Zagrożenia i usterki matrycy (aparat bazy danych)
Chociaż SQL Server zawiera wiele różnych mechanizmów zabezpieczeń, co system ma funkcje, które można wykorzystać do celów złośliwy.Każda funkcja, która udostępnia dane lub inne informacje można wyświetlać jako ryzyko, jeśli zaimplementowano niepoprawnie.
Chociaż każdej funkcji może stanowić zagrożenie, wszystkie czynniki ryzyka nie są równe.Niektóre wymagają zmiany w praktyce, inne ustawienia i nadal innym osobom w kodzie.W poniższej tabeli opisano zagrożenia i proaktywne kroki, które można zmniejszać ryzyko.
Proces zagrożeń i słabych punktów
Zagrożenie lub usterka |
Definicja |
Zagrożenia |
|---|---|---|
Zasady zabezpieczeń |
Zasady zabezpieczeń jest rekord procesów i procedur, występujące organizacji do zapobiegania, śledzenia i reagowania na zagrożenia bezpieczeństwa.Zawiera on polityk obejmujących odpowiedniego dostępu do systemów, rozbudowanego i zapór i mechanizmy ochrony przed wirusami. |
Tworzenie, przegląd, rozpowszechniać i utrzymania skutecznego zasadę.Aby uzyskać więcej informacji na temat tworzenia zasad zabezpieczeń, zobacz Zabezpieczenia programu SQL Server. |
Główny zobowiązany "najmniejszego uprawnienia" |
"Najmniejszego uprawnienia" główne stanów, które system powinien zezwolić na wymagany poziom dostępu do obiektu zabezpieczany.Ponadto powinny być włączone dostępu tylko do tych potrzeb bezpośredniego i tylko przez określony czas.Aplikacje można zakodowane, aby udostępnić więcej niż jest to konieczne i konta może mieć zbyt dużo dostępu. |
Przejrzyj i zaimplementować zabezpieczenia zgodnie z głównej najmniejszego uprawnienia.Aby uzyskać więcej informacji na temat opracowywania aplikacji, które używają pojęcia co najmniej uprawnienie Zobacz Najlepszych praktyk w najmniej uprzywilejowanych środowiska w witrynie MSDN. |
Biuletyny zabezpieczeń |
Microsoft zwolnienie zabezpieczenia informacji tak szybko, jak jest weryfikowana i badane na różnych platformach.Organizacje, które nie monitorowania tych biuletynów zagrożenie ich systemów przez nie zaimplementowanie zabezpieczeń odpowiednich wytycznych. |
Przejrzyj i śledzić SQL Server biuletyny zabezpieczeń.Aby uzyskać więcej informacji, zobacz Microsoft Security Bulletin Search w sieci TechNet. |
Platforma zagrożeń i słabych punktów
Zagrożenie lub usterka |
Definicja |
Zagrożenia |
|---|---|---|
Nie zaktualizowano system (nie stosować aktualizacje oprogramowania) |
Microsoftwydaje aktualizacje oprogramowania, aby SQL Server bezpieczniejsze.Nie śledzenie lub stosowania tych aktualizacji oprogramowania pozostawia system na ataki. |
Przejrzyj i Zastosuj wszystkie dodatki usługa pack i poprawek, staną się one dostępne.Aby uzyskać więcej informacji, zobacz pobiera strona na SQL Server TechCenter. |
Oprogramowanie port sieciowy |
Sieć jest podstawową źródło dostępu dla ataków przeciwko SQL Server.Pozostawiając standardowe porty otwarte z Internetem można zaprosić ataku. |
Używać zapory na serwerze, jeśli jest on wystawiony z Internetem, a SQL Server Menedżer konfiguracja narzędzie do zestaw konfiguracja sieci.Również rozważyć silniejsze zabezpieczenia przy użyciu protokołu SSL (Secure Sockets Layer).Aby uzyskać więcej informacji na temat zapór i SQL Server, zobacz Jak: Konfigurowanie Zapory systemu Windows dla dostępu aparatu bazy danych.Aby uzyskać więcej informacji na temat konfigurowania ustawień sieci, zobacz SQL Server Menedżer konfiguracji. Aby uzyskać więcej informacji na temat używania Secure Sockets Layer w SQL Server, zobacz Szyfrowania połączeńSQL Server. |
Ustawienia konta usługa niewłaściwe |
usługa kont dla SQL Server przyznawane są często uzyskać dostęp do sieci lub platformy, niż jest to konieczne. |
usługa kont dla SQL Server powinna działać w głównej najmniejszego uprawnienia i powinien mieć silne hasła.Więcej informacji o usługa konta, zobacz Konfigurowanie kont usług systemu Windows.Aby uzyskać więcej informacji o hasłach, zobacz Silne hasła. |
Powierzchnia zbyt szerokie |
Funkcje i możliwości SQL Server mogą być narażeni, gdy to konieczne. |
Użyj SQL Server Menedżer konfiguracji i zarządzanie oparte na zasadach kontroli funkcji i innych składników.Aby uzyskać więcej informacji, zobacz Opis konfiguracji obszaru powierzchni. |
Niepotrzebne procedury przechowywane włączone |
Niektóre rozszerzone procedury przechowywane umożliwiają dostęp do systemu operacyjnego lub rejestru. |
Nie włączaj procedur przechowywanych, które umożliwiają dostęp do systemu operacyjnego lub rejestru, jeśli jest to absolutnie konieczne.Aby uzyskać więcej informacji, zobacz Opis konfiguracji obszaru powierzchni. |
Uwierzytelnianie zagrożeń i słabych punktów
Zagrożenie lub usterka |
Definicja |
Zagrożenia |
|---|---|---|
Słabe hasła |
Proste hasła są zagrożone atakami siłowymi lub słownika. |
Zawsze używaj haseł silnych, złożonych.Aby uzyskać więcej informacji, zobacz Silne hasła.Zobacz też CHECK_POLICY i CHECK_EXPIRATION Opcje na Utwórz logowania (Transact-SQL) i ZMIANY logowania (Transact-SQL) instrukcji. |
Konta użytkowników nie inspekcji |
Użytkownicy (podmioty) często zmieniają położenia lub pozostaw organizacji.Jeśli dostęp do konta użytkownika nie zostanie zmieniona, system wciąż możliwy z poprzedniego poziom uprawnień. |
Kont użytkowników powinny inspekcji często, aby upewnić się, że odpowiedni dostęp do serwerów baz danych i obiektów jest włączone.Aby uzyskać więcej informacji na temat inspekcji SQL Server dostępu, zobacz Monitorowanie dzienników błędów. |
Programowanie zagrożeń i słabych punktów
Zagrożenie lub usterka |
Definicja |
Zagrożenia |
|---|---|---|
Iniekcji SQL |
Praktyka osadzanie szkodliwe zapytanie w jeden uzasadniony. |
Aby uzyskać więcej informacji na temat zwalczania SQL ataki, zobacz Iniekcji SQL. |
Osadzone haseł |
Niektóre aplikacje zapisać ciągów połączeń w plikach programu lub konfiguracja. |
Nie przechowuj hasła lub poufne informacje w programie do rejestru, lub plik konfiguracja.Aby uzyskać więcej informacji, zobacz Zasady haseł. |
Dane dostępu zagrożeń i słabych punktów
Zagrożenie lub usterka |
Definicja |
Zagrożenia |
|---|---|---|
Szyfrowanie niewłaściwie stosowana. |
Szyfrowanie obfuscates danych lub informacji o połączeniu w SQL Server.Szyfrowanie nie jest wymagana lub dodawanie szyfrowania, jeśli nie jest to konieczne, stwarza niepotrzebne ryzyko i złożoność. |
Zrozumienie i prawidłowo zaimplementować SQL Server szyfrowanie.Aby uzyskać więcej informacji, zobacz SQL ServerSzyfrowanie. |
Certyfikaty niewłaściwie stosowana. |
Certificates are a mechanism to verify authentication.SQL Server can use certificates for a variety of purposes, from connections to data.Niewłaściwemu stosowaniu samocertyfikacja i okresy rozszerzone sprawdzenie poprawności zmniejsza siłę ogólne bezpieczeństwo. |
Zrozumienie i prawidłowo zaimplementować SQL Server Certyfikaty.Aby uzyskać więcej informacji, zobacz SQL Server certyfikaty i klucze asymetryczne. |
SQL Serverklucze zapasowe nie |
A SQL Server wystąpienie i baz danych zawiera mogą mieć klucze, które są używane do różnych celów zabezpieczeń.Obejmuje to szyfrowanie. |
Klucze serwera (znane również jako usługa kluczy głównych) i klucze bazy danych należy kopii zapasowej i przechowywane w bezpieczny sposób.Te powinny również być okresowo zmieniane.Aby uzyskać więcej informacji, zobacz SQL Server i kluczy szyfrowania bazy danych (aparat bazy danych). |
Zobacz także