Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk felsorolja azokat a beépített szabályokat, amelyek a biztonsági rések megjelölésére és az ajánlott eljárásoktól való eltérések, például a helytelen konfigurációk és a túlzott engedélyek kiemelésére szolgálnak. A szabályok a Microsoft ajánlott eljárásain alapulnak, és azokra a biztonsági problémákra összpontosítanak, amelyek az adatbázist és értékes adatait érintő legnagyobb kockázatokat mutatják be. Ezek az adatbázisszintű problémákat és a kiszolgálószintű biztonsági problémákat is lefedik, például a kiszolgáló tűzfalbeállításait és a kiszolgálószintű engedélyeket. Ezek a szabályok számos követelményt is képviselnek a különböző szabályozó szervektől a megfelelőségi szabványoknak való megfelelés érdekében.
A következőkre vonatkozik: 
Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics SQL Server (minden támogatott verzió)
Az adatbázis-vizsgálat során megjelenő szabályok a beolvasott SQL-verziótól és platformtól függenek.
A sebezhetőségi felmérés Azure-beli implementálásáról további információt a sebezhetőségi felmérés implementálása című témakörben talál.
A szabályok módosításainak listáját az SQL sebezhetőségi felmérési szabályainak változásnaplója tartalmazza.
Szabálykategóriák
Az SQL biztonságirés-felmérési szabályainak öt kategóriája van, amelyek a következő szakaszokban találhatók:
- Hitelesítés és engedélyezés
- Naplózás és naplózás
- Adatvédelem
- Telepítési frissítések és javítások
- Felületi terület csökkentése
Az 1 SQL Server 2012+ az SQL Server 2012 és újabb verziókra vonatkozik.
A 2 SQL Server 2017+ az SQL Server 2017 és újabb verziókra vonatkozik.
A 3 SQL Server 2016+ az SQL Server 2016 és újabb verziókra vonatkozik.
Hitelesítés és engedélyezés
| Szabályazonosító | Szabály címe | Szabály súlyossága | Szabály leírása | Platform |
|---|---|---|---|---|
| VA1017 | Az összes felhasználótól (a dbo kivételével) xp_cmdshell vonatkozó engedélyeket vissza kell vonni | Magas | A xp_cmdshell kiterjesztett tárolt eljárás egy Windows-parancshéjat hoz létre, amely egy sztringben továbbítja a végrehajtáshoz. Ez a szabály ellenőrzi, hogy a xp_cmdshell kiterjesztett tárolt eljárás végrehajtására csak a CONTROL SERVER engedéllyel rendelkező felhasználók, például a sysadmin kiszolgálói szerepkör tagjai jogosultak. | |
| VA1020 | Az adatbázis-felhasználói VENDÉG nem lehet szerepkör tagja | Magas | A vendégfelhasználó hozzáférést engedélyez egy adatbázishoz minden olyan bejelentkezéshez, amely nem egy adott adatbázis-felhasználóhoz van leképezve. Ez a szabály ellenőrzi, hogy nincs-e hozzárendelve adatbázis-szerepkör a vendégfelhasználóhoz. | SQL Database |
| VA1042 | Az adatbázis tulajdonjogának láncolását le kell tiltani az összes adatbázis esetében, msdbkivéve a mastertempdb |
Magas | Az adatbázisok közötti tulajdonjog-láncolás a tulajdonjogi láncolás kiterjesztése, kivéve, ha átlépi az adatbázis határát. Ez a szabály ellenőrzi, hogy ez a beállítás le van-e tiltva az összes adatbázis esetében, kivéve a master, msdbés tempdb a . msdbtempdbAz masteradatbázis-tulajdonjogok közötti láncolás alapértelmezés szerint engedélyezve van. |
SQL Managed Instance |
| VA1043 | Az egyszerű VENDÉG nem férhet hozzá egyetlen felhasználói adatbázishoz sem | Közepes | A vendégfelhasználó hozzáférést engedélyez egy adatbázishoz minden olyan bejelentkezéshez, amely nem egy adott adatbázis-felhasználóhoz van leképezve. Ez a szabály ellenőrzi, hogy a vendégfelhasználó nem tud-e adatbázishoz csatlakozni. | SQL Managed Instance |
| VA1046 | CHECK_POLICY minden SQL-bejelentkezéshez engedélyezni kell | Alacsony | CHECK_POLICY beállítás lehetővé teszi az SQL-bejelentkezések tartományszabályzaton való ellenőrzését. Ez a szabály ellenőrzi, hogy az CHECK_POLICY beállítás engedélyezve van-e az összes SQL-bejelentkezéshez. | SQL Managed Instance |
| VA1047 | A jelszó lejáratának ellenőrzését minden SQL-bejelentkezésnél engedélyezni kell | Alacsony | A jelszó lejárati szabályzatai a jelszó élettartamának kezelésére szolgálnak. Amikor az SQL Server kényszeríti a jelszó lejárati szabályzatát, a rendszer emlékezteti a felhasználókat a régi jelszavak módosítására, és a lejárt jelszóval rendelkező fiókok le lesznek tiltva. Ez a szabály ellenőrzi, hogy a jelszó lejárati szabályzata engedélyezve van-e az összes SQL-bejelentkezéshez. | SQL Managed Instance |
| VA1048 | Az adatbázisnevek nem képezhetők le a sa fiókra |
Magas | A fiókra sa leképezett adatbázisnevet a támadók kihasználhatják a jogosultságok emelése érdekében sysadmin |
SQL Managed Instance |
| VA1052 | BUILTIN\Rendszergazdák eltávolítása kiszolgálói bejelentkezésként | Alacsony | A BUILTIN\Rendszergazdák csoport tartalmazza a Windows helyi rendszergazdák csoportját. A Microsoft SQL Server régebbi verzióiban ez a csoport alapértelmezés szerint rendszergazdai jogosultságokkal rendelkezik. Ez a szabály ellenőrzi, hogy a csoport törlődik-e az SQL Serverről. | |
| VA1053 | Az alapértelmezett névvel sa rendelkező fiókot át kell nevezni vagy le kell tiltani |
Alacsony | sa egy jól ismert fiók, amelynek 1- főazonosítója van. Ez a szabály ellenőrzi, hogy a sa fiók átnevezve vagy letiltva van-e. |
SQL Managed Instance |
| VA1054 | Nem szabad túlzott engedélyeket adni a NYILVÁNOS szerepkörnek objektumokon vagy oszlopokon | Alacsony | Minden SQL Server-bejelentkezés a nyilvános kiszolgálói szerepkörhöz tartozik. Ha egy kiszolgálónév nem kapott vagy nem tagadott meg adott engedélyeket egy biztonságos objektumhoz, a felhasználó örökli az adott objektumon nyilvánosan megadott engedélyeket. Ez a szabály megjeleníti az összes olyan biztonságos objektum vagy oszlop listáját, amely a NYILVÁNOS szerepkörön keresztül minden felhasználó számára elérhető. | SQL Database |
| VA1058 | sa a bejelentkezést le kell tiltani |
Magas | sa egy jól ismert fiók, amelynek 1- főazonosítója van. Ez a szabály ellenőrzi, hogy a sa fiók le van-e tiltva. |
SQL Managed Instance |
