رهیافتی برای افزایش امنیت sql server ،
وقتی sql server را نصب می کنید و آن را به عنوان ابزاری برای دخیره داده های حساس شرکتی ، اداری و سازمانی مورد استفاده قرار می دهید ، باید بالاجبار برخی از تنظیمات امنیتی را روی آن اعمال کنید تا دسترسی های غیرمجاز به آن جلوگیری کنید.
راه حل های امنیتی زیادی وجود دارند که می توانید از سایت میکروسافت ، آنها را دریافت کنید ، در اینجا ، برخی از موارد امنیتی را مورد بررسی قرار می دهیم ،کارهای مربوط به امنیت sql server به چهار دسته تقسیم می شوند : امنیت فیزیکی ، امنیت در سطح سیستم عامل ، پیکربندی sql server و مدیریت کاربران آن.
امنیت فیزیکی
اولین خط امنیت ، امنیت فیزیکی سخت افزار هست ، باید سخت افزار را مداخله افراد مختلف ، محافظت کنید ، چند مورد را باید رعایت کنید
1- تعداد کارمندان یا کارکنانی که به سخت افزار فیزیکی دسترسی دارند ، محدود کنید
2-ابزارهایی که بکآپ ها در آن ذخیره شده اند را به صورت غیرآنلاین نگهداری کنید
هشدارهایی را برای سخت افزار تنظیم نمایید ،
امنیت فیزیکی اگرچه لازم هست ولی کافی نیست ، باید طرحی برای محافظت از ویندوز ، بسازید ، سیستم عامل باید امن باشد ، بعضی مواردی که باید در نظر بگیرید عبارتند از :
1- نصب سرویس پک ها و بروزرسانی های بحرانی را نصب کنید
2-تنظیم فایروال
3-محدود کردن تعداد کارکنانی که به Sql server دسترسی دارند
موارد زیر را در نصب sql server رعایت کنید :
1- نصب مولفه هایی که فقط ضروری هستند ، مولفه کمتر ، مسائل امنیتی کمتری می تواند اتفاق بیافتد
2- نصب سرویس پک ها و بروزرسانی ضروری sql server : نصب همه مولفه های بحرانی مورد نیاز برای اطمینان از اینکه حفره امنیتی در سیستم شما وجود ندارد.
3- ویژگی ها و سرویس های غیرضروری را غیرفعال کنید
4-پروتکل های غیر ضروری sql server را غیرفعال کنید.
5-پورت های پیش فرض sql server را تغییر دهید
6- sql server instance را غیر فعال کنید و sql browser را خاموش کنید
7-دسترسی به پیکربندی sql server و فایل پایگاه داده را محدود کنید
8-دسترسی به بکآپ های sql server را محدود کنید
9-از TDE استفاده کنید این ویژگی از sql server 2008 ,2008 r2 وجود دارد.
10- گزینه xp_cmdshell ر ا غیرفعال کنید
بعد از انجام تنظیمات اولیه امنیت sql server ، باید موارد زیر را بررسی کنید
1- حساب کاربری sa را تغییر نام دهید و آنرا غیرفعال کنید، می توانید sp_SetAutoSAPasswordAndDisable برای غیرفعال کردن آن استفاده کنید
10-گروه BUILTIN\Administrator را loginهای sql server حذف کنید
11-از حالت windows authentication استفاده کنید
12-هر مدیر سیستم باید login نام دار داشته باشد ، login های اشتراکی مجاز نیستند
13- همه حساب های کاربری برای دسترسی کاربر نام دار ، باید با اکتیو دایرکتوری کنترل شود. یعنی بجای ایجاد login در sql server ، کاربر در اکتیو دایرکتوری باشد.
14-از اکانت های سرویس(account service) برای کاربردها استفاده کنید.
15- اکانت های سرویس را با حداقل امتیازات تنظیم کنید
16-امتیازات کاربر باید حداقل شود
17-همه اکانت های مدیریتی باید رمزهای پیچیده داشته باشند و تغییر رمز باید اجباری باشد.
18- لاگین های sql server را برای لاگین موفق و ناموفق تنظیم کنید
