Server	Netzwerkprotokolle und TDS-Endpunkte
Angeben und Einschränken von Ports für SQL Server	Konfigurieren von Servernetzwerkprotokollen und Netzwerkbibliotheken
Einschränken des Netzwerkzugriffs auf SQL Server	Beschränken des Netzwerkzugriffs
SQL Server 2005 Compact Edition und Netzwerkzugriff auf andere Editionen von SQL Server	"Konfigurieren und Sichern der Serverumgebung" in der Onlinedokumentation von SQL Server 2005 Compact Edition
Sicherungs- und Wiederherstellungsstrategien	Sicherheitsüberlegungen für Sicherungen und Wiederherstellungen.

Sicherheit des Betriebssystems

Service Packs und Updates für Betriebssysteme enthalten wichtige Sicherheitserweiterungen. Wenden Sie alle Patches und Updates nach dem Testen mit den Datenbankanwendungen auf das Betriebssystem an.

Firewalls stellen ebenfalls effektive Möglichkeiten zum Implementieren von Sicherheit zur Verfügung. Eine Firewall trennt oder beschränkt logisch den Netzwerkverkehr und kann zum Verstärken der Datensicherheitsrichtlinie der Organisation konfiguriert werden. Durch das Verwenden einer Firewall wird die Sicherheit auf Betriebssystemebene erhöht, indem ein Punkt zur Verfügung gestellt wird, auf den der Sicherheitsmaßstab ausgerichtet werden kann. Die folgende Tabelle enthält weitere Informationen zum Verwenden einer Firewall mit SQL Server.

Informationen zu	Finden Sie unter
Konfigurieren einer Firewall zum Funktionieren mit SQL Server	Vorgehensweise: Konfigurieren einer Firewall für SQL Server-Zugriff
Konfigurieren einer Firewall zum Funktionieren mit Integration Services	Konfigurieren einer Windows-Firewall für Integration Services-Zugriff
Konfigurieren einer Firewall zum Funktionieren mit Analysis Services	Vorgehensweise: Konfigurieren der Windows-Firewall für Analysis Services-Zugriff
Konfigurieren einer Firewall zum Funktionieren mit Reporting Services	Checkliste für die Serverbereitstellung
Öffnen bestimmter Ports für eine Firewall zum Zulassen des Zugriffs auf SQL Server	Öffnen von Ports in der Firewall

Die Oberflächenreduzierung stellt eine Sicherheitsmaßnahme dar, die das Beenden oder Deaktivieren nicht verwendeter Komponenten beinhaltet. Mithilfe der Oberflächenreduzierung kann die Sicherheit verbessert werden, da weniger Möglichkeiten für Angriffe auf das System vorhanden sind. Der wichtigste Aspekt beim Beschränken des Oberflächenbereichs von SQL Server liegt im Ausführen erforderlicher Dienste mit "geringsten Rechten" durch ausschließliches Erteilen von entsprechenden Rechten an Dienste und Benutzer. Das folgende Diagramm enthält weitere Informationen zu Diensten und Systemzugriff.

Informationen zu	Finden Sie unter
Für SQL Server erforderliche Dienste	Einrichten von Windows-Dienstkonten
Beschränken von Serveranmeldezugriff	Einschränken des interaktiven Anmeldezugriffs
Lokale Verwaltungsrechte	Gewähren von lokalen Administratorrechten

Wenn vom SQL Server-System Internetinformationsdienste (Internet Information Services, IIS) verwendet wird, sind zusätzliche Schritte zum Sichern der Oberfläche der Plattform erforderlich. Das folgende Diagramm enthält Informationen zu SQL Server und Internetinformationsdienste.