| VA1059 | xp_cmdshell le kell tiltani | Magas | xp_cmdshell egy Windows-parancshéjat hoz létre, és egy sztringet ad át a végrehajtáshoz. Ez a szabály ellenőrzi, hogy a xp_cmdshell le van-e tiltva. | SQL Managed Instance |
| VA1067 | A Database Mail XP-ket le kell tiltani, ha nincs használatban | Közepes | Ez a szabály ellenőrzi, hogy a Database Mail le van-e tiltva, ha nincs konfigurálva adatbázis-levelezési profil. A Database Mail az SQL Server adatbázismotorról küldhető e-mailek küldéséhez, és alapértelmezés szerint le van tiltva. Ha nem használja ezt a funkciót, javasoljuk, hogy tiltsa le a felület csökkentése érdekében. | |
| VA1068 | A kiszolgálói engedélyeket nem szabad közvetlenül a tagoknak megadni | Alacsony | A kiszolgálószintű engedélyek kiszolgálószintű objektumhoz vannak társítva, amely szabályozza, hogy mely felhasználók férhetnek hozzá az objektumhoz. Ez a szabály ellenőrzi, hogy nincsenek-e közvetlenül a bejelentkezésekhez megadott kiszolgálószintű engedélyek. | SQL Managed Instance |
| VA1070 | Az adatbázis felhasználóinak nem szabad ugyanazt a nevet megadniuk, mint egy kiszolgálói bejelentkezés | Alacsony | Előfordulhat, hogy az adatbázis felhasználói ugyanazt a nevet viselik, mint egy kiszolgálói bejelentkezés. Ez a szabály ellenőrzi, hogy nincsenek-e ilyen felhasználók. | SQL Managed Instance |
| VA1072 | A hitelesítési módnak Windows-hitelesítésnek kell lennie | Közepes | Két lehetséges hitelesítési mód létezik: a Windows hitelesítési mód és a vegyes mód. A vegyes mód azt jelenti, hogy az SQL Server lehetővé teszi a Windows-hitelesítést és az SQL Server-hitelesítést is. Ez a szabály ellenőrzi, hogy a hitelesítési mód Windows-hitelesítésre van-e beállítva. | |
| VA1094 | Az adatbázis-engedélyeket nem szabad közvetlenül a rendszerbiztonsági tagoknak megadni | Alacsony | Az engedélyek egy biztonságos objektumhoz társított szabályok, amelyek szabályozzák, hogy mely felhasználók férhetnek hozzá az objektumhoz. Ez a szabály ellenőrzi, hogy nincsenek-e közvetlenül a felhasználóknak adott adatbázis-engedélyek. | SQL Managed Instance |
| VA1095 | Nem szabad túlzott engedélyeket adni a NYILVÁNOS szerepkörnek | Közepes | Minden SQL Server-bejelentkezés a nyilvános kiszolgálói szerepkörhöz tartozik. Ha egy kiszolgálónév nem kapott vagy nem tagadott meg adott engedélyeket egy biztonságos objektumhoz, a felhasználó örökli az adott objektumon nyilvánosan megadott engedélyeket. Ez megjeleníti a NYILVÁNOS szerepkör számára biztosított összes engedély listáját. | SQL Managed Instance SQL Database |
| VA1096 | Az egyszerű VENDÉG nem kaphat engedélyeket az adatbázisban | Alacsony | Minden adatbázis tartalmaz egy VENDÉG nevű felhasználót. A VENDÉG számára megadott engedélyeket azok a felhasználók öröklik, akik hozzáférnek az adatbázishoz, de nem rendelkeznek felhasználói fiókkal az adatbázisban. Ez a szabály ellenőrzi, hogy az összes engedélyt visszavonták-e a VENDÉGfelhasználótól. | SQL Managed Instance SQL Database |
| VA1097 | Az egyszerű VENDÉG nem kaphat engedélyeket objektumokra vagy oszlopokra | Alacsony | Minden adatbázis tartalmaz egy VENDÉG nevű felhasználót. A VENDÉG számára megadott engedélyeket azok a felhasználók öröklik, akik hozzáférnek az adatbázishoz, de nem rendelkeznek felhasználói fiókkal az adatbázisban. Ez a szabály ellenőrzi, hogy az összes engedélyt visszavonták-e a VENDÉGfelhasználótól. | SQL Managed Instance SQL Database |
| VA1099 | A VENDÉGfelhasználó nem kaphat engedélyeket az adatbázis-biztonságossá tételhez | Alacsony | Minden adatbázis tartalmaz egy VENDÉG nevű felhasználót. A VENDÉG számára megadott engedélyeket azok a felhasználók öröklik, akik hozzáférnek az adatbázishoz, de nem rendelkeznek felhasználói fiókkal az adatbázisban. Ez a szabály ellenőrzi, hogy az összes engedélyt visszavonták-e a VENDÉGfelhasználótól. | SQL Managed Instance SQL Database |
| VA1246 | Az alkalmazásszerepkörök nem használhatók | Alacsony | Az alkalmazásszerepkör olyan egyszerű adatbázis, amely lehetővé teszi az alkalmazások számára, hogy saját, felhasználóhoz hasonló engedélyekkel fussanak. Az alkalmazásszerepkörök lehetővé teszik, hogy csak az adott alkalmazáson keresztül csatlakozó felhasználók férhessenek hozzá adott adatokhoz. Az alkalmazásszerepkörök jelszóalapúak (mely alkalmazások jellemzően hardcode-ot használnak), és nem engedélyalapúak, amely az adatbázist az alkalmazásszerepkörök megszemélyesítésének teszi elérhetővé jelszótippeléssel. Ez a szabály ellenőrzi, hogy nincsenek-e definiálva alkalmazásszerepkörök az adatbázisban. | SQL Managed Instance SQL Database |
| VA1248 | A felhasználó által definiált adatbázis-szerepkörök nem lehetnek rögzített szerepkörök tagjai | Közepes | Az adatbázisok engedélyeinek egyszerű kezeléséhez az SQL Server számos szerepkört biztosít, amelyek biztonsági tagok, amelyek más tagokat csoportosítanak. Ezek olyanok, mint a Microsoft Windows operációs rendszer csoportjai. Adatbázisfiókok és más SQL Server-szerepkörök hozzáadhatók adatbázisszintű szerepkörökhöz. A rögzített adatbázis-szerepkörök minden tagja hozzáadhat más felhasználókat ugyanahhoz a szerepkörhöz. Ez a szabály ellenőrzi, hogy a felhasználó által definiált szerepkörök nem tagjai-e rögzített szerepköröknek. | SQL Managed Instance SQL Database Azure Synapse |
| VA1267 | A tartalmazott felhasználóknak Windows-hitelesítést kell használniuk | Közepes | A tartalmazott felhasználók olyan felhasználók, amelyek az adatbázisban találhatók, és nem igényelnek bejelentkezési leképezést. Ez a szabály ellenőrzi, hogy a felhasználók windowsos hitelesítést használnak-e. | SQL Managed Instance |
| VA1280 | A nyilvános kiszolgálói engedélyeket minimalizálni kell | Közepes | Minden SQL Server-bejelentkezés a nyilvános kiszolgálói szerepkörhöz tartozik. Ha egy kiszolgálónév nem kapott vagy nem tagadott meg adott engedélyeket egy biztonságos objektumhoz, a felhasználó örökli az adott objektumon nyilvánosan megadott engedélyeket. Ez a szabály ellenőrzi, hogy a nyilvános kiszolgálói engedélyek minimálisra vannak-e csökkentve. | SQL Managed Instance |
| VA1282 | El kell távolítani az árva szerepköröket | Alacsony | Az árva szerepkörök olyan felhasználó által definiált szerepkörök, amelyek nem rendelkeznek taggal. Szüntesse meg az árva szerepköröket, mivel ezekre nincs szükség a rendszeren. Ez a szabály ellenőrzi, hogy vannak-e árva szerepkörök. | SQL Managed Instance SQL Database Azure Synapse |
| VA2020 | A minimális egyszerű halmaznak alter vagy ALTER ANY USER adatbázis-hatókörű engedélyeket kell biztosítani | Magas | Minden biztonságos SQL Server rendelkezik azokkal az engedélyekkel, amelyeket a rendszerbiztonsági tagok kaphatnak. Az engedélyek hatóköre a kiszolgáló szintjén (bejelentkezésekhez és kiszolgálói szerepkörökhöz rendelve) vagy az adatbázis szintjén (adatbázis-felhasználókhoz és adatbázis-szerepkörökhöz) rendelhető hozzá. Ezek a szabályok ellenőrzik, hogy csak minimális számú egyszerű felhasználó kap-e ALTER vagy ALTER USER adatbázis-hatókörű engedélyeket. | SQL Managed Instance SQL Database Azure Synapse |
| VA2033 | Minimális számú egyszerű felhasználónak kell adatbázis-hatókörű EXECUTE-engedélyt adni objektumokon vagy oszlopokon | Alacsony | Ez a szabály ellenőrzi, hogy mely tagok kapnak VÉGREHAJTÁSI engedélyt az objektumokon vagy oszlopokon annak biztosítása érdekében, hogy ez az engedély csak minimális számú egyszerű felhasználónak legyen megadva. Minden biztonságos SQL Server rendelkezik azokkal az engedélyekkel, amelyeket a rendszerbiztonsági tagok kaphatnak. Az engedélyek hatóköre a kiszolgáló szintjén (bejelentkezésekhez és kiszolgálói szerepkörökhöz rendelve) vagy az adatbázis szintjén (adatbázis-felhasználókhoz, adatbázis-szerepkörökhöz vagy alkalmazásszerepkörökhöz) rendelhető hozzá. Az EXECUTE engedély a tárolt eljárásokra és a skaláris függvényekre is vonatkozik, amelyek számítási oszlopokban használhatók. | SQL Managed Instance SQL Database Azure Synapse |
| VA2103 | A kiterjesztett tárolt eljárások szükségtelen végrehajtási engedélyeit vissza kell vonni | Közepes | A kiterjesztett tárolt eljárások olyan DLL-ek, amelyeket az SQL Server egy példánya dinamikusan betölthet és futtathat. Az SQL Server számos kiterjesztett tárolt eljárással van csomagolva, amelyek lehetővé teszik a rendszer DLL-ekkel való interakciót. Ez a szabály ellenőrzi, hogy visszavonták-e a kiterjesztett tárolt eljárások szükségtelen végrehajtási engedélyeit. | SQL Managed Instance |
| VA2107 | A minimális főneveknek rögzített Azure SQL DB-főadatbázis-szerepkörök tagjainak kell lenniük | Magas | Az SQL Database két korlátozott rendszergazdai szerepkört biztosít a főadatbázisban, amelyekhez olyan felhasználói fiókok vehetők fel, amelyek engedélyeket biztosítanak adatbázisok létrehozásához vagy bejelentkezések kezeléséhez. Ez a szabály ellenőrzi, hogy a rendszergazdai szerepkörök minimális halmaza tagjai-e. | Azure Synapse |
| VA2108 | A minimális főneveknek rögzített, nagy hatással lévő adatbázis-szerepkörök tagjainak kell lenniük | Magas | Az SQL Server szerepköröket biztosít az engedélyek kezeléséhez. A szerepkörök olyan biztonsági tagok, amelyek más tagokat csoportosítanak. Az adatbázisszintű szerepkörök adatbázis-szintűek a jogosultsági hatókörükben. Ez a szabály ellenőrzi, hogy az egyszerű tagok minimális készlete a rögzített adatbázis-szerepkörök tagjai-e. | SQL Managed Instance SQL Database Azure Synapse |
| VA2109 | A minimális főneveknek rögzített, alacsony hatású adatbázis-szerepkörök tagjainak kell lenniük | Alacsony | Az SQL Server szerepköröket biztosít az engedélyek kezeléséhez. A szerepkörök olyan biztonsági tagok, amelyek más tagokat csoportosítanak. Az adatbázisszintű szerepkörök adatbázis-szintűek a jogosultsági hatókörükben. Ez a szabály ellenőrzi, hogy az egyszerű tagok minimális készlete a rögzített adatbázis-szerepkörök tagjai-e. | SQL Managed Instance SQL Database Azure Synapse |
| VA2110 | A beállításjegyzék eléréséhez szükséges végrehajtási engedélyeket vissza kell vonni | Magas | A beállításjegyzék kiterjesztett tárolt eljárásai lehetővé teszik a Microsoft SQL Server számára az írási és enumerálási értékek és kulcsok beolvasását és számbavételét a beállításjegyzékben. Ezeket az Enterprise Manager használja a kiszolgáló konfigurálásához. Ez a szabály ellenőrzi, hogy a beállításjegyzék kiterjesztett tárolt eljárásainak végrehajtására vonatkozó engedélyeket visszavonták-e az összes felhasználótól (a dbo kivételével). | SQL Managed Instance |
| VA2113 | A Data Transformation Services (DTS) engedélyeit csak SSIS-szerepköröknek szabad megadni | Közepes | A Data Transformation Services (DTS) olyan objektumok és segédprogramok készlete, amelyek lehetővé teszik a kinyerési, átalakítási és betöltési műveletek automatizálását egy adatbázisba vagy adatbázisból. Az objektumok DTS-csomagok és összetevőik, a segédprogramok pedig DTS-eszközök. Ez a szabály ellenőrzi, hogy csak az SSIS-szerepkörök kapnak-e engedélyeket a DTS-rendszer tárolt eljárásainak használatára, és visszavonták a nyilvános szerepkörnek a DTS-rendszer tárolt eljárásainak használatára vonatkozó engedélyeit. | SQL Managed Instance |
| VA2114 | A minimális egyszerű halmaznak nagy hatással lévő rögzített kiszolgálói szerepköröknek kell lennie | Magas | Az SQL Server szerepköröket biztosít az engedélyek kezeléséhez. A szerepkörök olyan biztonsági tagok, amelyek más tagokat csoportosítanak. A kiszolgálószintű szerepkörök kiszolgálószintűek a jogosultsági hatókörükben. Ez a szabály ellenőrzi, hogy az egyszerű tagok minimális készlete a rögzített kiszolgálói szerepkörök tagjai-e. | SQL Managed Instance |
| VA2129 | Engedélyezni kell az aláírt modulok módosításait | Magas | Egy tárolt eljárást, függvényt vagy eseményindítót tanúsítványsal vagy aszimmetrikus kulccsal írhat alá. Ez olyan helyzetekhez készült, amikor az engedélyek nem örökölhetők tulajdonjogi láncolással, vagy ha a tulajdonosi lánc megszakad, például dinamikus SQL. Ez a szabály ellenőrzi az aláírt modulok módosításait, ami rosszindulatú használatot jelezhet. | SQL Database SQL Managed Instance |
| VA2130 | Az adatbázishoz való hozzáféréssel rendelkező összes felhasználó nyomon követése | Alacsony | Ez az ellenőrzés nyomon követi az adatbázishoz hozzáféréssel rendelkező összes felhasználót. Győződjön meg arról, hogy ezek a felhasználók a szervezetben betöltött jelenlegi szerepkörüknek megfelelően vannak engedélyezve. | Azure Synapse |
| VA2201 | A gyakran használt névvel rendelkező SQL-bejelentkezéseket le kell tiltani | Magas | Ez a szabály ellenőrzi a gyakran használt nevek adatbázis-tulajdonosi engedélyével rendelkező fiókokat. A gyakran használt nevek adatbázis-tulajdonosi engedéllyel rendelkező fiókokhoz való hozzárendelése növeli a sikeres találgatásos támadások valószínűségét. |
Naplózás és naplózás
| Szabályazonosító | Szabály címe | Szabály súlyossága | Szabály leírása | Platform |
|---|---|---|---|---|
| VA1045 | Az alapértelmezett nyomkövetést engedélyezni kell | Közepes | Az alapértelmezett nyomkövetés hibaelhárítási segítséget nyújt az adatbázis-rendszergazdáknak, mivel biztosítják, hogy az első előfordulásukkor rendelkezzenek a problémák diagnosztizálásához szükséges naplóadatokkal. Ez a szabály ellenőrzi, hogy az alapértelmezett nyomkövetés engedélyezve van-e. | SQL Managed Instance |
| VA1091 | A sikeres és sikertelen bejelentkezési kísérletek (alapértelmezett nyomkövetés) naplózását engedélyezni kell, ha a bejelentkezések nyomon követésére be van állítva a bejelentkezési naplózás | Alacsony | Az SQL Server bejelentkezési naplózási konfigurációja lehetővé teszi a rendszergazdák számára, hogy nyomon kövessék az SQL Server-példányokba bejelentkező felhasználókat. Ha a felhasználó úgy dönt, hogy a bejelentkezés naplózásával nyomon követi az SQL Server-példányokba bejelentkező felhasználókat, akkor fontos engedélyezni a sikeres és sikertelen bejelentkezési kísérletek esetében is. | |
| VA1093 | A hibanaplók maximális száma legfeljebb 12 lehet | Alacsony | Minden SQL Server-hibanapló tartalmazza az SQL Server legutóbbi újraindítása vagy a hibanaplók legutóbbi újraindulása óta bekövetkezett hibákkal/hibákkal kapcsolatos összes információt. Ez a szabály ellenőrzi, hogy a hibanaplók maximális száma 12 vagy több-e. | |
| VA1258 | Az adatbázis-tulajdonosok a vártnak megfelelően működnek | Magas | Az adatbázis-tulajdonosok minden konfigurációs és karbantartási tevékenységet elvégezhetnek az adatbázisban, és az SQL Serveren is elvethetik az adatbázisokat. Az adatbázis-tulajdonosok nyomon követése fontos, hogy ne legyen túlzott engedély néhány egyszerű felhasználó számára. Hozzon létre egy alapkonfigurációt, amely meghatározza az adatbázis várt adatbázis-tulajdonosait. Ez a szabály ellenőrzi, hogy az adatbázis-tulajdonosok az alaptervben meghatározottak-e. | SQL Database Azure Synapse |
| VA1264 | A sikeres és a sikertelen bejelentkezési kísérletek naplózását engedélyezni kell | Alacsony | Az SQL Server naplózási konfigurációja lehetővé teszi a rendszergazdák számára, hogy nyomon kövessék a felelős SQL Server-példányokba bejelentkező felhasználókat. Ez a szabály ellenőrzi, hogy a naplózás engedélyezve van-e mind a sikeres, mind a sikertelen bejelentkezési kísérletek esetében. | SQL Managed Instance |
| VA1265 | Engedélyezni kell a tárolt adatbázis-hitelesítés sikeres és sikertelen bejelentkezési kísérleteinek naplózását | Közepes | Az SQL Server naplózási konfigurációja lehetővé teszi a rendszergazdák számára, hogy nyomon kövessék a felhasználók azon SQL Server-példányokra való naplózását, amelyekért ők felelősek. Ez a szabály ellenőrzi, hogy a naplózás engedélyezve van-e a tárolt adatbázis-hitelesítés sikeres és sikertelen bejelentkezési kísérletei esetében is. | SQL Managed Instance |
| VA1281 | A felhasználó által definiált szerepkörökhöz tartozó összes tagságot meg kell tervezni | Közepes | A felhasználó által definiált szerepkörök olyan biztonsági tagok, amelyeket a felhasználó az engedélyek egyszerű kezelése érdekében csoportosíthat. Ezeknek a szerepköröknek a figyelése fontos a túlzott engedélyek elkerülése érdekében. Hozzon létre egy alapkonfigurációt, amely meghatározza az egyes felhasználó által definiált szerepkörök várható tagságát. Ez a szabály ellenőrzi, hogy a felhasználó által definiált szerepkörök összes tagsága az alapkonfigurációban van-e definiálva. | SQL Managed Instance SQL Database Azure Synapse |
| VA1283 | Legalább 1 aktív naplózásnak kell lennie a rendszerben | Alacsony | Az SQL Server adatbázismotor egy példányának vagy egy önálló adatbázisnak a naplózása magában foglalja az adatbázismotoron előforduló események nyomon követését és naplózását. Az SQL Server naplózási objektuma egyetlen kiszolgáló- vagy adatbázisszintű műveletpéldányt és figyelendő műveletcsoportot gyűjt. Ez a szabály ellenőrzi, hogy van-e legalább egy aktív naplózás a rendszerben. | SQL Managed Instance |
| VA2061 | A naplózást kiszolgálószinten kell engedélyezni | Magas | Az Azure SQL Database-naplózás nyomon követi az adatbázis-eseményeket, és egy naplóba írja őket az Azure Storage-fiókjában. A naplózás segít megérteni az adatbázis-tevékenységeket, és betekintést nyerhet az üzleti problémákra vagy a feltételezett biztonsági jogsértésekre utaló eltérésekbe és anomáliákba, valamint segít a jogszabályi megfelelőségnek való megfelelésben. További információ: Azure SQL-naplózás. Ez a szabály ellenőrzi, hogy a naplózás engedélyezve van-e. | Azure Synapse |
Data Protection
| Szabályazonosító | Szabály címe | Szabály súlyossága | Szabály leírása | Platform |
|---|---|---|---|---|
| VA1098 | Bármely meglévő SSB- vagy tükrözési végpontnak AES-kapcsolatot kell igényelnie | Magas | A Service Broker és a Tükrözési végpontok különböző titkosítási algoritmusokat támogatnak, beleértve a titkosítás nélküli algoritmusokat is. Ez a szabály ellenőrzi, hogy a meglévő végpontok AES-titkosítást igényelnek-e. | |
| VA1219 | Engedélyezni kell a transzparens adattitkosítást | Közepes | A transzparens adattitkosítás (TDE) segít megvédeni az adatbázisfájlokat az információfelfedés ellen az adatbázis valós idejű titkosításával és visszafejtésével, a kapcsolódó biztonsági másolatokkal és "inaktív állapotban" lévő tranzakciónapló-fájlokkal, anélkül, hogy módosítani kellene az alkalmazást. Ez a szabály ellenőrzi, hogy a TDE engedélyezve van-e az adatbázisban. | SQL Managed Instance SQL Database Azure Synapse |
| VA1220 | A TDS-t használó adatbázis-kommunikációt TLS-sel kell védeni | Magas | A Microsoft SQL Server a Secure Sockets Layer (SSL) vagy a Transport Layer Security (TLS) használatával titkosíthatja az SQL Server egy példánya és egy ügyfélalkalmazás között hálózaton keresztül továbbított adatokat. Ez a szabály ellenőrzi, hogy az SQL Serverrel létesített összes kapcsolat TLS-en keresztül van-e titkosítva. | SQL Managed Instance |
| VA1221 | Az adatbázistitkosítás szimmetrikus kulcsainak AES-algoritmust kell használniuk | Magas | Az SQL Server titkosítási kulcsokkal védi a kiszolgálói adatbázisban tárolt adatok hitelesítő adatait és kapcsolati adatait. Az SQL Server kétféle kulcsból áll: szimmetrikus és aszimmetrikus. Ez a szabály ellenőrzi, hogy az adatbázistitkosítás szimmetrikus kulcsai AES-algoritmust használnak-e. | SQL Managed Instance SQL Database Azure Synapse |
| VA1222 | A cellaszintű titkosítási kulcsok AES-algoritmust használnak | Magas | A cellaszintű titkosítás (CLE) lehetővé teszi az adatok szimmetrikus és aszimmetrikus kulcsok használatával történő titkosítását. Ez a szabály ellenőrzi, hogy a cellaszintű titkosítás szimmetrikus kulcsai AES-algoritmust használnak-e. | SQL Managed Instance |
| VA1223 | A tanúsítványkulcsoknak legalább 2048 bitet kell használniuk | Magas | A tanúsítványkulcsok az RSA-ban és más titkosítási algoritmusokban használatosak az adatok védelméhez. Ezeknek a kulcsoknak elegendő hosszúságúnak kell lenniük a felhasználó adatainak védelméhez. Ez a szabály ellenőrzi, hogy a kulcs hossza legalább 2048 bit-e az összes tanúsítvány esetében. | SQL Managed Instance SQL Database Azure Synapse |
| VA1224 | Az aszimmetrikus kulcsok hosszának legalább 2048 bitnek kell lennie | Magas | Az adatbázis aszimmetrikus kulcsait számos titkosítási algoritmus használja. Ezeknek a kulcsoknak elegendő hosszúságúnak kell lenniük a titkosított adatok védelméhez. Ez a szabály ellenőrzi, hogy az adatbázisban tárolt összes aszimmetrikus kulcs legalább 2048 bit hosszúságú-e | SQL Database |
| VA1279 | A kényszerített titkosítást engedélyezni kell a TDS-hez | Magas | Ha az adatbázismotor kényszerített titkosítási beállítása engedélyezve van, a rendszer minden kommunikációt titkosít az ügyfél és a kiszolgáló között, függetlenül attól, hogy a "Kapcsolat titkosítása" lehetőség (például az SSMS-ből) be van-e jelölve vagy sem. Ez a szabály ellenőrzi, hogy engedélyezve van-e a Force Encryption beállítás. | |
| VA2060 | Az SQL-fenyegetésészlelést kiszolgálószinten kell engedélyezni | Közepes | Az SQL Threat Detection egy biztonsági réteget biztosít, amely észleli a lehetséges biztonsági réseket és rendellenes tevékenységeket az adatbázisokban, például az SQL-injektálási támadásokat és a szokatlan viselkedési mintákat. Ha potenciális fenyegetést észlelnek, a fenyegetésészlelés végrehajtható valós idejű riasztást küld e-mailben és Felhőhöz készült Microsoft Defender, amely magában foglalja az adott fenyegetés egyértelmű kivizsgálási és szervizelési lépéseit. További információ: Fenyegetésészlelés konfigurálása. Ez az ellenőrzés ellenőrzi, hogy engedélyezve van-e az SQL-fenyegetésészlelés | SQL Managed Instance SQL Database Azure Synapse |
Telepítési frissítések és javítások
| Szabályazonosító | Szabály címe | Szabály súlyossága | Szabály leírása | Platform |
|---|---|---|---|---|
| VA1018 | A legújabb frissítéseket telepíteni kell | Magas | A Microsoft rendszeresen kiad kumulatív frissítéseket (CU-kat) az SQL Server minden verziójához. Ez a szabály ellenőrzi, hogy a legújabb CU telepítve van-e a használt SQL Server adott verziójához, egy sztring végrehajtásához. Ez a szabály ellenőrzi, hogy az összes felhasználó (a dbo kivételével) nem rendelkezik-e engedéllyel a xp_cmdshell kiterjesztett tárolt eljárás végrehajtásához. | SQL Server 2017 SQL Server 2019 SQL Server 2022 |
| VA2128 | A sebezhetőségi felmérés nem támogatott az SQL Server 2012-nél kisebb SQL Server-verziók esetében | Magas | Ha biztonságirés-felmérést szeretne futtatni az SQL Serveren, a kiszolgálót frissíteni kell az SQL Server 2012-re vagy újabbra, az SQL Server 2008 R2 és az alábbi verziók már nem támogatottak a Microsoft számára. További információt itt talál | SQL Managed Instance SQL Database Azure Synapse |
Felületi terület csökkentése
| Szabályazonosító | Szabály címe | Szabály súlyossága | Szabály leírása | Platform |
|---|---|---|---|---|
| VA1022 | Az alkalmi elosztott lekérdezéseket le kell tiltani | Közepes | Az alkalmi elosztott lekérdezések az és OPENDATASOURCE a OPENROWSET függvények használatával csatlakoznak az OLE DB-t használó távoli adatforrásokhoz. Ez a szabály ellenőrzi, hogy az alkalmi elosztott lekérdezések le vannak-e tiltva. |
|
| VA1023 | A CLR-t le kell tiltani | Magas | A CLR lehetővé teszi a felügyelt kód futtatását és futtatását a Microsoft SQL Server-környezetben. Ez a szabály ellenőrzi, hogy a CLR le van-e tiltva. | |
| VA1026 | A CLR-t le kell tiltani | Közepes | A CLR lehetővé teszi a felügyelt kód futtatását és futtatását a Microsoft SQL Server-környezetben. A CLR szigorú biztonsága úgy kezeli a SAFE és EXTERNAL_ACCESS szerelvényeket, mintha UNSAFE jelöléssel lennének ellátva, és megköveteli, hogy minden szerelvényeket tanúsítvány vagy aszimmetrikus kulccsal írja alá a főadatbázisban UNSAFE ASSEMBLY-engedéllyel rendelkező megfelelő bejelentkezéssel. Ez a szabály ellenőrzi, hogy a CLR le van-e tiltva. | SQL Managed Instance |
| VA1027 | A nem követett megbízható szerelvényeket el kell távolítani | Magas | A UNSAFE-ként megjelölt szerelvényeket tanúsítványsal vagy aszimmetrikus kulccsal kell aláírni egy megfelelő bejelentkezéssel, amely a főadatbázisban UNSAFE ASSEMBLY-engedélyt kapott. A megbízható szerelvények megkerülhetik ezt a követelményt. | SQL Managed Instance |
| VA1044 | A távoli rendszergazdai kapcsolatokat le kell tiltani, kivéve, ha kifejezetten szükséges | Közepes | Ez a szabály ellenőrzi, hogy a távoli dedikált rendszergazdai kapcsolatok le vannak-e tiltva, ha nem használják őket fürtözésre a támadási felület csökkentése érdekében. Az SQL Server dedikált rendszergazdai kapcsolatot (DAC) biztosít. A DAC lehetővé teszi a rendszergazda számára, hogy hozzáférjen egy futó kiszolgálóhoz diagnosztikai függvények vagy Transact-SQL-utasítások végrehajtásához, illetve a kiszolgáló problémáinak elhárításához, és vonzó célponttá válik, ha távolról engedélyezve van. | SQL Managed Instance |
| VA1051 | AUTO_CLOSE minden adatbázisban le kell tiltani | Közepes | A AUTO_CLOSE beállítás azt határozza meg, hogy az adatbázis kecsesen leáll-e, és felszabadítja-e az erőforrásokat az utolsó felhasználó leválasztása után. Az előnyöktől függetlenül az adatbázis agresszív megnyitásával és bezárásával szolgáltatásmegtagadást okozhat, ezért fontos letiltani ezt a funkciót. Ez a szabály ellenőrzi, hogy ez a beállítás le van-e tiltva az aktuális adatbázisban. | |
| VA1066 | A nem használt szolgáltatásközvetítő végpontokat el kell távolítani | Alacsony | A Service Broker sorba állítást és megbízható üzenetkezelést biztosít az SQL Server számára. A Service Broker az egyetlen SQL Server-példányt használó alkalmazásokhoz és a több példány között elosztott alkalmazásokhoz is használható. A Service Broker-végpontok lehetőséget biztosítanak az átvitel biztonságára és az üzenettovábbításra. Ez a szabály felsorolja az összes szolgáltatásközvetítő végpontot. Távolítsa el a nem használtakat. | |
| VA1071 | A "Tárolt indítási eljárások keresése" beállítást le kell tiltani | Közepes | Ha engedélyezve van az "Indítási procek keresése" funkció, az SQL Server minden automatikusan futtatott, a kiszolgálón definiált eljárást ellenőrzi és futtatja. Ha ez a beállítás engedélyezve van, az SQL Server a kiszolgálón definiált összes automatikusan futtatott eljárást ellenőrzi és futtatja. Ez a szabály ellenőrzi, hogy ez a beállítás le van-e tiltva. | |
| VA1092 | Az SQL Server-példányt nem szabad meghirdetnie az SQL Server Browser szolgáltatásnak | Alacsony | Az SQL Server az SQL Server Browser szolgáltatással számba veszi a számítógépre telepített adatbázismotor példányait. Ez lehetővé teszi, hogy az ügyfélalkalmazások keressenek egy kiszolgálót, és segít az ügyfeleknek különbséget tenni az adatbázismotor több példánya között ugyanazon a számítógépen. Ez a szabály ellenőrzi, hogy az SQL-példány rejtett-e. | |
| VA1102 | A megbízható bitet le kell tiltani az összes adatbázisban, kivéve az MSDB-t | Magas | A TRUSTWORTHY adatbázistulajdonság jelzi, hogy az SQL Server példánya megbízik-e az adatbázisban és a benne lévő tartalomban. Ha ez a beállítás engedélyezett adatbázismodulok (például felhasználó által definiált függvények vagy tárolt eljárások), amelyek megszemélyesítési környezetet használnak, hozzáférhetnek az adatbázison kívüli erőforrásokhoz. Ez a szabály ellenőrzi, hogy a TRUSTWORTHY bit az MSDB kivételével minden adatbázisban le van-e tiltva. | SQL Managed Instance |
| VA1143 | A "dbo" felhasználó nem használható normál szolgáltatásművelethez | Közepes | A "dbo" vagy az adatbázis tulajdonosa olyan felhasználói fiók, amely hallgatólagos engedélyekkel rendelkezik az adatbázisban végzett összes tevékenység végrehajtásához. A sysadmin rögzített kiszolgálói szerepkör tagjai automatikusan dbo-ra vannak leképezve. Ez a szabály ellenőrzi, hogy nem a dbo az egyetlen fiók, amely hozzáférhet ehhez az adatbázishoz. Vegye figyelembe, hogy egy újonnan létrehozott tiszta adatbázisban ez a szabály meghiúsul, amíg további szerepkörök nem jönnek létre. | SQL Managed Instance SQL Database Azure Synapse |
| VA1144 | A modelladatbázisnak csak a "dbo" által elérhetőnek kell lennie | Közepes | A modelladatbázis az SQL Server példányán létrehozott összes adatbázis sablonjaként használatos. A modelladatbázis módosításai, például az adatbázisméret helyreállítási modellje és más adatbázis-beállítások a később létrehozott adatbázisokra lesznek alkalmazva. Ez a szabály ellenőrzi, hogy a dbo az egyetlen fiók, amely hozzáfér a modelladatbázishoz. | SQL Managed Instance |
| VA1230 | A fájlstreamet le kell tiltani | Magas | A FILESTREAM integrálja az SQL Server adatbázismotort egy NTFS fájlrendszerrel a varbináris (max.) bináris nagy objektum (BLOB) adatok fájlként való tárolásával a fájlrendszeren. A Transact-SQL-utasítások fájlstream-adatok beszúrására, frissítésre, lekérdezésre, keresésre és biztonsági mentésre is képesek. Ha engedélyezi a Filestreamet az SQL Serveren, további NTFS stream API-t tesz elérhetővé, ami növeli a támadási felületet, és hajlamossá teszi a rosszindulatú támadásokra. Ez a szabály ellenőrzi, hogy a Filestream le van-e tiltva. | |
| VA1235 | Le kell tiltani a kiszolgálókonfiguráció "replikációs XP-ket" | Közepes | Tiltsa le a replikációs XP-k elavult kiszolgálókonfigurációját a támadási felület korlátozásához. Ez egy csak belső konfigurációs beállítás. | SQL Managed Instance |
| VA1244 | Az árva felhasználókat el kell távolítani az SQL Server-adatbázisokból | Közepes | Az adatbázis-felhasználót, amely egy adatbázisban található, de nem rendelkezik megfelelő bejelentkezéssel a fő adatbázisban vagy külső erőforrásként (például Windows-felhasználóként) árva felhasználónak nevezzük, és el kell távolítani vagy érvényes bejelentkezésre kell leképezni. Ez a szabály ellenőrzi, hogy nincsenek-e árva felhasználók. | SQL Managed Instance |
| VA1245 | A dbo-információknak konzisztensnek kell lenniük a céladatbázis és a főkiszolgáló között | Magas | Minden adatbázishoz redundáns információk találhatók a dbo-identitással kapcsolatban: az adatbázisban tárolt metaadatok és a főadatbázisban tárolt metaadatok. Ez a szabály ellenőrzi, hogy ezek az információk konzisztensek-e a céladatbázis és a főkiszolgáló között. | SQL Managed Instance |
| VA1247 | Nem lehetnek automatikus indításként megjelölt SP-k | Magas | Ha az SQL Server úgy lett konfigurálva, hogy "indítási procek keresése" legyen, a kiszolgáló megvizsgálja a fő adatbázist az automatikus indításként megjelölt tárolt eljárások esetében. Ez a szabály ellenőrzi, hogy nincsenek-e automatikus indításként megjelölt SP-k. | |
| VA1256 | A felhasználói CLR-szerelvények nem definiálhatók az adatbázisban | Magas | A CLR-szerelvények tetszőleges kód végrehajtására használhatók az SQL Server-folyamaton. Ez a szabály ellenőrzi, hogy nincsenek-e felhasználó által definiált CLR-szerelvények az adatbázisban. | SQL Managed Instance |
| VA1277 | Engedélyezni kell a Polybase hálózati titkosítását | Magas | A PolyBase egy olyan technológia, amely mind a nem relációs, mind a relációs adatokat az SQL Serveren belül éri el és egyesíti. A Polybase hálózati titkosítási beállítás konfigurálja az SQL Servert a vezérlés és az adatcsatornák titkosítására a Polybase használatakor. Ez a szabály ellenőrzi, hogy ez a beállítás engedélyezve van-e. | |
| VA1278 | Külső kulcskezelő szolgáltatók alapkonfigurációjának létrehozása | Közepes | Az SQL Server bővíthető kulcskezelése (EKM) lehetővé teszi, hogy a külső EKM/ hardveres biztonsági modulok (HSM) szállítói regisztrálhassák moduljaikat az SQL Serveren. Ha a regisztrált SQL Server-felhasználók használhatják az EKM-modulokban tárolt titkosítási kulcsokat, ez a szabály megjeleníti a rendszerben használt EKM-szolgáltatók listáját. | SQL Managed Instance |
| VA2062 | Az adatbázisszintű tűzfalszabályok nem biztosíthatnak túlzott hozzáférést | Magas | Az Azure SQL Database szintű tűzfal segít megvédeni az adatokat azáltal, hogy megakadályozza az adatbázishoz való hozzáférést, amíg meg nem adja, hogy mely IP-címek rendelkeznek engedéllyel. Az adatbázisszintű tűzfalszabályok az egyes kérések származó IP-címe alapján biztosítanak hozzáférést az adott adatbázishoz. A fő- és felhasználói adatbázisok adatbázisszintű tűzfalszabályai csak Transact-SQL-en keresztül hozhatók létre és kezelhetők (ellentétben a kiszolgálószintű tűzfalszabályokkal, amelyek az Azure Portal vagy a PowerShell használatával is létrehozhatók és kezelhetők). További információ: Azure SQL Database és Azure Synapse Analytics IP-tűzfalszabályok. Ez az ellenőrzés ellenőrzi, hogy az adatbázisszintű tűzfalszabályok nem biztosítanak-e hozzáférést több mint 255 IP-címhez. | Azure Synapse |
| VA2063 | A kiszolgálószintű tűzfalszabályok nem adhatnak túlzott hozzáférést | Magas | Az Azure SQL kiszolgálószintű tűzfala segít megvédeni a kiszolgálót azáltal, hogy megakadályozza az adatbázisokhoz való hozzáférést, amíg meg nem adja, hogy mely IP-címek rendelkeznek engedéllyel. A kiszolgálószintű tűzfalszabályok minden olyan adatbázishoz hozzáférést biztosítanak, amely a kiszolgálóhoz tartozik az egyes kérések származó IP-címe alapján. A kiszolgálószintű tűzfalszabályok csak a Transact-SQL-en, valamint az Azure Portalon vagy a PowerShellen keresztül hozhatók létre és kezelhetők. További információ: Azure SQL Database és Azure Synapse Analytics IP-tűzfalszabályok. Ez az ellenőrzés ellenőrzi, hogy a kiszolgálószintű tűzfalszabályok nem biztosítanak-e hozzáférést több mint 255 IP-címhez. | Azure Synapse |
| VA2064 | Az adatbázisszintű tűzfalszabályokat szigorúan nyomon kell követni és fenntartani | Magas | Az Azure SQL Database szintű tűzfal segít megvédeni az adatokat azáltal, hogy megakadályozza az adatbázishoz való hozzáférést, amíg meg nem adja, hogy mely IP-címek rendelkeznek engedéllyel. Az adatbázisszintű tűzfalszabályok az egyes kérések származó IP-címe alapján biztosítanak hozzáférést az adott adatbázishoz. A fő- és felhasználói adatbázisok adatbázisszintű tűzfalszabályai csak Transact-SQL-en keresztül hozhatók létre és kezelhetők (ellentétben a kiszolgálószintű tűzfalszabályokkal, amelyek az Azure Portal vagy a PowerShell használatával is létrehozhatók és kezelhetők). További információ: Azure SQL Database és Azure Synapse Analytics IP-tűzfalszabályok. Ez az ellenőrzés felsorolja az összes adatbázisszintű tűzfalszabályt, hogy a rajtuk végrehajtott módosítások azonosíthatók és kezelhetők legyenek. | Azure Synapse |
| VA2065 | A kiszolgálószintű tűzfalszabályokat egy szigorú minimum szinten kell nyomon követni és fenntartani | Magas | Az Azure SQL server szintű tűzfala segít megvédeni az adatokat azáltal, hogy megakadályozza az adatbázisokhoz való összes hozzáférést, amíg meg nem adja, hogy mely IP-címek rendelkeznek engedéllyel. A kiszolgálószintű tűzfalszabályok minden olyan adatbázishoz hozzáférést biztosítanak, amely a kiszolgálóhoz tartozik az egyes kérések származó IP-címe alapján. A kiszolgálószintű tűzfalszabályok a Transact-SQL-en, valamint az Azure Portalon vagy a PowerShellen keresztül hozhatók létre és kezelhetők. További információ: Azure SQL Database és Azure Synapse Analytics IP-tűzfalszabályok. Ez az ellenőrzés felsorolja az összes kiszolgálószintű tűzfalszabályt, hogy a rajtuk végrehajtott módosítások azonosíthatók és kezelhetők legyenek. | Azure Synapse |
| VA2111 | A mintaadatbázisokat el kell távolítani | Alacsony | A Microsoft SQL Server több mintaadatbázissal is rendelkezik. Ez a szabály ellenőrzi, hogy a mintaadatbázisok el lettek-e távolítva. | SQL Managed Instance |
| VA2120 | A biztonságot esetleg befolyásoló funkciókat le kell tiltani | Magas | Az SQL Server számos funkciót és szolgáltatást képes biztosítani. Előfordulhat, hogy az alapértelmezett funkciók és szolgáltatások némelyike nem szükséges, és ezek engedélyezése hátrányosan befolyásolhatja a rendszer biztonságát. Ez a szabály ellenőrzi, hogy ezek a funkciók le vannak-e tiltva. | SQL Managed Instance |
| VA2121 | Az "OLE Automation Procedures" funkciót le kell tiltani | Magas | Az SQL Server számos funkciót és szolgáltatást képes biztosítani. Előfordulhat, hogy az alapértelmezés szerint biztosított funkciók és szolgáltatások némelyike nem szükséges, és ezek engedélyezése hátrányosan befolyásolhatja a rendszer biztonságát. Az OLE Automation Procedures beállítás szabályozza, hogy az OLE Automation-objektumok példányosíthatók-e a Transact-SQL-kötegekben. Ezek olyan kiterjesztett tárolt eljárások, amelyek lehetővé teszik, hogy az SQL Server-felhasználók az SQL Serveren kívül hajthassanak végre függvényeket. Az előnyöktől függetlenül a biztonsági rések kezelésére is használható, és népszerű mechanizmus a fájlok célgépeken való telepítéséhez. Javasoljuk, hogy az eszköz helyett a PowerShellt használja. Ez a szabály ellenőrzi, hogy az "OLE Automation Procedures" funkció le van-e tiltva. | SQL Managed Instance |
| VA2122 | A "Felhasználói beállítások" funkciót le kell tiltani | Közepes | Az SQL Server számos funkciót és szolgáltatást képes biztosítani. Előfordulhat, hogy az alapértelmezett funkciók és szolgáltatások némelyike nem szükséges, és ezek engedélyezése hátrányosan befolyásolhatja a rendszer biztonságát. A felhasználói beállítások az összes felhasználó globális alapértelmezett beállításait határozzák meg. A rendszer létrehoz egy listát az alapértelmezett lekérdezésfeldolgozási lehetőségekről a felhasználó munka munkamenetének időtartamára vonatkozóan. A felhasználói beállítások lehetővé teszik a SET beállítások alapértelmezett értékeinek módosítását (ha a kiszolgáló alapértelmezett beállításai nem megfelelőek). Ez a szabály ellenőrzi, hogy a "felhasználói beállítások" funkció le van-e tiltva. | SQL Managed Instance |
| VA2126 | Ha nem szükséges, le kell tiltani a biztonságot befolyásoló bővíthetőségi funkciókat | Közepes | Az SQL Server számos funkciót és szolgáltatást kínál. Előfordulhat, hogy az alapértelmezés szerint biztosított funkciók és szolgáltatások némelyike nem szükséges, és ezek engedélyezése hátrányosan befolyásolhatja a rendszer biztonságát. Ez a szabály ellenőrzi, hogy azok a konfigurációk, amelyek lehetővé teszik az adatok külső adatforrásba való kinyerését, valamint bizonyos távoli nyelvi bővítményekkel rendelkező szkriptek végrehajtását, le vannak tiltva. |
Eltávolított szabályok
| Szabályazonosító | Szabály címe |
|---|---|
| VA1021 | A globális ideiglenes tárolt eljárásokat el kell távolítani |
| VA1024 | A C2 naplózási módot engedélyezni kell |
| VA1069 | A rendszertáblákból és nézetekből való kiválasztáshoz szükséges engedélyeket vissza kell vonni a nem sysadminoktól |
| VA1090 | Győződjön meg arról, hogy az összes kormány a polcon kívül (GOTS) és az egyéni tárolt eljárások titkosítva vannak |
| VA1103 | Csak a CLR használata SAFE_ACCESS engedéllyel |
| VA1229 | A beállításjegyzékben és az SQL Server konfigurációjában a fájlstream-beállításnak meg kell egyeznie |
| VA1231 | A fájlstreamet le kell tiltani (SQL) |
| VA1234 | A gyakori feltételek beállítását engedélyezni kell |
| VA1252 | A naplózott és központilag felügyelt események listája a kiszolgáló auditálási specifikációi alapján. |
| VA1253 | A naplózott és központilag felügyelt, adatbázis-hatókörű események listája a kiszolgáló auditálási specifikációi alapján |
| VA1263 | A rendszer összes aktív naplózásának listázása |
| VA1266 | A "MUST_CHANGE" beállítást minden SQL-bejelentkezésre be kell állítani |
| VA1276 | Az ügynök XPs funkcióját le kell tiltani |
| VA1286 | Az adatbázis-engedélyeket nem szabad közvetlenül megadni az egyszerű tagoknak (OBJECT vagy COLUMN) |
| VA2000 | A minimális számú egyszerű felhasználónak nagy hatással kell lennie az adatbázis-hatókörű engedélyekre |
| VA2001 | A minimális egyszerű halmaznak nagy hatással kell lennie az adatbázis-hatókörű engedélyekre az objektumokon vagy oszlopokon |
| VA2002 | A rendszerbiztonsági tagok minimális készletének nagy hatással kell lennie az adatbázis-hatókörű engedélyekre a különböző biztonságos objektumokhoz |
| VA2010 | A minimális főneveknek közepes hatással kell lenniük az adatbázis hatókörére vonatkozó engedélyekre |
| VA2021 | A minimális egyszerű halmaznak adatbázis-hatókörű ALTER-engedélyeket kell biztosítani az objektumokon vagy oszlopokon |
| VA2022 | A rendszerbiztonsági tagok minimális készletének adatbázis-hatókörű ALTER-engedélyt kell biztosítani a különböző biztonságos objektumokon |
| VA2030 | A rendszerbiztonsági tagok minimális készletének adatbázis-hatókörű SELECT vagy EXECUTE engedélyekkel kell rendelkeznie |
| VA2031 | A rendszerbiztonsági tagok minimális készletét adatbázis-hatókörű SELECT-nek kell adni |
| VA2032 | A minimális egyszerű halmaznak adatbázis-hatókörű SELECT vagy EXECUTE engedélyeket kell adni a sémához |
| VA2034 | A minimális számú egyszerű felhasználónak adatbázis-hatókörű EXECUTE-engedélyt kell adni az XML-sémagyűjteményhez |
| VA2040 | A minimális számú egyszerű felhasználónak alacsony hatással kell lennie az adatbázis-hatókörű engedélyekre |
| VA2041 | A minimális egyszerű halmaznak alacsony hatással kell lennie az adatbázis-hatókörű engedélyekre az objektumokon vagy oszlopokon |
| VA2042 | A minimális egyszerű halmaznak alacsony hatással kell lennie az adatbázis-hatókörű engedélyekre a sémára vonatkozóan |
| VA2050 | A minimális számú egyszerű felhasználónak adatbázis-hatókörű VIEW DEFINITION-engedélyeket kell biztosítani |
| VA2051 | A minimális egyszerű halmaznak adatbázis-hatókörű VIEW DEFINITION-engedélyeket kell biztosítani az objektumokon vagy oszlopokon |
| VA2052 | A rendszerbiztonsági tagok minimális készletének adatbázis-hatókörű VIEW DEFINITION-engedélyt kell biztosítani a különböző biztonságos objektumokhoz |
| VA2100 | A minimális főneveknek nagy hatással kell lenniük a kiszolgáló hatókörére vonatkozó engedélyekre |
| VA2101 | A minimális számú egyszerű felhasználónak közepes hatással kell lennie a kiszolgáló hatókörére vonatkozó engedélyekre |
| VA2102 | A minimális számú egyszerű felhasználónak alacsony hatással kell lennie a kiszolgáló hatókörére vonatkozó engedélyekre |
| VA2104 | A kiterjesztett tárolt eljárások végrehajtási engedélyeit vissza kell vonni a NYILVÁNOS eljárásból |
| VA2105 | A bejelentkezési jelszót nem szabad könnyen kitalálni |
| VA2112 | A PUBLIC for Data Transformation Services (DTS) engedélyeit vissza kell vonni |
| VA2115 | A minimális egyszerű halmaznak közepes hatással kell lennie a rögzített kiszolgálói szerepkörökre |
| VA2123 | A "Távelérés" funkciót le kell tiltani |
| VA2127 | A "Külső szkriptek" funkciót le kell tiltani |