Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
gäller för:
SQL Server – endast Windows
Säkerhet är viktigt för varje produkt och alla företag. Genom att följa enkla metodtips kan du undvika många säkerhetsrisker. I den här artikeln beskrivs några metodtips för säkerhet som du bör överväga både innan du installerar SQL Server och när du har installerat SQL Server. Säkerhetsvägledning för specifika funktioner ingår i referensartiklarna för dessa funktioner.
Innan du installerar SQL Server
Följ dessa metodtips när du konfigurerar servermiljön:
- Förbättra den fysiska säkerheten
- Använda brandväggar
- Avgränsa tjänster
- Konfigurera ett säkert filsystem
- Inaktivera NetBIOS och servermeddelandeblock
- Installera SQL Server på en domänkontrollant
Förbättra den fysiska säkerheten
Fysisk och logisk isolering utgör grunden för SQL Server-säkerhet. Utför följande uppgifter för att förbättra den fysiska säkerheten för SQL Server-installationen:
Placera servern i ett rum som endast är tillgängligt för behöriga personer.
Placera datorer som är värdar för en databas på en fysiskt skyddad plats, helst ett låst datorrum med övervakad översvämningsidentifiering och system för brandidentifiering eller undertryckning.
Installera databaser i den säkra zonen för företagets intranät och anslut inte dina SQL Server-instanser direkt till Internet.
Säkerhetskopiera alla data regelbundet och skydda säkerhetskopiorna på en plats utanför platsen.
Använda brandväggar
Brandväggar är viktiga för att skydda SQL Server-installationen. Brandväggar är mest effektiva om du följer dessa riktlinjer:
Placera en brandvägg mellan servern och Internet. Aktivera brandväggen. Om brandväggen är avstängd aktiverar du den. Om brandväggen är aktiverad ska du inte inaktivera den.
Dela upp nätverket i säkerhetszoner avgränsade med brandväggar. Blockera all trafik och tillåt sedan selektivt endast det som krävs.
I en miljö med flera nivåer använder du flera brandväggar för att skapa skärmade undernät.
När du installerar servern i en Windows-domän konfigurerar du brandväggar för att tillåta Windows-autentisering.
Om ditt program använder distribuerade transaktioner kan du behöva konfigurera brandväggen så att Microsoft Distributed Transaction Coordinator -trafik (MS DTC) kan flöda mellan separata MS DTC-instanser. Du måste också konfigurera brandväggen så att trafik kan flöda mellan MS DTC och resurshanterare som SQL Server.
Mer information om standardinställningarna för Windows-brandväggen och en beskrivning av de TCP-portar som påverkar databasmotorn, Analysis Services, Reporting Services och Integration Services finns i Konfigurera Windows-brandväggen för att tillåta SQL Server-åtkomst.
Isolera tjänster
Att isolera tjänster minskar risken för att en komprometterad tjänst kan användas för att kompromettera andra. Tänk på följande riktlinjer för att isolera tjänster:
- Kör separata SQL Server-tjänster under separata Windows-konton. När det är möjligt använder du separata Windows- eller lokala användarkonton med låg behörighet för varje SQL Server-tjänst. Mer information finns i Konfigurera Windows-tjänstkonton och behörigheter.
Konfigurera ett säkert filsystem
Om du använder rätt filsystem ökar säkerheten. För SQL Server-installationer bör du utföra följande uppgifter:
Använd NT-filsystemet (NTFS) eller ReFS (Resilient File System). NTFS och ReFS är det rekommenderade filsystemet för installationer av SQL Server eftersom det är stabilare och återställningsbart än FAT32-filsystem. NTFS eller ReFS aktiverar även säkerhetsalternativ som fil- och katalogåtkomstkontrollistor (ACL). NTFS har också stöd för EFS (Encrypting File System) – filkryptering. Under installationen ställer SQL Server in lämpliga ACL:er på registernycklar och filer om den identifierar NTFS. Dessa behörigheter bör inte ändras. Framtida versioner av SQL Server kanske inte stöder installation på datorer med FAT-filsystem.
Anmärkning
Om du använder EFS krypteras databasfilerna under identiteten för det konto som kör SQL Server. Endast det här kontot kan dekryptera filerna. Om du måste ändra det konto som kör SQL Server måste du först dekryptera filerna under det gamla kontot och sedan kryptera om dem under det nya tjänstkontot.
Varning
Användning av filkryptering via EFS kan leda till långsammare I/O-prestanda eftersom kryptering gör att asynkron I/O blir synkron. Se Asynkron disk-I/O visas som synkron i Windows. I stället kan du överväga att använda SQL Server-krypteringstekniker som Transparent datakryptering (TDE), Always Encrypted och kryptering på kolumnnivå Kryptografiska funktioner.
Inaktivera NetBIOS och servermeddelandeblock
Servrar i perimeternätverket bör ha alla onödiga protokoll inaktiverade, inklusive NetBIOS och SMB (Server Message Block).
NetBIOS använder följande portar:
- UDP/137 (NetBIOS-namntjänst)
- UDP/138 (NetBIOS-datagramtjänst)
- TCP/139 (NetBIOS-sessionstjänst)
SMB använder följande portar:
- TCP/139
- TCP/445
Webbservrar och DNS-servrar (Domain Name System) kräver inte NetBIOS eller SMB. På dessa servrar inaktiverar du båda protokollen för att minska hotet om användaruppräkning.
Installera SQL Server på en domänkontrollant
Av säkerhetsskäl rekommenderar vi att du inte installerar SQL Server på en domänkontrollant. Installationsprogrammet för SQL Server blockerar inte installation på en dator som är en domänkontrollant, men följande begränsningar gäller:
Du kan inte köra SQL Server-tjänster på en domänkontrollant under ett lokalt tjänstkonto.
När SQL Server har installerats på en dator kan du inte ändra datorn från en domänmedlem till en domänkontrollant. Du måste avinstallera SQL Server innan du ändrar värddatorn till en domänkontrollant.
När SQL Server har installerats på en dator kan du inte ändra datorn från en domänkontrollant till en domänmedlem. Du måste avinstallera SQL Server innan du ändrar värddatorn till en domänmedlem.
SQL Server-redundansklusterinstanser stöds inte där klusternoder är domänkontrollanter.
SQL Server-installationsprogrammet kan inte skapa säkerhetsgrupper eller etablera SQL Server-tjänstkonton på en skrivskyddad domänkontrollant. I det här scenariot misslyckas installationen.
Se till att nödvändiga användarrättigheter tilldelas för lyckad installation
Installationen kräver att följande användarrättigheter beviljas till det konto under vilket SQL Server är installerat:
- Säkerhetskopiera filer och kataloger
- Felsöka program
- Hantera granskning- och säkerhetsloggar
Dessa användarbehörigheter beviljas vanligtvis som standard till den lokala administratörsgruppen (BUILTIN\Administrators). I de flesta fall krävs ingen åtgärd för att tilldela dem. Men om en säkerhetsprincip återkallar dessa behörigheter måste du kontrollera att de är korrekt tilldelade, eller så misslyckas SQL Server-installationen med följande fel:
The account that is running SQL Server Setup doesn't have one or all of the following rights: the right to back up files and directories, the right to manage auditing and the security log and the right to debug programs. To continue, use an account with both of these rights.
Under eller efter installationen av SQL Server
Efter installationen kan du förbättra säkerheten för SQL Server-installationen genom att följa dessa metodtips för konton och autentiseringslägen:
Tjänstkonton
Kör SQL Server-tjänster med hjälp av de lägsta möjliga behörigheterna.
Associera SQL Server-tjänster med lågprivilegierade lokala Windows-användarkonton eller domänanvändarkonton.
Mer information finns i Konfigurera Windows-tjänstkonton och behörigheter.
Autentiseringsläge
Kräv Windows-autentisering för anslutningar till SQL Server.
Använd Kerberos-autentisering. För mer information, se Registrera ett tjänsthuvudnamn för Kerberos-anslutningar.
Starka lösenord
- Tilldela alltid ett starkt lösenord till sa-kontot .
- Aktivera alltid lösenordsprincipkontroll för lösenordsstyrka och förfallotid.
- Använd alltid starka lösenord för alla SQL Server-inloggningar.
Viktigt!
Under installationen av SQL Server Express läggs en inloggning till för BUILTIN\Users gruppen. På så sätt kan alla autentiserade användare av datorn komma åt instansen av SQL Server Express som medlem i den offentliga rollen. Inloggningen BUILTIN\Users kan tas bort på ett säkert sätt för att begränsa databasmotorns åtkomst till datoranvändare som har enskilda inloggningar eller som är medlemmar i andra Windows-grupper med inloggningar.