Escolar Documentos
Profissional Documentos
Cultura Documentos
Segurança
Garanta a segurança física de cada servidor SQL Server, evitando que usuários
não autorizados acessem seus servidores fisicamente.
Em suas instâncias SQL Server instale somente bibliotecas e protocolos de rede
que sejam realmente necessários.
Reduza a quantidade de sysadmins (administradores) que tenham permissão
para acessar o SQL Server;
Como DBA trabalhe com privilégios sysadmin somente quando necessário. Crie
contas diferentes para os DBAs acessarem o SQL Server quando privilégios de
administrador não forem necessários.
Configure a conta SA com uma senha segura e jamais utilize esta conta para
logar no SQL Server. Para acessar o SQL Server com direitos administrativos
utilize uma conta com autenticação Windows.
Quando conceder permissões para usuários, dê o mínimo de permissão
necessário para que ele possa realizar o trabalho.
Ao invés de permitir que usuários acessem os dados diretamente nas tabelas,
utilize Store Procedures e/ou Views.
Sempre que possível utilize contas com autenticação Windows (windows
authentication) no lugar de logins SQL Server.
Use senhas fortes em todas as contas com autenticação SQL Server.
Não conceda permissões para a role Public.
Remova logins que não precisam mais de acesso ao SQL Server.
Remova a conta guest de todos os bancos de dados.
Se não for necessário desabilite a propriedade Cross-Database Ownership.
Nunca dê permissão na procedure xp_cmdshell para usuários que não são
administradores.
Evite criar compartilhamentos de rede no servidor SQL Server.
Ative a auditoria de login, para que você possa ver quem teve sucesso ou falha
no momento de logar no SQL Server. No SQL Server 2008 você poderá utilizar
o SQL Server Audit.
Não use a conta SA ou contas que são membros do grupo sysadmin como contas
utilizadas por aplicações que acessam o SQL Server.
Garanta que o servidor SQL Server esteja protegido por um firewall e não esteja
exposto diretamente na internet.
Retire o grupo BUILTIN/Administrators do SQL Server para prevenir que
administradores do servidor tenham acesso ao SQL Server. Antes de fazer isso
num SQL Server instalado sobre um cluster, verifique o Books Online.
Tenha uma conta de domínio diferente para cada serviço do SQL Server.
Conceda o mínimo necessário de direitos e permissões para as contas de
domínio dos serviços SQL. Na maioria dos casos, direitos de administrador local
ou administrador de domínio não são necessários. Fora poucas exceções a
instalação do SQL Server configura automaticamente as permissões necessárias
para as contas de serviços.
Ao rodar consultas distribuídas, utilize linked server ao invés de remote servers.
Não navegue na internet num servidor SQL Server.
Ao invés de instalar um anti-vírus/anti-spyware no servidor SQL Server, execute
os scans a partir de uma maquina remota, em horários onde a atividade dos
usuários é menor, fora do horário de produção.
Atualize service packs e hot-fix do sistema operacional e do SQL Server
sempre que estes forem liberados e testados. Muitas vezes eles incluem
melhorias na segurança.
Criptografe todos os backups do SQL Server. Se você tem o SQL Server 2008
Enterprise Edition poderá usar a criptografia nativa, se não for o caso, poderá
utilizar ferramentas de terceiros, como o SQL Backup Pro.
Só habilite as auditorias C2 ou Common Criteria se isso for necessário.
O SQL Server 2008 vem com uma nova funcionalidade de auditoria chamada
SQL Server Audit. Ela pode auditar praticamente qualquer atividade do usuário,
mas mantenha um número baixo de atividades e objetos auditados para reduzir a
sobrecarga no desempenho.
Considere executar o SQL Server Security Scanner nos seus servidores SQL
Server para identificar falhas de segurança.
Considere adicionar um certificado em suas instâncias SQL Server e habilitar
SSL ou IPsec para conexões com clientes.
Se estiver usando o SQL Server 2005/2008 habilite as opções de políticas de
senha.
Se estiver utilizando o SQL Server 2008 Enterprise Edition, considere
implementar criptografia dos dados (Transparent Data Encryption) para ajudar a
proteger os dados armazenados em disco.