Sicherheitsrisikobewertung für SQL Server

  • Artikel

Gilt für:SQL Server

Die SQL-Sicherheitsrisikobewertung ist ein benutzerfreundliches Tool, das Sie beim Ermitteln, Verfolgen und Beheben potenzieller Datenbank-Sicherheitsrisiken unterstützt. Verwenden Sie es zur proaktiven Verbesserung Ihrer Datenbanksicherheit.

Hinweis

Das Tool zur Sicherheitsrisikobewertung ist in SQL Server Management Studio (SSMS) vor 19.1, für SQL Server 2012 (11.x) und höhere Versionen verfügbar.

Entfernen der SQL-Sicherheitsrisikobewertung in SQL Server Management Studio 19.1

Die SQL-Sicherheitsrisikobewertung in SSMS bietet eine Möglichkeit, mögliche Sicherheitsfehler in Ihren SQL Server-Datenbanken auf getrennte Weise, auf SQL Server 2012 (11.x) und höhere Versionen zu überprüfen und zu melden. Diese Funktion wird in ein umfassendes Datenbanksicherheitspaket konsolidiert, das microsoft Defender für SQL genannt wird, mit dem Sie Überprüfungen der Sicherheitsrisiken durchführen und Echtzeitangriffe auf Ihre Datenbank über cloud- und lokale Ressourcen hinweg identifizieren können. Defender für SQL bietet Kunden die neuesten Updates für Scanregeln und aktualisierte Algorithmen zum Bedrohungsschutz.

Umgekehrt nutzt die SQL-Sicherheitsrisikobewertung in SSMS keine Ergebnisse von Defender for Cloud, und es können keine Ergebnisse aus lokalen Scans hochgeladen werden. Darüber hinaus empfängt die SQL-Sicherheitsrisikobewertung auf SSMS keine Updates in Echtzeit, was zu Inkonsistenzen im Vergleich zu den aktualisierten Ergebnissen von Defender für Cloud führen kann. Um weitere Verwirrungen und Inkonsistenzen in den Sicherheitserfahrungen von Kunden zu verhindern, haben wir die SQL-Sicherheitsbewertung von SSMS ab Version 19.1 entfernt. Während die SQL-Sicherheitsrisikobewertung in älteren SSMS-Versionen neu Standard ist, empfiehlt es sich, microsoft Defender für SQL zu verwenden, um die Sicherheitskonfiguration Ihrer Umgebung unabhängig von Ihrer SSMS- oder SQL-Version zu bewerten.

Weitere Informationen finden Sie unter Aktivieren von Microsoft Defender für SQL Server auf Computern und Überprüfen Ihrer SQL Server auf Sicherheitsrisiken.

Für Azure SQL-Datenbank, Azure Synapse Analytics und SQL Managed Instance verwenden Sie Microsoft Defender für SQL-Datenbank.

Features der Sicherheitsrisikobewertung

Die SQL-Sicherheitsrisikobewertung (Vulnerability Assessment, VA) ist ein Dienst, der einen Einblick in Ihren Sicherheitsstatus bietet sowie die Aktionsschritte zum Beheben von Sicherheitsproblemen und Verbessern Ihrer Datenbanksicherheit einschließt. Sie kann Ihnen die Durchführung folgender Aufgaben erleichtern:

  • Erfüllen der Konformitätsanforderungen, die Datenbanküberprüfungs-Berichte erfordern
  • Einhalten von Datenschutzstandards
  • Überwachen einer dynamischen Datenbankumgebung, in der Änderungen schwer zu verfolgen sind

Der VA-Dienst führt eine direkte Überprüfung der Datenbank durch. Der Dienst wendet eine Wissensdatenbank mit Regeln an, die Sicherheitsrisiken kennzeichnen und Abweichungen von bewährten Methoden wie Fehlkonfigurationen, übermäßige Berechtigungen und ungeschützte sensible Daten hervorheben. Die Regeln basieren auf den von Microsoft empfohlenen bewährten Methoden und konzentrieren sich auf die Sicherheitsprobleme, die die größten Risiken für Ihre Datenbank und Ihre wertvollen Daten darstellen. Diese Regeln spiegeln darüber hinaus viele Anforderungen verschiedener Aufsichtsbehörden wider, um deren Konformitätsstandards zu erfüllen.

Zu den Ergebnissen der Überprüfung zählen Aktionsschritte zum Beheben der jeweiligen Probleme und ggf. das Bereitstellen benutzerdefinierter Skripts zur Wiederherstellung. Ein Bewertungsbericht kann für Ihre Umgebung angepasst werden, indem eine akzeptable Baseline für Berechtigungskonfigurationen, Featurekonfigurationen und Datenbankeinstellungen festgelegt wird.

Voraussetzungen

Dieses Feature ist nur in SQL Server Management Studio (SSMS) v17.4 oder höher verfügbar. Die neueste Version finden Sie hier.

Erste Schritte

Führen Sie die folgenden Schritte aus, um eine Sicherheitsrisikoüberprüfung für Ihre Datenbank auszuführen:

  1. Öffnen Sie SQL Server Management Studio.

  2. Stellen Sie eine Verbindung mit einer Instanz der SQL Server-Datenbank-Engine oder mit localhost her.

  3. Erweitern Sie Datenbanken, klicken Sie mit der rechten Maustaste auf eine Datenbank, zeigen Sie auf Aufgaben, wählen Sie Sicherheitsrisikobewertung und dann Auf Sicherheitsrisiken überprüfen... aus.

  4. Sie können eine Überprüfung ausführen, bei der eine der Systemdatenbanken überprüft wird, um Probleme auf Serverebene festzustellen. Erweitern Sie Systemdatenbanken, klicken Sie mit der rechten Maustaste auf die master Datenbank, zeigen Sie auf "Aufgaben", wählen Sie "Sicherheitsrisikobewertung" aus, und wählen Sie " Auf Sicherheitsrisiken überprüfen" aus...

Screenshot showing how to get started.

Lernprogramm

Mit den folgenden Schritten führen Sie Sicherheitsrisikobewertungen für Ihre Datenbanken aus und verwalten sie.

1. Ausführen eines Scans

Im Dialogfeld "Auf Sicherheitsanfälligkeiten überprüfen" können Sie den Speicherort angeben, an dem Scans gespeichert werden. Sie können den Standardspeicherort verlassen oder "Durchsuchen" auswählen, um die Scanergebnisse an einem anderen Speicherort zu speichern.

Wenn Sie zur Überprüfung bereit sind, klicken Sie auf OK, um Ihre Datenbank auf Sicherheitsrisiken zu überprüfen.

Hinweis

Die Überprüfung belastet die Ressourcen nicht und ist sicher. Sie dauert ein paar Sekunden und ist vollständig schreibgeschützt. Es werden keine Änderungen an Ihrer Datenbank vorgenommen.

Screenshot showing how to save a scan file.

2. Anzeigen des Berichts

Wenn die Überprüfung abgeschlossen ist, wird Ihr Überprüfungsbericht automatisch im primären SSMS-Bereich angezeigt. Der Bericht bietet eine Übersicht über Ihren Sicherheitsstatus – wie viele Probleme gefunden wurden, und ihre jeweiligen Schweregrade. Die Ergebnisse enthalten Warnungen zu Abweichungen von bewährten Methoden sowie eine Momentaufnahme Ihrer sicherheitsrelevanten Einstellungen. Zu diesen Einstellungen gehören Datenbankprinzipale und Rollen sowie die zugehörigen Berechtigungen. Der Überprüfungsbericht liefert außerdem eine Zuordnung der in Ihrer Datenbank ermittelten vertraulichen Daten und enthält Empfehlungen der verfügbaren integrierten Methoden zu ihrem Schutz.

Screenshot showing scan results.

3. Analysieren der Ergebnisse und Beheben von Problemen

Werten Sie Ihre Ergebnisse aus, und bestimmen Sie, welche Ergebnisse im Bericht echte Sicherheitsprobleme in Ihrer Umgebung sind. Führen Sie einen Drilldown für jedes fehlgeschlagene Ergebnis aus, um die Auswirkung des Ergebnisses und die Gründe für die fehlgeschlagenen Sicherheitsüberprüfungen nachvollziehen zu können. Nutzen Sie die Informationen des Berichts zu Wiederherstellungsaktionen, um das Problem zu beheben.

Screenshot showing results details.

4. Festlegen des Basisplans

Wenn Sie Ihre Bewertungsergebnisse überprüfen, können Sie bestimmte Ergebnisse als akzeptable Baseline für Ihre Umgebung markieren. Die Baseline ist im Wesentlichen eine Anpassung der Art, in der die Ergebnisse berichtet werden. Wenn Ergebnisse in nachfolgenden Überprüfungen mit der Baseline übereinstimmen, wird dies als Bestehen gewertet.

Nachdem Sie Ihren Baselinesicherheitsstatus festgelegt haben, meldet eine VA nur Abweichungen von der Baseline, und Sie können Ihre Aufmerksamkeit auf die relevanten Probleme konzentrieren.

Screenshot showing how to set a baseline.

5. Führen Sie eine neue Überprüfung aus, um Ihren angepassten Nachverfolgungsbericht anzuzeigen.

Nachdem Sie die Einrichtung der Baselines für Ihre Regeln abgeschlossen haben, führen Sie eine neue Überprüfung aus, um den benutzerdefinierten Bericht anzuzeigen. VA meldet jetzt nur Sicherheitsprobleme, die Abweichungen vom genehmigten Baselinestatus darstellen.

Screenshot showing pass per baseline.

6. Öffnen einer zuvor ausgeführten Überprüfung

Sie können jederzeit eine vorhandene Überprüfung öffnen, um die Ergebnisse zuvor ausgeführter Sicherheitsrisikobewertungen anzuzeigen. Hierzu klicken Sie mit der rechten Maustaste auf eine Datenbank, zeigen auf Aufgaben, wählen Sicherheitsrisikobewertung aus und klicken auf Vorhandene Überprüfung öffnen.... Wählen Sie die Überprüfungsergebnisdatei aus, die Sie anzeigen möchten, und klicken Sie auf Öffnen.

Sie können auch ein vorhandenes Scanergebnis über das Menü "Datei> öffnen " öffnen. Wählen Sie Sicherheitsrisikobewertung... aus, und öffnen Sie das Verzeichnis scans, um das Überprüfungsergebnis zu finden, das Sie anzeigen möchten.

Screenshot showing how to open an existing scan.

VA kann jetzt verwendet werden, um zu überwachen, ob Ihre Datenbanken jederzeit eine hohe Sicherheitsstufe einhalten und Ihre Unternehmensrichtlinien erfüllt werden. Wenn Konformitätsberichte erforderlich sind, können VA-Berichte hilfreich sein, um den Konformitätsprozess zu vereinfachen.

Verwalten von Sicherheitsrisikobewertungen mit PowerShell

Sie können PowerShell-Cmdlets verwenden, um Sicherheitsrisikobewertungen für Ihre SQL Server-Instanzen programmgesteuert zu verwalten. Mit den Cmdlets können Sie Bewertungen programmgesteuert ausführen, die Ergebnisse exportieren und Baselines verwalten. Laden Sie zunächst das aktuelle PowerShell-Modul für SQL Server von der PowerShell-Katalog-Website herunter. Weitere Informationen erhalten Sie hier.

Nächste Schritte