Artigo
04/01/2012

Lista de verificação: Configuração de segurança do Mecanismo de Banco de Dados

Esta lista de verificação revisa as principais opções de configuração de segurança do Mecanismo de banco de dados do SQL Server. Use esta lista de verificação para auditar seu ambiente do Mecanismo de Banco de Dados periodicamente. Estas configurações recomendadas devem ser ajustadas com base em suas necessidades em termos de segurança e negócios.

Segurança física

...	Descrição
	O computador que hospeda o Mecanismo de Banco de Dados está localizado em um data center com acesso limitado? Dica Para obter mais informações, consulte Sample Security Plan: Adventure Works (em inglês).
	Os backups estão armazenados em um local seguro? Dica Para obter mais informações, consulte Considerações de segurança para backup e restauração.
	O acesso aos arquivos do Mecanismo de Banco de Dados (arquivos .mdf, .ndf, .ldf) é limitado por permissões do sistema de arquivos? Dica Os usuários mal-intencionados que obtêm acesso a arquivos de banco de dados podem anexá-los a outras instâncias do Mecanismo de Banco de Dados. Para obter mais informações, Protegendo dados e arquivos de log.
	O acesso aos arquivos binários do Mecanismo de Banco de Dados (sqlservr.exe na pasta binn) é limitado por permissões do sistema de arquivos? Dica: Os usuários mal-intencionados que podem acessar os arquivos binários do SQL Server podem causar prejuízos e negação de serviço.
	O acesso a arquivos de auditoria é limitado por permissões do sistema de arquivos? Dica Em um ambiente de alta segurança, o log de Segurança do Windows é o local apropriado para gravar eventos que registram o acesso a objetos. Outros locais de auditoria têm suporte, mas estão mais sujeitos a falsificações. Para obter mais informações, consulte Como gravar eventos de auditoria do servidor no log de segurança.
	Os backups de chaves de criptografia públicas e privadas são armazenados em um local seguro? Dica Se o backup das chaves de criptografia estiver em mídia removíveis (CD ou unidade flash), armazene os backups de chaves em um local seguro, como um cofre com acesso controlado. Se o backup estiver em outro disco rígido, esse computador deve ser protegido adequadamente.
	Se você estiver usando EKM (Gerenciamento Extensível de Chaves), os HSMs (Módulos de Segurança de Hardware) estão adequadamente protegidos? Dica Consulte seu fornecedor de HSM para obter as recomendações.

Configuração do sistema operacional

...	Descrição
	O computador do SQL Server está protegido por um firewall com apenas as exceções necessárias? Dica Use wf.msc (ou firewall.cpl) para configurar o firewall do Windows. Para obter mais informações, consulte Configurando o Firewall do Windows para permitir acesso ao SQL Server.
	Os sistemas operacionais do servidor e do cliente estão configurados para usar Proteção Estendida para Autenticação? Dica Para obter mais informações, consulte Conectando ao mecanismo de banco de dados usando proteção estendida e Proteção Estendida para Autenticação.
	O sistema operacional está configurado para permitir atualizações automáticas sempre que for viável? Dica Os ambientes de produção normalmente requerem teste antes da aplicação de atualizações. As atualizações devem ser testadas e aplicadas regularmente. Se o teste não estiver sendo executado, a melhor opção talvez seja instalar atualizações automaticamente.

Configurações da instância de banco de dados

...	Descrição
	O Mecanismo de Banco de Dados está configurado para ser executado com uma conta com os privilégios mínimos necessários para as necessidades de sua empresa? Dica Para obter mais informações, consulte Configurando as contas de serviço do Windows.
	A Autenticação do SQL Server não está habilitado, a menos que seja necessário para sua empresa? Dica Consulte Escolhendo um modo de autenticação.
	Se Autenticação do SQL Server estiver habilitada, a conta SA foi desabilitada? Dica A conta SA é um alvo conhecido e frequente de usuários mal-intencionados. Desabilite a conta usando a instrução ALTER LOGIN. Restrinja a associação da função de servidor fixa sysadmin a logons que usam a Autenticação do Windows.
	Se a Autenticação do SQL Server estiver habilitada, a conta SA foi renomeada? Dica A conta SA é um alvo conhecido e frequente de usuários mal-intencionados. Renomear a conta usando a instrução ALTER LOGIN pode ajudar a protegê-la.
	A conta SA tem uma senha forte? Dica A senha da conta SA é especificada durante instalação do SQL Server. Entretanto, ela pode ser alterada com a instrução ALTER LOGIN.
	Quando a Autenticação do SQL Server está habilitada, o SQL Server exige senha forte? Dica Os logons do SQL Server herdam a diretiva de senha do computador, a menos que isso seja especificamente dispensado. Para obter mais informações, consulte a opção CHECK_POLICY de CREATE LOGIN e ALTER LOGIN.
	Os recursos desnecessários do SQL Server estão desabilitados? Dica Usa a faceta Configuração da Área da superfície do Gerenciamento Baseado em Políticas. Para obter mais informações, consulte Compreendendo a Configuração da Área da Superfície.
	O xp_cmdshell é desabilitado, a menos que seja absolutamente necessário? Dica Para obter mais informações, consulte xp_cmdshell (Transact-SQL).
	O Encadeamento de Propriedades de Bancos de Dados está definido como OFF, a menos que vários bancos de dados estejam implantados como uma única unidade? Dica Para obter mais informações, consulte Opção cross db ownership chaining.
	Você executa regularmente o BPA (Best Practices Analyzer) no SQL Server? Dica Use o Microsoft SQL Server 2008 R2 Best Practices Analyzer ou o SQL Server 2005 Best Practices Analyzer (August 2008).
	O Mecanismo de Banco de Dados tem o mais recente service pack aplicado? Dica Os ambientes de produção normalmente requerem teste antes da aplicação de service packs. Se o teste não estiver sendo executado, a melhor opção talvez seja instalar os service packs automaticamente.
	Você confirmou se bancos de dados de exemplo (como o AdventureWorks2008R2) não estão instalados em bancos de dados de produção? Dica Use o SQL Server Management Studio para procurar bancos de dados de exemplo.

Consulte também

Conceitos

Lista de verificação: Aumentando a segurança de conexões do Mecanismo de Banco de Dados

Lista de verificação: Limitando o acesso a dados

Lista de verificação: Criptografando dados confidenciais