Безпека є важливою характеристикою для будь-якого продукту і будь-якого підприємства. Дотримуючись простих рекомендацій, можна уникнути багатьох вразливостей в безпеці. У цьому розділі обговорюються деякі рекомендації з безпеки, яких слід дотримуватися як до, так і після установки SQL Server. Відомості з безпеки для конкретних компонентів приводяться в довідкових розділах по цим компонентам.
Під час налаштування середовища сервера виконуйте наступні рекомендації.
Підвищення фізичної безпеки
Фізична і логічна ізоляції складають основу безпеки SQL Server. Для підвищення фізичної безпеки установки SQL Server виконайте наступні дії.
Встановіть сервер в приміщенні, недоступному для сторонніх.
Встановіть комп'ютери, на яких розміщені бази даних, в фізично захищених місцях, ідеальним варіантом є замкнена комп'ютерна кімната з системою електромагнітного і протипожежного контролю або системою придушення перешкод.
Встановіть бази даних в безпечній зоні корпоративної мережі і не підключайте екземпляри SQL Server до Інтернету безпосередньо.
Не забувайте створювати резервні копії даних і зберігайте їх у безпечному місці за межами розташування комп'ютера.
Використання брандмауерів
Брандмауери грають важливу роль в забезпеченні безпеки установки SQL Server. Брандмауери будуть більш ефективні, якщо слідувати наведеним нижче правилам.
Встановіть брандмауер між сервером і Інтернетом. Дозвольте роботу брандмауера. Якщо він відключений, включите його. Якщо він включений, не виймайте.
Розділіть мережу на зони безпеки, розділені брандмауерами. Заблокуйте весь потік даних, після чого дозвольте тільки необхідний.
У багаторівневій архітектурі використовуйте кілька брандмауерів для створення ізольованих підмереж.
При установці сервера всередині домену Windows налаштуйте внутрішні брандмауери на дозвіл перевірки автентичності Windows.
Додаткові відомості про параметри за замовчуванням брандмауера Windows, а також опис портів TCP, від яких залежить робота компонента Компонент Database Engine, а також служб Служби Analysis Services, Служби Reporting Services і Служби Integration Services, див. В розділі Налаштування брандмауера Windows для доступу до їхнього SQL Server.
ізолювання служб
Ізолювання служб зменшує ризик того, що яка потрапила під небезпеки служба піддасть небезпеці інші служби. Щоб ізолювати служби, виконайте наступне правилам.
Запускайте різні служби SQL Server під різними обліковими записами Windows. Якщо можливо, користуйтеся для кожної зі служб SQL Server окремими обліковими записами Windows або обліковими записами локальних користувачів з найменшими можливими правами. Додаткові відомості див. У розділі Параметри облікових записів служби Windows і дозволів.
Налаштування безпечної файлової системи
Правильний вибір файлової системи підвищує рівень безпеки. Для установки SQL Server необхідно виконати наступні дії.
Використовуйте файлову систему NTFS. Рекомендується встановлювати SQL Server на файлову систему NTFS, так як вона забезпечує більш високу стабільність і восстанавливаемость, ніж файлові системи FAT. Крім того, NTFS реалізує параметри управління доступом до файлів і каталогів (ACL), шифрування файлової системи (EFS) і інші засоби забезпечення безпеки. Під час установки SQL Server встановить необхідні списки ACL на розділи реєстру і файли, якщо програма установки виявить NTFS. Ці дозволи не повинні змінюватися. У майбутніх випусках SQL Server може не підтримуватися установка на комп'ютери з файлової системою FAT.
Використовуйте дисковий масив (RAID) для найбільш критичних файлів даних.
Відключення протоколів NetBIOS і SMB
На зовнішніх серверах мережі повинні бути відключені всі непотрібні протоколи, включаючи NetBIOS і SMB.
NetBIOS використовує наступні порти:
UDP / 137 (служба імен NetBIOS);
UDP / 138 (служба дейтаграм NetBIOS);
UDP / 139 (служба сеансу NetBIOS).
SMB використовує наступні порти:
Веб-сервери і DNS-сервери не вимагають наявності NetBIOS або SMB. Вимкніть на них обидва протоколи, щоб знизити загрозу розкриття списку користувачів.
Установка SQL Server на контролері домену
Запуск служб SQL Server на контролері домену в обліковий запис локальної служби неможливий.
Після установки SQL Server комп'ютер, який є членом домену, не можна буде зробити контролером домену. Перед цим доведеться видалити SQL Server.
Після установки SQL Server комп'ютер, який є контролером домену, не можна буде зробити членом домену. Перед цим доведеться видалити SQL Server.
SQL Server не підтримує екземпляри відмов кластеру, де вузли кластера є контролерами домена.
Програма установки SQL Server не може створювати групи безпеки або готувати облікові записи служб SQL Server на контролері домену, доступному тільки для читання. У такій ситуації програма установки завершується помилкою.