Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Van toepassing op:
SQL Server - alleen Windows
Beveiliging is belangrijk voor elk product en elk bedrijf. Door eenvoudige aanbevolen procedures te volgen, kunt u veel beveiligingsproblemen voorkomen. In dit artikel worden enkele aanbevolen beveiligingsprocedures besproken die u moet overwegen voordat u SQL Server installeert en nadat u SQL Server hebt geïnstalleerd. Beveiligingsrichtlijnen voor specifieke functies zijn opgenomen in de referentieartikelen voor deze functies.
Voordat u SQL Server installeert
Volg deze aanbevolen procedures wanneer u de serveromgeving instelt:
- Fysieke beveiliging verbeteren
- Firewalls gebruiken
- Services isoleren
- Een beveiligd bestandssysteem configureren
- NetBIOS- en serverberichtblok uitschakelen
- SQL Server installeren op een domeincontroller
Fysieke beveiliging verbeteren
Fysieke en logische isolatie vormen de basis van SQL Server-beveiliging. Ga als volgt te werk om de fysieke beveiliging van de SQL Server-installatie te verbeteren:
Plaats de server in een ruimte die alleen toegankelijk is voor geautoriseerde personen.
Plaats computers die een database hosten op een fysiek beveiligde locatie, idealiter een vergrendelde computerruimte met bewaakte overstromingsdetectie en branddetectie- of brandbestrijdingssystemen.
Installeer databases in de beveiligde zone van het bedrijfsintranet en verbind uw SQL Server-exemplaren niet rechtstreeks met internet.
Maak regelmatig een back-up van alle gegevens en beveilig de back-ups op een externe locatie.
Firewalls gebruiken
Firewalls zijn belangrijk om de SQL Server-installatie te beveiligen. Firewalls zijn het meest effectief als u deze richtlijnen volgt:
Plaats een firewall tussen de server en internet. Schakel uw firewall in. Als uw firewall is uitgeschakeld, schakelt u deze in. Als uw firewall is ingeschakeld, schakelt u deze niet uit.
Verdeel het netwerk in beveiligingszones, gescheiden door firewalls. Blokkeer al het verkeer en laat vervolgens selectief toe wat vereist is.
Gebruik in een omgeving met meerdere lagen meerdere firewalls om gescreende subnetten te maken.
Wanneer u de server in een Windows-domein installeert, configureert u binnenfirewalls om Windows-verificatie toe te staan.
Als uw toepassing gedistribueerde transacties gebruikt, moet u mogelijk de firewall configureren om MS DTC-verkeer (Microsoft Distributed Transaction Coordinator) te laten stromen tussen afzonderlijke MS DTC-exemplaren. U moet ook de firewall configureren om verkeer tussen de MS DTC en resourcemanagers zoals SQL Server toe te staan.
Zie voor meer informatie over de standaardinstellingen van Windows Firewall en een beschrijving van de TCP-poorten die van invloed zijn op de Database Engine, Analysis Services, Reporting Services en Integration Services De Windows Firewall configureren voor toegang tot SQL Server.
Services isoleren
Het isoleren van services vermindert het risico dat een gecompromitteerde service kan worden gebruikt om anderen te compromitteerd. Als u services wilt isoleren, moet u rekening houden met de volgende richtlijnen:
- Voer afzonderlijke SQL Server-services uit onder afzonderlijke Windows-accounts. Gebruik indien mogelijk afzonderlijke, lage rechten windows- of lokale gebruikersaccounts voor elke SQL Server-service. Zie Windows-serviceaccounts en -machtigingen configurerenvoor meer informatie.
Een beveiligd bestandssysteem configureren
Het gebruik van het juiste bestandssysteem verhoogt de beveiliging. Voor SQL Server-installaties moet u de volgende taken uitvoeren:
Gebruik het NT-bestandssysteem (NTFS) of Resilient File System (ReFS). NTFS en ReFS zijn het aanbevolen bestandssysteem voor installaties van SQL Server omdat het stabieler en herstelbaarder is dan FAT32-bestandssystemen. NTFS of ReFS schakelt ook beveiligingsopties in, zoals toegangsbeheerlijsten voor bestanden en mappen (ACL's). NTFS ondersteunt ook Encrypting File System (EFS) - bestandsversleuteling. Tijdens de installatie stelt SQL Server de juiste ACL's in op registersleutels en bestanden als ntfs wordt gedetecteerd. Deze machtigingen mogen niet worden gewijzigd. Toekomstige versies van SQL Server bieden mogelijk geen ondersteuning voor installatie op computers met FAT-bestandssystemen.
Opmerking
Als u EFS gebruikt, worden databasebestanden versleuteld onder de identiteit van het account waarop SQL Server wordt uitgevoerd. Alleen dit account kan de bestanden ontsleutelen. Als u het account dat SQL Server uitvoert moet wijzigen, moet u eerst de bestanden die door het oude account zijn versleuteld, ontsleutelen en ze vervolgens opnieuw versleutelen met het nieuwe serviceaccount.
