SQL サーバの強化に関する検討事項
SQL の強化に関する検討事項の上位
SQL の強化に関する検討事項の上位:
-
Active Directory ドメインコントローラ に SQL サーバをインストールしないでください。
-
Microsoft サイトから SQL サーバの最新の累積アップデートをインストールします:https://www.microsoft.com/en-us/download/details.aspx?id=56128。
-
ICM をインストールする前に、sa アカウントの強力なパスワードを設定します。
-
最小権限のアカウントを使用して実行するには、常に SQL サーバサービスをインストールします。組み込みのローカルシステムアカウントを使用して、SQL サーバをインストールして実行してはなりません。代わりに、バーチャルアカウントを使用します。
詳細については、https://www.cisco.com/c/en/us/support/customer-collaboration/unified-contact-center-enterprise/products-installation-guides-list.html の「 Cisco Unified ICM/Contact Center Enterprise ステージング ガイド」を参照してください。
-
SQL サーバエージェントサービスを有効にして、Unified ICM でのデータベースメンテナンスのために [Automatic(自動)] に設定します。
(注)
Microsoft から SQL サーバの最新の累積更新をインストールするには、SQL サーバエージェントサービスを無効にする必要がある場合があります。そのため、累積更新のインストールを実行する前に、このサービスを無効にリセットします。インストールが完了したら、サービスを停止して有効に戻します。
-
SQL ゲストアカウントを無効にします。
-
Unified ICM の管理者に sysadmin のメンバーを制限します。
-
管理&データサーバがロガーと同じセキュリティゾーンにない限り、ネットワーク ファイアウォールで TCP ポート 1433 と UDP ポート 1434 をブロックします。
-
Microsoft SQL サーバサービスのリカバリアクションを変更し、失敗後に再起動します。
-
すべてのサンプルデータベースを削除します。
-
サインインの失敗に対する監査を有効にします。
次の表に、SQL 強化の設定と対応するデフォルト値とサポートされる値を示します。
設定名 |
デフォルト値(Default Value) |
サポートされる値 |
---|---|---|
起動手順のスキャン |
無効 |0| |
0 または 1 がサポートされています。Unified CCE では、有効にする必要はありません。ただし、有効にすることで問題は発生しません。 |
アドホック分散クエリ |
無効 |0| |
0 または 1 がサポートされています。0 の方が安全です。 |
SQL サーバのユーザと認証
SQL サーバアカウント用にユーザを作成する場合は、SQL サーバサービスを実行するための最も弱い権限を持つ Windows アカウントを作成します。SQL サーバのインストール中にアカウントを作成します 。
インストール中は、SQL サーバデータベースエンジンが Windows 認証モードまたは SQL サーバと Windows 認証モードのいずれかのモードに設定されます。インストール中に Windows 認証モードを選択した場合、sa ログインは無効になります。後で認証モードを SQL サーバと Windows 認証モードに変更した場合、sa ログインは無効な状態のままです。sa ログインを有効にするには、ALTER LOGIN ステートメントを使用します。詳細については、https://msdn.microsoft.com/en-us/library/ms188670.aspx を参照してください。
SQL サーバサービスアカウント用に作成されたローカルユーザまたはドメインユーザアカウントは、それぞれ Windows またはドメインパスワードポリシーに従います。厳格なパスワードポリシーをこのアカウントに適用します。ただし、パスワードの有効期限は設定しないでください。パスワードの有効期限が切れると、SQL サーバサービスは機能しなくなり、管理 & データサーバが失敗します。
サイトの要件は、パスワードとアカウント設定を適用できます。次のような最小設定を検討してください。
設定 |
値 |
---|---|
パスワード履歴の強制 |
24 個のパスワードを記憶 |
パスワードの最小文字数 |
12 文字 |
パスワードの複雑度 |
有効 |
最短パスワード変更間隔 |
1 日 |
アカウントロックアウト時間 |
15 分 |
アカウントロックアウトしきい値 |
無効なログイン試行 3 回 |
アカウント ロックアウト カウンタのリセット |
15 分 |
混在モード認証は、SQL サーバの自動強化によって強制されます。
自動化された SQL サーバの強化中に、sa パスワードが空白だった場合は、sa アカウントを保護するために、ランダム生成の強力なパスワードが生成されます。
インストール後に sa アカウントのパスワードをリセットするには、Windows ローカル管理者アカウントを使用して SQL サーバにログインします。