Оценка уязвимостей SQLSQL Vulnerability Assessment

ОБЛАСТЬ ПРИМЕНЕНИЯ: ДаSQL Server ДаБаза данных SQL Azure НетAzure Synapse Analytics (Хранилище данных SQL) НетParallel Data Warehouse APPLIES TO: YesSQL Server YesAzure SQL Database NoAzure Synapse Analytics (SQL DW) NoParallel Data Warehouse

Оценка уязвимостей SQL — это простой инструмент, который позволяет обнаруживать, отслеживать и устранять потенциальные уязвимости баз данных.SQL Vulnerability Assessment is an easy to use tool that can help you discover, track, and remediate potential database vulnerabilities. Используйте его, чтобы с упреждением повышать безопасность своей базы данных.Use it to proactively improve your database security.

Инструмент оценки уязвимостей поддерживается для SQL Server 2012 и более поздних версий и может запускаться в Базе данных SQL Azure.Vulnerability Assessment is supported for SQL Server 2012 and later, and can also be run on Azure SQL Database.

Возможности службы оценки уязвимостейVulnerability Assessment features

Оценка уязвимостей SQL — это служба, которая дает представление о состоянии безопасности и предлагает практические действия для устранения проблем безопасности и повышения безопасности базы данных.SQL Vulnerability Assessment (VA) is a service that provides visibility into your security state, and includes actionable steps to resolve security issues and enhance your database security. Эта служба может помочь в выполнении следующих задач:It can help you:

  • соблюдение нормативных требований, требующих отчетов о проверке базы данных;Meet compliance requirements that require database scan reports.
  • соблюдение стандартов конфиденциальности данных;Meet data privacy standards.
  • мониторинг динамической среды базы данных, в которой сложно отслеживать изменения.Monitor a dynamic database environment where changes are difficult to track.

Служба оценки уязвимостей выполняет проверку прямо в базе данных.The VA service runs a scan directly on your database. Эта служба использует базу знаний правил, содержащую правила, которые помечают уязвимости системы безопасности и указывают на отклонения от рекомендаций, в том числе на неправильные настройки, избыточные разрешения и незащищенные конфиденциальные данные.The service employs a knowledge base of rules that flag security vulnerabilities and highlight deviations from best practices, such as misconfigurations, excessive permissions, and unprotected sensitive data. Правила основаны на рекомендациях корпорации Майкрософт и направлены на проблемы безопасности, представляющие наибольшую угрозу для базы данных и ее ценных данных.The rules are based on Microsoft's recommended best practices, and focus on the security issues that present the biggest risks to your database and its valuable data. В этих правилах также представлены многие требования различных контролирующих органов, что позволяет соблюдать стандарты соответствия.These rules also represent many of the requirements from various regulatory bodies to meet their compliance standards.

Результаты проверки включают в себя практические действия по устранению каждой проблемы, а также настроенные скрипты исправления, если их можно применить.Results of the scan include actionable steps to resolve each issue and provide customized remediation scripts where applicable. Отчет об оценке можно настроить для своей среды, задав приемлемые базовые показатели для конфигураций разрешений, конфигураций функций и параметров базы данных.An assessment report can be customized for your environment, by setting an acceptable baseline for permission configurations, feature configurations and database settings.

Предварительные требованияPrerequisites

Эта функция доступна только в SQL Server Management Studio (SSMS) 17.4 и более поздних версий.This feature is only available on SQL Server Management Studio (SSMS) v17.4 or later. Убедитесь, что вы используете последнюю версию.Please make sure you are using the latest version. Ее можно найти здесь.You can find the latest version here.

Начало работыGetting started

Чтобы запустить службу оценки уязвимостей в базе данных, выполните следующие действия.To get started with running a Vulnerability Assessment on your database, follow these steps:

  1. Откройте SQL Server Management Studio.Open SQL Server Management Studio.

  2. Подключитесь к экземпляру ядра СУБД SQL Server или к узлу localhost.Connect to an instance of the SQL Server Database Engine or localhost.

  3. Разверните узел Базы данных, щелкните правой кнопкой мыши имя базы данных, последовательно выберите Задачи, Оценка уязвимостей и Проверка на уязвимости... .Expand Databases, right-click a database, point to Tasks, select Vulnerability Assessment, and click on Scan for Vulnerabilities...

  4. Можно запустить проверку на наличие проблем на уровне сервера, проверив одну из системных баз данных.You can run a scan that checks for server-level issues by scanning one of the system databases. Разверните узел Системные базы данных, щелкните правой кнопкой мыши базу данных master, наведите указатель мыши на пункт Задачи, выберите Оценка уязвимостей и щелкните Проверка на уязвимости... .Expand System Databases, right-click the master database, point to Tasks, select Vulnerability Assessment, and click on Scan for Vulnerabilities...

get-started

УчебникTutorial

Чтобы выполнять оценку уязвимостей и управлять ею, сделайте следующее.Use the following steps to run and manage vulnerability assessments on your databases.

1. Выполнение проверки1. Run a scan

В диалоговом окне "Проверка на уязвимости" можно указать расположение, где будут храниться результаты проверки.The Scan For Vulnerabilities dialog allows you to specify the location where scans will be saved. Вы можете оставить расположение по умолчанию или щелкнуть Обзор... , чтобы сохранить результаты проверки в другое расположение.You can leave the default location or click Browse... to save the scan results to a different location.

Если все готово для проверки, нажмите кнопку ОК, чтобы проверить базу данных на уязвимости.When you are ready to scan, click OK to scan your database for vulnerabilities.

