Consideraciones de seguridad para una instalación de SQL Server

  • Artículo

La seguridad resulta importante, no sólo para Microsoft SQL Server y Microsoft, sino también para todos los productos y empresas. Si aplica las siguientes prácticas recomendadas de seguridad, puede evitar muchas vulnerabilidades de seguridad. En este tema se tratan algunas prácticas recomendadas de seguridad que debe utilizar antes y después de instalar SQL Server. En los temas de referencia para estas características se incluyen directrices de seguridad para características específicas.

Antes de instalar SQL Server

Siga estas prácticas recomendadas cuando configure el entorno del servidor.

  • Mejorar la seguridad física
  • Usar firewalls
  • Aislar servicios
  • Crear cuentas de servicio con privilegios mínimos
  • Deshabilitar NetBIOS y Bloque de mensajes de servidor

Mejorar la seguridad física

El aislamiento físico y lógico constituye la base de la seguridad de SQL Server. Para mejorar la seguridad física de la instalación de SQL Server, realice las siguientes tareas:

  • Coloque el servidor en una sala inaccesible para personas no autorizadas.
  • Coloque los equipos que alojan bases de datos en una ubicación protegida físicamente, como una sala de equipos cerrada con sistemas supervisados de detección de inundaciones y de extinción o detección de incendios.
  • Instale las bases de datos en una zona segura de la intranet corporativa que nunca esté conectada directamente a Internet.
  • Realice periódicamente una copia de seguridad de los datos y almacene las copias en una ubicación segura fuera de las instalaciones.

Usar firewalls

Los firewalls son fundamentales para garantizar la seguridad de la instalación de SQL Server. Los firewalls serán más efectivos si sigue estas instrucciones:

  • Instale un firewall entre el servidor e Internet.
  • Divida la red en zonas de seguridad separadas por firewalls. Bloquee todo el tráfico y, a continuación, admita sólo el necesario.
  • En un entorno de varios niveles, utilice varios firewalls para crear subredes filtradas.
  • Si instala el servidor en un dominio de Windows, configure firewalls internos para permitir la autenticación de Windows.
  • En un dominio de Windows en el que todas las versiones de Windows son Windows XP o Windows Server 2003 o versiones posteriores, deshabilite la autenticación NTLM. .
  • Si la aplicación utiliza transacciones distribuidas, debe configurar el firewall para permitir que el tráfico del Coordinador de transacciones distribuidas de Microsoft (MS DTC) fluya entre instancias independientes de MS DTC y entre MS DTC y administradores de recursos como SQL Server.

Aislar servicios

El aislamiento de servicios reduce el riesgo de que se utilice un servicio cuya seguridad se haya vulnerado para vulnerar la seguridad de otros servicios. Para aislar los servicios, siga estas instrucciones:

  • Siempre que sea posible, no instale SQL Server en un controlador de dominio.
  • Ejecute los servicios de SQL Server por separado en distintas cuentas de Windows.
  • En un entorno de varios niveles, ejecute la lógica Web y la lógica de negocios en equipos independientes.

Crear cuentas de servicio con privilegios mínimos

La instalación de SQL Server configura automáticamente las cuentas de servicio con los permisos necesarios para SQL Server. Cuando se modifican o se configuran los servicios de Windows utilizados por SQL Server 2005, sólo debería otorgar los permisos que precisan. Para obtener más información, vea Configurar cuentas de servicio de Windows.

Deshabilitar NetBIOS y Bloque de mensajes de servidor

Los servidores de la red perimetral deberían tener los protocolos innecesarios deshabilitados, incluido NetBIOS y Bloque de mensajes de servidor (SMB).

NetBIOS utiliza los siguientes puertos:

  • UDP/137 (servicio de nombre NetBIOS)
  • UDP/138 (servicio de datagrama NetBIOS)
  • TCP/139 (servicio de sesión NetBIOS)

SMB utiliza los siguientes puertos:

  • TCP/139
  • TCP/445

Los servidores Web y los servidores del Sistema de nombres de dominio (DNS) no requieren NetBIOS o SMB. En estos servidores, deshabilite los dos protocolos para mitigar la amenaza de enumeración de usuarios. Para obtener más información acerca de cómo deshabilitar estos protocolos, vea Cómo deshabilitar NetBIOS sobre TCP/IP y Cómo deshabilitar SMB (Server Message Block).

Después de instalar SQL Server

Tras la instalación, puede mejorar la seguridad de la instalación de SQL Server si sigue estas prácticas recomendadas relativas a las cuentas y los modos de autenticación:

Cuentas de servicio

  • Ejecute servicios de SQL Server con los privilegios mínimos.
  • Asocie los servicios de SQL Server con cuentas de Windows.

Modo de autenticación

  • Requiera la autenticación de Windows para las conexiones a SQL Server.

Contraseñas seguras

  • Asigne una contraseña segura a la cuenta sa.
  • Habilite siempre la comprobación de directivas de contraseñas.
  • Utilice contraseñas seguras en todos los inicios de sesión de SQL Server.

Vea también

Otros recursos

Directiva de contraseñas

Ayuda e información

Obtener ayuda sobre SQL Server 2005