terça-feira, 24 de julho de 2007
PASSO 6 - Depois de instalar o SQL Server, aplicar suas atualizações e Service Packs
A primeira instalação, após a conclusão da instalação do SQL Server, é dos seus Services Packs e de suas atualizações. Link para o último SP http://technet.microsoft.com/en-us/sqlserver/bb426877.aspx
PASSO 5 - Instalar o SQL Server 2005
Uma vez preparado o servidor, a instalação do SQL Server pode ser iniciada. Neste passo selecione criteriosamente e com cuidado as opções de instalação.
A primeira seleção que você deverá fazer é: quais componentes instalar ? Você não deve instalar componentes que não necessita (lembre-se que o objetivo é minimizar a superfície ou área de ataque). A recomendação é que quando for solicitado os Components para instalação no Setup Wizard, você clique em Advanced para selecionar apenas as ferramamentas que mais necessita.
Por exemplo, você pode escolher se instala ou não a replicação ou o full-text search e você está instalando uma instância individual do SQL Server 2005 que não será replicada para outros servidores e se não pretente utilizar buscas rápidas em texto então não selecione para instalação estas ferramentas.
Entre cuidadosamente com as credenciais criadas no Passo 4 para cada serviço. Quando for perguntando do mode de autenticação, selecione Windows Authentication Mode sempre que possível. Em algumas situações você ira precisar do Mixed Mode, que permite os dois métodos de autenticação. Se você escolher Mixed Mode, precisará entrar com a senha do SQL Server systems administrator (sa) Assim como as contas criadas no Passo 4, você deve assegurar que a senha é forte além de definir uma agenda para substituição/mudança dela.
A primeira seleção que você deverá fazer é: quais componentes instalar ? Você não deve instalar componentes que não necessita (lembre-se que o objetivo é minimizar a superfície ou área de ataque). A recomendação é que quando for solicitado os Components para instalação no Setup Wizard, você clique em Advanced para selecionar apenas as ferramamentas que mais necessita.
Por exemplo, você pode escolher se instala ou não a replicação ou o full-text search e você está instalando uma instância individual do SQL Server 2005 que não será replicada para outros servidores e se não pretente utilizar buscas rápidas em texto então não selecione para instalação estas ferramentas.
Entre cuidadosamente com as credenciais criadas no Passo 4 para cada serviço. Quando for perguntando do mode de autenticação, selecione Windows Authentication Mode sempre que possível. Em algumas situações você ira precisar do Mixed Mode, que permite os dois métodos de autenticação. Se você escolher Mixed Mode, precisará entrar com a senha do SQL Server systems administrator (sa) Assim como as contas criadas no Passo 4, você deve assegurar que a senha é forte além de definir uma agenda para substituição/mudança dela.
PASSO 4 - Criar conta para executar o SQL Server
O último passo na preparação para a instalação do SQL Server 2005 é crair contas para serem utilizadas na execução dos serviços. O número de contas vai depender de dois fatores: o número de serviços que você pretente instalar com SQL e o número de instalações SQL já existentes. Você pode utilizar uma conta para todos os serviços do SQL Server 2005, porém é recomendado utilizar uma conta para cada serviço. Desta forma, o ideal, seria criar uma conta para cada serviço para cada instalação do SQL Server 2005. Outro detalhe importante é que se sua instalação do SQL nunca precisar acessar outro servidor ou serviço através da rede, você pode utilizar contas locais do servidor. Para finalizar, estas contas devem ser normais, ou seja, com privilégios de um usuário normal, e as senhas devem ser fortes e substituidas com frequencia.
PASSO 3 - Limitar o acesso ao Servidor/Host
Neste passo, o foco está no servidor e no ambiente físico, já que uma invasão pode ser realizada de diversas maneiras como através da rede, por interatividade ou fisicamente quando o SO não está executando.
Você limita a interatividade assegurando que a base de dados SAM não contém contas desnecessárias e apenas contas do domínio possuem acesso. Você pode consultar e retirar contas do sistema utilizando o MMC (Microsoft Management Console) Gerenciamento do Computador (Computer Management snap-in) (compmgmt.msc).
A limitação de um logon interativo no servidor pode ser feita através do Group Policy ou utilizando o MMC Diretiva de Segurança Local (Local Security Settings snap-in)(secpol.msc), em Diretivas locais, Atribuição de direitos de usuários, Fazer logon local e Negar logon local. Você terá que dar uma atenção específica para membros do domínio, já que em muitos casos os membros do grupo Admins. do Domínio também são administradores do banco de dados, mas em alguns casos eles não 'devem' ser. Para retirar esta pré-definição, remova o grupo "Admins. do Domínio" do grupo local "Administradores" do servidor, e adicione quem você desejar.
Para previnir ataques remotos através da rede, você deve colocar o servidor em um segmento de rede seguro e utilizar pelo menos um firewall como por exemplo aquele que já vem incluído no Windows Server 2003 SP1 por exemplo. E finalmente, para garantir a segurança fisica do sevidor, ele deve permanecer em um local com acesso restrito, já que os 'attackers', se tiverem acesso ao equipamento, podem 'bootar' um SO alternativo e resetar a senha do administrador.
Você limita a interatividade assegurando que a base de dados SAM não contém contas desnecessárias e apenas contas do domínio possuem acesso. Você pode consultar e retirar contas do sistema utilizando o MMC (Microsoft Management Console) Gerenciamento do Computador (Computer Management snap-in) (compmgmt.msc).
A limitação de um logon interativo no servidor pode ser feita através do Group Policy ou utilizando o MMC Diretiva de Segurança Local (Local Security Settings snap-in)(secpol.msc), em Diretivas locais, Atribuição de direitos de usuários, Fazer logon local e Negar logon local. Você terá que dar uma atenção específica para membros do domínio, já que em muitos casos os membros do grupo Admins. do Domínio também são administradores do banco de dados, mas em alguns casos eles não 'devem' ser. Para retirar esta pré-definição, remova o grupo "Admins. do Domínio" do grupo local "Administradores" do servidor, e adicione quem você desejar.
Para previnir ataques remotos através da rede, você deve colocar o servidor em um segmento de rede seguro e utilizar pelo menos um firewall como por exemplo aquele que já vem incluído no Windows Server 2003 SP1 por exemplo. E finalmente, para garantir a segurança fisica do sevidor, ele deve permanecer em um local com acesso restrito, já que os 'attackers', se tiverem acesso ao equipamento, podem 'bootar' um SO alternativo e resetar a senha do administrador.
PASSO 2 - Aplicar todos os Service Packs e atualizaçõeses de segurança no Servidor/Host
Este segundo passo também se concentra no servidor/host para assegurar que todos os últimos Service Packs e atualizações de software foram aplicados ao Sistema Operacional (SO). Este passo é fundamental para a segurança da sua instalação do SQL, já os 'attackers' podem ganhar acesso ao seu sistema através de serviços e/ou aplicativos que são executados no servidor.
Assinar:
Postagens (Atom)