Sicherheitsrisikobewertung für SQL Server

Anwendungsbereich: JaSQL Server (alle unterstützten Versionen)

Die SQL-Sicherheitsrisikobewertung ist ein benutzerfreundliches Tool, das Sie beim Ermitteln, Verfolgen und Beheben potenzieller Datenbank-Sicherheitsrisiken unterstützt. Verwenden Sie es zur proaktiven Verbesserung Ihrer Datenbanksicherheit.

Das Tool zur Sicherheitsrisikobewertung ist für SQL Server 2012 oder später in SQL Server Management Studio (SSMS) verfügbar.

Tipp

Verwenden Sie für eine umfassende Lösung mit erweiterten Funktionen zum Schutz vor Bedrohungen Azure Defender für SQL Server auf Computern. Ihre SQL Server-Instanz muss mit Azure verknüpft sein, damit Sie Azure Defender verwenden können.

Verwenden Sie für Azure SQL-Datenbank, Azure Synapse Analytics und SQL Managed Instance Azure Defender für SQL-Datenbank.

Features der Sicherheitsrisikobewertung

Die SQL-Sicherheitsrisikobewertung (Vulnerability Assessment, VA) ist ein Dienst, der einen Einblick in Ihren Sicherheitsstatus bietet sowie die Aktionsschritte zum Beheben von Sicherheitsproblemen und Verbessern Ihrer Datenbanksicherheit einschließt. Sie kann Ihnen die Durchführung folgender Aufgaben erleichtern:

  • Erfüllen der Konformitätsanforderungen, die Datenbanküberprüfungs-Berichte erfordern
  • Einhalten von Datenschutzstandards
  • Überwachen einer dynamischen Datenbankumgebung, in der Änderungen schwer zu verfolgen sind

Der VA-Dienst führt eine direkte Überprüfung der Datenbank durch. Der Dienst wendet eine Wissensdatenbank mit Regeln an, die Sicherheitsrisiken kennzeichnen und Abweichungen von bewährten Methoden wie Fehlkonfigurationen, übermäßige Berechtigungen und ungeschützte sensible Daten hervorheben. Die Regeln basieren auf den von Microsoft empfohlenen bewährten Methoden und konzentrieren sich auf die Sicherheitsprobleme, die die größten Risiken für Ihre Datenbank und Ihre wertvollen Daten darstellen. Diese Regeln spiegeln darüber hinaus viele Anforderungen verschiedener Aufsichtsbehörden wider, um deren Konformitätsstandards zu erfüllen.

Zu den Ergebnissen der Überprüfung zählen Aktionsschritte zum Beheben der jeweiligen Probleme und ggf. das Bereitstellen benutzerdefinierter Skripts zur Wiederherstellung. Ein Bewertungsbericht kann durch Festlegung einer akzeptablen Baseline für Berechtigungskonfigurationen, Featurekonfigurationen und Datenbankeinstellungen Ihrer Umgebung angepasst werden.

Voraussetzungen

Dieses Feature ist nur in SQL Server Management Studio (SSMS) v17.4 oder höher verfügbar. Die neueste Version finden Sie hier.

Erste Schritte

Führen Sie die folgenden Schritte aus, um eine Sicherheitsrisikoüberprüfung für Ihre Datenbank auszuführen:

  1. Öffnen Sie SQL Server Management Studio.

  2. Stellen Sie eine Verbindung mit einer Instanz der SQL Server-Datenbank-Engine oder mit localhost her.

  3. Erweitern Sie Datenbanken, klicken Sie mit der rechten Maustaste auf eine Datenbank, zeigen Sie auf Aufgaben, wählen Sie Sicherheitsrisikobewertung und dann Auf Sicherheitsrisiken überprüfen... aus.

  4. Sie können eine Überprüfung ausführen, bei der eine der Systemdatenbanken überprüft wird, um Probleme auf Serverebene festzustellen. Erweitern Sie Systemdatenbanken, klicken Sie mit der rechten Maustaste auf die Masterdatenbank, zeigen Sie auf Aufgaben, wählen Sie Sicherheitsrisikobewertung, und klicken Sie auf Auf Sicherheitsrisiken überprüfen...

Einstieg

Lernprogramm

Mit den folgenden Schritten führen Sie Sicherheitsrisikobewertungen für Ihre Datenbanken aus und verwalten sie.

1. Ausführen einer Überprüfung

Im Dialogfeld Auf Sicherheitsrisiken überprüfen können Sie den Speicherort angeben, wo Überprüfungsergebnisse gespeichert werden. Sie können den Standardspeicherort beibehalten oder auf Durchsuchen... klicken, um die Überprüfungsergebnisse an einem anderen Speicherort zu speichern.

Wenn Sie zur Überprüfung bereit sind, klicken Sie auf OK, um Ihre Datenbank auf Sicherheitsrisiken zu überprüfen.

