SQLServer 2008 R2: Bekämpfen Sie Bedrohungen für SQL Server 2008 R2

Ordnungsgemäß Absichern Ihrer Server mit SQL Server 2008 R2 ist mehr als nur physische verwalten und Netzwerksicherheit und Angriffsfläche. Hier ist zum Ausführen der Aufgabe.

William Stanek

Es gibt einige Punkte als Raum wie die Sicherheit von Datenbankadministratoren vollständige polarize. Dies gilt besonders bei der optimalen Methoden für das Minimieren von Risiken und Schwachstellen. Traditionelle Methoden können DBAs konzentriert sich auf die physische Sicherheit, Netzwerksicherheit und Oberfläche Minimization Angriff.

In der Tat sind alle gültigen Aspekte der SQL-Sicherheit. Sie müssen die physische Sicherheit der SQL Server-Hardware sicherstellen. Sie müssen die Sicherheits- und Netzwerk Netzwerkprotokolle ordnungsgemäß auf Ihrem Computer mit SQL Server und SQL Server-Clients konfigurieren. Sie müssen auch zum Schutz von Daten und Servern die Angriffsfläche reduzieren.

Sie können verringert die Angriffsfläche der SQL Server-allgemeine und erheblich Sicherheit aktivieren Sie nur die Funktionen Ihre Clients und Anwendungen benötigen. Dies schränkt die Möglichkeiten der böswillige Benutzer SQL Server nutzen können. Es wird auch die Möglichkeiten eines potenziellen Angriffs geschlossen. T er surface Bereich Features für die SQL Server-Datenbankmodul, Analysis Services und Reporting Services verwaltet werden können, sind wie folgt:

DATENBANK-ENGINE

AdHocRemoteQueriesEnabled

Ad-hoc-Verbindungen können die Funktionen OPENROWSET und OPENDATASOURCE mit Remotedatenquellen ohne verknüpfte oder remote Server speziell konfigurieren, arbeiten. Wenn Anwendungen oder Skripts dieser Funktionen verwendet wird, sollten Sie diese Funktion aktivieren. Andernfalls deaktivieren Sie dieses Feature.

ClrIntegrationEnabled

Die CLR-Integration können Sie gespeicherte Prozeduren, Trigger, benutzerdefinierte Typen und benutzerdefinierte Funktionen, die mithilfe von Microsoft Visual Basic, c# und anderen Microsoft .NET Framework-Sprache zu schreiben. Aktivieren Sie dieses Feature, wenn Ihre Anwendungen oder Skripts verwenden von .NET Framework-Sprachen;Andernfalls deaktivieren Sie dieses Feature.

DatabaseMailEnabled

Datenbank-Mail ersetzt SQL Mail als das bevorzugte Verfahren zum Senden von e-Mail-Nachrichten von SQL Server über SMTP. Aktivieren Sie dieses Feature, wenn Sie haben einem Mailhost-Datenbank und die Datenbank erforderlichen e-Mail-Profile erstellt, und die Anwendungen und Skripts, um die Sp_send_dbmail gespeicherten Prozedur zum Senden von e-Mail-Nachrichten von SQL Server verwendet werden soll. Andernfalls deaktivieren Sie dieses Feature.

RemoteDacEnabled

In der Standardeinstellung lässt SQL Server nur lokale dedizierte Verbindungen. Wenn Sie remote dedizierte Verbindungen autorisieren möchten, müssen aktivieren Sie diese Funktion. Andernfalls deaktivieren Sie es.

SoapEndpointsEnabled

SOAP-Meldungen enthalten textbasierte-Befehle, die in XML formatiert. Wenn Sie zur Verwendung von SOAP für den Datenaustausch von und die erforderlichen HTTP-Endpunkte konfiguriert haben, können dieses Feature aktivieren und den Status der einzelnen Endpunkt konfigurieren.

OleAutomationEnabled

OLE-Automatisierung können Sie Transact-SQL-Batches, gespeicherte Prozeduren und Trigger verwenden, um SQL DirectX Media-Objekte (DMOs) und benutzerdefinierte OLE-Automatisierungsobjekte verweisen. Aktivieren Sie dieses Feature, wenn Sie OLE-Automatisierung verwenden möchten;Andernfalls deaktivieren Sie es.

ServiceBrokerEndpointActive

Service Broker enthält Warteschlangen- und messaging für die Datenbank-Engine, die Ihre Anwendungen für die Kommunikation zwischen Instanzen von SQL Server verwenden können. Wenn Ihre Anwendungen verwenden von Service Broker, und Sie haben die erforderlichen HTTP-Endpunkte konfiguriert, können Sie diese Funktion aktivieren und den Status der einzelnen Endpunkt konfigurieren.

SqlMailEnabled

Sie können SQL Mail für das Senden von e-Mail-Nachrichten von SQL Server an ältere Anwendungen, die unter Verwendung von SMTP verwenden. Aktivieren Sie dieses Feature, wenn ältere Anwendungen und Skripts auf die gespeicherte Prozedur Xp_sendmail zum Senden von e-Mail-Nachrichten von SQL Server verwendet werden soll. Andernfalls deaktivieren Sie dieses Feature.

XPCmdShellEnabled

Die Xp_cmdshell führt Befehl Zeichenfolgen unter Verwendung des Betriebssystems Shell-Befehl aus und gibt das Ergebnis als Text zurück. Wenn Sie Anwendungen und Skripts, OS-Befehle ausführen möchten, müssen Sie dieses Feature aktivieren.

WebAssistantEnabled

In früheren Versionen von SQL Server gespeichert, Web-Assistent Verfahren zum Generieren von HTML-Dateien aus SQL Server-Daten. In SQL Server 2005 und SQL Server 2008 wird die Reporting Services anstelle dieser gespeicherten Prozeduren. Wenn Sie legacy-Anwendungen oder Skripts, die Web-Assistenten verwenden, müssen aktivieren Sie diese Funktion. Andernfalls deaktivieren Sie es.

ANALYSEDIENSTE

AdHocDataMiningQueriesEnabled

Die Data Mining-Erweiterungen OPENROWSET-Funktion stellt Verbindungen mit Datenquellenobjekte in ad-hoc-Verbindungen zum remote-Datenquellen zu, ermöglichen ohne ausdrücklich konfigurieren diesen verknüpften oder remote-Servern her. Aktivieren Sie dieses Feature, wenn Ihre Anwendungen oder Skripts OPENROWSET mit Data Mining verwenden;Andernfalls deaktivieren Sie es.

AnonymousConnectionsEnabled

Anonyme Verbindungen konnte nicht authentifizierte Benutzer Verbindungen mit Analysis Services herstellen. Aktivieren Sie dieses Feature, wenn Ihre Anwendungen und Skripts nicht authentifizierten Benutzerzugriff benötigen. Andernfalls deaktivieren Sie dieses Feature.

LinkedObjectsLinksFromOtherInstancesEnabled

Mit Analysis Services können Sie verknüpfte Objekte zum Verknüpfen von Dimensionen und Measuregruppen zwischen Servern. Wenn Sie eine Instanz mit anderen Servern verknüpfen möchten, müssen aktivieren Sie diese Funktion. Andernfalls deaktivieren Sie es.

ListenOnlyOnLocalConnections

Analysis Services kann mit remote-Ressourcen als auch lokale Ressourcen. Wenn Sie Analysis Services nur für lokale Ressourcen arbeiten möchten, müssen aktivieren Sie diese Funktion. Andernfalls deaktivieren Sie dieses Feature.

UserDefinedFunctionsEnabled

Analysis Services ist in .NET Framework integriert. Assemblys mit benutzerdefinierten Funktionen können geladen werden. Aktivieren Sie dieses Feature, wenn Ihre Anwendungen und Skripts benutzerdefinierte COM-Funktionen erfordern. Andernfalls konfigurieren Sie dieses Feature, um CLR-Funktionen zu ermöglichen.

BERICHTERSTELLUNGSDIENSTE

ScheduledEventsAndReportDeliveryEnabled

Mit Reporting Services können Sie ad-hoc-Berichte bei Bedarf und geplante Berichte. Bei der Installation von Reporting Services können in der Regel beide Arten von Berichten. Wenn Sie geplante Berichte nicht verwenden, können Sie diesen Aspekt der Berichterstellung und Übermittlung durch Deaktivieren dieses Feature deaktivieren.

WebServiceRequestsAndHTTPAccessEnabled

Reporting Services-Komponenten verwenden SOAP-messaging über HTTP für die Kommunikation und HTTP für URL-Zugriffsanforderungen. Aktivieren Sie dieses Feature, wenn Ihre Clientanwendungen den Berichtsserver-Webdienst verwenden oder wenn Sie den Berichts-Manager, Berichts-Designer oder SQL Server Management Studio mit der Reporting Services-Installation verwenden. Andernfalls deaktivieren Sie es.

ReportManagerEnabled

Der Berichts-Manager ist eine webbasierte Anwendung für die Anzeige von Berichten, das Verwalten von Bericht Serverinhalt und das Steuern des Zugriffs auf den Berichtsserver, die im einheitlichen Modus ausgeführt wird. Aktivieren Sie dieses Feature, wenn Sie den Berichts-Manager mit der Reporting Services-Installation verwenden. Andernfalls deaktivieren Sie dieses Feature.

Immer einem Hot Thema

Wenn die physischen Sicherheit zu gewährleisten, war Netzwerksicherheit und -Angriffsfläche Minimization wirklich alle gab Schadensbegrenzende Bedrohungen und Sicherheitslücken in SQL Server, Sicherheit wäre nicht solche ein Problem mit hot-Schaltfläche. Aber ist eine hot-Schaltfläche Sicherheitsproblem für SQL Server, und es ist wahrscheinlich, also auf unbestimmte Zeit bleibt, da Daten Ihrer Firma eines Ihrer wertvollsten Güter ist.

Standardmäßig sind alle oben genannten Oberfläche Bereich-Features in SQL Server 2008 deaktiviert. Sie können verwalten richtlinienbasierte Verwaltung verwenden. Weitere Informationen zur SQL Server-Richtlinien betrachten Sie Richtlinien Verwalten von Servern von der Using Policy-Based Verwaltung.

Es gibt eine Reihe von ausgezeichneten Ressourcen, die Sie mit den Grundlagen vertraut machen. Im Whitepaper “ physischer Sicherheit bei Microsoft ” bietet einen umfassenden Einblick in physische Sicherheitsmaßnahmen. Hilfe, Konfigurieren von Netzwerken für Server und Clients finden gute Ressourcen in der Server-Netzwerkkonfiguration Abschnitte der Onlinedokumentation zu SQL Server 2008 R2 Client-Netzwerkkonfiguration Sie.

Art Vs. Wissenschaft

Wenn es um die Sicherheit und die Daten geht, erhalten nicht einfach anwenden Empfehlungen allein jederzeit der Aufgabe. Bedrohungen und Anfälligkeiten zur Risikominimierung ist so viel eine Kunst als eine Wissenschaft ist. Manchmal scheint es, als ob Sie sich Teil geschickter zum Durchführen der Aufgabe direkt befinden. Um ein geschickter zu betrachten, wie die Opposition so, dass Sie die Opposition beat, können aber in der Praxis bedeutet, können wir wahrscheinlich nicht die ausgefeilten Möglichkeiten stellen Sie sich vor die einer Person ein System angreifen kann.

Dennoch müssen Sie aktuelle Bedrohungen berücksichtigt werden. Sie müssen wissen, dass die Angriff Vektoren Hackern in der Regel verwenden. Sie müssen das Analysieren von Ihrem Client / Server-Umgebungen mit bestimmten Bedrohungen berücksichtigen und wie Sie diese Risiken mithilfe der verfügbaren Tools und Techniken kennen. Sicherheitsbewusstsein ist ebenso wichtig wie Ihre Bemühungen zur Risikominimierung. Interne Bedrohungen werden so viele Risiken als externe Bedrohungen darstellen. Zum Beispiel besteht ein Risiko, wenn ein Benutzer, Administrator oder nicht – mit Datenbank lässt Berechtigungen Ihren Computer nicht gesperrt und unbeaufsichtigten.

Erweitern Sie Ihre Sicherheitsverfahren jenseits der Serverrichtlinie auf Ihre Unternehmensrichtlinie und Vorgehensweisen zur Erhöhung der Sicherheit. Alle Bedrohungen zu bekämpfen, interne und externe – von Daten und Serversicherheit holistically nähert. Ebenso wie Produkte müssen Sie einen Lebenszyklus, also das Sicherheitsprogramm sollte. Sie könnten Sie SOL (Security Operations Lifecycle) aufrufen.

Als Teil der SOL sollte jeder Benutzer, der mit SQL Server-Clientanwendungen und SQL Server jährliche formalen Sicherheitsschulungen haben. Für jede technische Teammitglied sollte dieser Schulung Sicherheitstests, Erstellen von Bedrohungsmodellen, aktuelle Sicherheitslücken und Angriffe und Sicherheit Antwort Untersuchung abdecken. Jenseits formelle Schulungen müssen Teammitglieder technische Sicherheit Bestandteil Ihrer täglichen Arbeit. Sie nicht “ festlegen und vergessen Sie ” wenn in Bezug auf die Sicherheit. Integrieren Sie Sicherheit in Ihre tägliche Prozesse durch:

• In regelmäßigen Abständen Testen auf Sicherheitslücken und Angriffe
• Routinemäßig überwachen auf Sicherheitsprobleme.
• Modellieren potenzielle Probleme
• Planen Ihrer Reaktion auf Vorfälle unvermeidlich

Alle technischen Mitglied Ihrer Organisation erwarten ein gründliches Verständnis der der SOL haben. Außerdem sollten alle Benutzer, die mit SQL Server über Clientanwendungen arbeitet ein grundlegendes Verständnis der SOL verfügen. Die Notwendigkeit für ständige Wachsamkeit ist kritisch. Sie haben wirklich glauben, dass sichere Operationen ständige Wachsamkeit ist erforderlich. Es gibt keine solche als Null Sicherheitsrisiko.

Eine Welt vollständig Bad Guys

Hacker, sind Cracker und böswillige Insider, es warten und die unvermeidliche Chink in Ihrer Sicherheit Armor gesucht. Lassen Sie nicht unbeabsichtigte Sicherheitsrisiken zu negieren, oder verringern die Effektivität Ihrer Sicherheitsplanung.

Verwenden Sie sichere durch standardmäßige Strategien sicherstellen, dass Ihr Computer mit SQL Server so sicher wie möglich sind. Verwenden Sie Strategien für die mehrstufige Verteidigung um sicherzustellen, dass jede Ebene von Web- und Client-Schnittstellen auf SQL Server-Datenbanken und Dateisystemen so sicher wie möglich sind. Diese Strategien helfen Ihnen die effektive Barrieren zu verwalten, die bieten mehr Möglichkeiten für die Erkennung von unterwegs.

Ein Ansatz Sichern von Standard und mehrstufige Verteidigung trägt dazu bei sollten, aber die allumfassende Ziele Ihres Sicherheitsplans zur Reduzierung der Anzahl von Sicherheitslücken und deren mögliche Auswirkungen. Fehler unvermeidlich sind, wie Sie reagieren auf deren Ausnutzung ist von entscheidender Bedeutung. Sie haben eine vorbereitete offiziellen Antwort, und ergreifen Sie entsprechende Maßnahmen. Sie müssen glauben, dass keine Sicherheitsverletzung ein Vorkommnis isoliert ist. Nehmen Sie die Lektionen lernen Sie aus jedem Vorfall und verbreiten diese in der gesamten Organisation auf die entsprechenden Ebenen in Anspruch. Dieses Ereignisdaten für die technischen freigeben, helfen Entwicklungs-und Operationen, erstellen eine Organisationseinheit Security Conscience.

Erleichtern Sie den Benutzern der Anwendung Bericht Sicherheitslücken und anderen Problemen. Verwenden von Bedrohungsmodellen, um sicherzustellen, dass Funktionen mit Sicherheit Bedenken betrieben werden. Führen Sie die Bedrohungsanalyse Bedrohungen fragt Sie sorgen, sind aufgrund der Client / Server-Beschaffenheit des SQL Server-Datenbank-Operationen. Bestimmen der Angriff Oberflächen Anwendungen Front-End-und Back-End-Datenbanken und entsprechende Maßnahmen ergreifen.

Fuzzy-Tests ist entscheidend für die Back-End-Datenbanken von Front-End-Anwendung Sicherheitslücken zu schützen. Fuzzy-Tests sind absichtlich Übermittlungen von fehlerhaften Daten, z. B. Daten und Werte außerhalb der Grenzen des welche eine Anwendung entwickelt wurde, zu akzeptieren. Eine Anwendung, die abstürzen oder der Fuzzy-Tests Puffer überläuft, kann eine mögliche Ausnutzung von SQL Server öffnen.

Ihre technischen Teams wissen, wie Ihre Front-End-Anwendungen geschrieben werden und wie SQL Server die Arbeit abfragt. Verwenden Sie dieses wissen, um tiefere Fuzzy-Tests durchzuführen. Ihr Wissen Insider können Sie Tests mit zufälligen Daten zu erstellen, die anfängliche Überprüfung überwinden und auf diese Weise können Sie durchführen, tiefer zu testen.

Übernahme eines Ansatzes Lebenszyklus auf die Sicherheit stellt Sicherheit einen fortlaufenden Prozess. Änderung ist fortlaufend und den Schwerpunkt auf die SOL sollte ebenfalls.

Suchen Sie für weitere Bedrohung und Sicherheitsanfälligkeit zur Risikominimierung detaillierte Prozeduren von SQL Server 2008 R2-Komponenten hier:

• Analysis Services
• Datenbankmodul
• Integration Services
• Replication
• Reporting Services
• Service Broker

William R. Stanek (williamstanek.com) ist ein führender Technologie-Experten, eine Lehre Schulungsleiter und Autor preisgekrönten mehr als 100 Bücher. Folgen Sie Stanek Twitter am https://twitter.com/williamstanek.

Verwandter Inhalt

• SharePoint-Sicherheit: Grundlagen zur Sicherheit für SharePoint-Bereitstellungen
• Zusammenarbeit: Integration von SQL Server 2008 R2 Reporting Services in SharePoint  2010
• solchemNside SharePoint: Verbessern der SharePoint-Leistung