Оценка уязвимостей для SQL Server

Применимо к: даSQL Server (все поддерживаемые версии)

Оценка уязвимостей SQL — это простой инструмент, который позволяет обнаруживать, отслеживать и устранять потенциальные уязвимости баз данных. Используйте его, чтобы с упреждением повышать безопасность своей базы данных.

Средство оценки уязвимостей доступно в SQL Server Management Studio (SSMS) для SQL Server 2012 или более поздних версий.

Совет

Чтобы получить исчерпывающее решение с расширенными возможностями защиты от угроз, используйте Azure Defender для серверов SQL Server на компьютерах. Чтобы использовать Azure Defender, SQL Server должен быть подключен к Azure.

Для Базы данных SQL Azure, Azure Synapse Analytics и Управляемого экземпляра SQL используйте Azure Defender для Базы данных SQL.

Возможности службы оценки уязвимостей

Оценка уязвимостей SQL — это служба, которая дает представление о состоянии безопасности и предлагает практические действия для устранения проблем безопасности и повышения безопасности базы данных. Эта служба может помочь в выполнении следующих задач:

  • соблюдение нормативных требований, требующих отчетов о проверке базы данных;
  • соблюдение стандартов конфиденциальности данных;
  • мониторинг динамической среды базы данных, в которой сложно отслеживать изменения.

Служба оценки уязвимостей выполняет проверку прямо в базе данных. Эта служба использует базу знаний правил, содержащую правила, которые помечают уязвимости системы безопасности и указывают на отклонения от рекомендаций, в том числе на неправильные настройки, избыточные разрешения и незащищенные конфиденциальные данные. Правила основаны на рекомендациях корпорации Майкрософт и направлены на проблемы безопасности, представляющие наибольшую угрозу для базы данных и ее ценных данных. В этих правилах также представлены многие требования различных контролирующих органов, что позволяет соблюдать стандарты соответствия.

Результаты проверки включают в себя практические действия по устранению каждой проблемы, а также настроенные скрипты исправления, если их можно применить. Отчет об оценке можно настроить для своей среды, задав приемлемые базовые показатели для конфигураций разрешений, конфигураций функций и параметров базы данных.

Предварительные требования

Эта функция доступна только в SQL Server Management Studio (SSMS) 17.4 и более поздних версий. Ее можно найти здесь.

Начало работы

Чтобы выполнить проверку уязвимостей в базе данных, выполните следующие действия.

  1. Откройте SQL Server Management Studio.

  2. Подключитесь к экземпляру ядра СУБД SQL Server или к узлу localhost.

  3. Разверните узел Базы данных, щелкните правой кнопкой мыши имя базы данных, последовательно выберите Задачи, Оценка уязвимостей и Проверка на уязвимости… .

  4. Можно запустить проверку на наличие проблем на уровне сервера, проверив одну из системных баз данных. Разверните узел Системные базы данных, щелкните правой кнопкой мыши базу данных master, наведите указатель мыши на пункт Задачи, выберите Оценка уязвимостей и щелкните Проверка на уязвимости... .

get-started

Учебник

Чтобы выполнять оценку уязвимостей и управлять ею, сделайте следующее.

1. Выполнение проверки

В диалоговом окне Проверка на уязвимости можно указать расположение, где будут храниться результаты проверки. Вы можете оставить расположение по умолчанию или щелкнуть Обзор... , чтобы сохранить результаты проверки в другое расположение.

Если все готово для проверки, нажмите кнопку ОК, чтобы проверить базу данных на уязвимости.

Примечание

Проверка безопасна и не требует большого количества ресурсов. Она занимает несколько секунд и является исключительно операцией чтения. При проверке никакие изменения в базу данных не вносятся.

Сохранение файла результатов проверки

2. Просмотр отчета

Когда проверка завершится, на основной панели SSMS автоматически появится отчет о проверке. В отчете представлен обзор состояния безопасности: количество обнаруженных проблем и уровень их серьезности. Результаты содержат предупреждения об отклонениях от рекомендаций, а также моментальный снимок параметров безопасности, например субъектов и ролей базы данных и соответствующих разрешений. Отчет о проверке также содержит карту конфиденциальных данных, обнаруженных в базе данных, и рекомендации по встроенным методам, доступным для их защиты.

Результаты проверки

3. Анализ результатов и устранение проблем

Просмотрите результаты и определите, какие проблемы в отчете действительно нарушают безопасность в вашей среде. Изучите подробные сведения о каждой проблеме, чтобы понять, как она влияет на безопасность, и о каждой проверке безопасности, завершившейся сбоем. Используйте практические рекомендации по исправлению, представленные в отчете, чтобы устранить проблему.

Сведения о результатах

4. Настройка базовых показателей

При просмотре результатов оценки можно пометить определенные результаты как допустимые базовые показатели в своей среде. Базовые показатели — важные параметры, влияющие на содержимое отчета о проверке. При следующих проверках результаты, которые соответствуют базовым показателям, будут рассматриваться как прошедшие проверку.

Когда вы установите состояние базовых показателей безопасности, служба оценки уязвимостей будет сообщать только об отклонениях от базовых показателей, и вы сможете сосредоточиться на важных проблемах.

Настройка базовых показателей

5. Выполнение новой проверки для просмотра настраиваемого отчета об отслеживании

Завершив настройку базовых показателей правила, выполните новую проверку, чтобы просмотреть настраиваемый отчет. Теперь служба оценки уязвимостей сообщает о проблемах безопасности, которые связаны с отклонением от утвержденного состояния базовых показателей.

Проверка пройдена в соответствии с базовыми показателями

6. Открытие файла ранее проведенной проверки

Вы можете в любое время просмотреть результаты ранее проведенных оценок уязвимостей, открыв существующий файл с результатами проверки. Для этого щелкните правой кнопкой мыши имя базы данных, наведите указатель мыши на пункт Задачи, выберите Оценка уязвимостей и щелкните Открыть имеющуюся проверку… . Выберите файл с результатами проверки, который нужно просмотреть, и нажмите кнопку Открыть.

Этот файл также можно открыть, последовательно выбрав Файл -> Открыть. Выберите Оценка уязвимостей... и откройте каталог scans, чтобы найти файл с результатами проверки, который нужно просмотреть.

Открытие существующего файла с результатами проверки

Теперь службу оценки уязвимостей можно использовать, чтобы постоянно отслеживать безопасность базы данных и обеспечивать высокий уровень безопасности, а также следить за соблюдением политик организации. Если требуются отчеты о соответствии, вам могут пригодиться отчеты службы оценки уязвимостей, чтобы упростить соответствие требованиям.

Управление оценкой уязвимостей с помощью PowerShell

С помощью командлетов PowerShell можно управлять оценкой уязвимостей на серверах SQL Server программными средствами. Командлеты можно использовать для программного выполнения оценки, экспорта результатов и управления базовыми показателями. Сначала скачайте последний модуль PowerShell SqlServer с сайта коллекции PowerShell. Дополнительные сведения см. здесь.

Дальнейшие действия

Дополнительные сведения о службе оценки уязвимостей SQL см. в следующих документах: