SQL Server 安裝的安全性考量
安全性很重要,這不只針對 Microsoft SQL Server 和 Microsoft,每一個產品和每一項業務都是如此。只要遵循簡單的最佳作法,就可以避免許多安全性漏洞。此主題會討論一些您在安裝 SQL Server 之前和安裝 SQL Server 之後要運用的安全性最佳作法。特定功能的參考主題中會包括那些功能的安全性指南。
安裝 SQL Server 之前
設定伺服器環境時,請遵循這些最佳作法:
- 加強實體安全性
- 使用防火牆
- 隔離服務
- 建立具有最少權限的服務帳戶
- 停用 NetBIOS 和伺服器訊息區塊
加強實體安全性
實體和邏輯隔離,構成 SQL Server 安全性的基礎。若要加強 SQL Server 安裝的實體安全性,請執行下列工作:
- 將伺服器放在未獲授權人員無法存取的地方。
- 將主控資料庫的電腦放在實體保護位置中,最好是有上鎖的電腦機房,裡面有水災偵測和火災偵測或控制系統的監視功能。
- 在公司內部網路的安全區域中安裝資料庫,絕不直接連接到網際網路。
- 定期備份所有資料,並將副本儲存在安全的遠端位置。
使用防火牆
防火牆是保護 SQL Server 安裝時不可或缺的。如果您遵照這些方針,防火牆將是最有效的:
- 將防火牆放在伺服器和網際網路之間。
- 將網路分割成防火牆所隔開的安全區域。封鎖所有傳輸,然後選擇性地只准許必要的傳輸。
- 在多層環境中,請使用多個防火牆來建立篩選的子網路。
- 當您在 Windows 網域內安裝伺服器時,請設定內部防火牆允許 Windows 驗證。
- 在所有的 Windows 版本皆為 Windows XP 或 Windows Server 2003 或更高版本的 Windows 網域中,請停用 NTLM 驗證。 .
- 如果應用程式使用分散式交易,您必須設定防火牆,允許在個別 MS DTC 執行個體之間,以及在 MS DTC 和資源管理員 (如 SQL Server) 之間,進行 Microsoft 分散式交易協調器 (MS DTC) 傳輸。
隔離服務
隔離服務減少一個遭到破壞的服務被用來破壤其他服務的風險。若要隔離服務,請使用下列方針:
- 請盡可能不要在網域控制站上安裝 SQL Server。
- 在個別 Windows 帳戶下執行個別的 SQL Server 服務。
- 在多層環境中,在個別電腦上執行 Web 邏輯和商務邏輯。
建立擁有最少權限的服務帳戶
SQL Server 安裝程式會自動設定服務帳戶或具有 SQL Server 所需之特定權限的帳戶。修改或設定 SQL Server 2005 所使用的 Windows 服務時,您只應授與它們所需的權限。如需詳細資訊,請參閱<設定 Windows 服務帳戶>。
停用 NetBIOS 和伺服器訊息區塊
周邊網路中的伺服器應該停用所有非必要的通訊協定,包括 NetBIOS 和伺服器訊息區塊 (SMB) 在內。
NetBIOS 使用下列通訊埠:
- UDP/137 (NetBIOS 名稱服務)
- UDP/138 (NetBIOS 資料包服務)
- TCP/139 (NetBIOS 工作階段服務)
SMB 使用下列通訊埠:
- TCP/139
- TCP/445
Web 伺服器和網域名稱系統 (DNS) 伺服器不需要 NetBIOS 或 SMB。在這些伺服器上,請停用這兩種通訊協定來減輕使用者列舉的威脅。如需有關如何停用這些通訊協定的詳細資訊,請參閱<如何:停用 NetBIOS over TCP/IP>和<如何:停用伺服器訊息區塊>。
安裝 SQL Server 之後
安裝之後,您可以遵照關於帳戶和驗證模式的這些最佳作法,來加強 SQL Server 安裝的安全性:
服務帳戶
- 以可能的最低權限執行 SQL Server 服務。
- 使 SQL Server 服務與 Windows 帳戶產生關聯。
驗證模式
- 需要 Windows 驗證才能連接到 SQL Server。
增強式密碼
- 一律指定增強式密碼給 sa 帳戶。
- 一律會啟用密碼原則檢查。
- 對所有 SQL Server 登入一律使用增強式密碼。