Informationen zu	Finden Sie unter
IIS-Sicherheit mit SQL Server 2005 Compact Edition	"IIS-Sicherheit" in der Onlinedokumentation von SQL Server 2005 Compact Edition
Verwenden von XML-Diensten in SQL Server und IIS	Bewährte Methoden für das Verwenden systemeigener XML-Webdienste
Berichtsserver und Internetzugriff	Konfigurieren eines Berichtsservers für den Internetzugriff
Einrichten von Formularsicherheit auf einem Berichtsserver	Sicherheitserweiterungsbeispiel
Reporting Services-Authentifizierung	Authentication in Reporting Services
SQL Server 2005 Compact Edition und IIS-Zugriff	"Internetinformationsdienste-Sicherheitsflussdiagramm" in der Onlinedokumentation von SQL Server 2005 Compact Edition

SQL Server-Betriebssystemdateisicherheit

In SQL Server werden Betriebssystemdateien zum Betrieb und zur Datenspeicherung verwendet. Die empfohlene Vorgehensweise für die Dateisicherheit erfordert, den Zugriff auf diese Dateien zu beschränken. Im folgenden Diagramm sind Informationen zu diesen Dateien enthalten.

Informationen zu	Finden Sie unter
SQL Server-Programmdateien	Dateispeicherorte für Standard- und benannte Instanzen von SQL Server 2005
Datenbankdateisicherheit	Sichern von Daten- und Protokolldateien
Notification Services-Dateisicherheit	Sichern von Dateien und Ordnern
Analysis Services-Dateisicherheit	Sichern von Programmdateien, gemeinsam genutzten Komponenten und Datendateien

SQL Server-Service Packs und Updates stellen erweiterte Sicherheit zur Verfügung. Informationen zum Bestimmen des neuesten für SQL Server verfügbaren Service Packs finden Sie auf der Website von SQL Server.

Mithilfe des folgenden Skripts können Sie das auf dem System installierte Service Pack bestimmen:

SELECT CONVERT(char(20), SERVERPROPERTY('productlevel'));
GO

Prinzipale und Datenbankobjektsicherheit

Prinzipale sind die Personen, Gruppen und Prozesse, denen Zugriff auf SQL Server erteilt wurde. Sicherungsfähige Elemente sind der Server, die Datenbank und Objekte in der Datenbank. Jeder verfügt über einen Berechtigungssatz, der zum Minimieren des SQL Server-Oberflächenbereichs konfiguriert werden kann. Im folgenden Diagramm sind Informationen zu Prinzipalen und sicherungsfähigen Elementen enthalten.

Informationen zu	Finden Sie unter
Benutzer, Rollen und Prozesse von Servern und Datenbanken	Prinzipale
Server- und Datenbankobjektsicherheit	Sicherungsfähige Elemente
Die SQL Server-Sicherheitshierarchie	Berechtigungshierarchie

Weitere Informationen zu Datenbank- und Anwendungssicherheit finden Sie unter Sicherheitsüberlegungen für Datenbanken und Datenbankanwendungen.

Verschlüsselung und Zertifikate

Durch Verschlüsselung werden keine Probleme der Zugriffssteuerung gelöst. Es wird jedoch die Sicherheit durch Beschränken von Datenverlust in normalerweise selten auftretenden Fällen von überbrückter Zugriffssteuerung erweitert. Wenn der Datenbankhostcomputer beispielsweise falsch konfiguriert wurde und ein Hacker Zugriff auf sensible Daten gewinnt, beispielsweise Kreditkartennummern, sind die gestohlenen Informationen nutzlos, wenn sie verschlüsselt wurden. Das folgende Diagramm enthält weitere Informationen zur Verschlüsselung in SQL Server.

Informationen zu	Finden Sie unter
Die Verschlüsselungshierarchie in SQL Server	Verschlüsselungshierarchie
Verschlüsseln von SQL Server-Verbindungen	Verschlüsseln von Verbindungen zu SQL Server
Implementieren sicherer Verbindungen	Vorgehensweise: Aktivieren von verschlüsselten Verbindungen zum Datenbankmodul (SQL Server-Konfigurations-Manager).
Verschlüsselungsfunktionen	Kryptografiefunktionen (Transact-SQL)
Implementieren von Verschlüsselung	Themen zu Vorgehensweisen für die Verschlüsselung
Einrichten von Analysis Services zur Datenverschlüsselung	Erfordern der Datenverschlüsselung

Zertifikate sind "Softwareschlüssel", die für zwei Server freigegeben sind, durch die sichere Kommunikation durch starke Authentifizierung möglich ist. Zertifikate können in SQL Server zum Erweitern der Objekt- und Verbindungssicherheit erstellt und verwendet werden. Das folgende Diagramm enthält Informationen zum Verwenden von Zertifikaten mit SQL Server.