Waarschuwing
Het gebruik van bestandsversleuteling via EFS kan leiden tot tragere I/O-prestaties omdat versleuteling asynchrone I/O-synchronisatie veroorzaakt. Zie Asynchrone schijf-I/O wordt als synchroon weergegeven in Windows. In plaats daarvan kunt u overwegen OM VERsleutelingstechnologieën van SQL Server te gebruiken, zoals TDE (Transparent Data Encryption),Always Encrypted en cryptografische functies op kolomniveau.
NetBIOS- en serverberichtblok uitschakelen
Servers in het perimeternetwerk moeten alle overbodige protocollen hebben uitgeschakeld, waaronder NetBIOS en server message block (SMB).
NetBIOS maakt gebruik van de volgende poorten:
- UDP/137 (NetBIOS-naamservice)
- UDP/138 (NetBIOS-datagramdienst)
- TCP/139 (NetBIOS-sessieservice)
SMB gebruikt de volgende poorten:
- TCP/139
- TCP/445
Webservers en DNS-servers (Domain Name System) hebben geen NetBIOS- of SMB-servers nodig. Schakel op deze servers beide protocollen uit om de bedreiging van de opsomming van gebruikers te verminderen.
SQL Server installeren op een domeincontroller
Om veiligheidsredenen raden we u aan OM SQL Server niet op een domeincontroller te installeren. De installatie van SQL Server wordt niet geblokkeerd op een computer die een domeincontroller is, maar de volgende beperkingen gelden:
U kunt GEEN SQL Server-services uitvoeren op een domeincontroller onder een lokaal serviceaccount.
Nadat SQL Server op een computer is geïnstalleerd, kunt u de computer niet wijzigen van een domeinlid in een domeincontroller. U moet SQL Server verwijderen voordat u de hostcomputer wijzigt in een domeincontroller.
Nadat SQL Server op een computer is geïnstalleerd, kunt u de computer niet wijzigen van een domeincontroller in een domeinlid. U moet SQL Server deïnstalleren voordat u de hostcomputer wijzigt naar een domeinlid.
Exemplaren van SQL Server-failoverclusters worden niet ondersteund wanneer clusterknooppunten domeincontrollers zijn.
Sql Server Setup kan geen beveiligingsgroepen maken of SQL Server-serviceaccounts inrichten op een alleen-lezen domeincontroller. In dit scenario mislukt de installatie.
Zorg ervoor dat de vereiste gebruikersrechten zijn toegewezen voor een geslaagde installatie
Setup vereist dat de volgende gebruikersrechten worden verleend aan het account waaronder SQL Server is geïnstalleerd:
- Back-upbestanden en mappen maken
- Fouten opsporen in programma's
- Controle en beveiligingslogboek beheren
Deze gebruikersbevoegdheden worden meestal standaard verleend aan de lokale beheerdersgroep (BUILTIN\Administrators). In de meeste gevallen is er geen actie vereist om ze toe te wijzen. Als een beveiligingsbeleid deze bevoegdheden echter intrekt, moet u ervoor zorgen dat deze correct zijn toegewezen, of dat het instellen van SQL Server mislukt met de volgende fout:
The account that is running SQL Server Setup doesn't have one or all of the following rights: the right to back up files and directories, the right to manage auditing and the security log and the right to debug programs. To continue, use an account with both of these rights.
Tijdens of na de installatie van SQL Server
Na de installatie kunt u de beveiliging van de SQL Server-installatie verbeteren door de volgende aanbevolen procedures met betrekking tot accounts en verificatiemodi te volgen:
Serviceaccounts
Voer SQL Server-services uit met behulp van de laagst mogelijke machtigingen.
Koppel SQL Server-services aan lokale Windows-gebruikersaccounts met beperkte bevoegdheden of domeingebruikersaccounts.
Zie Windows-serviceaccounts en -machtigingen configurerenvoor meer informatie.
Verificatiemodus
Windows-verificatie vereisen voor verbindingen met SQL Server.
Kerberos-verificatie gebruiken. Zie Een service-principalnaam registreren voor Kerberos-verbindingenvoor meer informatie.
Sterke wachtwoorden
- Wijs altijd een sterk wachtwoord toe aan het sa-account .
- Schakel wachtwoordbeleidscontrole altijd in op wachtwoordsterkte en verlooptijd.
- Gebruik altijd sterke wachtwoorden voor alle SQL Server-aanmeldingen.
Belangrijk
Tijdens de installatie van SQL Server Express wordt er een aanmelding toegevoegd voor de BUILTIN\Users groep. Hierdoor hebben alle geverifieerde gebruikers van de computer toegang tot het exemplaar van SQL Server Express als lid van de openbare rol. De BUILTIN\Users aanmelding kan veilig worden verwijderd om de toegang tot de database-engine te beperken tot computergebruikers die over afzonderlijke aanmeldingen beschikken of lid zijn van andere Windows-groepen met aanmeldingen.