Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo lista o conjunto de regras internas usadas para sinalizar vulnerabilidades de segurança e destacar desvios das práticas recomendadas, como configurações incorretas e permissões excessivas. As regras são baseadas nas práticas recomendadas da Microsoft e se concentram nos problemas de segurança que apresentam os maiores riscos para seu banco de dados e seus dados valiosos. Eles abrangem tanto problemas no nível do banco de dados quanto problemas de segurança no nível do servidor, como configurações de firewall do servidor e permissões no nível do servidor. Essas regras também representam muitos dos requisitos de vários órgãos reguladores para atender às suas normas de conformidade.
Aplica-se a: 
Banco de Dados SQL do Azure Azure SQL Managed Instance Azure Synapse Analytics SQL Server (todas as versões suportadas)
As regras mostradas nas verificações do banco de dados dependem da versão SQL e da plataforma que foi verificada.
Para saber mais sobre como implementar a avaliação de vulnerabilidade no Azure, consulte Implementar avaliação de vulnerabilidade.
Para obter uma lista de alterações nessas regras, consulte Changelog de regras de avaliação de vulnerabilidade do SQL.
Categorias de regras
As regras de avaliação de vulnerabilidade do SQL têm cinco categorias, que estão nas seguintes seções:
- Autenticação e Autorização
- Auditoria e registro em log
- Proteção de Dados
- Atualizações e patches de instalação
- Redução da área de superfície
1 SQL Server 2012+ refere-se a todas as versões do SQL Server 2012 e superiores.
2 O SQL Server 2017+ refere-se a todas as versões do SQL Server 2017 e superiores.
3 O SQL Server 2016+ refere-se a todas as versões do SQL Server 2016 e superiores.
Autenticação e Autorização
| ID da Regra | Título da Regra | Severidade da regra | Descrição da regra | Plataforma |
|---|---|---|---|---|
| VA1017 | As permissões de execução em xp_cmdshell de todos os usuários (exceto dbo) devem ser revogadas | Alto | O procedimento armazenado estendido xp_cmdshell gera um shell de comando do Windows, passando uma cadeia de caracteres para execução. Esta regra verifica se nenhum usuário (exceto os usuários com a permissão CONTROL SERVER, como membros da função de servidor sysadmin) tem permissão para executar o procedimento armazenado estendido xp_cmdshell. | |
| VA1020 | O usuário do banco de dados GUEST não deve ser membro de nenhuma função | Alto | O usuário convidado permite o acesso a um banco de dados para todos os logons que não são mapeados para um usuário de banco de dados específico. Esta regra verifica se nenhuma função de banco de dados foi atribuída ao usuário convidado. | Base de Dados SQL |
| VA1042 | O encadeamento de propriedade do banco de dados deve ser desabilitado para todos os bancos de dados, exceto para master, msdbe tempdb |
Alto | O encadeamento de propriedade entre bancos de dados é uma extensão do encadeamento de propriedade, exceto que cruza os limites do banco de dados. Esta regra verifica se essa opção está desabilitada para todos os bancos de dados, exceto para master, msdbe tempdb . Para master, msdbe tempdb, o encadeamento de propriedade entre bancos de dados está habilitado por padrão. |
Instância Gerida do SQL |
| VA1043 | O CONVIDADO Principal não deve ter acesso a nenhum banco de dados de usuários | Médio | O usuário convidado permite o acesso a um banco de dados para todos os logons que não são mapeados para um usuário de banco de dados específico. Esta regra verifica se o usuário convidado não pode se conectar a nenhum banco de dados. | Instância Gerida do SQL |
| VA1046 | CHECK_POLICY deve ser habilitado para todos os logons SQL | Baixo | CHECK_POLICY opção permite verificar logons SQL em relação à diretiva de domínio. Esta regra verifica se CHECK_POLICY opção está habilitada para todos os logons SQL. | Instância Gerida do SQL |
| VA1047 | A verificação de expiração de senha deve ser habilitada para todos os logons SQL | Baixo | As políticas de expiração de senha são usadas para gerenciar a vida útil de uma senha. Quando o SQL Server impõe a política de expiração de senha, os usuários são lembrados de alterar senhas antigas e as contas com senhas expiradas são desabilitadas. Esta regra verifica se a política de expiração de senha está habilitada para todos os logons SQL. | Instância Gerida do SQL |
| VA1048 | As entidades de banco de dados não devem ser mapeadas para a sa conta |
Alto | Uma entidade de banco de dados mapeada para a conta pode ser explorada sa por um invasor para elevar as permissões para sysadmin |
Instância Gerida do SQL |
| VA1052 | Remover BUILTIN\Administrators como um login de servidor | Baixo | O grupo BUILTIN\Administrators contém o grupo Administradores Locais do Windows. Em versões mais antigas do Microsoft SQL Server, esse grupo tem direitos de administrador por padrão. Esta regra verifica se esse grupo foi removido do SQL Server. | |
| VA1053 | A conta com nome sa padrão deve ser renomeada ou desativada |
Baixo | sa é uma conta bem conhecida com ID principal 1. Esta regra verifica se a sa conta foi renomeada ou desativada. |
Instância Gerida do SQL |
| VA1054 | Permissões excessivas não devem ser concedidas à função PUBLIC em objetos ou colunas | Baixo | Cada logon do SQL Server pertence à função de servidor público. Quando uma entidade de servidor não recebe ou nega permissões específicas em um objeto protegível, o usuário herda as permissões concedidas ao público nesse objeto. Esta regra exibe uma lista de todos os objetos ou colunas protegíveis que são acessíveis a todos os usuários por meio da função PUBLIC. | Base de Dados SQL |
| VA1058 | sa o login deve ser desativado |
Alto | sa é uma conta bem conhecida com ID principal 1. Esta regra verifica se a sa conta está desativada. |
Instância Gerida do SQL |
| VA1059 | xp_cmdshell deve ser desativado | Alto | xp_cmdshell gera um shell de comando do Windows e passa uma cadeia de caracteres para execução. Esta regra verifica se xp_cmdshell está desativado. | Instância Gerida do SQL |
| VA1067 | Os XPs do Database Mail devem ser desativados quando não estiverem em uso | Médio | Esta regra verifica se o Database Mail está desabilitado quando nenhum perfil de email de banco de dados está configurado. O Database Mail pode ser usado para enviar mensagens de email do Mecanismo de Banco de Dados do SQL Server e é desabilitado por padrão. Se você não estiver usando esse recurso, é recomendável desativá-lo para reduzir a área de superfície. | |
| VA1068 | As permissões do servidor não devem ser concedidas diretamente às entidades de segurança | Baixo | As permissões de nível de servidor são associadas a um objeto de nível de servidor para regular quais usuários podem obter acesso ao objeto. Esta regra verifica se não há permissões no nível do servidor concedidas diretamente aos logons. | Instância Gerida do SQL |
| VA1070 | Os usuários do banco de dados não devem compartilhar o mesmo nome que um login de servidor | Baixo | Os usuários do banco de dados podem compartilhar o mesmo nome que um logon de servidor. Esta regra valida que não existem tais utilizadores. | Instância Gerida do SQL |
| VA1072 | O modo de autenticação deve ser Autenticação do Windows | Médio | Existem dois modos de autenticação possíveis: modo de Autenticação do Windows e modo misto. O modo misto significa que o SQL Server habilita a autenticação do Windows e a autenticação do SQL Server. Esta regra verifica se o modo de autenticação está definido como Autenticação do Windows. | |
| VA1094 | As permissões de banco de dados não devem ser concedidas diretamente às entidades de segurança | Baixo | As permissões são regras associadas a um objeto protegível para regular quais usuários podem obter acesso ao objeto. Esta regra verifica se não há permissões de banco de dados concedidas diretamente aos usuários. | Instância Gerida do SQL |
| VA1095 | Permissões excessivas não devem ser concedidas à função PÚBLICA | Médio | Cada logon do SQL Server pertence à função de servidor público. Quando uma entidade de servidor não recebe ou nega permissões específicas em um objeto protegível, o usuário herda as permissões concedidas ao público nesse objeto. Isso exibe uma lista de todas as permissões concedidas à função PUBLIC. | Instância Gerida do SQL Base de Dados SQL |
| VA1096 | O CONVIDADO Principal não deve receber permissões no banco de dados | Baixo | Cada banco de dados inclui um usuário chamado GUEST. As permissões concedidas a GUEST são herdadas por usuários que têm acesso ao banco de dados, mas que não têm uma conta de usuário no banco de dados. Esta regra verifica se todas as permissões foram revogadas do usuário CONVIDADO. | Instância Gerida do SQL Base de Dados SQL |
| VA1097 | O GUEST principal não deve receber permissões em objetos ou colunas | Baixo | Cada banco de dados inclui um usuário chamado GUEST. As permissões concedidas a GUEST são herdadas por usuários que têm acesso ao banco de dados, mas que não têm uma conta de usuário no banco de dados. Esta regra verifica se todas as permissões foram revogadas do usuário CONVIDADO. | Instância Gerida do SQL Base de Dados SQL |
