Compartir a través de


Consideraciones de seguridad para una instalación de SQL Server

La seguridad es importante para todos los productos y negocios. Si aplica las siguientes prácticas recomendadas de seguridad, puede evitar muchas vulnerabilidades de seguridad. En este tema se tratan algunas prácticas recomendadas de seguridad que deben tenerse en cuenta antes y después de instalar SQL Server. En los temas de referencia para estas características se incluyen directrices de seguridad para características específicas.

Antes de instalar SQL Server

Siga estas prácticas recomendadas cuando configure el entorno del servidor.

  • Mejorar la seguridad física

  • Usar firewalls

  • Aislar servicios

  • Configurar un sistema de archivos seguro

  • Deshabilitar NetBIOS y Bloque de mensajes de servidor

Mejorar la seguridad física

El aislamiento físico y lógico constituye la base de la seguridad de SQL Server. Para mejorar la seguridad física de la instalación de SQL Server, realice las siguientes tareas:

  • Coloque el servidor en una sala que solo sea accesible a personas autorizadas.

  • Coloque los equipos que alojan bases de datos en una ubicación protegida físicamente, como una sala de equipos cerrada con sistemas supervisados de detección de inundaciones y de extinción o detección de incendios.

  • Instale las bases de datos en una zona segura de la intranet corporativa y no conecte sus servidores SQL Server directamente a Internet.

  • Realice periódicamente copias de seguridad de todos los datos y manténgalas protegidas en una ubicación fuera de las instalaciones.

Usar firewalls

Los firewalls son importantes para ayudar a proteger la instalación de SQL Server. Los firewalls serán más efectivos si sigue estas instrucciones:

  • Instale un firewall entre el servidor e Internet. Habilite el firewall. Si el firewall está desactivado, actívelo. Si el firewall está activado, no lo desactive.

  • Divida la red en zonas de seguridad separadas por firewalls. Bloquee todo el tráfico y, a continuación, admita solo el necesario.

  • En un entorno de varios niveles, utilice varios firewalls para crear subredes filtradas.

  • Si instala el servidor en un dominio de Windows, configure firewalls internos para permitir la autenticación de Windows.

  • Si la aplicación utiliza transacciones distribuidas, puede que tenga que configurar el firewall para permitir que el tráfico del Coordinador de transacciones distribuidas de Microsoft (MS DTC, Microsoft Distributed Transaction Coordinator) fluya entre instancias independientes de MS DTC. También tendrá que configurar el firewall para permitir que el tráfico fluya entre los administradores de recursos y MS DTC como SQL Server.

Para obtener más información sobre la configuración predeterminada de Firewall de Windows, y una descripción de los puertos TCP que afectan a Database Engine (Motor de base de datos), Analysis Services, Reporting Services y Integration Services, vea Configurar Firewall de Windows para permitir el acceso a SQL Server.

Aislar servicios

El aislamiento de servicios reduce el riesgo de que se utilice un servicio cuya seguridad se haya vulnerado para vulnerar la seguridad de otros servicios. Para aislar los servicios, tenga en cuenta estas instrucciones:

  • Ejecute los servicios de SQL Server por separado en distintas cuentas de Windows. Siempre que sea posible, utilice derechos de Windows independientes y bajos, o cuentas de usuario local para cada servicio de SQL Server. Para obtener más información, vea Configurar cuentas de servicio de Windows.

Configurar un sistema de archivos seguro

Si se usa el sistema de archivos correcto, se aumenta la seguridad. En las instalaciones de SQL Server, debería hacer lo siguiente:

  • Usar el sistema de archivos NTFS. NTFS es el sistema de archivos preferido para las instalaciones de SQL Server porque es más estable y recuperable que los sistemas de archivos FAT. NTFS también habilita opciones de seguridad como las listas de control de acceso de directorios (ACL, Access Control List) y archivos, y el cifrado de archivos del Sistema de archivos de cifrado (EFS, Encrypting File System). Durante la instalación, SQL Server establecerá las ACL adecuadas en las claves del Registro y archivos si detecta NTFS. No se deberían cambiar estos permisos. Puede que las versiones futuras de SQL Server no admitan la instalación en equipos con sistemas de archivos FAT.

    [!NOTA]

    Si utiliza EFS, los archivos de base de datos se cifrarán con la identidad de la cuenta que ejecuta SQL Server. Solo esta cuenta podrá descifrar los archivos. Si debe cambiar la cuenta que ejecuta SQL Server, debería descifrar primero los archivos en la cuenta anterior y, a continuación, volver a cifrarlos en la cuenta nueva.

  • Utilice una matriz redundante de discos independientes (RAID) para los archivos de datos esenciales.

Deshabilitar NetBIOS y Bloque de mensajes de servidor

Los servidores de la red perimetral deben tener deshabilitados todos los protocolos innecesarios, incluidos NetBIOS y Bloque de mensajes de servidor (SMB).

NetBIOS utiliza los siguientes puertos:

  • UDP/137 (servicio de nombre NetBIOS)

  • UDP/138 (servicio de datagrama NetBIOS)

  • TCP/139 (servicio de sesión NetBIOS)

SMB utiliza los siguientes puertos:

  • TCP/139

  • TCP/445

Los servidores Web y los servidores del Sistema de nombres de dominio (DNS) no requieren NetBIOS o SMB. En estos servidores, deshabilite los dos protocolos para reducir la amenaza de enumeración de usuarios.

Después de instalar SQL Server

Tras la instalación, puede mejorar la seguridad de la instalación de SQL Server si sigue estas prácticas recomendadas relativas a las cuentas y los modos de autenticación:

Cuentas de servicio

  • Ejecute los servicios de SQL Server con los mínimos permisos posibles.

  • Asocie los servicios de SQL Server a las cuentas de usuario local de Windows con menos privilegios, o a las cuentas de usuario de dominio.

  • Para obtener más información, vea Configurar cuentas de servicio de Windows.

Modo de autenticación

Contraseñas seguras

  • Asigne siempre una contraseña segura a la cuenta sa.

  • Habilite siempre la directiva de contraseñas comprobando el nivel y la fecha de expiración de la contraseña.

  • Use contraseñas seguras en todos los inicios de sesión de SQL Server. Para obtener más información, vea las Notas del producto SQL Server 2008 Security Overview for Database Administrators.

 Manténgase al día con la información de instalación y actualización de SQL Server

Para obtener las descargas, artículos, vídeos e información sobre solución de problemas más recientes, así como soluciones seleccionadas de la comunidad, visite la página sobre instalación de SQL Server.

Para recibir notificaciones automáticas de estas actualizaciones, suscríbase a las fuentes RSS disponibles en la página.