Informationen zu	Finden Sie unter
Verwenden eines Zertifikats für sichere Verbindungen	Konfigurieren eines Zertifikats zur Verwendung durch SSL
Erstellen eines Zertifikats zum Verwenden mit SQL Server	CREATE CERTIFICATE (Transact-SQL)
Verwenden von Zertifikaten mit SQL Server Service Broker	Zertifikate und Service Broker
Verwenden von Zertifikaten mit Datenbankspiegelung	Verwenden von Zertifikaten für die Datenbankspiegelung

Anwendungssicherheit

Zu den empfohlenen Vorgehensweisen für die Sicherheit von SQL Server gehört das Schreiben sicherer Clientanwendungen. Weitere Informationen zum Serverzugriff und zu SQL Server-Clientanwendungen finden Sie unter SQL Server Programming Overview.

Weitere Informationen zum Sichern von Clientanwendungen auf Netzwerkebene finden Sie unter Client-Netzwerkkonfiguration.

Weitere Informationen zum Schreiben von Anwendungen, die systemeigene XML-Dienste verwenden, finden Sie unter Schreiben von Clientanwendungen.

SQL Server-Sicherheitstools, -Dienstprogramme, -Ansichten und -Funktionen

Von SQL Server werden Tools, Dienstprogramme, Ansichten und Funktionen zum Konfigurieren und Verwalten der Sicherheit zur Verfügung gestellt.

SQL Server-Sicherheitstools und -Dienstprogramme

Im folgenden Diagramm sind Informationen zu SQL Server-Tools und -Dienstprogrammen zum Konfigurieren und Verwalten der Sicherheit enthalten.

Informationen zu	Finden Sie unter
Herstellen einer Verbindung mit, Konfigurieren und Steuern von SQL Server	Einführung in SQL Server Management Studio
Herstellen einer Verbindung mit SQL Server und Ausführen von Abfragen von der Eingabeaufforderung aus	sqlcmd (Dienstprogramm)
Netzwerkkonfiguration und Steuerung für SQL Server	SQL Server-Konfigurations-Manager
Konfigurieren von Funktionen und von Verbindungsoptionen	SQL Server-Oberflächenkonfiguration
Konfigurieren von Funktionen und von Verbindungsoptionen von der Eingabeaufforderung aus	sac (Dienstprogramm)
Bearbeiten symmetrischer Schlüssel für einen Berichtsserver	rskeymgmt (Dienstprogramm)

SQL Server-Sicherheitskatalogsichten und -Funktionen

In Datenbankmodul werden Sicherheitsinformationen in zahlreichen Sichten und Funktionen dargestellt, die für Leistung und Nützlichkeit optimiert sind. Im folgenden Diagramm sind Informationen zu Sicherheitssichten und -Funktionen enthalten.

Informationen zu	Finden Sie unter
SQL Server-Sicherheitskatalogsichten, durch die Informationen zu Berechtigungen, Rollen, Prinzipalen usw. auf Datenbankebene und Serverebene zurückgegeben werden. Außerdem sind Katalogsichten mit Informationen zu Verschlüsselungsschlüsseln, Zertifikaten und Anmeldeinformationen vorhanden.	Sicherheitskatalogsichten (Transact-SQL)
SQL Server-Sicherheitsfunktionen, durch die Informationen zum aktuellen Benutzer, zu Berechtigungen, Schemas usw. zurückgegeben werden.	Sicherheitsfunktionen (Transact-SQL)