(0) exportieren Drucken
Alle erweitern

Sicherheitsüberlegungen bei SQL Server-Installationen

Sicherheit ist für jedes Produkt und jedes Geschäft wichtig. Indem Sie einige einfache bewährte Methoden verwenden, können Sie viele Sicherheitsrisiken vermeiden. In diesem Thema werden einige bewährte Sicherheitsmethoden behandelt, die Sie vor dem Installieren von SQL Server und nach dem Installieren von SQL Server berücksichtigen sollten. Sicherheitshinweise für bestimmte Funktionen sind in den Referenzthemen für diese Funktionen enthalten.

Folgen Sie diesen bewährten Methoden, wenn Sie die Serverumgebung einrichten:

Erhöhen der physischen Sicherheit

Physische und logische Isolation bilden die Basis der Sicherheit von SQL Server. Führen Sie die folgenden Aufgaben aus, um die physische Sicherheit der SQL Server-Installation zu erhöhen:

  • Platzieren Sie den Server in einem Raum, den nur autorisierte Benutzer betreten dürfen.

  • Stellen Sie Computer, die Datenbanken hosten, an physisch geschützten Orten auf. Im Idealfall sollte dies ein verschlossener Computerraum mit Systemen für Überschwemmungsschutz und Feuererkennung bzw. Brandbekämpfung sein.

  • Installieren Sie Datenbanken in der sicheren Zone des Intranets im Unternehmen, und verbinden Sie Ihre SQL Server nicht direkt mit dem Internet.

  • Führen Sie regelmäßig Datensicherungen durch, und bewahren Sie die Sicherungskopien an einem Ort außerhalb des Unternehmensgebäudes auf.

Verwenden von Firewalls

Firewalls sind eine wichtige Komponente zur Sicherung der SQL Server-Installation. Sie bieten den wirksamsten Schutz, wenn Sie die folgenden Richtlinien beachten:

  • Richten Sie zwischen Server und Internet eine Firewall ein. Aktivieren Sie die Firewall. Schalten Sie die Firewall ein, wenn sie ausgeschaltet ist. Schalten Sie die Firewall nicht aus, wenn sie eingeschaltet ist.

  • Unterteilen Sie das Netzwerk in Sicherheitszonen, die durch Firewalls voneinander getrennt sind. Blockieren Sie zunächst sämtlichen Datenverkehr, und lassen Sie anschließend nur ausgewählte Verbindungen zu.

  • Verwenden Sie in einer mehrstufigen Umgebung mehrere Firewalls, um Umkreisnetzwerke zu erstellen.

  • Wenn Sie den Server in einer Windows-Domäne installieren, konfigurieren Sie innere Firewalls so, dass die Windows-Authentifizierung zulässig ist.

  • Wenn Ihre Anwendung verteilte Transaktionen verwendet, müssen Sie die Firewall möglicherweise so konfigurieren, dass Microsoft Distributed Transaction Coordinator (MS DTC)-Datenverkehr zwischen separaten MS DTC-Instanzen übermittelt werden kann. Außerdem müssen Sie die Firewall für Datenverkehr zwischen MS DTC und Ressourcen-Managern wie SQL Server konfigurieren.

Weitere Informationen zu den Standardeinstellungen der Windows-Firewall und eine Beschreibung der TCP-Ports, die sich auf Database Engine (Datenbankmodul), Analysis Services, Reporting Services und Integration Services auswirken, finden Sie unter Konfigurieren der Windows-Firewall für den SQL Server-Zugriff.

Isolieren von Diensten

Durch das Isolieren von Diensten reduzieren Sie das Risiko, dass durch einen gefährdeten Dienst andere Dienste ebenfalls gefährdet werden. Beachten Sie beim Isolieren von Diensten die folgenden Richtlinien:

  • Führen Sie separate SQL Server-Dienste unter separaten Windows-Konten aus. Verwenden Sie für die einzelnen SQL Server-Dienste (sofern möglich) separate Windows-Benutzerkonten oder separate lokale Benutzerkonten mit geringen Berechtigungen. Weitere Informationen finden Sie unter Einrichten von Windows-Dienstkonten.

Konfigurieren eines sicheren Dateisystems

Die Verwendung des richtigen Dateisystems erhöht die Sicherheit. Folgende Aufgaben sollten für SQL Server-Installationen ausgeführt werden:

  • Verwenden Sie das Dateisystem NTFS. NTFS ist das bevorzugte Dateisystem für SQL Server-Installationen, da im Gegensatz zum Dateisystem FAT eine höhere Stabilität und eine bessere Wiederherstellbarkeit gegeben ist. NTFS bietet darüber hinaus Sicherheitsfeatures wie Zugriffssteuerungslisten (ACL) für Dateien und Verzeichnisse und die Encrypting File System (EFS)-Dateiverschlüsselung. Nachdem NTFS erkannt wurde, werden während der Installation von SQL Server entsprechende ACLs für Registrierungsschlüssel und Dateien festgelegt. Diese Berechtigungen sollten nicht geändert werden. In zukünftigen Versionen von SQL Server wird die Installation auf Computern mit FAT-Dateisystemen möglicherweise nicht mehr unterstützt.

    HinweisHinweis

    Wenn Sie EFS verwenden, werden Datenbankdateien unter der Identität des Kontos verschlüsselt, mit dem SQL Server ausgeführt wird. Die Dateien können nur mit diesem Konto entschlüsselt werden. Falls eine Änderung des Kontos erforderlich wird, unter dem SQL Server ausgeführt wird, sollten Sie die Dateien zunächst unter dem alten Konto entschlüsseln und anschließend unter dem neuen Konto verschlüsseln.

  • Verwenden Sie für wichtige Datendateien ein redundantes Datenträgerarray (RAID).

Deaktivieren von NetBIOS und Server Message Block

Für Server im Umkreisnetzwerk sollten alle nicht erforderlichen Protokolle deaktiviert sein, einschließlich NetBIOS und Server Message Block (SMB).

NetBIOS verwendet die folgenden Ports:

  • UDP/137 (NetBIOS-Namensdienst)

  • UDP/138 (NetBIOS-Datagrammdienst)

  • TCP/139 (NetBIOS-Sitzungsdienst)

SMB verwendet die folgenden Ports:

  • TCP/139

  • TCP/445

Für Webserver und DNS-Server (Domain Name System) ist die Verwendung von NetBIOS oder SMB nicht erforderlich. Deaktivieren Sie auf diesen Servern beide Protokolle, um das Risiko eines Angriffs durch Aufzählen von Benutzern zu verringern.

Nach der Installation können Sie die Sicherheit der SQL Server-Installation erhöhen, indem Sie sich den folgenden bewährten Methoden für Konten und Authentifizierungsmodi folgen:

Dienstkonten

  • Führen Sie SQL Server-Dienste mit möglichst geringen Berechtigungen aus.

  • Ordnen Sie SQL Server-Dienste Windows-Benutzerkonten oder lokalen Benutzerkonten mit geringen Berechtigungen zu.

  • Weitere Informationen finden Sie unter Einrichten von Windows-Dienstkonten.

Authentifizierungsmodus

  • Setzen Sie die Windows-Authentifizierung für Verbindungen mit SQL Server voraus.

  • Verwenden Sie Kerberos-Authentifizierung. Weitere Informationen finden Sie unter Registrieren eines Dienstprinzipalnamens.

Sichere Kennwörter

  • Weisen Sie dem sa-Konto immer ein sicheres Kennwort zu.

  • Aktivieren Sie immer die Richtlinienüberprüfung für Kennwörter, um die Sicherheit und das Ablaufdatum der Kennwörter im Auge zu behalten.

  • Verwenden Sie für alle SQL Server-Anmeldungen sichere Kennwörter. Weitere Informationen finden Sie im Whitepaper SQL Server 2008-Sicherheit: Übersicht für Datenbankadministratoren.

SicherheitshinweisSicherheitshinweis

Beim Setup von SQL Server Express wird ein Anmeldename für die Gruppe "BUILTIN\Users" hinzugefügt. Dadurch haben alle authentifizierten Benutzer des Computers als Mitglied der öffentlichen Rolle Zugriff auf die SQL Server Express-Instanz. Der Anmeldename "BUILTIN\Users" kann sicher entfernt werden, um den Database Engine (Datenbankmodul)-Zugriff auf Computerbenutzer zu beschränken, die über individuelle Anmeldenamen verfügen oder die Mitglieder anderer Windows-Gruppen mit Anmeldenamen sind.


 Bleiben Sie mit Installations- und Aktualisierungsinformationen für SQL Server auf dem neuesten Stand

Die neuesten Downloads, Artikel, Videos und Informationen zur Problembehandlung von Microsoft sowie ausgewählte Lösungen aus der Community finden Sie auf der SQL Server-Setupseite.

Abonnieren Sie die auf der Seite verfügbaren RSS-Feeds, um automatische Benachrichtigungen zu diesen Aktualisierungen zu erhalten.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft