Artículo
03/30/2012

Lista de comprobación: Configuración de seguridad del motor de base de datos

Esta lista de comprobación revisa las opciones de configuración de seguridad de clave para SQL Server Database Engine (Motor de base de datos de SQL Server). Use esta lista de comprobación para auditar periódicamente el entorno de Motor de base de datos. Esta configuración recomendada se debe ajustar en función de la seguridad y de las necesidades empresariales.

Seguridad física

...	Descripción
	¿El equipo que hospeda Motor de base de datos está ubicado en un centro de datos seguro con acceso limitado? Sugerencia Para obtener más información, vea Plan de seguridad de ejemplo: Adventure Works.
	¿Las copias de seguridad se almacenan en una ubicación segura? Sugerencia Para obtener más información, vea Consideraciones de seguridad para copias de seguridad y restauración.
	¿El acceso a los archivos de Motor de base de datos (archivos .mdf, .ndf, .ldf) está limitado mediante permisos del sistema de archivos? Sugerencia Los usuarios malintencionados que obtienen acceso a los archivos de base de datos pueden adjuntarlos a otras instancias de Motor de base de datos. Para obtener más información, vea Proteger archivos de datos y de registro.
	¿El acceso a los archivos binarios de Motor de base de datos (sqlservr.exe en la carpeta binn) está limitado mediante permisos del sistema de archivos? Sugerencia: Los usuarios malintencionados que puedan tener acceso a los archivos binarios de SQL Server pueden provocar daños y denegación del servicio.
	¿El acceso a los archivos de auditoría está limitado mediante permisos del sistema de archivos? Sugerencia En un entorno de alta seguridad, el registro de seguridad de Windows es la ubicación adecuada para escribir los eventos que registran el acceso a los objetos. Se admiten otras ubicaciones de auditoría, pero están más expuestas a alteraciones. Para obtener más información, vea Cómo escribir eventos de auditoría de servidor en el registro de seguridad.
	¿Las copias de seguridad de las claves de cifrado públicas y privadas se almacenan en una ubicación segura? Sugerencia Si se hacen copias de seguridad de las claves de cifrado en medios extraíbles (CD, unidad flash), las copias de seguridad de las claves se deben almacenar en una ubicación segura, como una caja fuerte con acceso controlado. Si la copia de seguridad se realiza en otra unidad de disco duro, ese equipo se debe proteger adecuadamente.
	Si usa la Administración extensible de claves (EKM), ¿los módulos de seguridad de hardware (HSMs) están protegidos adecuadamente? Sugerencia Consulte con su proveedor de HSM para obtener las recomendaciones necesarias.

Configuración del sistema operativo

...	Descripción
	¿El equipo de SQL Server está protegido por un firewall únicamente con las excepciones necesarias? Sugerencia Use wf.msc (o firewall.cpl) para configurar el Firewall de Windows. Para obtener más información, vea Configurar Firewall de Windows para permitir el acceso a SQL Server.
	¿Los sistemas operativos de servidor y cliente están configurados para usar la protección ampliada para la autenticación? Sugerencia Para obtener más información, vea Conectar al motor de base de datos con protección ampliada y Protección ampliada para la autenticación.
	¿El sistema operativo está configurado para permitir actualizaciones automáticas cuando sea factible? Sugerencia Los entornos de producción suelen requerir pruebas antes de aplicar las actualizaciones. Las actualizaciones se deben probar y aplicar regularmente. Si no se realizan pruebas, quizá las actualizaciones de instalación automática sean la mejor opción.

Configuraciones de instancias de base de datos

...	Descripción
	¿Motor de base de datos está configurado para ejecutarse en una cuenta con los privilegios mínimos necesarios para satisfacer las necesidades empresariales? Sugerencia Para obtener más información, vea Configurar cuentas de servicio de Windows.
	¿La autenticación de SQL Server no está habilitada a menos que lo requieran las necesidades empresariales? Sugerencia Vea Elegir un modo de autenticación.
	Si la autenticación de SQL Server está habilitada, ¿se ha deshabilitado la cuenta SA? Sugerencia La cuenta SA es muy conocida y es el objetivo frecuente de los usuarios malintencionados. Deshabilite la cuenta mediante la instrucción ALTER LOGIN. Restrinja la pertenencia del rol fijo de servidor sysadmin a inicios de sesión que usen la autenticación de Windows.
	Si la autenticación de SQL Server está habilitada, ¿se debe cambiar el nombre de la cuenta SA? Sugerencia La cuenta SA es muy conocida y es el objetivo frecuente de los usuarios malintencionados. Si cambia el nombre de la cuenta mediante la instrucción ALTER LOGIN, puede ayudar a proteger la cuenta.
	¿La cuenta SA tiene una contraseña segura? Sugerencia La contraseña de la cuenta SA se especifica durante la instalación de SQL Server. Sin embargo, se puede cambiar mediante la instrucción ALTER LOGIN.
	Si está habilitada la autenticación de SQL Server, ¿SQL Server requiere contraseñas seguras? Sugerencia Los inicios de sesión de SQL Server heredan la directiva de contraseñas del equipo a menos que estén eximidos expresamente. Para obtener más información, vea la opción CHECK_POLICY de CREATE LOGIN y ALTER LOGIN.
	¿Las características innecesarias de SQL Server se deshabilitan? Sugerencia Use la faceta Configuración de área expuesta de la administración basada en directivas. Para obtener más información, vea Descripción de la configuración del área expuesta.
	¿Se deshabilita xp_cmdshell a menos que sea absolutamente necesario? Sugerencia Para obtener más información, vea xp_cmdshell (Transact-SQL).
	¿El encadenamiento de propiedad entre bases de datos se establece en OFF a menos que varias bases de datos se implementen en una sola unidad? Sugerencia Para obtener más información, vea cross db ownership chaining (opción).
	¿Ejecuta regularmente Best Practices Analyzer (BPA) en SQL Server? Sugerencia Use Microsoft SQL Server 2008 R2 Best Practices Analyzer o SQL Server 2005 Best Practices Analyzer (versión de agosto de 2008).
	¿Motor de base de datos tiene aplicado el service pack más reciente? Sugerencia Los entornos de producción suelen requerir pruebas antes de aplicar los service pack. Si no se realizan pruebas, quizá los service pack de instalación automática sean la mejor opción.
	¿Ha confirmado que las bases de datos de ejemplo, como AdventureWorks2008R2, no están instaladas en bases de datos de producción? Sugerencia Use SQL Server Management Studio para comprobar las bases de datos de ejemplo.

Vea también

Conceptos

Lista de comprobación: Mejorar la seguridad de las conexiones del motor de base de datos

Lista de comprobación: Limitar el acceso a datos

Lista de comprobación: Cifrar datos confidenciales