Considerazioni sulla protezione per un'installazione di SQL Server

  • Articolo

La protezione è importante non solo per Microsoft SQL Server e Microsoft, ma per ogni prodotto e azienda. Con alcune semplici procedure consigliate è possibile evitare molte vulnerabilità di protezione. In questo argomento vengono illustrate alcune procedure consigliate per la protezione da implementare prima e dopo l'installazione di SQL Server. Le indicazioni sulla protezione per specifiche funzionalità sono riportate negli argomenti di riferimento relativi a tali funzionalità.

Prima dell'installazione di SQL Server

Procedure consigliate da eseguire durante la configurazione dell'ambiente server:

  • Ottimizzazione della protezione fisica
  • Utilizzo di firewall
  • Isolamento dei servizi
  • Creazione di account di servizio con privilegi minimi
  • Disabilitazione di NetBIOS e SMB

Ottimizzazione della protezione fisica

La protezione di SQL Server è basata sull'isolamento fisico e logico. Per ottimizzare la protezione fisica dell'installazione di SQL Server, eseguire le operazioni seguenti:

  • Posizionare il server in uno spazio inaccessibile a persone non autorizzate.
  • Posizionare i computer che ospitano un database in un luogo fisicamente protetto. La soluzione ideale è rappresentata da una sala computer chiusa, con monitoraggio e rilevamento di allagamenti e sistemi di rilevamento e spegnimento incendi.
  • Installare i database in un'area protetta della rete Intranet aziendale, non connessa direttamente a Internet.
  • Eseguire regolarmente il backup di tutti i dati e archiviare le copie in un luogo protetto fuori sede.

Utilizzo di firewall

I firewall costituiscono parte integrante della protezione dell'installazione di SQL Server e garantiscono la massima efficienza se vengono rispettate le linee guida seguenti:

  • Inserire un firewall tra il server e Internet.
  • Dividere la rete in aree di protezione separate da firewall. Bloccare tutto il traffico e quindi ammettere selettivamente soltanto il traffico necessario.
  • In un ambiente multilivello, utilizzare più firewall per creare subnet schermate.
  • In caso di installazione del server all'interno di un dominio Windows, configurare i firewall interni in modo da consentire l'autenticazione di Windows.
  • In un dominio Windows in cui tutte le versioni di Windows sono Windows XP o Windows Server 2003 o versioni successive, disattivare l'autenticazione NTLM. .
  • Se l'applicazione utilizza transazioni distribuite, può rivelarsi necessario configurare il firewall in modo da consentire il flusso del traffico Microsoft Distributed Transaction Coordinator (MS DTC) tra istanze MS DTC separate e tra MS DTC e strumenti di gestione delle risorse come SQL Server.

Isolamento dei servizi

L'isolamento dei servizi riduce il rischio che un servizio compromesso venga utilizzato per comprometterne altri. Per isolare i servizi, attenersi alle linee guida seguenti:

  • Se possibile, non installare SQL Server in un controller di dominio.
  • Eseguire servizi separati di SQL Server con account di Windows separati.
  • In un ambiente multilivello, eseguire la logica Web e la regola business su computer separati.

Creazione di account di servizio con privilegi minimi

Durante l'installazione di SQL Server vengono configurati automaticamente l'account o gli account di servizio con le autorizzazioni specifiche richieste da SQL Server. Durante la modifica o la configurazione dei servizi Windows utilizzati da SQL Server 2005, è opportuno concedere solo le autorizzazioni richieste da tali servizi. Per ulteriori informazioni, vedere Impostazione di account di servizio Windows.

Disabilitazione di NetBIOS e SMB

È consigliabile disabilitare tutti i protocolli non necessari sui server della rete perimetrale, ad esempio NetBIOS e SMB (Server Message Block).

NetBIOS utilizza le porte seguenti:

  • UDP/137 (servizio nomi NetBIOS)
  • UDP/138 (servizio datagrammi NetBIOS)
  • TCP/139 (servizio di sessione NetBIOS)

SMB utilizza le porte seguenti:

  • TCP/139
  • TCP/445

I server Web e DNS (Domain Name System) non necessitano di NetBIOS o SMB. Su tali server, disabilitare entrambi i protocolli per limitare la minaccia di enumerazione degli utenti. Per ulteriori informazioni su come disabilitare tali protocolli, vedere Procedura: Disattivazione del protocollo NetBIOS su TCP/IP e Procedura: Disattivazione di SMB (Server Message Block).

Dopo l'installazione di SQL Server

Dopo l'installazione, è possibile ottimizzare la protezione dell'installazione di SQL Server eseguendo le procedure consigliate seguenti per gli account e le modalità di autenticazione.

Account di servizio

  • Eseguire i servizi di SQL Server con privilegi minimi.
  • Associare i servizi di SQL Server ad account di Windows.

Modalità di autenticazione

  • Richiedere l'autenticazione di Windows per le connessioni a SQL Server.

Password complesse

  • Assegnare sempre una password complessa all'account sa.
  • Attivare sempre la verifica dei criteri di gestione delle password.
  • Utilizzare sempre password complesse per tutti gli account di accesso di SQL Server.

Vedere anche

Altre risorse

Criteri di gestione delle password

Guida in linea e informazioni

Assistenza su SQL Server 2005