Hinweis

Die Überprüfung belastet die Ressourcen nicht und ist sicher. Sie dauert ein paar Sekunden und ist vollständig schreibgeschützt. Es werden keine Änderungen an Ihrer Datenbank vorgenommen.

Scandatei speichern

2. Anzeigen des Berichts

Wenn die Überprüfung abgeschlossen ist, wird Ihr Überprüfungsbericht automatisch im primären SSMS-Bereich angezeigt. Der Bericht bietet eine Übersicht über Ihren Sicherheitsstatus – wie viele Probleme gefunden wurden, und ihre jeweiligen Schweregrade. Zu den Ergebnissen zählen Warnungen zu Abweichungen von bewährten Methoden sowie eine Momentaufnahme Ihrer sicherheitsbezogenen Einstellungen, z.B. Datenbankprinzipale und Rollen sowie die zugehörigen Berechtigungen. Der Überprüfungsbericht liefert außerdem eine Zuordnung der in Ihrer Datenbank ermittelten vertraulichen Daten und enthält Empfehlungen der verfügbaren integrierten Methoden zu ihrem Schutz.

Überprüfungsergebnisse

3. Analysieren der Ergebnisse und Beheben der Probleme

Werten Sie Ihre Ergebnisse aus, und bestimmen Sie, welche Ergebnisse im Bericht echte Sicherheitsprobleme in Ihrer Umgebung sind. Untersuchen Sie jeden erkannten Fehler, um dessen Auswirkung zu verstehen, und stellen Sie bei den einzelnen negativen Ergebnissen der Sicherheitsüberprüfung die jeweilige Ursache fest. Nutzen Sie die Informationen des Berichts zu Wiederherstellungsaktionen, um das Problem zu beheben.

Ergebnisse im Detail

4. Festlegen Ihrer Baseline

Wenn Sie Ihre Bewertungsergebnisse überprüfen, können Sie bestimmte Ergebnisse als akzeptable Baseline für Ihre Umgebung markieren. Die Baseline ist im Wesentlichen eine Anpassung der Art, in der die Ergebnisse berichtet werden. Wenn Ergebnisse in nachfolgenden Überprüfungen mit der Baseline übereinstimmen, wird dies als Bestehen gewertet.

Nachdem Sie Ihren Baselinesicherheitsstatus festgelegt haben, meldet eine VA nur Abweichungen von der Baseline, und Sie können Ihre Aufmerksamkeit auf die relevanten Probleme konzentrieren.

Festlegen der Baseline

5. Ausführen einer neuen Überprüfung zum Anzeigen Ihres benutzerdefinierten Nachverfolgungsberichts

Nachdem Sie die Einrichtung der Baselines für Ihre Regeln abgeschlossen haben, führen Sie eine neue Überprüfung aus, um den benutzerdefinierten Bericht anzuzeigen. VA meldet jetzt nur Sicherheitsprobleme, die Abweichungen vom genehmigten Baselinestatus darstellen.

Bestehen gemäß Baseline

6. Öffnen einer zuvor ausgeführten Überprüfung

Sie können jederzeit eine vorhandene Überprüfung öffnen, um die Ergebnisse zuvor ausgeführter Sicherheitsrisikobewertungen anzuzeigen. Hierzu klicken Sie mit der rechten Maustaste auf eine Datenbank, zeigen auf Aufgaben, wählen Sicherheitsrisikobewertung aus und klicken auf Vorhandene Überprüfung öffnen... . Wählen Sie die Überprüfungsergebnisdatei aus, die Sie anzeigen möchten, und klicken Sie auf Öffnen.

Sie können ein vorhandenes Überprüfungsergebnis auch über das Menü Datei -> Öffnen öffnen. Wählen Sie Sicherheitsrisikobewertung... aus, und öffnen Sie das Verzeichnis scans, um das Überprüfungsergebnis zu finden, das Sie anzeigen möchten.

Öffnen einer vorhandenen Überprüfung

VA kann jetzt verwendet werden, um zu überwachen, ob Ihre Datenbanken jederzeit eine hohe Sicherheitsstufe einhalten und Ihre Unternehmensrichtlinien erfüllt werden. Wenn Konformitätsberichte erforderlich sind, können VA-Berichte hilfreich sein, um den Konformitätsprozess zu vereinfachen.

Verwalten von Sicherheitsrisikobewertungen mit PowerShell

Mithilfe von PowerShell-Cmdlets können Sie Sicherheitsrisikobewertungen für Ihre Server mit SQL Server programmgesteuert verwalten. Mit den Cmdlets können Sie Bewertungen programmgesteuert ausführen, die Ergebnisse exportieren und Baselines verwalten. Laden Sie zunächst das aktuelle PowerShell-Modul für SQL Server von der PowerShell-Katalog-Website herunter. Weitere Informationen erhalten Sie hier.

Nächste Schritte

Weitere Informationen zur SQL-Sicherheitsrisikobewertung bieten Ihnen folgende Ressourcen: