Consideraciones de seguridad para una instalación de SQL Server

El aislamiento físico y lógico constituye la base de la seguridad de SQL Server. Para mejorar la seguridad física de la instalación de SQL Server, realice las siguientes tareas:

• Coloque el servidor en una sala que solo sea accesible a personas autorizadas.

• Coloque los equipos que alojan bases de datos en una ubicación protegida físicamente, como una sala de equipos cerrada con sistemas supervisados de detección de inundaciones y de extinción o detección de incendios.

• Instale las bases de datos en una zona segura de la intranet corporativa y no conecte sus servidores SQL Server directamente a Internet.

• Realice periódicamente copias de seguridad de todos los datos y manténgalas protegidas en una ubicación fuera de las instalaciones.

Los firewalls son importantes para ayudar a proteger la instalación de SQL Server. Los firewalls serán más efectivos si sigue estas instrucciones:

• Instale un firewall entre el servidor e Internet. Habilite el firewall. Si el firewall está desactivado, actívelo. Si el firewall está activado, no lo desactive.

• Divida la red en zonas de seguridad separadas por firewalls. Bloquee todo el tráfico y, a continuación, admita solo el necesario.

• En un entorno de varios niveles, utilice varios firewalls para crear subredes filtradas.

• Si instala el servidor en un dominio de Windows, configure firewalls internos para permitir la autenticación de Windows.

• Si la aplicación utiliza transacciones distribuidas, puede que tenga que configurar el firewall para permitir que el tráfico del Coordinador de transacciones distribuidas de Microsoft (MS DTC, Microsoft Distributed Transaction Coordinator) fluya entre instancias independientes de MS DTC. También tendrá que configurar el firewall para permitir que el tráfico fluya entre los administradores de recursos y MS DTC como SQL Server.

Para obtener más información sobre la configuración predeterminada de Firewall de Windows, y una descripción de los puertos TCP que afectan a Database Engine (Motor de base de datos), Analysis Services, Reporting Services y Integration Services, vea Configurar Firewall de Windows para permitir el acceso a SQL Server.

El aislamiento de servicios reduce el riesgo de que se utilice un servicio cuya seguridad se haya vulnerado para vulnerar la seguridad de otros servicios. Para aislar los servicios, tenga en cuenta estas instrucciones:

• Ejecute los servicios de SQL Server por separado en distintas cuentas de Windows. Siempre que sea posible, utilice derechos de Windows independientes y bajos, o cuentas de usuario local para cada servicio de SQL Server. Para obtener más información, vea Configurar cuentas de servicio de Windows.

Si se usa el sistema de archivos correcto, se aumenta la seguridad. En las instalaciones de SQL Server, debería hacer lo siguiente:

• Usar el sistema de archivos NTFS. NTFS es el sistema de archivos preferido para las instalaciones de SQL Server porque es más estable y recuperable que los sistemas de archivos FAT. NTFS también habilita opciones de seguridad como las listas de control de acceso de directorios (ACL, Access Control List) y archivos, y el cifrado de archivos del Sistema de archivos de cifrado (EFS, Encrypting File System). Durante la instalación, SQL Server establecerá las ACL adecuadas en las claves del Registro y archivos si detecta NTFS. No se deberían cambiar estos permisos. Puede que las versiones futuras de SQL Server no admitan la instalación en equipos con sistemas de archivos FAT.

  [!NOTA]

  Si utiliza EFS, los archivos de base de datos se cifrarán con la identidad de la cuenta que ejecuta SQL Server. Solo esta cuenta podrá descifrar los archivos. Si debe cambiar la cuenta que ejecuta SQL Server, debería descifrar primero los archivos en la cuenta anterior y, a continuación, volver a cifrarlos en la cuenta nueva.

• Utilice una matriz redundante de discos independientes (RAID) para los archivos de datos esenciales.

Los servidores de la red perimetral deben tener deshabilitados todos los protocolos innecesarios, incluidos NetBIOS y Bloque de mensajes de servidor (SMB).

NetBIOS utiliza los siguientes puertos:

• UDP/137 (servicio de nombre NetBIOS)

• UDP/138 (servicio de datagrama NetBIOS)

• TCP/139 (servicio de sesión NetBIOS)

SMB utiliza los siguientes puertos:

• TCP/139

• TCP/445

Los servidores Web y los servidores del Sistema de nombres de dominio (DNS) no requieren NetBIOS o SMB. En estos servidores, deshabilite los dos protocolos para reducir la amenaza de enumeración de usuarios.