Nota
O acceso a esta páxina require autorización. Pode tentar iniciar sesión ou modificar os directorios.
O acceso a esta páxina require autorización. Pode tentar modificar os directorios.
En este artículo se muestra el conjunto de reglas integradas que se usan para marcar vulnerabilidades de seguridad y resaltar las desviaciones de los procedimientos recomendados, como configuraciones incorrectas y permisos excesivos. Las reglas se basan en los procedimientos recomendados de Microsoft y se centran en los problemas de seguridad que presentan mayores riesgos para la base de datos y sus valiosos datos. Tratan los problemas de nivel de base de datos y los problemas de seguridad de nivel de servidor, como la configuración del firewall de servidor y los permisos de nivel de servidor. Estas reglas también representan muchos de los requisitos que deben cumplir diversos organismos reguladores para satisfacer los estándares de cumplimiento.
Se aplica a: 
Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics SQL Server (todas las versiones compatibles)
Las reglas que se muestran en los exámenes de la base de datos dependen de la versión de SQL y la plataforma que se ha examinado.
Para obtener una lista de los cambios realizados en estas reglas, consulte Registro de cambios de reglas de evaluación de vulnerabilidades de SQL.
Información relacionada
Aprenda a implementar la evaluación de vulnerabilidades en Azure.
Aprenda a buscar y corregir vulnerabilidades en las bases de datos de Azure SQL.
Obtenga información sobre cómo consultar, ver y exportar los resultados de la evaluación de vulnerabilidades.
Para obtener información sobre cómo ver las alertas de seguridad de Defender para SQL.
Categorías de reglas
Las reglas de evaluación de vulnerabilidades de SQL tienen cinco categorías, que se encuentran en las secciones siguientes:
- Autenticación y autorización
- Auditoría y registro
- Protección de datos
- Actualizaciones y revisiones de instalación
- Reducción de área expuesta
1SQL Server 2012+ hace referencia a todas las versiones de SQL Server 2012 y versiones posteriores.
2SQL Server 2017+ hace referencia a todas las versiones de SQL Server 2017 y versiones posteriores.
3SQL Server 2016+ hace referencia a todas las versiones de SQL Server 2016 y versiones posteriores.
Autenticación y autorización
| Identificador de la regla | Título de la regla | Gravedad de la regla | Descripción de la regla | Plataforma | Título de la recomendación | Id. de evaluación |
|---|---|---|---|---|---|---|
| VA1017 | Se deben revocar los permisos de ejecución en xp_cmdshell de todos los usuarios (excepto dbo). | High | El xp_cmdshell procedimiento almacenado extendido genera un shell de comandos de Windows y pasa una cadena para su ejecución. Esta regla comprueba que ningún usuario (aparte de los usuarios con el permiso CONTROL SERVER como los miembros del rol de servidor sysadmin) tenga permiso para ejecutar el procedimiento almacenado extendido xp_cmdshell. |
|
Los permisos de ejecución en xp_cmdshell de todos los usuarios (excepto dbo) deben revocarse para los servidores SQL Server. | 48fad5ca-f530-41bb-9454-c6002bd1085c |
| VA1020 | El usuario invitado de la base de datos no debe ser miembro de ningún rol | High | El usuario invitado permite el acceso a una base de datos para los inicios de sesión que no están asignados a un usuario de base de datos específico. Esta regla comprueba que no se asigna ningún rol de base de datos al usuario invitado. |
SQL Database |
El invitado de usuario de base de datos no debe ser miembro de ningún rol en bases de datos SQL | 24b8d8dd-4e2e-4cdf-9fb0-b480401a54e0 |
| VA1042 | El encadenamiento de propiedad de la base de datos debe deshabilitarse para todas las bases de datos, excepto masterpara , msdby tempdb |
High | El encadenamiento de propiedad entre bases de datos es una extensión del encadenamiento de propiedad, salvo que cruza el límite de la base de datos. Esta regla comprueba que esta opción está deshabilitada para todas las bases de datos, excepto para master, msdby tempdb . En el caso masterde , msdby tempdb, el encadenamiento de propiedad entre bases de datos está habilitado de forma predeterminada. |
Instancia administrada de SQL |
El encadenamiento de propiedad de la base de datos debe deshabilitarse para todas las bases de datos, excepto "master", "msdb" y "tempdb" en servidores SQL Server. | 4ce5114e-d749-4569-b4e0-24853b1422a4 |
| VA1043 | El invitado principal no debe tener acceso a ninguna base de datos de usuario | Mediana | El usuario invitado permite el acceso a una base de datos para los inicios de sesión que no están asignados a un usuario de base de datos específico. Esta regla comprueba que el usuario invitado no puede conectarse a ninguna base de datos. |
Instancia administrada de SQL |
El invitado principal no debe tener acceso a ninguna base de datos SQL de usuario | 9a330556-d9f3-43e5-bade-ca4170e10374 |
| VA1046 | CHECK_POLICY debe estar habilitado para todos los inicios de sesión de SQL. | Low | CHECK_POLICY opción habilita la comprobación de los inicios de sesión de SQL en la directiva de dominio. Esta regla comprueba que CHECK_POLICY opción está habilitada para todos los inicios de sesión de SQL. |
Instancia administrada de SQL |
CHECK_POLICY debe estar habilitado para todos los inicios de sesión de SQL para servidores SQL Server | 045516fd-3ec2-4d3f-a519-30f971f1e45f |
| VA1047 | La comprobación de expiración de contraseñas debe estar habilitada para todos los inicios de sesión de SQL | Low | Las directivas de expiración de contraseñas se utilizan para administrar la duración de una contraseña. Cuando SQL Server aplica la directiva de expiración de contraseñas, se recuerda a los usuarios que cambien las contraseñas antiguas y las cuentas con contraseñas que han expirado se deshabilitan. Esta regla comprueba que la directiva de expiración de contraseñas esté habilitada para todos los inicios de sesión de SQL. |
Instancia administrada de SQL |
La comprobación de expiración de contraseñas debe estar habilitada para todos los inicios de sesión de SQL en servidores SQL Server. | a14a9bb7-237c-4dae-9b36-e8b63d47539c |
| VA1048 | Las entidades de seguridad de base de datos no se deben asignar a la sa cuenta |
High | Un atacante puede aprovechar una entidad de seguridad de base de datos asignada a la sa cuenta para elevar los permisos a sysadmin |
Instancia administrada de SQL |
Las entidades de seguridad de base de datos no deben asignarse a la cuenta sa en bases de datos SQL | 3cd5e6e8-71bb-40c4-8a08-204959e91a23 |
| VA1052 | Quitar BUILTIN\Administrators como inicio de sesión de servidor | Low | El grupo BUILTIN\Administrators contiene el grupo Administradores locales de Windows. En versiones anteriores de Microsoft SQL Server, este grupo tiene derechos de administrador de forma predeterminada. Esta regla comprueba que este grupo se quita de SQL Server. |
|
BUILTIN\Administrators debe quitarse como inicio de sesión de servidor para servidores SQL Server | 2b31ae5a-28ce-42a7-b80c-6430056978b3 |
| VA1053 | Se debe cambiar el nombre o deshabilitar la cuenta con el nombre sa predeterminado. |
Low |
sa es una cuenta conocida con el identificador de entidad de seguridad 1. Esta regla comprueba que la sa cuenta se cambia de nombre o está deshabilitada. |
Instancia administrada de SQL |
La cuenta con el nombre predeterminado 'sa' debe cambiarse de nombre y deshabilitarse en servidores SQL Server | f9be60bc-423f-4462-adb4-e1be62a9ff39 |
| VA1054 | No se deben conceder permisos excesivos al rol PUBLIC en objetos o columnas | Low | Cada inicio de sesión de SQL Server pertenece al rol de servidor público. Cuando una entidad de seguridad de servidor no se ha concedido ni denegado permisos específicos en un objeto protegible, el usuario hereda los permisos concedidos al público en ese objeto. Esta regla muestra una lista de todos los objetos o columnas protegibles que son accesibles para todos los usuarios a través del rol PUBLIC. |
SQL Database |
No se deben conceder permisos excesivos al rol PUBLIC en objetos o columnas de bases de datos SQL. | 6aed60ee-9f8a-47f1-a9d1-0305e0ed03ed |
| VA1058 |
sa el inicio de sesión debe deshabilitarse |
High |
sa es una cuenta conocida con el identificador de entidad de seguridad 1. Esta regla comprueba que la sa cuenta está deshabilitada. |
Instancia administrada de SQL |
El inicio de sesión "sa" debe deshabilitarse para servidores SQL Server | b1ce48d9-cd89-4d75-84a0-d0dc5505a898 |
| VA1059 | xp_cmdshell debe deshabilitarse | High | xp_cmdshell genera un shell de comandos de Windows y lo pasa una cadena para su ejecución. Esta regla comprueba que xp_cmdshell está deshabilitado. |
Instancia administrada de SQL |
xp_cmdshell debe deshabilitarse para servidores SQL Server | eadae6a8-e9f4-4173-8c12-6f64703f9d01 |
| VA1067 | Las direcciones IP de Correo electrónico de base de datos deben deshabilitarse cuando no están en uso | Mediana | Esta regla comprueba que correo electrónico de base de datos está deshabilitado cuando no se configura ningún perfil de correo electrónico de base de datos. Correo electrónico de base de datos se puede usar para enviar mensajes de correo electrónico desde el motor de base de datos de SQL Server y está deshabilitado de forma predeterminada. Si no usa esta característica, se recomienda deshabilitarla para reducir el área expuesta. |
|
Las DIRECCIONES XP de Correo electrónico de base de datos deben deshabilitarse cuando no están en uso en servidores SQL Server | be5465f2-79a8-45aa-bf95-f6106bed0a57 |
| VA1068 | Los permisos de servidor no se deben conceder directamente a las entidades de seguridad. | Low | Los permisos de nivel de servidor están asociados a un objeto de nivel de servidor para regular qué usuarios pueden obtener acceso al objeto. Esta regla comprueba que no hay permisos de nivel de servidor concedidos directamente a los inicios de sesión. |
Instancia administrada de SQL |
Los permisos de servidor no se deben conceder directamente a las entidades de seguridad de los servidores SQL Server | 8f04b48b-b199-45d8-9e5e-c07705a3be2e |
| VA1070 | Los usuarios de la base de datos no deben compartir el mismo nombre que un inicio de sesión de servidor | Low | Los usuarios de la base de datos pueden compartir el mismo nombre que un inicio de sesión de servidor. Esta regla valida que no hay ningún usuario de este tipo. |
Instancia administrada de SQL |
Los usuarios de la base de datos no deben compartir el mismo nombre que un inicio de sesión de servidor para la base de datos SQL de modelo | da61956e-b092-4acd-8b89-a78ddc6e6e6a46 |
| VA1072 | El modo de autenticación debe ser autenticación de Windows | Mediana | Hay dos modos de autenticación posibles: modo de autenticación de Windows y modo mixto. El modo mixto significa que SQL Server habilita la autenticación de Windows y la autenticación de SQL Server. Esta regla comprueba que el modo de autenticación está establecido en Autenticación de Windows. |
|
El modo de autenticación debe ser autenticación de Windows para servidores SQL Server | a89c44c5-0c04-4098-bd15-c617443995b6 |
| VA1094 | Los permisos de base de datos no se deben conceder directamente a las entidades de seguridad | Low | Los permisos son reglas asociadas a un objeto protegible para regular qué usuarios pueden obtener acceso al objeto. Esta regla comprueba que no hay permisos de base de datos concedidos directamente a los usuarios. |
Instancia administrada de SQL |
No se deben conceder permisos de base de datos directamente a entidades de seguridad para servidores SQL Server | f644db73-c0ef-4e1c-846a-5ccf9280b4c1 |
| VA1095 | No se deben conceder permisos excesivos al rol PUBLIC | Mediana | Cada inicio de sesión de SQL Server pertenece al rol de servidor público. Cuando una entidad de seguridad de servidor no se ha concedido ni denegado permisos específicos en un objeto protegible, el usuario hereda los permisos concedidos al público en ese objeto. Se muestra una lista de todos los permisos concedidos al rol PÚBLICO. |
Instancia administrada de SQL SQL Database |
No se deben conceder permisos excesivos al rol PUBLIC en bases de datos SQL | 3f2a3bd7-5f36-4d4e-a0a9-f19933ec5bd9 |
| VA1096 | No se deben conceder permisos de invitado principal en la base de datos | Low | Cada base de datos incluye un usuario llamado GUEST. Los usuarios que tienen acceso a la base de datos heredan los permisos concedidos a GUEST, pero que no tienen una cuenta de usuario en la base de datos. Esta regla comprueba que se han revocado todos los permisos del usuario INVITADO. |
Instancia administrada de SQL SQL Database |
No se deben conceder permisos de invitado principal en bases de datos SQL | 6cbd7126-7091-43f5-8f30-e59cf1a7b6b6b6 |
| VA1097 | No se deben conceder permisos de invitado principal en objetos o columnas | Low | Cada base de datos incluye un usuario llamado GUEST. Los usuarios que tienen acceso a la base de datos heredan los permisos concedidos a GUEST, pero que no tienen una cuenta de usuario en la base de datos. Esta regla comprueba que se han revocado todos los permisos del usuario INVITADO. |
Instancia administrada de SQL SQL Database |
No se deben conceder permisos de invitado principal a objetos o columnas en bases de datos SQL | 063d0390-42cf-4bb5-82a0-72071e1a612f |
| VA1099 | No se deben conceder permisos al usuario invitado en elementos protegibles de la base de datos | Low | Cada base de datos incluye un usuario llamado GUEST. Los usuarios que tienen acceso a la base de datos heredan los permisos concedidos a GUEST, pero que no tienen una cuenta de usuario en la base de datos. Esta regla comprueba que se han revocado todos los permisos del usuario INVITADO. |
Instancia administrada de SQL SQL Database |
No se deben conceder permisos al usuario invitado en elementos protegibles de la base de datos SQL | 2115ef5d-2c98-484b-ac79-2883371be4a6 |
| VA1246 | No se deben usar roles de aplicación | Low | Un rol de aplicación es una entidad de seguridad de base de datos que permite que una aplicación se ejecute con sus propios permisos similares al usuario. Los roles de aplicación permiten que solo los usuarios que se conectan a través de una aplicación determinada puedan acceder a datos específicos. Los roles de aplicación se basan en contraseña (que las aplicaciones suelen codificar de forma segura) y no en función de permisos, lo que expone la base de datos a la suplantación de roles de aplicación mediante la suposición de contraseña. Esta regla comprueba que no hay roles de aplicación definidos en la base de datos. |
Instancia administrada de SQL SQL Database |
Los roles de aplicación no deben usarse en bases de datos SQL | 123285d4-ef1f-4543-a3ae-3f8656563b38 |
| VA1248 | Los roles de base de datos definidos por el usuario no deben ser miembros de roles fijos | Mediana | Para administrar fácilmente los permisos de las bases de datos de SQL Server proporciona varios roles, que son entidades de seguridad que agrupan otras entidades de seguridad. Son como grupos en el sistema operativo Microsoft Windows. Las cuentas de base de datos y otros roles de SQL Server se pueden agregar a roles de nivel de base de datos. Cada miembro de un rol fijo de base de datos puede agregar otros usuarios a ese mismo rol. Esta regla comprueba que ningún rol definido por el usuario sea miembro de roles fijos. |
Instancia administrada de SQL SQL Database Azure Synapse |
Los roles de base de datos definidos por el usuario no deben ser miembros de roles fijos en bases de datos SQL | 31c5a284-c8cd-47c3-9242-2429ed5adf7c |
| VA1267 | Los usuarios independientes deben usar la autenticación de Windows | Mediana | Los usuarios independientes son usuarios que existen en la base de datos y no requieren una asignación de inicio de sesión. Esta regla comprueba que los usuarios contenidos usan la autenticación de Windows. |
Instancia administrada de SQL |
Los usuarios independientes deben usar la autenticación de Windows en bases de datos de SQL Server | 25cdb02c-6bd8-4444-8318-9df003edc170 |
| VA1280 | Los permisos de servidor concedidos al público deben minimizarse | Mediana | Cada inicio de sesión de SQL Server pertenece al rol de servidor público. Cuando una entidad de seguridad de servidor no se ha concedido ni denegado permisos específicos en un objeto protegible, el usuario hereda los permisos concedidos al público en ese objeto. Esta regla comprueba que se minimizan los permisos de servidor concedidos al público. |
Instancia administrada de SQL |
Los permisos de servidor concedidos al público deben minimizarse para los servidores SQL Server | b58b2914-1aec-4469-ae64-21e0078b1729 |
| VA1282 | Se deben quitar los roles huérfanos | Low | Los roles huérfanos son roles definidos por el usuario que no tienen miembros. Elimine los roles huérfanos, ya que no son necesarios en el sistema. Esta regla comprueba si hay algún rol huérfano. |
Instancia administrada de SQL SQL Database Azure Synapse |
Los roles huérfanos de base de datos deben quitarse de las bases de datos SQL | 7f5bd587-ba14-49ce-801a-f2613ccc3584 |
| VA2020 | Se debe conceder al conjunto mínimo de entidades de seguridad permisos con ámbito de base de datos ALTER o ALTER ANY USER. | High | Cada protegible de SQL Server tiene permisos asociados a él que se pueden conceder a las entidades de seguridad. Los permisos se pueden definir en el nivel de servidor (asignados a inicios de sesión y roles de servidor) o en el nivel de base de datos (asignados a usuarios de base de datos y roles de base de datos). Estas reglas comprueban que solo se concede a un conjunto mínimo de entidades de seguridad permisos de ámbito de base de datos ALTER o ALTER ANY USER. |
Instancia administrada de SQL SQL Database Azure Synapse |
Se debe conceder al conjunto mínimo de entidades de seguridad permisos de ámbito de base de datos ALTER o ALTER ANY USER en bases de datos SQL | 08c9b451-08a5-418d-9d2c-fc75197aab44 |
| VA2033 | Se debe conceder al conjunto mínimo de entidades de seguridad permiso EXECUTE con ámbito de base de datos en objetos o columnas. | Low | Esta regla comprueba qué entidades de seguridad se conceden al permiso EXECUTE en objetos o columnas para asegurarse de que este permiso se concede a un conjunto mínimo de entidades de seguridad. Cada protegible de SQL Server tiene permisos asociados a él que se pueden conceder a las entidades de seguridad. Los permisos se pueden definir en el nivel de servidor (asignados a inicios de sesión y roles de servidor) o en el nivel de base de datos (asignados a usuarios de base de datos, roles de base de datos o roles de aplicación). El permiso EXECUTE se aplica a los procedimientos almacenados y a las funciones escalares, que se pueden usar en columnas calculadas. |
Instancia administrada de SQL SQL Database Azure Synapse |
Se debe conceder al conjunto mínimo de entidades de seguridad permiso EXECUTE en objetos o columnas de bases de datos SQL | 3bee4ca7-e768-497f-ac60-032225a93ff2 |
| VA2103 | Se deben revocar permisos de ejecución innecesarios en procedimientos almacenados extendidos | Mediana | Los procedimientos almacenados extendidos son archivos DLL que una instancia de SQL Server puede cargar y ejecutar dinámicamente. SQL Server se empaqueta con muchos procedimientos almacenados extendidos que permiten la interacción con los archivos DLL del sistema. Esta regla comprueba que se han revocado los permisos de ejecución innecesarios en procedimientos almacenados extendidos. |
Instancia administrada de SQL |
Se deben revocar permisos de ejecución innecesarios en procedimientos almacenados extendidos para servidores SQL Server | 0262e851-d99b-4299-bacc-136c92941541 |
| VA2107 | El conjunto mínimo de entidades de seguridad debe ser miembros de roles fijos de base de datos maestra de Azure SQL DB | High | SQL Database proporciona dos roles administrativos restringidos en la base de datos maestra a la que se pueden agregar cuentas de usuario que conceden permisos para crear bases de datos o administrar inicios de sesión. Esta regla comprueba que un conjunto mínimo de entidades de seguridad son miembros de estos roles administrativos. |
Azure Synapse |
El conjunto mínimo de entidades de seguridad debe ser miembros de roles fijos de base de datos maestras de Azure SQL Database | a4ca5495-f5ad-4d4d-807b-e8f62541ee34 |
| VA2108 | El conjunto mínimo de entidades de seguridad debe ser miembros de roles fijos de base de datos de alto impacto | High | SQL Server proporciona roles para ayudar a administrar los permisos. Los roles son entidades de seguridad que agrupan otras entidades de seguridad. Los roles de nivel de base de datos están en toda la base de datos en su ámbito de permisos. Esta regla comprueba que un conjunto mínimo de entidades de seguridad son miembros de los roles fijos de base de datos. |
Instancia administrada de SQL SQL Database Azure Synapse |
El conjunto mínimo de entidades de seguridad debe ser miembros de roles fijos de base de datos de alto impacto en bases de datos SQL | 7a0a58ed-8927-4e8d-80c3-59279fa44aa0 |
| VA2109 | El conjunto mínimo de entidades de seguridad debe ser miembros de roles fijos de base de datos de bajo impacto | Low | SQL Server proporciona roles para ayudar a administrar los permisos. Los roles son entidades de seguridad que agrupan otras entidades de seguridad. Los roles de nivel de base de datos están en toda la base de datos en su ámbito de permisos. Esta regla comprueba que un conjunto mínimo de entidades de seguridad son miembros de los roles fijos de base de datos. |
Instancia administrada de SQL SQL Database Azure Synapse |
El conjunto mínimo de entidades de seguridad debe ser miembros de roles fijos de base de datos de bajo impacto en bases de datos SQL | 267df805-7fa4-415f-8b2e-08deefdb5e1b |
| VA2110 | Se deben revocar los permisos de ejecución para acceder al Registro. | High | Los procedimientos almacenados extendidos del Registro permiten a Microsoft SQL Server leer y enumerar valores y claves en el Registro. Enterprise Manager las usa para configurar el servidor. Esta regla comprueba que los permisos para ejecutar procedimientos almacenados extendidos del Registro se han revocado de todos los usuarios (excepto dbo). |
Instancia administrada de SQL |
Los permisos de ejecución para acceder al registro deben estar restringidos para los servidores SQL Server. | b66a88e5-8c46-47f2-9107-5ed84da7270f |
| VA2113 | Los permisos de Servicios de transformación de datos (DTS) solo se deben conceder a los roles de SSIS. | Mediana | Data Transformation Services (DTS), es un conjunto de objetos y utilidades que permiten la automatización de las operaciones de extracción, transformación y carga en una base de datos o desde ella. Los objetos son paquetes DTS y sus componentes, y las utilidades se denominan herramientas dtS. Esta regla comprueba que solo se conceden permisos a los roles SSIS para usar los procedimientos almacenados del sistema DTS y los permisos para que el rol PÚBLICO use los procedimientos almacenados del sistema DTS se han revocado. |
Instancia administrada de SQL |
Los permisos de Servicios de transformación de datos (DTS) solo deben concederse a roles SSIS en la base de datos SQL de MSDB | 0d9a8166-01b2-434c-9791-c589b119eea8 |
| VA2114 | El conjunto mínimo de entidades de seguridad debe ser miembros de roles fijos de servidor de alto impacto | High | SQL Server proporciona roles para ayudar a administrar los permisos. Los roles son entidades de seguridad que agrupan otras entidades de seguridad. Los roles de nivel de servidor están en todo el servidor en su ámbito de permisos. Esta regla comprueba que un conjunto mínimo de entidades de seguridad son miembros de los roles fijos de servidor. |
Instancia administrada de SQL |
El conjunto mínimo de entidades de seguridad debe ser miembros de roles fijos de servidor para servidores SQL Server | d8cfa23e-9485-44a4-831e-757c71e48988 |
| VA2129 | Los cambios en los módulos firmados deben autorizarse | High | Puede firmar un procedimiento almacenado, una función o un desencadenador con un certificado o una clave asimétrica. Esto está diseñado para escenarios en los que los permisos no se pueden heredar a través del encadenamiento de propiedad o cuando se interrumpe la cadena de propiedad, como SQL dinámico. Esta regla comprueba si se realizan cambios en los módulos firmados, lo que podría ser una indicación de uso malintencionado. |
SQL Database Instancia administrada de SQL |
Los cambios en los módulos firmados deben autorizarse para las bases de datos SQL | e058e189-97da-4c3b-8361-e7097a93131c |
| VA2130 | Seguimiento de todos los usuarios con acceso a la base de datos | Low | Esta comprobación realiza un seguimiento de todos los usuarios con acceso a una base de datos. Asegúrese de que estos usuarios están autorizados según su rol actual en la organización. |
Azure Synapse |
Realizar un seguimiento de todos los usuarios con acceso a la base de datos de SQL Database | eeed5c32-daff-489c-8307-76035ee85274 |
| VA2201 | Los inicios de sesión de SQL con nombres usados habitualmente deben deshabilitarse | High | Esta regla comprueba las cuentas con el permiso de propietario de la base de datos para los nombres usados habitualmente. La asignación de nombres usados habitualmente a cuentas con permiso de propietario de base de datos aumenta la probabilidad de ataques por fuerza bruta correctos. |
|
Los inicios de sesión de SQL con nombres usados habitualmente deben deshabilitarse para los servidores SQL Server | 467115f4-5145-43a9-93a8-7dbfaa1eedc4 |
Auditoría y registro
| Identificador de la regla | Título de la regla | Gravedad de la regla | Descripción de la regla | Plataforma | Título de la recomendación | Id. de evaluación |
|---|---|---|---|---|---|---|
| VA1045 | El seguimiento predeterminado debe estar habilitado | Mediana | Los seguimientos predeterminados ofrecen ayuda para la solución de problemas a los administradores de bases de datos al garantizar que disponen de los datos de registro necesarios para diagnosticar los problemas la primera vez que ocurren. Esta regla comprueba que el seguimiento predeterminado está habilitado. |
Instancia administrada de SQL |
El seguimiento predeterminado debe estar habilitado para servidores SQL Server | b19610cf-e5f6-4490-83c0-132c9af68e66 |
| VA1091 | Se debe habilitar la auditoría de intentos de inicio de sesión correctos y erróneos (seguimiento predeterminado) cuando se configura "Auditoría de inicio de sesión" para realizar un seguimiento de los inicios de sesión. | Low | La configuración de auditoría de inicio de sesión de SQL Server permite a los administradores realizar un seguimiento de los usuarios que inician sesión en instancias de SQL Server. Si el usuario decide contar con "Auditoría de inicio de sesión" para realizar un seguimiento de los usuarios que inician sesión en instancias de SQL Server, es importante habilitarlo para los intentos de inicio de sesión correctos y erróneos. |
|
Se debe habilitar la auditoría de intentos de inicio de sesión correctos y erróneos (seguimiento predeterminado) cuando se configura "Auditoría de inicio de sesión" para realizar un seguimiento de los inicios de sesión de los servidores SQL Server. | 96dd0622-2d0d-49ad-9042-d92a228b0e1f |
| VA1093 | El número máximo de registros de errores debe ser 12 o más | Low | Cada registro de errores de SQL Server tendrá toda la información relacionada con errores o errores que se han producido desde que SQL Server se reinició por última vez o desde la última vez que ha reciclado los registros de errores. Esta regla comprueba que el número máximo de registros de errores es 12 o más. |
|
El número máximo de registros de errores debe ser 12 o más para los servidores SQL Server. | 31e24118-a540-4b40-bef1-952de1af23cb |
| VA1258 | Los propietarios de bases de datos son los esperados | High | Los propietarios de bases de datos pueden realizar todas las actividades de configuración y mantenimiento de la base de datos y también pueden quitar bases de datos en SQL Server. El seguimiento de los propietarios de bases de datos es importante para evitar tener permisos excesivos para algunas entidades de seguridad. Cree una línea base que defina los propietarios de base de datos esperados para la base de datos. Esta regla comprueba si los propietarios de la base de datos están definidos en la línea base. |
SQL Database Azure Synapse |
Los propietarios de bases de datos deben ser los esperados para las bases de datos SQL | f7fde937-a0b2-47a5-89ae-fcb475df5b82 |
| VA1264 | Se debe habilitar la auditoría de los intentos de inicio de sesión correctos y erróneos. | Low | La configuración de auditoría de SQL Server permite a los administradores realizar un seguimiento de los usuarios que inician sesión en instancias de SQL Server de las que son responsables. Esta regla comprueba que la auditoría está habilitada para los intentos de inicio de sesión correctos y erróneos. |
Instancia administrada de SQL |
La auditoría de los intentos de inicio de sesión correctos y erróneos debe estar habilitado para los servidores SQL Server. | 2b9eafde-304b-471b-8d9a-7a496e40db8 |
| VA1265 | Se debe habilitar la auditoría de intentos de inicio de sesión correctos y erróneos para la autenticación de base de datos independiente. | Mediana | La configuración de auditoría de SQL Server permite a los administradores realizar un seguimiento de los usuarios que inician sesión en instancias de SQL Server de las que son responsables. Esta regla comprueba que la auditoría está habilitada para los intentos de inicio de sesión correctos y erróneos para la autenticación de base de datos independiente. |
Instancia administrada de SQL |
La auditoría de los intentos de inicio de sesión correctos y erróneos para la autenticación de base de datos independiente debe estar habilitada para las bases de datos SQL. | e0710b96-f76a-435f-8e0d-3a18703c19a7 |
| VA1281 | Todas las pertenencias a roles definidos por el usuario deben estar pensadas | Mediana | Los roles definidos por el usuario son entidades de seguridad definidas por el usuario para agrupar entidades de seguridad para administrar fácilmente los permisos. La supervisión de estos roles es importante para evitar tener permisos excesivos. Cree una línea base que defina la pertenencia esperada para cada rol definido por el usuario. Esta regla comprueba si todas las pertenencias a roles definidos por el usuario se definen en la línea base. |
Instancia administrada de SQL SQL Database Azure Synapse |
Todas las pertenencias a roles definidos por el usuario deben estar pensadas en bases de datos SQL | e8b826e1-d31b-4545-8a0c-8f640d4ad5d3 |
| VA1283 | Debe haber al menos 1 auditoría activa en el sistema. | Low | La auditoría de una instancia del motor de base de datos de SQL Server o una base de datos individual implica el seguimiento y el registro de los eventos que se producen en el motor de base de datos. El objeto Audit de SQL Server recopila una única instancia de acciones de nivel de base de datos o servidor y grupos de acciones que se van a supervisar. Esta regla comprueba que hay al menos una auditoría activa en el sistema. |
Instancia administrada de SQL |
Debe haber al menos 1 auditoría activa en el sistema para servidores SQL Server. | c4671054-a31b-4e7e-8393-c62381a933b9 |
| VA2061 | La auditoría debe estar habilitada en el nivel de servidor. | High | La auditoría de Azure SQL Database realiza un seguimiento de los eventos de base de datos y los escribe en un registro de auditoría de la cuenta de Azure Storage. La auditoría le ayuda a comprender la actividad de la base de datos y a obtener información sobre discrepancias y anomalías que podrían indicar problemas empresariales o infracciones de seguridad sospechosas, así como ayudarle a cumplir con el cumplimiento normativo. Para más información, consulte Auditoría de Azure SQL. Esta regla comprueba que la auditoría está habilitada. |
Azure Synapse |
La auditoría debe estar habilitada en el nivel de servidor para los servidores SQL Server. | de1a511e-6ccd-4bf0-8d08-49363b1a1085 |
Protección de datos
| Identificador de la regla | Título de la regla | Gravedad de la regla | Descripción de la regla | Plataforma | Título de la recomendación | Id. de evaluación |
|---|---|---|---|---|---|---|
| VA1098 | Cualquier punto de conexión de SSB o creación de reflejo existente debe requerir una conexión AES. | High | Los puntos de conexión de Service Broker y creación de reflejo admiten distintos algoritmos de cifrado, incluido el sin cifrado. Esta regla comprueba que cualquier punto de conexión existente requiera cifrado AES. |
|
El cifrado AES debe ser necesario para cualquier punto de conexión de creación de reflejo o SSB existente en bases de datos SQL. | e2d0fab5-f6fd-4d2b-8725-5fd15099fd70 |
| VA1219 | Se debe habilitar el cifrado de datos transparente | Mediana | El cifrado de datos transparente (TDE) ayuda a proteger los archivos de base de datos frente a la divulgación de información mediante la realización de cifrado y descifrado en tiempo real de la base de datos, copias de seguridad asociadas y archivos de registro de transacciones "en reposo", sin necesidad de cambios en la aplicación. Esta regla comprueba que TDE está habilitado en la base de datos. |
Instancia administrada de SQL SQL Database Azure Synapse |
El cifrado de datos transparente debe estar habilitado para bases de datos SQL | aede6ed5-32a2-489f-94b1-85767847b595 |
| VA1220 | La comunicación de la base de datos mediante TDS debe protegerse a través de TLS | High | Microsoft SQL Server puede usar capa de sockets seguros (SSL) o seguridad de la capa de transporte (TLS) para cifrar los datos que se transmiten a través de una red entre una instancia de SQL Server y una aplicación cliente. Esta regla comprueba que todas las conexiones a SQL Server se cifran a través de TLS. |
Instancia administrada de SQL |
La comunicación de base de datos mediante TDS debe protegerse a través de TLS para servidores SQL Server | b13ff618-06ab-4cd4-a181-9d56eb6dc76a |
| VA1221 | Las claves simétricas de cifrado de base de datos deben usar el algoritmo AES | High | SQL Server usa claves de cifrado para ayudar a proteger las credenciales de datos y la información de conexión almacenada en una base de datos de servidor. SQL Server tiene dos tipos de claves: simétricas y asimétricas. Esta regla comprueba que las claves simétricas de cifrado de base de datos usan el algoritmo AES. |
Instancia administrada de SQL SQL Database Azure Synapse |
Las claves simétricas de cifrado de base de datos deben usar el algoritmo AES en bases de datos SQL | df777b52-0d5e-434b-953a-0285f83478c7 |
| VA12222 | Cell-Level Las claves de cifrado deben usar el algoritmo AES | High | Cell-Level Cifrado (CLE) permite cifrar los datos mediante claves simétricas y asimétricas. Esta regla comprueba que Cell-Level claves simétricas de cifrado usan el algoritmo AES. |
Instancia administrada de SQL |
Cell-Level Claves de cifrado deben usar el algoritmo AES en bases de datos SQL | b3d7132d-1fe7-4408-91ae-dc3a188bfd26 |
| VA1223 | Las claves de certificado deben usar al menos 2048 bits | High | Las claves de certificado se usan en RSA y otros algoritmos de cifrado para proteger los datos. Estas claves deben tener una longitud suficiente para proteger los datos del usuario. Esta regla comprueba que la longitud de la clave sea de al menos 2048 bits para todos los certificados. |
Instancia administrada de SQL SQL Database Azure Synapse |
Las claves de certificado deben usar al menos 2048 bits para bases de datos SQL | 1a56a8c1-e013-49d0-8295-e60407730b94 |
| VA1224 | La longitud de las claves asimétricas debe ser de al menos 2048 bits | High | Las claves asimétricas de base de datos se usan en muchos algoritmos de cifrado, estas claves deben tener una longitud suficiente para proteger los datos cifrados que comprueba que todas las claves asimétricas almacenadas en la base de datos tengan una longitud de al menos 2048 bits. |
SQL Database |
La longitud de las claves asimétricas debe ser de al menos 2048 bits en bases de datos SQL. | becd2bef-27ac-4d8b-8e2a-73dfbfc7a4f5 |
| VA1279 | Se debe habilitar el cifrado forzado para TDS | High | Cuando la opción Forzar cifrado para el motor de base de datos está habilitada, todas las comunicaciones entre el cliente y el servidor se cifran independientemente de si la opción "Cifrar conexión" (por ejemplo, desde SSMS) está activada o no. Esta regla comprueba que la opción Forzar cifrado está habilitada. |
|
Se debe habilitar el cifrado forzado para TDS para servidores SQL Server | 5765385f-4da2-4a26-a89e-7cf66a14ad8d |
| VA2060 | La detección de amenazas de SQL debe estar habilitada en el nivel de servidor. | Mediana | La detección de amenazas de SQL proporciona una capa de seguridad que detecta posibles vulnerabilidades y actividad anómala en bases de datos, como ataques por inyección de CÓDIGO SQL y patrones de comportamiento inusuales. Cuando se detecta una posible amenaza, la detección de amenazas envía una alerta en tiempo real accionable por correo electrónico y en Microsoft Defender for Cloud, que incluye pasos claros de investigación y corrección para la amenaza específica. Para obtener más información, consulte Configuración de la detección de amenazas. Esta comprobación comprueba que la detección de amenazas de SQL está habilitada. | Instancia administrada de SQL SQL Database Azure Synapse |
La detección de amenazas de SQL debe estar habilitada en el nivel de SQL Server. | 207ea640-5acf-49ad-92b4-8df60e793fef |
Actualizaciones y revisiones de instalación
| Identificador de la regla | Título de la regla | Gravedad de la regla | Descripción de la regla | Plataforma | Título de la recomendación | Id. de evaluación |
|---|---|---|---|---|---|---|
| VA1018 | Se deben instalar las actualizaciones más recientes | High | Microsoft publica periódicamente actualizaciones acumulativas (RU) para cada versión de SQL Server. Esta regla comprueba si se ha instalado la cu más reciente para la versión concreta de SQL Server que se usa, pasando una cadena para su ejecución. Esta regla comprueba que todos los usuarios (excepto dbo) no tengan permiso para ejecutar el procedimiento almacenado extendido xp_cmdshell. |
SQL Server 2017 SQL Server 2019 SQL Server 2022 |
Las actualizaciones más recientes deben instalarse para servidores SQL Server | fb8ee986-4557-4bb6-9bf7-626abdaa1b72 |
| VA2128 | No se admite la evaluación de vulnerabilidades para las versiones de SQL Server inferiores a SQL Server 2012 | High | Para ejecutar un examen de evaluación de vulnerabilidades en SQL Server, el servidor debe actualizarse a SQL Server 2012 o posterior, SQL Server 2008 R2 y versiones posteriores ya no son compatibles con Microsoft. Para obtener más información, consulte |
Instancia administrada de SQL SQL Database Azure Synapse |
La evaluación de vulnerabilidades debe configurarse solo en SQL Server 2012 y versiones posteriores. | 82735d78-e25e-4dc1-bf02-11136003cd69 |
Reducción de área expuesta
| Id. de regla | Título de regla | Gravedad de la regla | Descripción de la regla | Plataforma | Título de la recomendación | Id. de evaluación |
|---|---|---|---|---|---|---|
| VA1022 | Las consultas distribuidas ad hoc deben deshabilitarse | Mediano | Las consultas distribuidas ad hoc utilizan las funciones OPENROWSET y OPENDATASOURCE para conectarse a los orígenes de datos remotos que utilizan OLE DB. Esta regla comprueba que las consultas distribuidas ad hoc están deshabilitadas. |
|
Las consultas distribuidas ad hoc deben deshabilitarse para servidores SQL Server | 5ab112c3-4d3e-42b6-b6dc-562564052b65 |
| VA1023 | CLR debe estar deshabilitado | High | CLR permite que el código administrado se hospede y se ejecute en el entorno de Microsoft SQL Server. Esta regla comprueba que CLR está deshabilitado. |
|
CLR debe estar deshabilitado para servidores SQL Server | 1c0d864f-aa29-4459-afa5-809f49380b3b |
| VA1026 | CLR debe estar deshabilitado | Mediano | CLR permite que el código administrado se hospede y se ejecute en el entorno de Microsoft SQL Server. CLR strict security trata SAFE y EXTERNAL_ACCESS ensamblados como si estuvieran marcados como UNSAFE y requiere que todos los ensamblados estén firmados por un certificado o una clave asimétrica con un inicio de sesión correspondiente al que se haya concedido el permiso UNSAFE ASSEMBLY en la base de datos maestra. Esta regla comprueba que CLR está deshabilitado. |
Instancia administrada de SQL |
CLR debe estar deshabilitado para servidores SQL Server | ee9b8a8c-2db6-4584-87a5-8567784b4733 |
| VA1027 | Los ensamblados de confianza sin seguimiento deben quitarse | High | Los ensamblados marcados como UNSAFE deben estar firmados por un certificado o una clave asimétrica con un inicio de sesión correspondiente al que se ha concedido permiso UNSAFE ASSEMBLY en la base de datos maestra. Los ensamblados de confianza podrían omitir este requisito. |
Instancia administrada de SQL |
Los ensamblados de confianza no seguidos deben quitarse para los servidores SQL Server | 04cd2847-1ef5-4f97-be26-9907e3a4b08d |
| VA1044 | Las conexiones de administrador remoto deben deshabilitarse a menos que sea necesario específicamente | Mediano | Esta regla comprueba que las conexiones de administrador dedicadas remotas están deshabilitadas si no se usan para la agrupación en clústeres para reducir el área expuesta a ataques. SQL Server ofrece una conexión de administrador dedicada (DAC). La DAC permite a un administrador acceder a un servidor en ejecución para ejecutar funciones de diagnóstico o instrucciones Transact-SQL, o para solucionar problemas en el servidor y se convierte en un destino atractivo para atacar cuando está habilitado de forma remota. |
Instancia administrada de SQL |
Las conexiones de administrador remoto deben deshabilitarse a menos que sea necesario específicamente para las bases de datos SQL | 5b979ba8-b33f-40a6-88f0-aa05f90fbf1f |
| VA1051 | AUTO_CLOSE debe deshabilitarse en todas las bases de datos | Mediano | La opción AUTO_CLOSE especifica si la base de datos se cierra correctamente y libera recursos después de que el último usuario se desconecte. Independientemente de sus ventajas, puede provocar la denegación de servicio abriendo y cerrando la base de datos de forma agresiva, por lo que es importante mantener deshabilitada esta característica. Esta regla comprueba que esta opción está deshabilitada en la base de datos actual. |
|
AUTO_CLOSE debe deshabilitarse para bases de datos SQL | f5b406da-9b07-4ea5-931e-a15194a61fcf |
| VA1066 | Se deben quitar los puntos de conexión de Service Broker sin usar. | Bajo | Service Broker proporciona puesta en cola y mensajería confiable para SQL Server. Service Broker se usa tanto para aplicaciones que usan una sola instancia de SQL Server como para aplicaciones que distribuyen el trabajo entre varias instancias. Los puntos de conexión de Service Broker proporcionan opciones para la seguridad de transporte y el reenvío de mensajes. Esta regla enumera todos los puntos de conexión de Service Broker. Quite los que no se usan. |
|
Los puntos de conexión de Service Broker sin usar deben quitarse para los servidores SQL Server | 76052b85-52f4-4a0f-9f14-ad8e78426578 |
| VA1071 | La opción "Buscar procedimientos almacenados de inicio" debe estar deshabilitada | Mediano | Cuando "Buscar procedimientos de inicio" está habilitado, SQL Server busca y ejecuta todos los procedimientos almacenados definidos automáticamente en el servidor. Si esta opción está habilitada, SQL Server busca y ejecuta todos los procedimientos almacenados definidos automáticamente en el servidor. Esta regla comprueba que esta opción está deshabilitada. |
|
La opción "Examen de procedimientos almacenados de inicio" debe deshabilitarse para servidores SQL Server | 3f03bcc2-d66c-4b12-b3bc-406b2cfe3cd5 |
| VA1092 | El servicio SQL Server Browser no debe anunciar la instancia de SQL Server | Bajo | SQL Server utiliza el servicio SQL Server Browser para enumerar las instancias del Motor de base de datos instaladas en el equipo. Esto permite a las aplicaciones cliente buscar un servidor y ayuda a los clientes a distinguir entre varias instancias del motor de base de datos en el mismo equipo. Esta regla comprueba que la instancia de SQL está oculta. |
|
El servicio SQL Server Browser no debe anunciar la instancia de SQL Server para servidores SQL Server | 0fccb942-d1e9-47c7-87cd-c98bcfd8e339 |
| VA1102 | El bit De confianza debe deshabilitarse en todas las bases de datos, excepto MSDB. | High | La propiedad de base de datos TRUSTWORTHY se usa para indicar si la instancia de SQL Server confía en la base de datos y en el contenido de ella. Si esta opción está habilitada para módulos de base de datos (por ejemplo, funciones definidas por el usuario o procedimientos almacenados) que usan un contexto de suplantación puede acceder a recursos fuera de la base de datos. Esta regla comprueba que el bit TRUSTWORTHY está deshabilitado en todas las bases de datos, excepto MSDB. |
Instancia administrada de SQL |
El bit De confianza debe deshabilitarse en todas las bases de datos, excepto MSDB para bases de datos SQL. | 4711c18c-eac4-488d-a9dd-91e0286df063 |
| VA1143 | El usuario "dbo" no debe usarse para la operación de servicio normal | Mediano | El propietario de la base de datos "dbo" o es una cuenta de usuario que tiene permisos implícitos para realizar todas las actividades de la base de datos. Los miembros del rol fijo de servidor sysadmin se asignan automáticamente a dbo. Esta regla comprueba que dbo no es la única cuenta que tiene permiso para acceder a esta base de datos. Tenga en cuenta que, en una base de datos limpia recién creada, esta regla producirá un error hasta que se creen roles adicionales. |
Instancia administrada de SQL SQL Database Azure Synapse |
El usuario "dbo" no debe usarse para el funcionamiento normal del servicio en bases de datos SQL | 211f976f-cac2-4e3d-8d79-744a85eedc92 |
| VA1144 | La base de datos del modelo solo debe ser accesible por "dbo". | Mediano | La base de datos Modelo se usa como plantilla para todas las bases de datos creadas en la instancia de SQL Server. Las modificaciones realizadas en la base de datos modelo, como el modelo de recuperación del tamaño de la base de datos y otras opciones de base de datos, se aplican a las bases de datos creadas posteriormente. Esta regla comprueba que dbo es la única cuenta con permiso para acceder a la base de datos del modelo. |
Instancia administrada de SQL |
Solo "dbo" debe tener acceso a La base de datos SQL del modelo | 27f8f855-c834-4611-be7c-d8f443cf17ce |
| VA1230 | La secuencia de archivos debe estar deshabilitada | High | FILESTREAM integra el motor de base de datos de SQL Server con un sistema de archivos NTFS almacenando datos de objetos binarios grandes (BLOB) varbinary (max) como archivos en el sistema de archivos. Las instrucciones Transact-SQL pueden insertar, actualizar, consultar, buscar y realizar copias de seguridad de los datos de FILESTREAM. Al habilitar Filestream en SQL Server se expone una API de streaming NTFS adicional, lo que aumenta su superficie expuesta a ataques y hace que sea propenso a ataques malintencionados. Esta regla comprueba que Filestream está deshabilitado. |
|
La secuencia de archivos debe deshabilitarse para servidores SQL Server | fe3db657-719e-4134-9de4-e9110e67d23f |
| VA1235 | La configuración del servidor "XPs de replicación" debe estar deshabilitada | Mediano | Deshabilite la configuración del servidor en desuso "XPs de replicación" para limitar el área expuesta a ataques. Se trata de un valor de configuración solo interno. |
Instancia administrada de SQL |
La configuración del servidor "XPs de replicación" debe deshabilitarse para los servidores SQL Server | 848680cd-73d9-4a5f-8f02-b58b32c00f96 |
| VA1244 | Los usuarios huérfanos deben quitarse de las bases de datos de SQL Server. | Mediano | Un usuario de base de datos que existe en una base de datos pero no tiene ningún inicio de sesión correspondiente en la base de datos maestra o como un recurso externo (por ejemplo, un usuario de Windows) se conoce como un usuario huérfano y se debe quitar o reasignar a un inicio de sesión válido. Esta regla comprueba que no haya usuarios huérfanos. |
Instancia administrada de SQL |
Los usuarios huérfanos deben quitarse de las bases de datos de SQL Server. | d2f665b3-3cb5-460e-8d52-eb92a57067aa |
| VA1245 | La información de dbo debe ser coherente entre la base de datos de destino y la base de datos maestra. | High | Hay información redundante sobre la identidad dbo para cualquier base de datos: metadatos almacenados en la propia base de datos y metadatos almacenados en la base de datos maestra. Esta regla comprueba que esta información sea coherente entre la base de datos de destino y el patrón. |
Instancia administrada de SQL |
La información del propietario de la base de datos de la base de datos debe coincidir con la información correspondiente del propietario de la base de datos en la base de datos maestra para las bases de datos SQL. | ff38d4d1-f98b-4f49-b096-e40ad8898b01 |
| VA1247 | No debe haber ningún SP marcado como inicio automático. | High | Cuando SQL Server se haya configurado para "buscar procedimientos de inicio", el servidor examinará la base de datos maestra para los procedimientos almacenados marcados como inicio automático. Esta regla comprueba que no haya ningún SP marcado como inicio automático. |
|
No debe haber ningún SP marcado como inicio automático para los servidores SQL Server. | 7c009298-050f-4ec6-b9ec-2f7761ed031f |
| VA1256 | Los ensamblados CLR de usuario no deben definirse en la base de datos | High | Los ensamblados CLR se pueden usar para ejecutar código arbitrario en el proceso de SQL Server. Esta regla comprueba que no haya ensamblados CLR definidos por el usuario en la base de datos. |
Instancia administrada de SQL |
Los ensamblados CLR de usuario no deben definirse en bases de datos SQL | e34cd505-f157-4dce-84d8-5d38dfb2cb6f |
| VA1277 | El cifrado de red de Polybase debe estar habilitado | High | PolyBase es una tecnología que accede y combina datos no relacionales y relacionales desde SQL Server. La opción de cifrado de red polybase configura SQL Server para cifrar los canales de control y de datos al usar Polybase. Esta regla comprueba que esta opción está habilitada. |
|
El cifrado de red de Polybase debe estar habilitado para bases de datos SQL | 6ef039e5-8219-4d20-ab60-7f5c3bad95de |
| VA1278 | Creación de una línea base de proveedores de administración de claves externas | Mediano | La administración extensible de claves (EKM) de SQL Server permite que los proveedores de módulos de seguridad de hardware (HSM) de terceros registren sus módulos en SQL Server. Cuando los usuarios registrados de SQL Server pueden usar las claves de cifrado almacenadas en módulos EKM, esta regla muestra una lista de proveedores de EKM que se usan en el sistema. |
Instancia administrada de SQL |
Creación de una línea de base de proveedores de administración de claves externas para servidores SQL Server | b8a39ba4-f129-4656-a089-27ff4c5361d6 |
| VA2062 | Las reglas de firewall de nivel de base de datos no deben conceder acceso excesivo | High | El firewall de nivel de Base de datos de Azure SQL ayuda a proteger los datos evitando todo el acceso a la base de datos hasta especificar qué direcciones IP tienen permiso. Las reglas de firewall de nivel de base de datos conceden acceso a la base de datos específica en función de la dirección IP de origen de cada solicitud. Las reglas de firewall de nivel de base de datos para las bases de datos maestras y de usuario solo se pueden crear y administrar mediante Transact-SQL (a diferencia de las reglas de firewall de nivel de servidor, que también se pueden crear y administrar mediante Azure Portal o PowerShell). Para más información, consulte Reglas de firewall de IP de Azure SQL Database y Azure Synapse Analytics. Esta comprobación comprueba que las reglas de firewall de nivel de base de datos no conceden acceso a más de 255 direcciones IP. |
Azure Synapse |
Las reglas de firewall de nivel de base de datos no deben conceder acceso excesivo a servidores SQL Server | 2caca086-d941-413f-90ef-d8a593c8b900 |
| VA2063 | Las reglas de firewall de nivel de servidor no deben conceder acceso excesivo | High | El firewall de nivel de servidor de Azure SQL ayuda a proteger el servidor evitando todo el acceso a las bases de datos hasta especificar qué direcciones IP tienen permiso. Las reglas de firewall de nivel de servidor conceden acceso a todas las bases de datos que pertenecen al servidor en función de la dirección IP de origen de cada solicitud. Las reglas de firewall de nivel de servidor solo se pueden crear y administrar a través de Transact-SQL, así como a través de Azure Portal o PowerShell. Para más información, consulte Reglas de firewall de IP de Azure SQL Database y Azure Synapse Analytics. Esta comprobación comprueba que las reglas de firewall de nivel de servidor no conceden acceso a más de 255 direcciones IP. |
Azure Synapse |
Las reglas de firewall de nivel de servidor no deben conceder acceso excesivo a servidores SQL Server | 0412d153-1963-4d9d-866b-5fe0c61c2a05 |
| VA2064 | Se debe realizar un seguimiento de las reglas de firewall de nivel de base de datos y mantenerlas como mínimo estrictas | High | El firewall de nivel de Base de datos de Azure SQL ayuda a proteger los datos evitando todo el acceso a la base de datos hasta especificar qué direcciones IP tienen permiso. Las reglas de firewall de nivel de base de datos conceden acceso a la base de datos específica en función de la dirección IP de origen de cada solicitud. Las reglas de firewall de nivel de base de datos para las bases de datos maestras y de usuario solo se pueden crear y administrar mediante Transact-SQL (a diferencia de las reglas de firewall de nivel de servidor, que también se pueden crear y administrar mediante Azure Portal o PowerShell). Para más información, consulte Reglas de firewall de IP de Azure SQL Database y Azure Synapse Analytics. Esta comprobación enumera todas las reglas de firewall de nivel de base de datos para que se puedan identificar y solucionar los cambios realizados en ellas. |
Azure Synapse |
Se debe realizar un seguimiento de las reglas de firewall de nivel de base de datos y mantenerse con un mínimo estricto para los servidores SQL Server. | a0f95121-3aa8-40da-a803-d7dda3e53dee |
| VA2065 | Se debe realizar un seguimiento de las reglas de firewall de nivel de servidor y mantenerlas como mínimo estrictas | High | El firewall de nivel de servidor de Azure SQL ayuda a proteger los datos evitando todo el acceso a las bases de datos hasta especificar qué direcciones IP tienen permiso. Las reglas de firewall de nivel de servidor conceden acceso a todas las bases de datos que pertenecen al servidor en función de la dirección IP de origen de cada solicitud. Las reglas de firewall de nivel de servidor se pueden crear y administrar mediante Transact-SQL, así como a través de Azure Portal o PowerShell. Para más información, consulte Reglas de firewall de IP de Azure SQL Database y Azure Synapse Analytics. Esta comprobación enumera todas las reglas de firewall de nivel de servidor para que se puedan identificar y solucionar los cambios realizados en ellas. |
Azure Synapse |
Se debe realizar un seguimiento de las reglas de firewall de nivel de servidor y mantenerse con un mínimo estricto en los servidores SQL Server. | 8bde1a6b-a583-4a91-b1b5-0366e605cdf4 |
| VA2111 | Las bases de datos de ejemplo deben quitarse | Bajo | Microsoft SQL Server incluye varias bases de datos de ejemplo. Esta regla comprueba si se han quitado las bases de datos de ejemplo. |
Instancia administrada de SQL |
Las bases de datos de ejemplo deben quitarse para servidores SQL Server | aca36760-8cab-4b04-84d8-9826757bb3ca |
| VA2120 | Las características que pueden afectar a la seguridad deben deshabilitarse | High | SQL Server es capaz de proporcionar una amplia gama de características y servicios. Es posible que algunas de las características y servicios proporcionados de forma predeterminada no sean necesarias y habilitarlas podrían afectar negativamente a la seguridad del sistema. Esta regla comprueba que estas características están deshabilitadas. |
Instancia administrada de SQL |
Las características que pueden afectar a la seguridad deben deshabilitarse para los servidores SQL Server | 611c613b-cb84-4e67-8bb3-1e9dc43d7783 |
| VA2121 | La característica "Procedimientos de automatización OLE" debe deshabilitarse | High | SQL Server es capaz de proporcionar una amplia gama de características y servicios. Es posible que algunas de las características y servicios proporcionados de forma predeterminada no sean necesarias y habilitarlas podrían afectar negativamente a la seguridad del sistema. La opción Procedimientos de automatización OLE controla si se pueden crear instancias de objetos de automatización OLE dentro de Transact-SQL lotes. Estos son procedimientos almacenados extendidos que permiten a los usuarios de SQL Server ejecutar funciones externas a SQL Server. Independientemente de sus ventajas, también se puede usar para vulnerabilidades de seguridad, y se conoce como un mecanismo popular para plantar archivos en las máquinas de destino. Se recomienda usar PowerShell como reemplazo de esta herramienta. Esta regla comprueba que la característica "Procedimientos de automatización OLE" está deshabilitada. |
Instancia administrada de SQL |
La característica "Procedimientos de automatización OLE" debe deshabilitarse para servidores SQL Server | eaafd365-6eb2-4e02-90b4-43e0f0a86638 |
| VA2122 | La característica "Opciones de usuario" debe deshabilitarse | Mediano | SQL Server es capaz de proporcionar una amplia gama de características y servicios. Es posible que algunas de las características y servicios proporcionados de forma predeterminada no sean necesarias y habilitarlas podrían afectar negativamente a la seguridad del sistema. Las opciones de usuario especifican valores predeterminados globales para todos los usuarios. Hay establecida una lista de opciones de procesamiento de consultas predeterminadas para la duración de la sesión de trabajo de un usuario. Las opciones de usuario permiten cambiar los valores predeterminados de las opciones SET (si la configuración predeterminada del servidor no es adecuada). Esta regla comprueba que la característica "opciones de usuario" está deshabilitada. |
Instancia administrada de SQL |
La característica "Opciones de usuario" debe deshabilitarse para servidores SQL Server | 927e9d4f-3f7c-495c-9d69-05cd47ee0369 |
| VA2126 | Las características de extensibilidad que podrían afectar a la seguridad deben deshabilitarse si no es necesario. | Mediano | SQL Server proporciona una amplia gama de características y servicios. Es posible que algunas de las características y servicios proporcionados de forma predeterminada no sean necesarias y habilitarlas podrían afectar negativamente a la seguridad del sistema. Esta regla comprueba que las configuraciones que permiten la extracción de datos en un origen de datos externo y la ejecución de scripts con determinadas extensiones de lenguaje remoto están deshabilitadas. |
|
Las características de extensibilidad que pueden afectar a la seguridad deben deshabilitarse si no es necesario para los servidores SQL Server. | 199a4141-7a0f-4d06-8eac-12431a6655ea |
Reglas eliminadas
| Identificador de la regla | Título de la regla |
|---|---|
| VA1021 | Se deben quitar procedimientos almacenados temporales globales |
| VA1024 | El modo de auditoría de C2 debe estar habilitado |
| VA1069 | Los permisos para seleccionar entre tablas y vistas del sistema deben revocarse desde administradores que no sean sysadmins |
| VA1090 | Asegúrese de que todos los procedimientos almacenados personalizados (GOTS) y del gobierno estén cifrados |
| VA1103 | Usar solo CLR con permiso de SAFE_ACCESS |
| VA1229 | La configuración de filestream en el Registro y en la configuración de SQL Server debe coincidir |
| VA1231 | Filestream debe deshabilitarse (SQL) |
| VA1234 | La configuración criterios comunes debe estar habilitada |
| VA1252 | Lista de eventos que se auditan y administran centralmente a través de especificaciones de auditoría de servidor. |
| VA1253 | Lista de eventos con ámbito de base de datos que se auditan y administran centralmente mediante especificaciones de auditoría de servidor |
| VA1263 | Enumerar todas las auditorías activas en el sistema |
| VA1266 | La opción "MUST_CHANGE" debe establecerse en todos los inicios de sesión de SQL. |
| VA1276 | La característica XPs del agente debe estar deshabilitada |
| VA1286 | Los permisos de base de datos no se deben conceder directamente a las entidades de seguridad (OBJECT o COLUMN) |
| VA2000 | Se debe conceder a un conjunto mínimo de entidades de seguridad permisos de ámbito de base de datos de alto impacto |
| VA2001 | Se debe conceder a un conjunto mínimo de entidades de seguridad permisos de ámbito de base de datos de alto impacto en objetos o columnas |
| VA2002 | Se debe conceder al conjunto mínimo de entidades de seguridad permisos de ámbito de base de datos de alto impacto en varios elementos protegibles. |
| VA2010 | Se debe conceder un conjunto mínimo de entidades de seguridad de impacto medio a los permisos con ámbito de base de datos |
| VA2021 | Se debe conceder al conjunto mínimo de entidades de seguridad permisos ALTER con ámbito de base de datos en objetos o columnas |
| VA2022 | Se debe conceder al conjunto mínimo de entidades de seguridad el permiso ALTER con ámbito de base de datos en varios elementos protegibles. |
| VA2030 | Se debe conceder al conjunto mínimo de entidades de seguridad permisos SELECT o EXECUTE con ámbito de base de datos |
| VA2031 | Se debe conceder un conjunto mínimo de entidades de seguridad a SELECT con ámbito de base de datos |
| VA2032 | Se debe conceder al conjunto mínimo de entidades de seguridad permisos SELECT o EXECUTE de ámbito de base de datos en el esquema. |
| VA2034 | Se debe conceder al conjunto mínimo de entidades de seguridad permiso EXECUTE con ámbito de base de datos en la colección de esquemas XML. |
| VA2040 | Se debe conceder permisos de ámbito de base de datos de bajo impacto a un conjunto mínimo de entidades de seguridad |
| VA2041 | Se debe conceder a un conjunto mínimo de entidades de seguridad permisos con ámbito de base de datos de bajo impacto en objetos o columnas |
| VA2042 | Se debe conceder a un conjunto mínimo de entidades de seguridad permisos con ámbito de base de datos de bajo impacto en el esquema |
| VA2050 | Se debe conceder al conjunto mínimo de entidades de seguridad permisos VIEW DEFINITION con ámbito de base de datos |
| VA2051 | Se debe conceder al conjunto mínimo de entidades de seguridad permisos VIEW DEFINITION con ámbito de base de datos en objetos o columnas |
| VA2052 | Se debe conceder al conjunto mínimo de entidades de seguridad el permiso VIEW DEFINITION con ámbito de base de datos en varios elementos protegibles. |
| VA2100 | Se debe conceder a un conjunto mínimo de entidades de seguridad permisos de ámbito de servidor de alto impacto |
| VA2101 | Se debe conceder a un conjunto mínimo de entidades de seguridad permisos de ámbito de servidor de impacto medio |
| VA2102 | Se debe conceder a un conjunto mínimo de entidades de seguridad permisos con ámbito de servidor de bajo impacto |
| VA2104 | Los permisos de ejecución en procedimientos almacenados extendidos deben revocarse de PUBLIC |
| VA2105 | No se debe adivinar fácilmente la contraseña de inicio de sesión |
| VA2112 | Se deben revocar los permisos de PUBLIC para Servicios de transformación de datos (DTS) |
| VA2115 | El conjunto mínimo de entidades de seguridad debe ser miembros de roles fijos de servidor de impacto medio |
| VA2123 | La característica "Acceso remoto" debe estar deshabilitada |
| VA2127 | La característica "Scripts externos" debe deshabilitarse |