Примечание

Проверка безопасна и не требует большого количества ресурсов.The scan is lightweight and safe. Она занимает несколько секунд и является исключительно операцией чтения.It takes a few seconds to run, and is entirely read-only. При проверке никакие изменения в базу данных не вносятся.It does not make any changes to your database.

Сохранение файла результатов проверки

2. Просмотр отчета2. View the report

Когда проверка завершится, на основной панели SSMS автоматически появится отчет о проверке.When your scan is complete, your scan report is automatically displayed in the primary SSMS pane. В отчете представлен обзор состояния безопасности: количество обнаруженных проблем и уровень их серьезности.The report presents an overview of your security state; how many issues were found, and their respective severities. Результаты содержат предупреждения об отклонениях от рекомендаций, а также моментальный снимок параметров безопасности, например субъектов и ролей базы данных и соответствующих разрешений.Results include warnings on deviations from best practices, as well as a snapshot of your security-related settings, such as database principals and roles and their associated permissions. Отчет о проверке также содержит карту конфиденциальных данных, обнаруженных в базе данных, и рекомендации по встроенным методам, доступным для их защиты.The scan report also provides a map of sensitive data discovered in your database, and includes recommendations of the built-in methods available to protect it.

Результаты проверки

3. Анализ результатов и устранение проблем3. Analyze the results and resolve issues

Просмотрите результаты и определите, какие проблемы в отчете действительно нарушают безопасность в вашей среде.Review your results and determine which findings in the report are true security issues in your environment. Изучите подробные сведения о каждой проблеме, чтобы понять, как она влияет на безопасность, и о каждой проверке безопасности, завершившейся сбоем.Drill-down to each failed result to understand the impact of the finding, and why each security check failed. Используйте практические рекомендации по исправлению, представленные в отчете, чтобы устранить проблему.Use the actionable remediation information provided by the report to resolve the issue.

Сведения о результатах

4. Настройка базовых показателей4. Set your Baseline

При просмотре результатов оценки можно пометить определенные результаты как допустимые базовые показатели в своей среде.As you review your assessment results, you can mark specific results as being an acceptable Baseline in your environment. Базовые показатели — важные параметры, влияющие на содержимое отчета о проверке.The baseline is essentially a customization of how the results are reported. При следующих проверках результаты, которые соответствуют базовым показателям, будут рассматриваться как прошедшие проверку.Results that match the baseline are considered as passing in subsequent scans.

Когда вы установите состояние базовых показателей безопасности, служба оценки уязвимостей будет сообщать только об отклонениях от базовых показателей, и вы сможете сосредоточиться на важных проблемах.Once you have established your baseline security state, VA only reports on deviations from the baseline, and you can focus your attention on the relevant issues.

Настройка базовых показателей

5. Выполнение новой проверки для просмотра настраиваемого отчета об отслеживании5. Run a new scan to see your customized tracking report

Завершив настройку базовых показателей правила, выполните новую проверку, чтобы просмотреть настраиваемый отчет.After you complete setting up your Rule Baselines, run a new scan to view the customized report. Теперь служба оценки уязвимостей сообщает о проблемах безопасности, которые связаны с отклонением от утвержденного состояния базовых показателей.VA now reports only failing security issues that deviate from your approved baseline state.

Проверка пройдена в соответствии с базовыми показателями

6. Открытие файла ранее проведенной проверки6. Open a previously run scan

Вы можете в любое время просмотреть результаты ранее проведенных оценок уязвимостей, открыв существующий файл с результатами проверки.You can view the results of previously run Vulnerability Assessments at any time by opening an existing scan. Для этого щелкните правой кнопкой мыши имя базы данных, наведите указатель мыши на пункт Задачи, выберите Оценка уязвимостей и щелкните Открыть имеющееся сканирование... . Выберите файл с результатами проверки, который нужно просмотреть, и нажмите кнопку Открыть.Do so by right-clicking a database, pointing to Tasks, selecting Vulnerability Assessment, and clicking on Open Existing Scan... Select the scan results file you would like to view and click Open.

Этот файл также можно открыть, последовательно выбрав Файл -> Открыть.You can also open an existing scan result via the File->Open menu. Выберите Оценка уязвимостей... и откройте каталог scans, чтобы найти файл с результатами проверки, который нужно просмотреть.Select Vulnerability Assessment... and open the scans directory to find the scan result you wish to view.

Открытие существующего файла с результатами проверки

Теперь службу оценки уязвимостей можно использовать, чтобы постоянно отслеживать безопасность базы данных и обеспечивать высокий уровень безопасности, а также следить за соблюдением политик организации.VA can now be used to monitor that your databases maintain a high level of security at all times, and that your organizational policies are met. Если требуются отчеты о соответствии, вам могут пригодиться отчеты службы оценки уязвимостей, чтобы упростить соответствие требованиям.If compliance reports are required, VA reports can be helpful to facilitate the compliance process.

Управление оценкой уязвимостей с помощью PowerShellManage Vulnerability Assessments using PowerShell

С помощью командлетов PowerShell можно управлять оценкой уязвимостей на серверах SQL Server программными средствами.You can use PowerShell cmdlets to programmatically manage Vulnerability Assessments for your SQL Servers. Командлеты можно использовать для программного выполнения оценки, экспорта результатов и управления базовыми показателями.The cmdlets can be used to run assessments programmatically, export the results and manage baselines. Сначала скачайте последний модуль PowerShell SqlServer с сайта коллекции PowerShell.To get started, download the latest SqlServer PowerShell module from the PowerShell Gallery site. Дополнительные сведения см. здесь.You can learn more here.

Дальнейшие действияNext steps

Дополнительные сведения о службе оценки уязвимостей SQL см. в следующих документах:Learn more about SQL Vulnerability Assessment using the following resources: