Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Gäller för:
SQL Server på Windows
Säkerhet är viktigt för varje produkt och alla företag. Genom att följa enkla metodtips kan du undvika många säkerhetsrisker. I den här artikeln beskrivs några metodtips för säkerhet som du bör överväga både innan du installerar SQL Server och när du har installerat SQL Server. Säkerhetsvägledning för specifika funktioner ingår i referensartiklarna för dessa funktioner.
Innan du installerar SQL Server
Följ dessa metodtips när du konfigurerar servermiljön:
- Förbättra den fysiska säkerheten
- Använda brandväggar
- Avgränsa tjänster
- Konfigurera ett säkert filsystem
- Inaktivera NetBIOS och servermeddelandeblock
- Installera SQL Server på en domänkontrollant
Förbättra den fysiska säkerheten
Fysisk och logisk isolering utgör grunden för SQL Server säkerhet. Utför följande uppgifter för att förbättra den fysiska säkerheten för SQL Server installation:
Placera servern i ett rum som endast är tillgängligt för behöriga personer.
Placera datorer som är värdar för en databas på en fysiskt skyddad plats, helst ett låst datorrum med övervakad översvämningsidentifiering och system för brandidentifiering eller undertryckning.
Installera databaser i den säkra zonen för företagets intranät och anslut inte dina SQL Server-instanser direkt till Internet.
Säkerhetskopiera alla data regelbundet och skydda säkerhetskopiorna på en plats utanför platsen.
Använda brandväggar
Brandväggar är viktiga för att skydda SQL Server installation. Brandväggar är mest effektiva om du följer dessa riktlinjer:
Placera en brandvägg mellan servern och Internet. Aktivera brandväggen. Om brandväggen är avstängd aktiverar du den. Om brandväggen är aktiverad ska du inte inaktivera den.
Dela upp nätverket i säkerhetszoner avgränsade med brandväggar. Blockera all trafik och tillåt sedan selektivt endast det som krävs.
I en miljö med flera nivåer använder du flera brandväggar för att skapa skärmade undernät.
När du installerar servern i en Windows-domän, konfigurerar du interna brandväggar för att tillåta Windows-autentisering.
Om ditt program använder distribuerade transaktioner kan du behöva konfigurera brandväggen så att Microsoft Distributed Transaction Coordinator -trafik (MS DTC) kan flöda mellan separata MS DTC-instanser. Du måste också konfigurera brandväggen så att trafik kan flöda mellan MS DTC och resurshanterare, till exempel SQL Server.
Mer information om standardinställningarna för Windows-brandväggen och en beskrivning av de TCP-portar som påverkar Database Engine, Analysis Services, Reporting Services och Integration Services finns i Konfigurera Windows-brandväggen för att tillåta SQL Server access.
Isolera tjänster
Att isolera tjänster minskar risken för att en komprometterad tjänst kan användas för att kompromettera andra. Tänk på följande riktlinjer för att isolera tjänster:
- Kör separata SQL Server tjänster under separata Windows-konton. När det är möjligt använder du separata Windows- eller lokala användarkonton med låg behörighet för varje SQL Server tjänst. Mer information finns i Konfigurera Windows-tjänstkonton och behörigheter.
Konfigurera ett säkert filsystem
Om du använder rätt filsystem ökar säkerheten. Utför följande uppgifter för SQL Server installationer:
Använd NT-filsystemet (NTFS) eller ReFS (Resilient File System). NTFS och ReFS är de rekommenderade filsystemen för installationer av SQL Server eftersom de är stabilare och återställningsbara än FAT32-filsystem. NTFS eller ReFS aktiverar även säkerhetsalternativ såsom fil- och katalogåtkomstkontrollistor (ACL). NTFS har också stöd för EFS (Encrypting File System) – filkryptering. Under installationen anger SQL Server lämpliga ACL:er på registernycklar och filer om den identifierar NTFS. Ändra inte dessa behörigheter. Framtida versioner av SQL Server kanske inte stöder installation på datorer med FAT-filsystem.
Anmärkning
Om du använder EFS krypteras databasfilerna under identiteten för det konto som kör SQL Server. Endast det här kontot kan dekryptera filerna. Om du måste ändra det konto som kör SQL Server dekrypterar du först filerna under det gamla kontot och krypterar dem sedan igen under det nya tjänstkontot.
Varning
Användning av filkryptering via EFS kan leda till långsammare I/O-prestanda eftersom kryptering gör att asynkron I/O blir synkron. Se Asynkron disk-I/O visas som synkron i Windows. Överväg i stället att använda SQL Server krypteringstekniker som Transparent data encryption (TDE), Always Encrypted och kryptering på kolumnnivå Kryptografisk funktion.
Inaktivera NetBIOS och servermeddelandeblock
Inaktivera alla onödiga protokoll på servrar i perimeternätverket, inklusive NetBIOS och SMB (Server Message Block).
NetBIOS använder följande portar:
- UDP/137 (NetBIOS-namntjänst)
- UDP/138 (NetBIOS-datagramtjänst)
- TCP/139 (NetBIOS-sessionstjänst)
SMB använder följande portar:
- TCP/139
- TCP/445
Webbservrar och DNS-servrar (Domain Name System) kräver inte NetBIOS eller SMB. På dessa servrar inaktiverar du båda protokollen för att minska hotet om användaruppräkning.
Installera SQL Server på en domänkontrollant
Av säkerhetsskäl ska du inte installera SQL Server på en domänkontrollant. SQL Server installationsprogrammet blockerar inte installation på en dator som är en domänkontrollant, men följande begränsningar gäller:
Du kan inte köra SQL Server tjänster på en domänkontrollant under ett lokalt tjänstkonto.
När du har installerat SQL Server på en dator kan du inte ändra datorn från en domänmedlem till en domänkontrollant. Du måste avinstallera SQL Server innan du ändrar värddatorn till en domänkontrollant.
När du har installerat SQL Server på en dator kan du inte ändra datorn från en domänkontrollant till en domänmedlem. Du måste avinstallera SQL Server innan du ändrar värddatorn till en domänmedlem.
SQL Server redundansklusterinstanser stöds inte där klusternoder är domänkontrollanter.
SQL Server-installationsprogrammet kan inte skapa säkerhetsgrupper eller SQL Server-tjänstkonton på en skrivskyddande domänkontrollant. I det här scenariot misslyckas installationen.
Se till att nödvändiga användarrättigheter tilldelas för lyckad installation
Installationen kräver att följande användarrättigheter beviljas till det konto under vilket SQL Server är installerat:
- Säkerhetskopiera filer och kataloger
- Felsöka program
- Hantera granskning- och säkerhetsloggar
Dessa användarbehörigheter beviljas vanligtvis som standard till den lokala administratörsgruppen (BUILTIN\Administrators). I de flesta fall behöver du inte vidta några åtgärder för att tilldela dem. Dock, om en säkerhetspolicy återkallar dessa behörigheter, ska du se till att de är korrekt tilldelade, annars misslyckas SQL Server-installationsprogrammet med följande fel:
The account that is running SQL Server Setup doesn't have one or all of the following rights: the right to back up files and directories, the right to manage auditing and the security log and the right to debug programs. To continue, use an account with both of these rights.
Under eller efter installationen av SQL Server
Efter installationen förbättrar du säkerheten för SQL Server installation genom att följa dessa metodtips för konton och autentiseringslägen:
Tjänstkonton
Kör SQL Server-tjänster med hjälp av lägsta möjliga behörigheter.
Associera SQL Server tjänster med lokala Windows-konton med låg behörighet eller domänanvändarkonton.
Mer information finns i Konfigurera Windows-tjänstkonton och behörigheter.
Autentiseringsläge
Kräv Windows Authentication för anslutningar till SQL Server.
Använd Kerberos-autentisering. För mer information, se Registrera ett tjänsthuvudnamn för Kerberos-anslutningar.
Starka lösenord
- Tilldela alltid ett starkt lösenord till sa-kontot .
- Aktivera alltid lösenordsprincipkontroll för lösenordsstyrka och förfallotid.
- Använd alltid starka lösenord för alla SQL Server inloggningar.
Viktigt!
Under installationen av SQL Server Express läggs en inloggning till för gruppen BUILTIN\Users. Den här gruppen ger alla användare av datorn, åtkomst till instansen av SQL Server Express som medlem i den publika rollen. Du kan på ett säkert sätt ta bort gruppen BUILTIN\Users för att begränsa Database Engine access till datoranvändare som har enskilda inloggningar eller som är medlemmar i andra Windows-grupper med inloggningar.