SQL-SicherheitsrisikobewertungSQL Vulnerability Assessment

Anwendungsbereich:Applies to: JaSQL ServerSQL Server (alle unterstützten Versionen) yesSQL ServerSQL Server (all supported versions) JaAzure SQL-DatenbankAzure SQL DatabaseYesAzure SQL-DatenbankAzure SQL DatabaseAnwendungsbereich:Applies to: JaSQL ServerSQL Server (alle unterstützten Versionen) yesSQL ServerSQL Server (all supported versions) JaAzure SQL-DatenbankAzure SQL DatabaseYesAzure SQL-DatenbankAzure SQL Database

Die SQL-Sicherheitsrisikobewertung ist ein benutzerfreundliches Tool, das Sie beim Ermitteln, Verfolgen und Beheben potenzieller Datenbank-Sicherheitsrisiken unterstützt.SQL Vulnerability Assessment is an easy to use tool that can help you discover, track, and remediate potential database vulnerabilities. Verwenden Sie es zur proaktiven Verbesserung Ihrer Datenbanksicherheit.Use it to proactively improve your database security.

Die Sicherheitsrisikobewertung wird für SQL Server 2012 und höher unterstützt und kann auch unter Azure SQL-Datenbank ausgeführt werden.Vulnerability Assessment is supported for SQL Server 2012 and later, and can also be run on Azure SQL Database.

Features der SicherheitsrisikobewertungVulnerability Assessment features

Die SQL-Sicherheitsrisikobewertung (Vulnerability Assessment, VA) ist ein Dienst, der einen Einblick in Ihren Sicherheitsstatus bietet sowie die Aktionsschritte zum Beheben von Sicherheitsproblemen und Verbessern Ihrer Datenbanksicherheit einschließt.SQL Vulnerability Assessment (VA) is a service that provides visibility into your security state, and includes actionable steps to resolve security issues and enhance your database security. Sie kann Ihnen die Durchführung folgender Aufgaben erleichtern:It can help you:

  • Erfüllen der Konformitätsanforderungen, die Datenbanküberprüfungs-Berichte erfordern.Meet compliance requirements that require database scan reports.
  • Einhalten von Datenschutzstandards.Meet data privacy standards.
  • Überwachen einer dynamischen Datenbankumgebung, in der Änderungen schwer zu verfolgen sind.Monitor a dynamic database environment where changes are difficult to track.

Der VA-Dienst führt eine direkte Überprüfung der Datenbank durch.The VA service runs a scan directly on your database. Der Dienst wendet eine Wissensdatenbank mit Regeln an, die Sicherheitsrisiken kennzeichnen und Abweichungen von bewährten Methoden wie Fehlkonfigurationen, übermäßige Berechtigungen und ungeschützte sensible Daten hervorheben.The service employs a knowledge base of rules that flag security vulnerabilities and highlight deviations from best practices, such as misconfigurations, excessive permissions, and unprotected sensitive data. Die Regeln basieren auf den von Microsoft empfohlenen bewährten Methoden und konzentrieren sich auf die Sicherheitsprobleme, die die größten Risiken für Ihre Datenbank und Ihre wertvollen Daten darstellen.The rules are based on Microsoft's recommended best practices, and focus on the security issues that present the biggest risks to your database and its valuable data. Diese Regeln spiegeln darüber hinaus viele Anforderungen verschiedener Aufsichtsbehörden wider, um deren Konformitätsstandards zu erfüllen.These rules also represent many of the requirements from various regulatory bodies to meet their compliance standards.

Zu den Ergebnissen der Überprüfung zählen Aktionsschritte zum Beheben der jeweiligen Probleme und ggf. das Bereitstellen benutzerdefinierter Skripts zur Wiederherstellung.Results of the scan include actionable steps to resolve each issue and provide customized remediation scripts where applicable. Ein Bewertungsbericht kann durch Festlegung einer akzeptablen Baseline für Berechtigungskonfigurationen, Featurekonfigurationen und Datenbankeinstellungen Ihrer Umgebung angepasst werden.An assessment report can be customized for your environment, by setting an acceptable baseline for permission configurations, feature configurations and database settings.

VoraussetzungenPrerequisites

Dieses Feature ist nur in SQL Server Management Studio (SSMS) v17.4 oder höher verfügbar.This feature is only available on SQL Server Management Studio (SSMS) v17.4 or later. Stellen Sie sicher, dass Sie die neueste Version verwenden.Please make sure you are using the latest version. Die neueste Version finden Sie hier.You can find the latest version here.

Erste SchritteGetting started

Mit den folgenden Schritten steigen Sie mit der Ausführung einer Sicherheitsrisikobewertung für Ihre Datenbank ein:To get started with running a Vulnerability Assessment on your database, follow these steps:

  1. Öffnen Sie SQL Server Management Studio.Open SQL Server Management Studio.

  2. Stellen Sie eine Verbindung mit einer Instanz der SQL Server-Datenbank-Engine oder mit localhost her.Connect to an instance of the SQL Server Database Engine or localhost.

  3. Erweitern Sie Datenbanken, klicken Sie mit der rechten Maustaste auf eine Datenbank, zeigen Sie auf Aufgaben, wählen Sie Sicherheitsrisikobewertung, und klicken Sie auf Auf Sicherheitsrisiken überprüfen...Expand Databases, right-click a database, point to Tasks, select Vulnerability Assessment, and click on Scan for Vulnerabilities...

  4. Sie können eine Überprüfung ausführen, bei der eine der Systemdatenbanken überprüft wird, um Probleme auf Serverebene festzustellen.You can run a scan that checks for server-level issues by scanning one of the system databases. Erweitern Sie Systemdatenbanken, klicken Sie mit der rechten Maustaste auf die Masterdatenbank, zeigen Sie auf Aufgaben, wählen Sie Sicherheitsrisikobewertung, und klicken Sie auf Auf Sicherheitsrisiken überprüfen...Expand System Databases, right-click the master database, point to Tasks, select Vulnerability Assessment, and click on Scan for Vulnerabilities...

Einstieg

LernprogrammTutorial

Mit den folgenden Schritten führen Sie Sicherheitsrisikobewertungen für Ihre Datenbanken aus und verwalten sie.Use the following steps to run and manage vulnerability assessments on your databases.

1. Ausführen einer Überprüfung1. Run a scan

Im Dialogfeld „Auf Sicherheitsrisiken überprüfen“ können Sie den Speicherort angeben, wo Überprüfungsergebnisse gespeichert werden.The Scan For Vulnerabilities dialog allows you to specify the location where scans will be saved. Sie können den Standardspeicherort beibehalten oder auf Durchsuchen... klicken, um die Überprüfungsergebnisse an einem anderen Speicherort zu speichern.You can leave the default location or click Browse... to save the scan results to a different location.

Wenn Sie zur Überprüfung bereit sind, klicken Sie auf OK, um Ihre Datenbank auf Sicherheitsrisiken zu überprüfen.When you are ready to scan, click OK to scan your database for vulnerabilities.

Hinweis

Die Überprüfung belastet die Ressourcen nicht und ist sicher.The scan is lightweight and safe. Sie dauert ein paar Sekunden und ist vollständig schreibgeschützt.It takes a few seconds to run, and is entirely read-only. Es werden keine Änderungen an Ihrer Datenbank vorgenommen.It does not make any changes to your database.

Scandatei speichern

2. Anzeigen des Berichts2. View the report

Wenn die Überprüfung abgeschlossen ist, wird Ihr Überprüfungsbericht automatisch im primären SSMS-Bereich angezeigt.When your scan is complete, your scan report is automatically displayed in the primary SSMS pane. Der Bericht bietet eine Übersicht über Ihren Sicherheitsstatus – wie viele Probleme gefunden wurden, und ihre jeweiligen Schweregrade.The report presents an overview of your security state; how many issues were found, and their respective severities. Zu den Ergebnissen zählen Warnungen zu Abweichungen von bewährten Methoden sowie eine Momentaufnahme Ihrer sicherheitsbezogenen Einstellungen, z.B. Datenbankprinzipale und Rollen sowie die zugehörigen Berechtigungen.Results include warnings on deviations from best practices, as well as a snapshot of your security-related settings, such as database principals and roles and their associated permissions. Der Überprüfungsbericht liefert außerdem eine Zuordnung der in Ihrer Datenbank ermittelten vertraulichen Daten und enthält Empfehlungen der verfügbaren integrierten Methoden zu ihrem Schutz.The scan report also provides a map of sensitive data discovered in your database, and includes recommendations of the built-in methods available to protect it.

Überprüfungsergebnisse

3. Analysieren der Ergebnisse und Beheben der Probleme3. Analyze the results and resolve issues

Werten Sie Ihre Ergebnisse aus, und bestimmen Sie, welche Ergebnisse im Bericht echte Sicherheitsprobleme in Ihrer Umgebung sind.Review your results and determine which findings in the report are true security issues in your environment. Untersuchen Sie jeden erkannten Fehler, um dessen Auswirkung zu verstehen, und stellen Sie bei den einzelnen negativen Ergebnissen der Sicherheitsüberprüfung die jeweilige Ursache fest.Drill-down to each failed result to understand the impact of the finding, and why each security check failed. Nutzen Sie die Informationen des Berichts zu Wiederherstellungsaktionen, um das Problem zu beheben.Use the actionable remediation information provided by the report to resolve the issue.

