Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini mencantumkan kumpulan aturan bawaan yang digunakan untuk memberi bendera kerentanan keamanan dan menyoroti penyimpangan dari praktik terbaik, seperti kesalahan konfigurasi dan izin yang berlebihan. Aturan ini didasarkan pada praktik terbaik Microsoft dan fokus pada masalah keamanan yang menghadirkan risiko terbesar untuk database Anda dan data berharganya. Aturan tersebut mencakup masalah tingkat database dan masalah keamanan tingkat server, seperti pengaturan firewall server dan izin tingkat server. Aturan ini juga mewakili banyak persyaratan dari berbagai badan pengatur untuk memenuhi standar kepatuhan mereka.
Berlaku untuk: 
Azure SQL Database Azure SQL Managed Instance Azure Synapse Analytics SQL Server (semua versi yang didukung)
Aturan yang ditampilkan dalam pemindaian database Anda bergantung pada versi SQL dan platform yang dipindai.
Untuk mempelajari tentang cara menerapkan penilaian kerentanan di Azure, lihat Menerapkan penilaian kerentanan.
Untuk daftar perubahan pada aturan ini, lihat log perubahan aturan penilaian kerentanan SQL.
Kategori aturan
Aturan penilaian kerentanan SQL memiliki lima kategori, yang berada di bagian berikut:
- Autentikasi dan Otorisasi
- Pengauditan dan Pencatatan
- Perlindungan Data
- Pembaruan dan Patch Penginstalan
- Pengurangan Area Permukaan
1 SQL Server 2012+ mengacu pada semua versi SQL Server 2012 ke atas.
2 SQL Server 2017+ mengacu pada semua versi SQL Server 2017 ke atas.
3 SQL Server 2016+ mengacu pada semua versi SQL Server 2016 ke atas.
Autentikasi dan Otorisasi
| ID Aturan | Judul Aturan | Keparahan Aturan | Deskripsi Aturan | Platform |
|---|---|---|---|---|
| VA1017 | Izin jalankan pada xp_cmdshell dari semua pengguna (kecuali dbo) harus dicabut | Sangat Penting | Prosedur tersimpan xp_cmdshell yang diperluas menghasilkan shell perintah Windows, melewati string untuk dijalankan. Aturan ini memeriksa bahwa tidak ada pengguna (selain pengguna dengan izin CONTROL SERVER seperti anggota peran server sysadmin) yang memiliki izin untuk menjalankan prosedur tersimpan xp_cmdshell yang diperluas. | |
| VA1020 | Pengguna database TAMU tidak boleh menjadi anggota dari peran apa pun | Sangat Penting | Pengguna tamu mengizinkan akses ke database untuk setiap login yang tidak dipetakan ke pengguna database tertentu. Aturan ini memeriksa bahwa tidak ada peran database yang ditetapkan untuk pengguna Tamu. | SQL Database |
| VA1042 | Rangkaian kepemilikan database harus dinonaktifkan untuk semua database kecuali untuk master, msdb, dan tempdb |
Sangat Penting | Rangkaian kepemilikan lintas database adalah ekstensi rangkaian kepemilikan, kecuali rangkaian tersebut melewati batas database. Aturan ini memeriksa bahwa opsi ini dinonaktifkan untuk semua database kecuali master, msdb, dan tempdb . Untuk master, msdb, dan tempdb, rangkaian kepemilikan lintas database diaktifkan secara default. |
Instans Terkelola SQL |
| VA1043 | TAMU utama tidak boleh memiliki akses ke database pengguna apa pun | Medium | Pengguna tamu mengizinkan akses ke database untuk setiap login yang tidak dipetakan ke pengguna database tertentu. Aturan ini memeriksa bahwa pengguna tamu tidak dapat tersambung ke database apa pun. | Instans Terkelola SQL |
| VA1046 | CHECK_POLICY harus diaktifkan untuk semua login SQL | Kurang Penting | Opsi CHECK_POLICY ini mengaktifkan verifikasi login SQL terhadap kebijakan domain. Aturan ini memeriksa bahwa opsi CHECK_POLICY diaktifkan untuk semua login SQL. | Instans Terkelola SQL |
| VA1047 | Pemeriksaan kedaluwarsa kata sandi harus diaktifkan untuk semua login SQL | Kurang Penting | Kebijakan kedaluwarsa kata sandi digunakan untuk mengelola masa pakai kata sandi. Ketika SQL Server memberlakukan kebijakan kedaluwarsa kata sandi, pengguna diingatkan untuk mengubah kata sandi lama, dan akun yang memiliki kata sandi kedaluwarsa dinonaktifkan. Aturan ini memeriksa bahwa kebijakan kedaluwarsa kata sandi diaktifkan untuk semua login SQL. | Instans Terkelola SQL |
| VA1048 | Pelaku utama database tidak boleh dipetakan ke akun sa |
Sangat Penting | Pelaku utama database yang dipetakan ke akun sa dapat dieksploitasi oleh penyerang untuk meningkatkan izin ke sysadmin |
Instans Terkelola SQL |
| VA1052 | Hapus BUILTIN\Administrator sebagai login server | Kurang Penting | Grup BUILTIN\Administrator berisi grup Admin Lokal Windows. Dalam versi Microsoft SQL Server yang lebih lama, grup ini memiliki hak administrator secara default. Aturan ini memeriksa bahwa grup ini dihapus dari SQL Server. | |
| VA1053 | Akun dengan nama default sa harus diganti namanya atau dinonaktifkan |
Kurang Penting | sa adalah akun terkenal dengan ID utama 1. Aturan ini memverifikasi bahwa akun sa tersebut diganti namanya atau dinonaktifkan. |
Instans Terkelola SQL |
| VA1054 | Izin yang berlebihan tidak boleh diberikan ke peran PUBLIK pada objek atau kolom | Kurang Penting | Setiap login SQL Server merupakan milik peran server publik. Ketika perwakilan server tidak diberikan atau ditolak izin tertentu pada objek yang dapat diamankan, pengguna mewarisi izin yang diberikan kepada publik pada objek tersebut. Aturan ini menampilkan daftar semua objek atau kolom yang dapat diamankan yang dapat diakses oleh semua pengguna melalui peran PUBLIK. | SQL Database |
| VA1058 | sa login harus dinonaktifkan |
Sangat Penting | sa adalah akun terkenal dengan ID utama 1. Aturan ini memverifikasi bahwa akun sa dinonaktifkan. |
Instans Terkelola SQL |
| VA1059 | xp_cmdshell harus dinonaktifkan | Sangat Penting | xp_cmdshell menghasilkan shell perintah Windows dan meneruskan string padanya untuk dijalankan. Aturan ini memeriksa bahwa xp_cmdshell dinonaktifkan. | Instans Terkelola SQL |
| VA1067 | Database Mail XP harus dinonaktifkan ketika tidak sedang digunakan | Medium | Aturan ini memeriksa bahwa Email Database dinonaktifkan ketika tidak ada profil email database yang dikonfigurasi. Email Database dapat digunakan untuk mengirim pesan email dari Mesin Database SQL Server dan dinonaktifkan secara default. Jika Anda tidak menggunakan fitur ini, disarankan untuk menonaktifkannya untuk mengurangi area permukaan. | |
| VA1068 | Izin server tidak boleh diberikan langsung ke pelaku utama | Kurang Penting | Izin tingkat server dikaitkan dengan objek tingkat server untuk mengatur pengguna mana yang bisa mendapatkan akses ke objek. Aturan ini memeriksa bahwa tidak ada izin tingkat server yang diberikan langsung ke login. | Instans Terkelola SQL |
| VA1070 | Pengguna database tidak boleh berbagi nama yang sama sebagai login server | Kurang Penting | Pengguna database mungkin berbagi nama yang sama dengan login server. Aturan ini memvalidasi bahwa tidak ada pengguna seperti itu. | Instans Terkelola SQL |
| VA1072 | Mode autentikasi harus Autentikasi Windows | Medium | Ada dua mode autentikasi yang dimungkinkan: Mode Autentikasi Windows dan mode campuran. Mode campuran berarti bahwa SQL Server memungkinkan Autentikasi Windows dan autentikasi SQL Server. Aturan ini memeriksa apakah mode autentikasi diatur ke Autentikasi Windows. | |
| VA1094 | Izin database tidak boleh diberikan langsung ke pelaku utama | Kurang Penting | Izin adalah aturan yang terkait dengan objek yang dapat diamankan untuk mengatur pengguna mana yang dapat memperoleh akses ke objek. Aturan ini memeriksa bahwa tidak ada izin DB yang diberikan langsung kepada pengguna. | Instans Terkelola SQL |
| VA1095 | Izin yang berlebihan tidak boleh diberikan kepada peran PUBLIK | Medium | Setiap login SQL Server merupakan milik peran server publik. Ketika perwakilan server belum diberikan atau ditolak izin tertentu pada objek yang dapat diamankan, pengguna mewarisi izin yang diberikan kepada publik pada objek tersebut. Ini menampilkan daftar semua izin yang diberikan ke peran PUBLIK. | Instans Terkelola SQL SQL Database |
| VA1096 | TAMU utama tidak boleh diberikan izin dalam database | Kurang Penting | Setiap database menyertakan pengguna yang disebut dengan TAMU. Izin yang diberikan kepada TAMU diwarisi oleh pengguna yang memiliki akses ke database tetapi tidak memiliki akun pengguna dalam database. Aturan ini memeriksa bahwa semua izin telah dicabut dari pengguna TAMU. | Instans Terkelola SQL SQL Database |
| VA1097 | TAMU utama tidak boleh diberikan izin pada objek atau kolom | Kurang Penting | Setiap database menyertakan pengguna yang disebut dengan TAMU. Izin yang diberikan kepada TAMU diwarisi oleh pengguna yang memiliki akses ke database tetapi tidak memiliki akun pengguna dalam database. Aturan ini memeriksa bahwa semua izin telah dicabut dari pengguna TAMU. | Instans Terkelola SQL SQL Database |
| VA1099 | Pengguna TAMU tidak boleh diberikan izin pada data yang dapat diamankan di database | Kurang Penting | Setiap database menyertakan pengguna yang disebut dengan TAMU. Izin yang diberikan kepada TAMU diwarisi oleh pengguna yang memiliki akses ke database tetapi tidak memiliki akun pengguna dalam database. Aturan ini memeriksa bahwa semua izin telah dicabut dari pengguna TAMU. | Instans Terkelola SQL SQL Database |
| VA1246 | Peran aplikasi tidak boleh digunakan | Kurang Penting | Peran aplikasi adalah pelaku utama database yang memungkinkan aplikasi berjalan dengan izin seperti penggunanya sendiri. Peran aplikasi mengaktifkan hanya pengguna yang tersambung melalui aplikasi tertentu yang dapat mengakses data tertentu. Peran aplikasi berbasis kata sandi (aplikasi mana yang biasanya hardcode) dan bukan berbasis izin yang memaparkan database ke peniruan peran aplikasi dengan menebak kata sandi. Aturan ini memeriksa bahwa tidak ada peran aplikasi yang ditentukan dalam database. | Instans Terkelola SQL SQL Database |
| VA1248 | Peran database yang ditentukan pengguna tidak boleh menjadi anggota peran tetap | Medium | Untuk mengelola izin dalam database Anda dengan mudah, SQL Server menyediakan beberapa peran, yang merupakan pelaku utama keamanan yang mengelompokkan pelaku utama lain. Mereka seperti grup dalam sistem operasi Microsoft Windows. Akun database dan peran SQL Server lainnya dapat ditambahkan ke dalam peran tingkat database. Setiap anggota peran database tetap dapat menambahkan pengguna lain ke peran yang sama. Aturan ini memeriksa bahwa tidak ada peran yang ditentukan pengguna yang merupakan anggota peran tetap. | Instans Terkelola SQL SQL Database Azure Synapse |
| VA1267 | Pengguna mandiri harus menggunakan Autentikasi Windows | Medium | Pengguna mandiri adalah pengguna yang ada dalam database dan tidak memerlukan pemetaan login. Aturan ini memeriksa bahwa pengguna mandiri menggunakan Autentikasi Windows. | Instans Terkelola SQL |
| VA1280 | Izin Server yang diberikan ke publik harus dikecilkan | Medium | Setiap login SQL Server merupakan milik peran server publik. Ketika perwakilan server tidak diberikan atau ditolak izin tertentu pada objek yang dapat diamankan, pengguna mewarisi izin yang diberikan kepada publik pada objek tersebut. Aturan ini memeriksa bahwa izin server yang diberikan kepada publik dikecilkan. | Instans Terkelola SQL |
| VA1282 | Peran tanpa induk harus dihapus | Kurang Penting | Peran tanpa induk adalah peran yang ditentukan pengguna yang tidak memiliki anggota. Hapus peran tanpa induk karena tidak diperlukan pada sistem. Aturan ini memeriksa apakah ada peran tanpa induk. | Instans Terkelola SQL SQL Database Azure Synapse |
| VA2020 | Set pelaku utama minimal harus diberikan izin dengan cakupan database ALTER atau ALTER ANY USER | Sangat Penting | Setiap data SQL Server yang dapat diamankan memiliki izin yang terkait dengannya yang dapat diberikan kepada pelaku utama. Izin dapat dicakup di tingkat server (ditetapkan ke login dan peran server) atau di tingkat database (ditetapkan ke pengguna database dan peran database). Aturan ini memeriksa bahwa hanya set pelaku utama minimal yang diberikan izin dengan cakupan database ALTER atau ALTER ANY USER. | Instans Terkelola SQL SQL Database Azure Synapse |
| VA2033 | Set pelaku utama minimal harus diberikan izin dengan cakupan database JALANKAN pada objek atau kolom | Kurang Penting | Aturan ini memeriksa pelaku utama mana yang diberikan izin JALANKAN pada objek atau kolom untuk memastikan izin ini diberikan kepada set pelaku utama minimal. Setiap data SQL Server yang dapat diamankan memiliki izin yang terkait dengannya yang dapat diberikan kepada pelaku utama. Izin dapat dicakup di tingkat server (ditetapkan ke login dan peran server) atau di tingkat database (ditetapkan ke pengguna database, peran database, atau peran aplikasi). Izin JALANKAN berlaku untuk prosedur tersimpan dan fungsi bernilai skalar, yang dapat digunakan dalam kolom komputasi. | Instans Terkelola SQL SQL Database Azure Synapse |
| VA2103 | Izin jalankan yang tidak perlu pada prosedur tersimpan yang diperluas harus dicabut | Medium | Prosedur tersimpan yang diperluas adalah DLL (dynamic-link library/perpustakaan taut-dinamis) yang mana instans SQL Server dapat dimuat dan dijalankan secara dinamis. SQL Server dipaketkan dengan banyak prosedur tersimpan yang diperluas yang memungkinkan interaksi dengan DLL sistem. Aturan ini memeriksa bahwa izin jalankan yang tidak perlu pada prosedur tersimpan yang diperluas telah dicabut. | Instans Terkelola SQL |
| VA2107 | Set pelaku utama minimal harus menjadi anggota peran database master Azure SQL Database tetap | Sangat Penting | SQL Database menyediakan dua peran administratif terbatas dalam database master tempat akun pengguna dapat ditambahkan yang memberikan izin untuk membuat database atau mengelola login. Aturan ini memeriksa bahwa set pelaku utama minimal adalah anggota peran administratif ini. | Azure Synapse |
| VA2108 | Set pelaku utama minimal harus menjadi anggota peran database berdampak tinggi tetap | Sangat Penting | SQL Server menyediakan peran untuk membantu mengelola izin. Peran adalah pelaku utama keamanan yang mengelompokkan pelaku utama lainnya. Peran tingkat database adalah seluruh database dalam cakupan izin mereka. Aturan ini memeriksa bahwa set pelaku utama minimal adalah anggota peran database tetap. | Instans Terkelola SQL SQL Database Azure Synapse |
| VA2109 | Set pelaku utama minimal harus menjadi anggota peran database berdampak rendah tetap | Kurang Penting | SQL Server menyediakan peran untuk membantu mengelola izin. Peran adalah pelaku utama keamanan yang mengelompokkan pelaku utama lainnya. Peran tingkat database adalah seluruh database dalam cakupan izin mereka. Aturan ini memeriksa bahwa set pelaku utama minimal adalah anggota peran database tetap. | Instans Terkelola SQL SQL Database Azure Synapse |
| VA2110 | Izin jalankan untuk mengakses registri harus dicabut | Sangat Penting | Prosedur tersimpan diperluas registri memungkinkan Microsoft SQL Server membaca, menulis dan menghitung nilai dan kunci dalam registri. Mereka digunakan oleh Manajer Perusahaan untuk mengonfigurasi server. Aturan ini memeriksa bahwa izin untuk menjalankan prosedur tersimpan diperluas registri telah dicabut dari semua pengguna (selain dbo). | Instans Terkelola SQL |
| VA2113 | Izin Layanan Transformasi Data (DTS) hanya boleh diberikan kepada peran SSIS | Medium | Layanan Transformasi Data (DTS), adalah set objek dan utilitas yang memungkinkan automasi operasi ekstrak, transformasi, dan memuat ke atau dari database. Objek adalah paket DTS dan komponennya, dan utilitas disebut sebagai alat DTS. Aturan ini memeriksa bahwa hanya peran SSIS yang diberikan izin untuk menggunakan prosedur tersimpan sistem DTS dan izin untuk peran PUBLIK untuk menggunakan prosedur tersimpan sistem DTS telah dicabut. | Instans Terkelola SQL |
| VA2114 | Set pelaku utama minimal harus menjadi anggota peran server tetap berdampak tinggi | Sangat Penting | SQL Server menyediakan peran untuk membantu mengelola izin. Peran adalah pelaku utama keamanan yang mengelompokkan pelaku utama lainnya. Peran tingkat server adalah seluruh server dalam cakupan izin mereka. Aturan ini memeriksa bahwa set pelaku utama minimal adalah anggota peran server tetap. | Instans Terkelola SQL |
| VA2129 | Perubahan pada modul yang ditandatangani harus diotorisasi | Sangat Penting | Anda dapat menandatangani prosedur tersimpan, fungsi, atau pemicu dengan sertifikat atau kunci asimetris. Ini dirancang untuk skenario ketika izin tidak dapat diwariskan melalui rangkaian kepemilikan atau ketika rangkaian kepemilikan rusak, seperti SQL dinamis. Aturan ini memeriksa perubahan yang dilakukan pada modul yang ditandatangani, yang bisa menjadi indikasi penggunaan berbahaya. | SQL Database Instans Terkelola SQL |
| VA2130 | Melacak semua pengguna dengan akses ke database | Kurang Penting | Pemeriksaan ini melacak semua pengguna dengan akses ke database. Pastikan bahwa pengguna ini diotorisasi sesuai dengan peran mereka saat ini dalam organisasi. | Azure Synapse |
| VA2201 | Login SQL dengan nama yang umum digunakan harus dinonaktifkan | Sangat Penting | Aturan ini memeriksa akun dengan izin pemilik database untuk nama yang umum digunakan. Menetapkan nama yang umum digunakan ke akun dengan izin pemilik database meningkatkan kemungkinan keberhasilan serangan brute force. |
Pengauditan dan Pencatatan
| ID Aturan | Judul Aturan | Keparahan Aturan | Deskripsi Aturan | Platform |
|---|---|---|---|---|
| VA1045 | Pelacakan default harus diaktifkan | Medium | Pelacakan default memberikan bantuan pemecahan masalah kepada administrator database dengan memastikan bahwa mereka memiliki data log yang diperlukan untuk mendiagnosis masalah saat pertama kali terjadi. Aturan ini memeriksa bahwa pelacakan default diaktifkan. | Instans Terkelola SQL |
| VA1091 | Pengauditan upaya masuk yang berhasil dan gagal (pelacakan default) harus diaktifkan ketika 'Pengauditan data masuk' disiapkan untuk melacak data masuk | Kurang Penting | Konfigurasi audit Login SQL Server memungkinkan admin untuk melacak pengelogan pengguna ke instans SQL Server. Jika pengguna memilih untuk mengandalkan 'Audit login' untuk melacak pengelogan pengguna ke instans SQL Server, maka penting untuk mengaktifkannya untuk upaya login yang berhasil dan gagal. | |
| VA1093 | Jumlah maksimum log galat harus 12 atau lebih | Kurang Penting | Setiap log galat SQL Server akan memiliki semua informasi yang terkait dengan kegagalan/kesalahan yang terjadi sejak SQL Server terakhir dihidupkan ulang atau sejak terakhir kali Anda mendaur ulang log galat. Aturan ini memeriksa bahwa jumlah maksimum log galat adalah 12 atau lebih. | |
| VA1258 | Pemilik database seperti yang diperkirakan | Sangat Penting | Pemilik database dapat melakukan semua aktivitas konfigurasi dan pemeliharaan pada database dan juga dapat menghilangkan database di SQL Server. Melacak pemilik database penting dilakukan untuk menghindari memiliki izin yang berlebihan untuk beberapa pelaku utama. Buat garis besar yang menentukan pemilik database yang diperkirakan untuk database. Aturan ini memeriksa apakah pemilik database seperti yang ditentukan dalam garis besar. | SQL Database Azure Synapse |
| VA1264 | Audit upaya masuk yang berhasil dan gagal harus diaktifkan | Kurang Penting | Konfigurasi audit SQL Server memungkinkan admin untuk melacak pengelogan pengguna ke instans SQL Server yang menjadi tanggung jawab mereka. Aturan ini memeriksa bahwa audit diaktifkan untuk upaya login yang berhasil dan gagal. | Instans Terkelola SQL |
| VA1265 | Audit upaya login yang berhasil dan gagal untuk autentikasi DB mandiri harus diaktifkan | Medium | Konfigurasi audit SQL Server memungkinkan admin untuk melacak pengelogan pengguna ke instans SQL Server yang menjadi tanggung jawab mereka. Aturan ini memeriksa bahwa audit diaktifkan untuk upaya login yang berhasil dan gagal untuk autentikasi DB mandiri. | Instans Terkelola SQL |
| VA1281 | Semua keanggotaan untuk peran yang ditentukan pengguna harus dimaksudkan | Medium | Peran yang ditentukan pengguna adalah pelaku utama keamanan yang ditentukan oleh pengguna untuk mengelompokkan pelaku utama untuk mengelola izin dengan mudah. Pemantauan peran ini penting untuk menghindari memiliki izin yang berlebihan. Buat garis besar yang menentukan keanggotaan yang diperkirakan untuk setiap peran yang ditentukan pengguna. Aturan ini memeriksa apakah semua keanggotaan untuk peran yang ditentukan pengguna seperti yang ditentukan dalam garis besar. | Instans Terkelola SQL SQL Database Azure Synapse |
| VA1283 | Harus ada setidaknya 1 audit aktif dalam sistem | Kurang Penting | Audit instans Mesin Database SQL Server atau database individual melibatkan peristiwa pelacakan dan pengelogan yang terjadi pada Mesin Database. Objek Audit SQL Server mengumpulkan satu instans tindakan tingkat server atau grup tindakan database untuk dipantau. Aturan ini memeriksa bahwa setidaknya ada satu audit aktif dalam sistem. | Instans Terkelola SQL |
| VA2061 | Audit harus diaktifkan pada tingkat server | Sangat Penting | Audit Azure SQL Database melacak peristiwa database dan menuliskannya ke log audit di akun penyimpanan Azure Anda. Audit membantu Anda memahami aktivitas database dan mendapatkan wawasan tentang ketidaksesuaian dan anomali yang dapat menunjukkan masalah bisnis atau dugaan pelanggaran keamanan serta membantu Anda memenuhi kepatuhan terhadap peraturan. Untuk informasi selengkapnya, lihat Audit Azure SQL. Aturan ini memeriksa bahwa audit diaktifkan. | Azure Synapse |
Perlindungan Data
| ID Aturan | Judul Aturan | Keparahan Aturan | Deskripsi Aturan | Platform |
|---|---|---|---|---|
| VA1098 | Setiap SSB atau titik akhir Pencerminan yang ada memerlukan koneksi AES | Sangat Penting | Titik akhir Service Broker dan Pencerminan mendukung algoritma enkripsi yang berbeda termasuk tanpa enkripsi. Aturan ini memeriksa bahwa titik akhir yang ada memerlukan enkripsi AES. | |
| VA1219 | Enkripsi data transparan harus diaktifkan | Medium | Enkripsi data transparan (TDE) membantu melindungi file database terhadap pengungkapan informasi dengan melakukan enkripsi dan dekripsi database secara real time, pencadangan terkait, dan file log transaksi 'tidak aktif', tanpa memerlukan perubahan pada aplikasi. Aturan ini memeriksa bahwa TDE diaktifkan pada database. | Instans Terkelola SQL SQL Database Azure Synapse |
| VA1220 | Komunikasi database menggunakan TDS harus dilindungi melalui TLS | Sangat Penting | Microsoft SQL Server dapat menggunakan Lapisan Soket Aman (SSL) atau Keamanan Lapisan Transportasi (TLS) untuk mengenkripsi data yang dikirimkan di seluruh jaringan antara instans SQL Server dan aplikasi klien. Aturan ini memeriksa bahwa semua koneksi ke SQL Server dienkripsi melalui TLS. | Instans Terkelola SQL |
| VA1221 | Kunci Simetris Enkripsi Database harus menggunakan algoritma AES | Sangat Penting | SQL Server menggunakan kunci enkripsi untuk membantu mengamankan informasi masuk data dan informasi koneksi yang disimpan dalam database server. SQL Server memiliki dua jenis kunci: simetris dan asimetris. Aturan ini memeriksa bahwa Kunci Simetris Enkripsi Database menggunakan algoritma AES. | Instans Terkelola SQL SQL Database Azure Synapse |
| VA1222 | Kunci Enkripsi Tingkat Sel harus menggunakan algoritma AES | Sangat Penting | Enkripsi Tingkat Sel (CLE) memungkinkan Anda mengenkripsi data menggunakan kunci simetris dan asimetris. Aturan ini memeriksa bahwa kunci simetris Enkripsi Tingkat Sel menggunakan algoritma AES. | Instans Terkelola SQL |
| VA1223 | Kunci sertifikat harus menggunakan setidaknya 2048 bit | Sangat Penting | Kunci sertifikat digunakan dalam RSA dan algoritma enkripsi lainnya untuk melindungi data. Kunci ini harus memiliki panjang yang cukup untuk mengamankan data pengguna. Aturan ini memeriksa bahwa panjang kunci setidaknya 2048 bit untuk semua sertifikat. | Instans Terkelola SQL SQL Database Azure Synapse |
| VA1224 | Panjang kunci asimetris harus setidaknya 2048 bit | Sangat Penting | Kunci asimetris database digunakan dalam banyak algoritma enkripsi, kunci ini harus memiliki panjang yang cukup untuk mengamankan data terenkripsi, aturan ini memeriksa bahwa semua kunci asimetris yang disimpan dalam database memiliki panjang setidaknya 2048 bit | SQL Database |
| VA1279 | Paksa enkripsi harus diaktifkan untuk TDS | Sangat Penting | Ketika opsi Paksa Enkripsi untuk Mesin Database diaktifkan, semua komunikasi antara klien dan server dienkripsi terlepas dari apakah opsi 'Enkripsi koneksi' (seperti dari SQL Server Management Studio) diperiksa atau tidak. Aturan ini memeriksa bahwa opsi Paksa Enkripsi diaktifkan. | |
| VA2060 | Deteksi Ancaman SQL harus diaktifkan di tingkat server | Medium | Deteksi Ancaman SQL menyediakan lapisan keamanan yang mendeteksi potensi kerentanan dan aktivitas anomali dalam database seperti serangan injeksi SQL dan pola perilaku yang tidak biasa. Saat potensi ancaman terdeteksi, Deteksi Ancaman mengirimkan peringatan waktu nyata yang dapat ditindaklanjuti melalui email dan di Microsoft Defender untuk Cloud, yang mencakup penyelidikan yang jelas dan langkah-langkah perbaikan untuk ancaman tertentu. Untuk informasi selengkapnya, silakan lihat Mengonfigurasi deteksi ancaman. Pemeriksaan ini memverifikasi bahwa Deteksi Ancaman SQL diaktifkan | Instans Terkelola SQL SQL Database Azure Synapse |
Pembaruan dan Patch Penginstalan
| ID Aturan | Judul Aturan | Keparahan Aturan | Deskripsi Aturan | Platform |
|---|---|---|---|---|
| VA1018 | Pembaruan terbaru harus diinstal | Sangat Penting | Microsoft secara berkala merilis Pembaruan Kumulatif (CU) untuk setiap versi SQL Server. Aturan ini memeriksa apakah CU terbaru telah diinstal untuk versi tertentu dari SQL Server yang digunakan, dengan meneruskan string untuk dijalankan. Aturan ini memeriksa bahwa semua pengguna (kecuali dbo) tidak memiliki izin untuk prosedur tersimpan xp_cmdshell yang diperluas. | SQL Server 2017 SQL Server 2019 SQL Server 2022 |
| VA2128 | Penilaian kerentanan tidak didukung untuk versi SQL Server yang lebih rendah dari SQL Server 2012 | Sangat Penting | Untuk menjalankan pemindaian penilaian kerentanan di SQL Server Anda, server perlu ditingkatkan ke SQL Server 2012 atau yang lebih tinggi, SQL Server 2008 R2 dan di bawahnya tidak lagi didukung oleh Microsoft. Untuk informasi selengkapnya, lihat | Instans Terkelola SQL SQL Database Azure Synapse |
Pengurangan Area Permukaan
| ID Aturan | Judul Aturan | Keparahan Aturan | Deskripsi Aturan | Platform |
|---|---|---|---|---|
| VA1022 | Kueri terdistribusi ad hoc harus dinonaktifkan | Medium | Kueri terdistribusi ad hoc menggunakan fungsi OPENROWSET dan OPENDATASOURCE untuk menyambungkan ke sumber daya data jarak jauh yang menggunakan OLE DB. Aturan ini memeriksa bahwa kueri terdistribusi ad hoc dinonaktifkan. |
|
| VA1023 | CLR harus dinonaktifkan | Sangat Penting | CLR memungkinkan kode terkelola untuk di-hosting dan dijalankan di lingkungan Microsoft SQL Server. Aturan ini memeriksa bahwa CLR dinonaktifkan. | |
| VA1026 | CLR harus dinonaktifkan | Medium | CLR memungkinkan kode terkelola untuk di-hosting dan dijalankan di lingkungan Microsoft SQL Server. Keamanan ketat CLR memperlakukan assembly AMAN dan EXTERNAL_ACCESS seolah-olah keduanya ditandai sebagai TIDAK AMAN dan mengharuskan semua assembly ditandatangani dengan sertifikat atau kunci asimetris dengan login terkait yang telah diberikan izin ASSEMBLY TIDAK AMAN di database master. Aturan ini memeriksa bahwa CLR dinonaktifkan. | Instans Terkelola SQL |
| VA1027 | Assembly tepercaya yang tidak terlacak harus dihapus | Sangat Penting | Assembly yang ditandai sebagai TIDAK AMAN harus ditandatangani oleh sertifikat atau kunci asimetris dengan login terkait yang telah diberikan izin ASSEMBLY TIDAK AMAN di database master. Rakitan tepercaya mungkin melewati persyaratan ini. | Instans Terkelola SQL |
| VA1044 | Sambungan Admin Jarak Jauh harus dinonaktifkan kecuali diperlukan secara khusus | Medium | Aturan ini memeriksa bahwa koneksi admin khusus jarak jauh dinonaktifkan jika mereka tidak digunakan untuk pengklusteran untuk mengurangi area permukaan serangan. SQL Server menyediakan koneksi administrator khusus (DAC). DAC memungkinkan administrator mengakses server yang sedang berjalan untuk menjalankan fungsi diagnostik atau pernyataan T-SQL, atau untuk memecahkan masalah di server dan menjadi target yang menarik untuk diserang ketika diaktifkan dari jarak jauh. | Instans Terkelola SQL |
| VA1051 | AUTO_CLOSE harus dinonaktifkan di semua database | Medium | Opsi AUTO_CLOSE menentukan apakah database dimatikan dengan perlahan dan membebaskan sumber daya setelah pengguna terakhir diputus sambungannya. Terlepas dari keuntungannya, opsi ini dapat menyebabkan penolakan layanan dengan membuka dan menutup database secara agresif, sehingga penting untuk menjaga fitur ini tetap dinonaktifkan. Aturan ini memeriksa bahwa opsi ini dinonaktifkan pada database saat ini. | |
| VA1066 | Titik akhir service broker yang tidak digunakan harus dihapus | Kurang Penting | Service Broker menyediakan antrean dan olahpesan yang dapat diandalkan untuk SQL Server. Service Broker digunakan baik untuk aplikasi yang menggunakan satu instans SQL Server dan aplikasi yang mendistribusikan pekerjaan di beberapa instans. Titik akhir Service Broker menyediakan opsi untuk keamanan transportasi dan penerusan pesan. Aturan ini menghitung semua titik akhir service broker. Hapus yang tidak digunakan. | |
| VA1071 | Opsi 'Pindai prosedur tersimpan startup' harus dinonaktifkan | Medium | Ketika 'Pindai prosedur tersimpan startup' diaktifkan, SQL Server memindai dan menjalankan semua secara otomatis menjalankan prosedur tersimpan yang ditentukan pada server. Jika opsi ini diaktifkan, SQL Server memindai dan menjalankan semua secara otomatis menjalankan prosedur tersimpan yang ditentukan pada server. Aturan ini memeriksa bahwa opsi ini dinonaktifkan. | |
| VA1092 | Instans SQL Server tidak boleh diiklankan oleh layanan SQL Server Browser | Kurang Penting | SQL Server menggunakan layanan SQL Server Browser untuk menghitung instans Mesin Database yang diinstal pada komputer. Ini memungkinkan aplikasi klien untuk menelusuri server dan membantu klien membedakan antara beberapa instans Mesin Database pada komputer yang sama. Aturan ini memeriksa bahwa instans SQL disembunyikan. | |
| VA1102 | Bit Tepercaya harus dinonaktifkan di semua database kecuali MSDB | Sangat Penting | Properti database TEPERCAYA digunakan untuk menunjukkan apakah instans SQL Server mempercayai database dan konten di dalamnya. Jika opsi ini diaktifkan, modul database (misalnya fungsi yang ditentukan pengguna atau prosedur tersimpan) yang menggunakan konteks peniruan dapat mengakses sumber daya di luar database. Aturan ini memverifikasi bahwa bit TEPERCAYA dinonaktifkan di semua database kecuali MSDB. | Instans Terkelola SQL |
| VA1143 | Pengguna 'dbo' tidak boleh digunakan untuk operasi layanan normal | Medium | 'dbo' atau pemilik database adalah akun pengguna yang memiliki izin tersirat untuk melakukan semua aktivitas dalam database. Anggota peran server tetap sysadmin secara otomatis dipetakan ke dbo. Aturan ini memeriksa bahwa dbo bukan satu-satunya akun yang diizinkan mengakses database ini. Perhatikan bahwa pada database bersih yang baru dibuat, aturan ini akan gagal sampai peran tambahan dibuat. | Instans Terkelola SQL SQL Database Azure Synapse |
| VA1144 | Database model hanya boleh diakses oleh 'dbo' | Medium | Database Model digunakan sebagai templat untuk semua database yang dibuat pada instans SQL Server. Modifikasi yang dilakukan pada database model seperti model pemulihan ukuran database dan opsi database lainnya diterapkan ke database apa pun yang dibuat sesudahnya. Aturan ini memeriksa bahwa dbo adalah satu-satunya akun yang diizinkan untuk mengakses database model. | Instans Terkelola SQL |
| VA1230 | Aliran file harus dinonaktifkan | Sangat Penting | ALIRAN FILE mengintegrasikan Mesin Database SQL Server dengan sistem file NTFS dengan menyimpan data objek besar biner (BLOB) varbinary (maks) sebagai file pada sistem file. Pernyataan T-SQL dapat menyisipkan, memperbarui, mengkueri, mencari, dan mencadangkan data ALIRAN FILE. Mengaktifkan Aliran File di server SQL memaparkan API streaming NTFS tambahan, yang meningkatkan permukaan serangannya dan membuatnya rentan terhadap serangan berbahaya. Aturan ini memeriksa bahwa Aliran File dinonaktifkan. | |
| VA1235 | Konfigurasi server 'Replikasi XP' harus dinonaktifkan | Medium | Nonaktifkan konfigurasi server 'Replikasi XP' yang tidak digunakan lagi untuk membatasi area permukaan serangan. Ini adalah pengaturan konfigurasi internal saja. | Instans Terkelola SQL |
| VA1244 | Pengguna tanpa induk harus dihapus dari database server SQL | Medium | Pengguna database yang ada di database tetapi tidak memiliki login terkait dalam database master atau sebagai sumber daya eksternal (misalnya, pengguna Windows) disebut sebagai pengguna tanpa induk dan harus dihapus atau dipetakan ulang ke login yang valid. Aturan ini memeriksa bahwa tidak ada pengguna tanpa induk. | Instans Terkelola SQL |
| VA1245 | Informasi dbo harus konsisten antara DB target dan master | Sangat Penting | Ada informasi berlebihan tentang identitas dbo untuk database apa pun: metadata yang disimpan dalam database itu sendiri dan metadata yang disimpan dalam DB master. Aturan ini memeriksa bahwa informasi ini konsisten antara DB target dan master. | Instans Terkelola SQL |
| VA1247 | Seharusnya tidak ada SP yang ditandai sebagai mulai otomatis | Sangat Penting | Ketika SQL Server telah dikonfigurasi untuk 'pindai prosedur tersimpan startup', server akan memindai DB master untuk prosedur tersimpan yang ditandai sebagai mulai otomatis. Aturan ini memeriksa bahwa tidak ada SP yang ditandai sebagai mulai otomatis. | |
| VA1256 | Rakitan CLR pengguna tidak boleh ditentukan dalam database | Sangat Penting | Rakitan CLR dapat digunakan untuk menjalankan kode arbitrer pada proses SQL Server. Aturan ini memeriksa bahwa tidak ada rakitan CLR yang ditentukan pengguna dalam database. | Instans Terkelola SQL |
| VA1277 | Enkripsi jaringan polybase harus diaktifkan | Sangat Penting | PolyBase adalah teknologi yang mengakses dan menggabungkan semua data non-relasional dan relasional dari dalam SQL Server. Opsi enkripsi jaringan Polybase mengonfigurasi SQL Server untuk mengenkripsi kontrol dan saluran data saat menggunakan Polybase. Aturan ini memverifikasi bahwa opsi ini diaktifkan. | |
| VA1278 | Membuat garis besar Penyedia Manajemen Kunci Eksternal | Medium | Manajemen Kunci Yang Dapat Diperluas SQL Server (EKM) memungkinkan vendor EKM/Modul Keamanan Perangkat Keras (HSM) pihak ketiga untuk mendaftarkan modul mereka di SQL Server. Ketika pengguna SQL Server terdaftar dapat menggunakan kunci enkripsi yang disimpan pada modul EKM, aturan ini menampilkan daftar penyedia EKM yang digunakan dalam sistem. | Instans Terkelola SQL |
| VA2062 | Aturan firewall tingkat database tidak boleh memberikan akses yang berlebihan | Sangat Penting | Firewall tingkat Azure SQL Database membantu melindungi data Anda dengan mencegah semua akses ke database hingga Anda menentukan alamat IP mana yang memiliki izin. Aturan firewall tingkat database memberikan akses ke database spesifik berdasarkan alamat IP asal dari setiap permintaan. Aturan firewall tingkat database untuk database master dan pengguna hanya dapat dibuat dan dikelola melalui T-SQL (tidak seperti aturan firewall tingkat server, yang juga dapat dibuat dan dikelola menggunakan portal Microsoft Azure atau PowerShell). Untuk informasi selengkapnya, lihat Azure SQL Database dan aturan firewall Azure Synapse Analytics. Pemeriksaan ini memverifikasi bahwa aturan firewall tingkat database tidak memberikan akses ke lebih dari 255 alamat IP. | Azure Synapse |
| VA2063 | Aturan firewall tingkat server tidak boleh memberikan akses yang berlebihan | Sangat Penting | Firewall tingkat server Azure SQL membantu melindungi server Anda dengan mencegah semua akses ke database hingga Anda menentukan alamat IP mana yang memiliki izin. Aturan firewall tingkat server memberikan akses ke semua database yang termasuk dalam server berdasarkan alamat IP asal dari setiap permintaan. Aturan firewall tingkat server hanya dapat dibuat dan dikelola melalui T-SQL serta melalui portal Microsoft Azure atau PowerShell. Untuk informasi selengkapnya, lihat Azure SQL Database dan aturan firewall Azure Synapse Analytics. Pemeriksaan ini memverifikasi bahwa aturan firewall tingkat server tidak memberikan akses ke lebih dari 255 alamat IP. | Azure Synapse |
| VA2064 | Aturan firewall tingkat database harus dilacak dan dipertahankan pada minimum yang ketat | Sangat Penting | Firewall tingkat Azure SQL Database membantu melindungi data Anda dengan mencegah semua akses ke database hingga Anda menentukan alamat IP mana yang memiliki izin. Aturan firewall tingkat database memberikan akses ke database spesifik berdasarkan alamat IP asal dari setiap permintaan. Aturan firewall tingkat database untuk database master dan pengguna hanya dapat dibuat dan dikelola melalui T-SQL (tidak seperti aturan firewall tingkat server, yang juga dapat dibuat dan dikelola menggunakan portal Microsoft Azure atau PowerShell). Untuk informasi selengkapnya, lihat Azure SQL Database dan aturan firewall Azure Synapse Analytics. Pemeriksaan ini menghitung semua aturan firewall tingkat database sehingga setiap perubahan yang dilakukan pada aturan tersebut dapat diidentifikasi dan ditangani. | Azure Synapse |
| VA2065 | Aturan firewall tingkat server harus dilacak dan dipertahankan pada minimum yang ketat | Sangat Penting | Firewall tingkat server Azure SQL membantu melindungi data Anda dengan mencegah semua akses ke database hingga Anda menentukan alamat IP mana yang memiliki izin. Aturan firewall tingkat server memberikan akses ke semua database yang termasuk dalam server berdasarkan alamat IP asal dari setiap permintaan. Aturan firewall tingkat server dapat dibuat dan dikelola melalui T-SQL serta melalui portal Microsoft Azure atau PowerShell. Untuk informasi selengkapnya, lihat Azure SQL Database dan aturan firewall Azure Synapse Analytics. Pemeriksaan ini menghitung semua aturan firewall tingkat server sehingga setiap perubahan yang dilakukan pada aturan tersebut dapat diidentifikasi dan ditangani. | Azure Synapse |
| VA2111 | Database sampel harus dihapus | Kurang Penting | Microsoft SQL Server dilengkapi dengan beberapa database sampel. Aturan ini memeriksa apakah database sampel telah dihapus. | Instans Terkelola SQL |
| VA2120 | Fitur yang dapat memengaruhi keamanan harus dinonaktifkan | Sangat Penting | SQL Server mampu menyediakan rentang fitur dan layanan yang luas. Beberapa fitur dan layanan yang disediakan secara default mungkin tidak diperlukan dan mengaktifkannya dapat berdampak buruk pada keamanan sistem. Aturan ini memeriksa bahwa fitur tersebut dinonaktifkan. | Instans Terkelola SQL |
| VA2121 | Fitur 'Prosedur Automasi OLE' harus dinonaktifkan | Sangat Penting | SQL Server mampu menyediakan rentang fitur dan layanan yang luas. Beberapa fitur dan layanan, yang disediakan secara default, mungkin tidak diperlukan, dan mengaktifkannya dapat berdampak buruk pada keamanan sistem. Opsi Prosedur Automasi OLE mengontrol apakah objek Automasi OLE dapat digunakan dalam batch T-SQL. Ini adalah prosedur tersimpan yang diperluas yang memungkinkan pengguna SQL Server untuk menjalankan fungsi eksternal ke SQL Server. Terlepas dari keuntungannya, opsi ini juga dapat digunakan untuk eksploitasi, dan dikenal sebagai mekanisme populer untuk menanam file pada komputer target. Disarankan untuk menggunakan PowerShell sebagai pengganti alat ini. Aturan ini memeriksa bahwa fitur 'Prosedur Automasi OLE' dinonaktifkan. | Instans Terkelola SQL |
| VA2122 | Fitur 'Opsi Pengguna' harus dinonaktifkan | Medium | SQL Server mampu menyediakan rentang fitur dan layanan yang luas. Beberapa fitur dan layanan yang disediakan secara default mungkin tidak diperlukan dan mengaktifkannya dapat berdampak buruk pada keamanan sistem. Opsi pengguna menentukan default global untuk semua pengguna. Daftar opsi pemrosesan kueri default dibuat selama durasi sesi kerja pengguna. Opsi pengguna memungkinkan Anda mengubah nilai default opsi SET (jika pengaturan default server tidak sesuai). Aturan ini memeriksa bahwa fitur 'opsi pengguna' dinonaktifkan. | Instans Terkelola SQL |
| VA2126 | Fitur ekstensibilitas yang mungkin memengaruhi keamanan harus dinonaktifkan jika tidak diperlukan | Medium | SQL Server menyediakan rentang fitur dan layanan yang luas. Beberapa fitur dan layanan, yang disediakan secara default, mungkin tidak diperlukan, dan mengaktifkannya dapat berdampak buruk pada keamanan sistem. Aturan ini memeriksa bahwa konfigurasi yang memungkinkan ekstraksi data ke sumber data eksternal dan eksekusi skrip dengan ekstensi bahasa jarak jauh tertentu dinonaktifkan. |
Aturan yang dihapus
| ID Aturan | Judul Aturan |
|---|---|
| VA1021 | Prosedur tersimpan sementara global harus dihapus |
| VA1024 | Mode Audit C2 harus diaktifkan |
| VA1069 | Izin untuk memilih dari tabel dan tampilan sistem harus dicabut dari non-sysadmin |
| VA1090 | Pastikan semua Government Off The Shelf (GOTS) dan Prosedur Tersimpan Kustom dienkripsi |
| VA1103 | Hanya gunakan CLR dengan izin SAFE_ACCESS |
| VA1229 | Pengaturan aliran file di registri dan konfigurasi SQL Server harus cocok |
| VA1231 | Aliran file harus dinonaktifkan (SQL) |
| VA1234 | Pengaturan Kriteria Umum harus diaktifkan |
| VA1252 | Daftar peristiwa yang diaudit dan dikelola secara terpusat melalui spesifikasi audit server. |
| VA1253 | Daftar peristiwa dengan cakupan DB yang diaudit dan dikelola secara terpusat melalui spesifikasi audit server |
| VA1263 | Mendaftar semua audit aktif dalam sistem |
| VA1266 | Opsi 'MUST_CHANGE' harus diatur pada semua data masuk SQL |
| VA1276 | Fitur Agent XP harus dinonaktifkan |
| VA1286 | Izin database tidak boleh diberikan langsung ke pelaku utama (OBJECT atau COLUMN) |
| VA2000 | Set pelaku utama minimal harus diberikan izin dengan cakupan database berdampak tinggi |
| VA2001 | Set pelaku utama minimal harus diberikan izin dengan cakupan database berdampak tinggi pada objek atau kolom |
| VA2002 | Set pelaku utama minimal harus diberikan izin dengan cakupan database berdampak tinggi pada berbagai aset yang dapat diamankan |
| VA2010 | Set pelaku utama minimal harus diberikan izin dengan cakupan database berdampak sedang |
| VA2021 | Set pelaku utama minimal harus diberikan izin ALTER dengan cakupan database pada objek atau kolom |
| VA2022 | Set pelaku utama minimal harus diberikan izin ALTER dengan cakupan database pada berbagai aset yang dapat diamankan |
| VA2030 | Set pelaku utama minimal harus diberikan izin PILIH atau JALANKAN dengan cakupan database |
| VA2031 | Set pelaku utama minimal harus diberikan izin PILIH dengan cakupan database |
| VA2032 | Set pelaku utama minimal harus diberikan izin PILIH atau JALANKAN dengan cakupan database pada skema |
| VA2034 | Set pelaku utama minimal harus diberikan izin JALANKAN dengan cakupan database pada Kumpulan Skema XML |
| VA2040 | Set pelaku utama minimal harus diberikan izin dengan cakupan database berdampak rendah |
| VA2041 | Set pelaku utama minimal harus diberikan izin dengan cakupan database berdampak rendah pada objek atau kolom |
| VA2042 | Set pelaku utama minimal harus diberikan izin dengan database berdampak rendah pada skema |
| VA2050 | Set pelaku utama minimal harus diberikan izin LIHAT DEFINISI dengan cakupan database |
| VA2051 | Set pelaku utama minimal harus diberikan izin LIHAT DEFINISI dengan cakupan database pada objek atau kolom |
| VA2052 | Set pelaku utama minimal harus diberikan izin LIHAT DEFINISI dengan cakupan database pada berbagai aset yang dapat diamankan |
| VA2100 | Set pelaku utama minimal harus diberikan izin dengan cakupan server berdampak tinggi |
| VA2101 | Set pelaku utama minimal harus diberikan izin dengan cakupan server berdampak sedang |
| VA2102 | Set pelaku utama minimal harus diberikan izin dengan cakupan server berdampak rendah |
| VA2104 | Izin jalankan pada prosedur tersimpan yang diperluas harus dicabut dari PUBLIC |
| VA2105 | Kata sandi login tidak boleh mudah ditebak |
| VA2112 | Izin dari PUBLIK untuk Layanan Transformasi Data (DTS) harus dicabut |
| VA2115 | Set pelaku utama minimal harus menjadi anggota peran server tetap berdampak sedang |
| VA2123 | Fitur 'Akses Jarak Jauh' harus dinonaktifkan |
| VA2127 | Fitur 'Skrip Eksternal' harus dinonaktifkan |