Анализ безопасности при установке SQL Server
Безопасность является важной характеристикой для любого продукта и любого предприятия. Следуя простым рекомендациям, можно избежать многих уязвимостей в безопасности. В этом разделе обсуждаются некоторые рекомендации по безопасности, которым нужно следовать как до, так и после установки SQL Server. Сведения по безопасности для конкретных компонентов приводятся в справочных разделах по этим компонентам.
Перед установкой SQL Server
При настройке среды сервера выполняйте следующие рекомендации.
Повышение физической безопасности
Использование брандмауэров
Изолирование служб
Настройка безопасной файловой системы
Отключение протоколов NetBIOS и SMB
Повышение физической безопасности
Физическая и логическая изоляции составляют основу безопасности SQL Server. Для повышения физической безопасности установки SQL Server выполните следующие действия.
Поместите сервер в помещении, недоступном для посторонних.
Установите компьютеры, на которых размещены базы данных, в физически защищенных местах, идеальным вариантом является запертая компьютерная комната с системой электромагнитного и противопожарного контроля или системой подавления помех.
Установите базы данных в безопасной зоне корпоративной интрасети и не подключайте серверы SQL Server к Интернету напрямую.
Регулярно создавайте резервные копии и храните их в безопасном месте за пределами расположения компьютера.
Использование брандмауэров
Брандмауэры играют важную роль в обеспечении безопасности установки SQL Server. Брандмауэры будут более эффективны, если следовать приведенным ниже правилам.
Установите брандмауэр между сервером и Интернетом. Разрешите работу брандмауэра. Если он отключен, включите его. Если он включен, не отключайте.
Разделите сеть на зоны безопасности, разделенные брандмауэрами. Заблокируйте весь поток данных, после чего разрешите только необходимый.
В многоуровневой архитектуре используйте несколько брандмауэров для создания изолированных подсетей.
При установке сервера внутри домена Windows настройте внутренние брандмауэры на разрешение проверки подлинности Windows.
Если приложение работает с распределенными транзакциями, настройте брандмауэр на обмен данными между отдельными экземплярами координатора распределенных транзакций Майкрософт (MS DTC). Кроме того, нужно настроить брандмауэр на разрешение обмена данными между MS DTC и диспетчерами ресурсов (например, SQL Server).
Дополнительные сведения о параметрах по умолчанию брандмауэра Windows, а также описание портов TCP, от которых зависит работа компонента Database Engine, а также служб Analysis Services, Reporting Services и Integration Services, см. в разделе Настройка Брандмауэра Windows для разрешения доступа к SQL Server.
Изолирование служб
Изолирование служб уменьшает риск того, что подвергнувшаяся опасности служба подвергнет опасности другие службы. Чтобы изолировать службы, следуйте приведенным ниже правилам.
- Запускайте разные службы SQL Server под разными учетными записями Windows. Если возможно, пользуйтесь для каждой из служб SQL Server отдельными учетными записями Windows или локальных пользователей, обладающих наименьшими правами. Дополнительные сведения см. в разделе Настройка учетных записей служб Windows.
Настройка безопасной файловой системы
Правильный выбор файловой системы повышает уровень безопасности. Для установки SQL Server необходимо выполнить следующие действия.
Используйте файловую систему NTFS. Рекомендуется устанавливать SQL Server на файловую систему NTFS, так как она обеспечивает более высокую стабильность и восстанавливаемость, чем файловые системы FAT. Кроме того, в NTFS реализованы параметры списков управления доступом к файлам и каталогам (ACL), шифрование файловой системы (EFS) и другие средства обеспечения безопасности. Во время установки SQL Server установит необходимые списки ACL на разделы реестра и файлы, если программа установки обнаружит NTFS. Эти разрешения не должны меняться. В более новых выпусках SQL Server может не поддерживаться установка на компьютерах с файловыми системами FAT.
.gif "Примечание")
ПримечаниеПри использовании EFS файлы базы данных будут зашифрованы идентификатором учетной записи, под которой запущен SQL Server. Только эта учетная запись сможет расшифровать файлы. Если нужно изменить учетную запись, от имени которой запускается SQL Server, сначала необходимо расшифровать файлы с использованием старой учетной записи, а затем снова зашифровать их под новой учетной записью.
Используйте дисковый массив (RAID) для наиболее критичных файлов данных.
Отключение протоколов NetBIOS и SMB
На внешних серверах сети должны быть отключены все ненужные протоколы, включая NetBIOS и SMB.
NetBIOS использует следующие порты:
UDP/137 (служба имен NetBIOS);
UDP/138 (служба дейтаграмм NetBIOS);
UDP/139 (служба сеанса NetBIOS).
SMB использует следующие порты:
TCP/139
TCP/445
Веб-серверы и DNS-серверы не требуют наличия NetBIOS или SMB. Отключите на них оба протокола, чтобы снизить угрозу раскрытия списка пользователей.
После установки SQL Server
После установки можно усилить безопасность установки SQL Server, следуя приведенным ниже советам относительно учетных записей и режимов проверки подлинности.
Учетные записи службы
Запускайте службы SQL Server с минимально возможными разрешениями.
Связывайте службы SQL Server с учетными записями локальных пользователей Windows, имеющих наименьшие права доступа, или учетными записями пользователей домена.
Дополнительные сведения см. в разделе Настройка учетных записей служб Windows.
Режим проверки подлинности
Требует проверку подлинности Windows для подключений к SQL Server.
Используйте проверку подлинности Kerberos. Дополнительные сведения см. в разделе Регистрация имени участника-службы.
Надежные пароли
Всегда назначайте надежный пароль учетной записи sa.
Политика паролей, проверяющая силу паролей и их срок действия, должна быть всегда включена.
Для всех имен входа SQL Server пользуйтесь только надежными паролями. Дополнительные сведения см. в техническом документе Общие сведения о безопасности SQL Server 2008 для администраторов баз данных.
|