Considerazioni sulla protezione per un'installazione di SQL Server
La protezione è importante non solo per Microsoft SQL Server e Microsoft, ma per ogni prodotto e azienda. Con alcune semplici procedure consigliate è possibile evitare molte vulnerabilità di protezione. In questo argomento vengono illustrate alcune procedure consigliate per la protezione da implementare prima e dopo l'installazione di SQL Server. Le indicazioni sulla protezione per specifiche funzionalità sono riportate negli argomenti di riferimento relativi a tali funzionalità.
Prima dell'installazione di SQL Server
Procedure consigliate da eseguire durante la configurazione dell'ambiente server:
- Ottimizzazione della protezione fisica
- Utilizzo di firewall
- Isolamento dei servizi
- Creazione di account di servizio con privilegi minimi
- Disabilitazione di NetBIOS e SMB
Ottimizzazione della protezione fisica
La protezione di SQL Server è basata sull'isolamento fisico e logico. Per ottimizzare la protezione fisica dell'installazione di SQL Server, eseguire le operazioni seguenti:
- Posizionare il server in uno spazio inaccessibile a persone non autorizzate.
- Posizionare i computer che ospitano un database in un luogo fisicamente protetto. La soluzione ideale è rappresentata da una sala computer chiusa, con monitoraggio e rilevamento di allagamenti e sistemi di rilevamento e spegnimento incendi.
- Installare i database in un'area protetta della rete Intranet aziendale, non connessa direttamente a Internet.
- Eseguire regolarmente il backup di tutti i dati e archiviare le copie in un luogo protetto fuori sede.
Utilizzo di firewall
I firewall costituiscono parte integrante della protezione dell'installazione di SQL Server e garantiscono la massima efficienza se vengono rispettate le linee guida seguenti:
- Inserire un firewall tra il server e Internet.
- Dividere la rete in aree di protezione separate da firewall. Bloccare tutto il traffico e quindi ammettere selettivamente soltanto il traffico necessario.
- In un ambiente multilivello, utilizzare più firewall per creare subnet schermate.
- In caso di installazione del server all'interno di un dominio Windows, configurare i firewall interni in modo da consentire l'autenticazione di Windows.
- In un dominio Windows in cui tutte le versioni di Windows sono Windows XP o Windows Server 2003 o versioni successive, disattivare l'autenticazione NTLM. .
- Se l'applicazione utilizza transazioni distribuite, può rivelarsi necessario configurare il firewall in modo da consentire il flusso del traffico Microsoft Distributed Transaction Coordinator (MS DTC) tra istanze MS DTC separate e tra MS DTC e strumenti di gestione delle risorse come SQL Server.
Isolamento dei servizi
L'isolamento dei servizi riduce il rischio che un servizio compromesso venga utilizzato per comprometterne altri. Per isolare i servizi, attenersi alle linee guida seguenti:
- Se possibile, non installare SQL Server in un controller di dominio.
- Eseguire servizi separati di SQL Server con account di Windows separati.
- In un ambiente multilivello, eseguire la logica Web e la regola business su computer separati.
Creazione di account di servizio con privilegi minimi
Durante l'installazione di SQL Server vengono configurati automaticamente l'account o gli account di servizio con le autorizzazioni specifiche richieste da SQL Server. Durante la modifica o la configurazione dei servizi Windows utilizzati da SQL Server 2005, è opportuno concedere solo le autorizzazioni richieste da tali servizi. Per ulteriori informazioni, vedere Impostazione di account di servizio Windows.
Disabilitazione di NetBIOS e SMB
È consigliabile disabilitare tutti i protocolli non necessari sui server della rete perimetrale, ad esempio NetBIOS e SMB (Server Message Block).
NetBIOS utilizza le porte seguenti:
- UDP/137 (servizio nomi NetBIOS)
- UDP/138 (servizio datagrammi NetBIOS)
- TCP/139 (servizio di sessione NetBIOS)
SMB utilizza le porte seguenti:
- TCP/139
- TCP/445
I server Web e DNS (Domain Name System) non necessitano di NetBIOS o SMB. Su tali server, disabilitare entrambi i protocolli per limitare la minaccia di enumerazione degli utenti. Per ulteriori informazioni su come disabilitare tali protocolli, vedere Procedura: Disattivazione del protocollo NetBIOS su TCP/IP e Procedura: Disattivazione di SMB (Server Message Block).
Dopo l'installazione di SQL Server
Dopo l'installazione, è possibile ottimizzare la protezione dell'installazione di SQL Server eseguendo le procedure consigliate seguenti per gli account e le modalità di autenticazione.
Account di servizio
- Eseguire i servizi di SQL Server con privilegi minimi.
- Associare i servizi di SQL Server ad account di Windows.
Modalità di autenticazione
- Richiedere l'autenticazione di Windows per le connessioni a SQL Server.
Password complesse
- Assegnare sempre una password complessa all'account sa.
- Attivare sempre la verifica dei criteri di gestione delle password.
- Utilizzare sempre password complesse per tutti gli account di accesso di SQL Server.
Vedere anche
Altre risorse
Criteri di gestione delle password