Ergebnisse im Detail

4. Festlegen Ihrer Baseline4. Set your Baseline

Wenn Sie Ihre Bewertungsergebnisse überprüfen, können Sie bestimmte Ergebnisse als akzeptable Baseline für Ihre Umgebung markieren.As you review your assessment results, you can mark specific results as being an acceptable Baseline in your environment. Die Baseline ist im Wesentlichen eine Anpassung der Art, in der die Ergebnisse berichtet werden.The baseline is essentially a customization of how the results are reported. Wenn Ergebnisse in nachfolgenden Überprüfungen mit der Baseline übereinstimmen, wird dies als Bestehen gewertet.Results that match the baseline are considered as passing in subsequent scans.

Nachdem Sie Ihren Baselinesicherheitsstatus festgelegt haben, meldet eine VA nur Abweichungen von der Baseline, und Sie können Ihre Aufmerksamkeit auf die relevanten Probleme konzentrieren.Once you have established your baseline security state, VA only reports on deviations from the baseline, and you can focus your attention on the relevant issues.

Festlegen der Baseline

5. Ausführen einer neuen Überprüfung zum Anzeigen Ihres benutzerdefinierten Nachverfolgungsberichts5. Run a new scan to see your customized tracking report

Nachdem Sie die Einrichtung der Baselines für Ihre Regeln abgeschlossen haben, führen Sie eine neue Überprüfung aus, um den benutzerdefinierten Bericht anzuzeigen.After you complete setting up your Rule Baselines, run a new scan to view the customized report. VA meldet jetzt nur Sicherheitsprobleme, die Abweichungen vom genehmigten Baselinestatus darstellen.VA now reports only failing security issues that deviate from your approved baseline state.

Bestehen gemäß Baseline

6. Öffnen einer zuvor ausgeführten Überprüfung6. Open a previously run scan

Um die Ergebnisse zuvor ausgeführter Sicherheitsrisikobewertungen anzuzeigen, können Sie jederzeit eine vorhandene Überprüfung öffnen.You can view the results of previously run Vulnerability Assessments at any time by opening an existing scan. Hierzu klicken Sie mit der rechten Maustaste auf eine Datenbank, zeigen auf Aufgaben, wählen Sicherheitsrisikobewertung aus und klicken auf Vorhandene Überprüfung öffnen... Wählen Sie die Überprüfungsergebnisdatei aus, die Sie anzeigen möchten, und klicken Sie auf Öffnen.Do so by right-clicking a database, pointing to Tasks, selecting Vulnerability Assessment, and clicking on Open Existing Scan... Select the scan results file you would like to view and click Open.

Sie können ein vorhandenes Überprüfungsergebnis auch über das Menü Datei -> Öffnen öffnen.You can also open an existing scan result via the File->Open menu. Wählen Sie Sicherheitsrisikobewertung... aus, und öffnen Sie das Verzeichnis scans, um das Überprüfungsergebnis zu finden, das Sie anzeigen möchten.Select Vulnerability Assessment... and open the scans directory to find the scan result you wish to view.

Öffnen einer vorhandenen Überprüfung

VA kann jetzt verwendet werden, um zu überwachen, ob Ihre Datenbanken jederzeit eine hohe Sicherheitsstufe einhalten und Ihre Unternehmensrichtlinien erfüllt werden.VA can now be used to monitor that your databases maintain a high level of security at all times, and that your organizational policies are met. Wenn Konformitätsberichte erforderlich sind, können VA-Berichte hilfreich sein, um den Konformitätsprozess zu vereinfachen.If compliance reports are required, VA reports can be helpful to facilitate the compliance process.

Verwalten von Sicherheitsrisikobewertungen mit PowerShellManage Vulnerability Assessments using PowerShell

Mithilfe von PowerShell-Cmdlets können Sie Sicherheitsrisikobewertungen für Ihre Server mit SQL Server programmgesteuert verwalten.You can use PowerShell cmdlets to programmatically manage Vulnerability Assessments for your SQL Servers. Mit den Cmdlets können Sie Bewertungen programmgesteuert ausführen, die Ergebnisse exportieren und Baselines verwalten.The cmdlets can be used to run assessments programmatically, export the results and manage baselines. Laden Sie zunächst das aktuelle PowerShell-Modul für SQL Server von der PowerShell-Katalog-Website herunter.To get started, download the latest SqlServer PowerShell module from the PowerShell Gallery site. Weitere Informationen erhalten Sie hier.You can learn more here.

Nächste SchritteNext steps

Weitere Informationen zur SQL-Sicherheitsrisikobewertung bieten Ihnen folgende Ressourcen:Learn more about SQL Vulnerability Assessment using the following resources: