Поделиться через


Оценка уязвимостей для SQL Server

Область применения: SQL Server

Оценка уязвимостей SQL — это простой инструмент, который позволяет обнаруживать, отслеживать и устранять потенциальные уязвимости баз данных. Используйте его, чтобы с упреждением повышать безопасность своей базы данных.

Примечание.

Средство оценки уязвимостей доступно в SQL Server Management Studio (SSMS) до 19.1 для SQL Server 2012 (11.x) и более поздних версий.

Удаление оценки уязвимостей SQL в SQL Server Management Studio 19.1

Оценка уязвимостей SQL в SSMS предоставляет способ сканирования и отчета о возможных неправильной настройке безопасности в базах данных SQL Server в отключенном режиме в SQL Server 2012 (11.x) и более поздних версиях. Эта возможность объединяется в комплексный пакет безопасности базы данных, называемый Microsoft Defender для SQL, который позволяет выполнять проверки уязвимостей и выявлять атаки в реальном времени на базу данных в масштабе между облачными и локальными ресурсами. Defender для SQL предоставляет клиентам последние обновления для проверки правил и обновленных алгоритмов защиты от угроз.

И наоборот, оценка уязвимостей SQL в SSMS не потребляет результаты из Defender для облака, а также не может отправлять результаты из локальных проверок. Кроме того, оценка уязвимостей SQL в SSMS не получает обновлений в режиме реального времени, что может привести к несоответствиям по сравнению с обновленными результатами из Defender для облака. Чтобы предотвратить дальнейшую путаницу и несоответствия в возможностях безопасности базы данных клиентов, мы удалили оценку уязвимостей SQL из SSMS по состоянию на версию 19.1. Хотя оценка уязвимостей SQL остается доступной в более ранних версиях SSMS, рекомендуется использовать Microsoft Defender для SQL для оценки конфигурации безопасности вашей среды независимо от вашей версии SSMS или SQL.

Дополнительные сведения см. в разделе "Включение Microsoft Defender для SQL Server" на компьютерах и проверка серверов SQL Server на наличие уязвимостей.

Для Базы данных SQL Azure, Azure Synapse Analytics и Управляемого экземпляра SQL используйте Microsoft Defender для Базы данных SQL.

Возможности службы оценки уязвимостей

Оценка уязвимостей SQL — это служба, которая дает представление о состоянии безопасности и предлагает практические действия для устранения проблем безопасности и повышения безопасности базы данных. Эта служба может помочь в выполнении следующих задач:

  • соблюдение нормативных требований, требующих отчетов о проверке базы данных;
  • соблюдение стандартов конфиденциальности данных;
  • мониторинг динамической среды базы данных, в которой сложно отслеживать изменения.

Служба оценки уязвимостей выполняет проверку прямо в базе данных. Эта служба использует базу знаний правил, содержащую правила, которые помечают уязвимости системы безопасности и указывают на отклонения от рекомендаций, в том числе на неправильные настройки, избыточные разрешения и незащищенные конфиденциальные данные. Правила основаны на рекомендациях корпорации Майкрософт и направлены на проблемы безопасности, представляющие наибольшую угрозу для базы данных и ее ценных данных. В этих правилах также представлены многие требования различных контролирующих органов, что позволяет соблюдать стандарты соответствия.

Результаты проверки включают в себя практические действия по устранению каждой проблемы, а также настроенные скрипты исправления, если их можно применить. Отчет об оценке можно настроить для своей среды, задав приемлемые базовые показатели для конфигураций разрешений, конфигураций функций и параметров базы данных.

Необходимые компоненты

Эта функция доступна только в SQL Server Management Studio (SSMS) 17.4 и более поздних версий. Ее можно найти здесь.

Начало работы

Чтобы выполнить проверку уязвимостей в базе данных, выполните следующие действия.

  1. Откройте SQL Server Management Studio.

  2. Подключитесь к экземпляру ядра СУБД SQL Server или к узлу localhost.

  3. Разверните узел Базы данных, щелкните правой кнопкой мыши имя базы данных, последовательно выберите Задачи, Оценка уязвимостей и Проверка на уязвимости….

  4. Можно запустить проверку на наличие проблем на уровне сервера, проверив одну из системных баз данных. Разверните системные базы данных, щелкните правой master кнопкой мыши базу данных, наведите указатель на задачи, выберите "Оценка уязвимостей" и выберите "Сканирование уязвимостей" ...

