Анализ безопасности при установке SQL Server

  • Статья

Безопасность является важной характеристикой для любого продукта и любого предприятия. Следуя простым рекомендациям, можно избежать многих уязвимостей в безопасности. В этом разделе обсуждаются некоторые рекомендации по безопасности, которых следует придерживаться как до, так и после установки SQL Server. Сведения по безопасности для конкретных компонентов приводятся в справочных разделах по этим компонентам.

Перед установкой SQL Server

При настройке среды сервера выполняйте следующие рекомендации.

  • Повышение физической безопасности

  • Использование брандмауэров

  • Изолирование служб

  • Настройка безопасной файловой системы

  • Отключение протоколов NetBIOS и SMB

  • Установка SQL Server на контроллере домена

Повышение физической безопасности

Физическая и логическая изоляции составляют основу безопасности SQL Server. Для повышения физической безопасности установки SQL Server выполните следующие действия.

  • Установите сервер в помещении, недоступном для посторонних.

  • Установите компьютеры, на которых размещены базы данных, в физически защищенных местах, идеальным вариантом является запертая компьютерная комната с системой электромагнитного и противопожарного контроля или системой подавления помех.

  • Установите базы данных в безопасной зоне корпоративной сети и не подключайте экземпляры SQL Server к Интернету напрямую.

  • Регулярно создавайте резервные копии данных и храните их в безопасном месте за пределами расположения компьютера.

Использование брандмауэров

Брандмауэры играют важную роль в обеспечении безопасности установки SQL Server. Брандмауэры будут более эффективны, если следовать приведенным ниже правилам.

  • Установите брандмауэр между сервером и Интернетом. Разрешите работу брандмауэра. Если он отключен, включите его. Если он включен, не отключайте.

  • Разделите сеть на зоны безопасности, разделенные брандмауэрами. Заблокируйте весь поток данных, после чего разрешите только необходимый.

  • В многоуровневой архитектуре используйте несколько брандмауэров для создания изолированных подсетей.

  • При установке сервера внутри домена Windows настройте внутренние брандмауэры на разрешение проверки подлинности Windows.

  • Если приложение работает с распределенными транзакциями, настройте брандмауэр на обмен данными между отдельными экземплярами координатора распределенных транзакций Майкрософт (MS DTC). Кроме того, нужно настроить брандмауэр на разрешение обмена данными между MS DTC и диспетчерами ресурсов (например, SQL Server).

Дополнительные сведения о параметрах по умолчанию брандмауэра Windows, а также описание портов TCP, от которых зависит работа компонента Компонент Database Engine, а также служб Службы Analysis Services, Службы Reporting Services и Службы Integration Services, см. в разделе Настройка брандмауэра Windows для разрешения доступа к SQL Server.

Изолирование служб

Изолирование служб уменьшает риск того, что подвергнувшаяся опасности служба подвергнет опасности другие службы. Чтобы изолировать службы, следуйте приведенным ниже правилам.

  • Запускайте разные службы SQL Server под разными учетными записями Windows. Если возможно, пользуйтесь для каждой из служб SQL Server отдельными учетными записями Windows или учетными записями локальных пользователей с наименьшими возможными правами. Дополнительные сведения см. в разделе Настройка учетных записей службы Windows и разрешений.

Настройка безопасной файловой системы

Правильный выбор файловой системы повышает уровень безопасности. Для установки SQL Server необходимо выполнить следующие действия.

  • Используйте файловую систему NTFS. Рекомендуется устанавливать SQL Server на файловую систему NTFS, так как она обеспечивает более высокую стабильность и восстанавливаемость, чем файловые системы FAT. Кроме того, NTFS реализует параметры управления доступом к файлам и каталогам (ACL), шифрование файловой системы (EFS) и другие средства обеспечения безопасности. Во время установки SQL Server установит необходимые списки ACL на разделы реестра и файлы, если программа установки обнаружит NTFS. Эти разрешения не должны меняться. В будущих выпусках SQL Server может не поддерживаться установка на компьютеры с файловой системой FAT.

    ПримечаниеПримечание

    При использовании EFS файлы базы данных будут зашифрованы идентификатором учетной записи, под которой запущен SQL Server. Только эта учетная запись сможет расшифровать файлы. Если нужно изменить учетную запись, от имени которой запускается SQL Server, сначала необходимо расшифровать файлы с использованием старой учетной записи, а затем снова зашифровать их под новой учетной записью.

  • Используйте дисковый массив (RAID) для наиболее критичных файлов данных.

Отключение протоколов NetBIOS и SMB

На внешних серверах сети должны быть отключены все ненужные протоколы, включая NetBIOS и SMB.

NetBIOS использует следующие порты:

  • UDP/137 (служба имен NetBIOS);

  • UDP/138 (служба дейтаграмм NetBIOS);

  • UDP/139 (служба сеанса NetBIOS).

SMB использует следующие порты:

  • TCP/139

  • TCP/445

Веб-серверы и DNS-серверы не требуют наличия NetBIOS или SMB. Отключите на них оба протокола, чтобы снизить угрозу раскрытия списка пользователей.

Установка SQL Server на контроллере домена

Исходя из соображений безопасности, не рекомендуется устанавливать SQL Server 2012 на контроллере домена. Программа установки SQL Server не заблокирует установку на компьютере, который является контроллером домена, однако при этом будут применены следующие ограничения.

  • Запуск служб SQL Server на контроллере домена в учетной записи локальной службы невозможен.

  • После установки SQL Server компьютер, который является членом домена, нельзя будет сделать контроллером домена. Перед этим придется удалить SQL Server.

  • После установки SQL Server компьютер, который является контроллером домена, нельзя будет сделать членом домена. Перед этим придется удалить SQL Server.

  • SQL Server не поддерживает экземпляры отказоустойчивого кластера, где узлы кластера являются контроллерами домена.

  • Программа установки SQL Server не может создавать группы безопасности или подготавливать учетные записи служб SQL Server на контроллере домена, доступном только для чтения. В такой ситуации программа установки завершается ошибкой.

Во время или после установки SQL Server

После установки вы можете повысить безопасность установки SQL Server, следуя приведенным ниже рекомендациям относительно учетных записей и режимов проверки подлинности.

Учетные записи службы

  • Запускайте службы SQL Server с минимально возможными разрешениями.

  • Связывайте службы SQL Server с учетными записями локальных пользователей Windows, имеющих наименьшие права доступа, или учетными записями пользователей домена.

  • Дополнительные сведения см. в разделе Настройка учетных записей службы Windows и разрешений.

Режим проверки подлинности

Надежные пароли

  • Всегда назначайте надежный пароль учетной записи sa.

  • Всегда включайте проверку политики паролей для определения надежности и срока действия пароля.

  • Для всех имен входа SQL Server используйте только надежные пароли.

Примечание по безопасностиПримечание по безопасности

Во время установки SQL Server Express для группы BUILTIN\Users добавляется имя входа. Благодаря этому все прошедшие проверку подлинности пользователи компьютера получают доступ к экземпляру SQL Server Express как члены роли public. Имя входа группы BUILTIN\Users можно удалить, чтобы ограничить доступ к компоненту Компонент Database Engine только пользователям компьютера, у которых есть отдельные имена входа, или членам других групп Windows с именами входа.

См. также

Справочник

Требования к оборудованию и программному обеспечению для установки SQL Server 2012

Сетевые протоколы и библиотеки

Основные понятия

Регистрация имя участника-службы для соединений Kerberos