Снимок экрана: начало работы.

Учебник

Чтобы выполнять оценку уязвимостей и управлять ею, сделайте следующее.

1. Запуск проверки

Диалоговое окно "Сканирование уязвимостей" позволяет указать расположение, в котором сохраняются проверки. Вы можете оставить расположение по умолчанию или выбрать "Обзор", чтобы сохранить результаты сканирования в другом расположении.

Если все готово для проверки, нажмите кнопку ОК, чтобы проверить базу данных на уязвимости.

Примечание.

Проверка безопасна и не требует большого количества ресурсов. Она занимает несколько секунд и является исключительно операцией чтения. При проверке никакие изменения в базу данных не вносятся.

Снимок экрана: сохранение файла сканирования.

2. Просмотр отчета

Когда проверка завершится, на основной панели SSMS автоматически появится отчет о проверке. В отчете представлен обзор состояния безопасности: количество обнаруженных проблем и уровень их серьезности. Результаты включают предупреждения о отклонениях от рекомендаций, а также моментальный снимок параметров, связанных с безопасностью. К этим параметрам относятся субъекты и роли базы данных, а также связанные с ними разрешения. Отчет о проверке также содержит карту конфиденциальных данных, обнаруженных в базе данных, и рекомендации по встроенным методам, доступным для их защиты.

Снимок экрана: результаты сканирования.

3. Анализ результатов и устранение проблем

Просмотрите результаты и определите, какие проблемы в отчете действительно нарушают безопасность в вашей среде. Изучите подробные сведения о каждой проблеме, чтобы понять, как она виляет на безопасность и почему проверка безопасности не пройдена. Используйте практические рекомендации по исправлению, представленные в отчете, чтобы устранить проблему.

Снимок экрана: сведения о результатах.

4. Настройка базовых показателей

При просмотре результатов оценки можно пометить определенные результаты как допустимые базовые показатели в своей среде. Базовые показатели — важные параметры, влияющие на содержимое отчета о проверке. При следующих проверках результаты, которые соответствуют базовым показателям, будут рассматриваться как прошедшие проверку.

Когда вы установите состояние базовых показателей безопасности, служба оценки уязвимостей будет сообщать только об отклонениях от базовых показателей, и вы сможете сосредоточиться на важных проблемах.

Снимок экрана, показывающий, как задать базовый план.

5. Запустите новую проверку, чтобы просмотреть настраиваемый отчет об отслеживании

Завершив настройку базовых показателей правила, выполните новую проверку, чтобы просмотреть настраиваемый отчет. Теперь служба оценки уязвимостей сообщает о проблемах безопасности, которые связаны с отклонением от утвержденного состояния базовых показателей.

Снимок экрана: передача на базовые показатели.

6. Открытие ранее запущенной проверки

Вы можете в любое время просмотреть результаты ранее проведенных оценок уязвимостей, открыв существующий файл с результатами проверки. Для этого щелкните правой кнопкой мыши имя базы данных, наведите указатель мыши на пункт Задачи, выберите Оценка уязвимостей и щелкните Открыть имеющуюся проверку…. Выберите файл с результатами проверки, который нужно просмотреть, и нажмите кнопку Открыть.

Вы также можете открыть существующий результат сканирования с помощью меню "Открыть файл>". Выберите Оценка уязвимостей... и откройте каталог scans, чтобы найти файл с результатами проверки, который нужно просмотреть.

Снимок экрана: открытие существующей проверки.

Теперь службу оценки уязвимостей можно использовать, чтобы постоянно отслеживать безопасность базы данных и обеспечивать высокий уровень безопасности, а также следить за соблюдением политик организации. Если требуются отчеты о соответствии, вам могут пригодиться отчеты службы оценки уязвимостей, чтобы упростить соответствие требованиям.

Управление оценкой уязвимостей с помощью PowerShell

Командлеты PowerShell можно использовать для программного управления оценками уязвимостей для экземпляров SQL Server. Командлеты можно использовать для программного выполнения оценки, экспорта результатов и управления базовыми показателями. Сначала скачайте последний модуль PowerShell SqlServer с сайта коллекции PowerShell. Дополнительные сведения см. здесь.

Следующие шаги