| VA1099 | O usuário GUEST não deve receber permissões em protegíveis de banco de dados | Baixo | Cada banco de dados inclui um usuário chamado GUEST. As permissões concedidas a GUEST são herdadas por usuários que têm acesso ao banco de dados, mas que não têm uma conta de usuário no banco de dados. Esta regra verifica se todas as permissões foram revogadas do usuário CONVIDADO. | Instância Gerida do SQL Base de Dados SQL |
| VA1246 | As funções do aplicativo não devem ser usadas | Baixo | Uma função de aplicativo é uma entidade de banco de dados que permite que um aplicativo seja executado com suas próprias permissões semelhantes às do usuário. As funções do aplicativo permitem que apenas os usuários que se conectam por meio de um aplicativo específico possam acessar dados específicos. As funções do aplicativo são baseadas em senha (que os aplicativos normalmente codificam) e não em permissão, o que expõe o banco de dados à representação da função do aplicativo por adivinhação de senha. Esta regra verifica se nenhuma função de aplicativo está definida no banco de dados. | Instância Gerida do SQL Base de Dados SQL |
| VA1248 | As funções de banco de dados definidas pelo usuário não devem ser membros de funções fixas | Médio | Para gerenciar facilmente as permissões em seus bancos de dados, o SQL Server fornece várias funções, que são entidades de segurança que agrupam outras entidades. Eles são como grupos no sistema operacional Microsoft Windows. Contas de banco de dados e outras funções do SQL Server podem ser adicionadas a funções no nível de banco de dados. Cada membro de uma função de banco de dados fixa pode adicionar outros usuários a essa mesma função. Esta regra verifica se nenhuma função definida pelo usuário é membro de funções fixas. | Instância Gerida do SQL Base de Dados SQL Azure Synapse |
| VA1267 | Os usuários contidos devem usar a Autenticação do Windows | Médio | Os usuários contidos são usuários que existem dentro do banco de dados e não exigem um mapeamento de logon. Esta regra verifica se os utilizadores contidos utilizam a Autenticação do Windows. | Instância Gerida do SQL |
| VA1280 | As permissões de servidor concedidas ao público devem ser minimizadas | Médio | Cada logon do SQL Server pertence à função de servidor público. Quando uma entidade de servidor não recebe ou nega permissões específicas em um objeto protegível, o usuário herda as permissões concedidas ao público nesse objeto. Esta regra verifica se as permissões de servidor concedidas ao público estão minimizadas. | Instância Gerida do SQL |
| VA1282 | As funções órfãs devem ser removidas | Baixo | Funções órfãs são funções definidas pelo usuário que não têm membros. Elimine funções órfãs, pois elas não são necessárias no sistema. Esta regra verifica se existem funções órfãs. | Instância Gerida do SQL Base de Dados SQL Azure Synapse |
| VA2020 | Um conjunto mínimo de entidades de segurança deve receber permissões com escopo de banco de dados ALTER ou ALTER ANY USER | Alto | Cada SQL Server protegível tem permissões associadas a ele que podem ser concedidas a entidades de segurança. As permissões podem ter escopo no nível do servidor (atribuído a logons e funções de servidor) ou no nível do banco de dados (atribuído a usuários e funções de banco de dados). Essas regras verificam se apenas um conjunto mínimo de entidades de segurança recebe permissões com escopo de banco de dados ALTER ou ALTER ANY USER. | Instância Gerida do SQL Base de Dados SQL Azure Synapse |
| VA2033 | Um conjunto mínimo de entidades deve receber permissão EXECUTE com escopo de banco de dados em objetos ou colunas | Baixo | Esta regra verifica quais entidades recebem permissão EXECUTE em objetos ou colunas para garantir que essa permissão seja concedida a um conjunto mínimo de entidades de segurança. Cada SQL Server protegível tem permissões associadas a ele que podem ser concedidas a entidades de segurança. As permissões podem ter escopo no nível do servidor (atribuído a logons e funções de servidor) ou no nível do banco de dados (atribuído a usuários de banco de dados, funções de banco de dados ou funções de aplicativo). A permissão EXECUTE aplica-se a procedimentos armazenados e funções escalares, que podem ser usadas em colunas computadas. | Instância Gerida do SQL Base de Dados SQL Azure Synapse |
| VA2103 | Permissões de execução desnecessárias em procedimentos armazenados estendidos devem ser revogadas | Médio | Procedimentos armazenados estendidos são DLLs que uma instância do SQL Server pode carregar e executar dinamicamente. O SQL Server é empacotado com muitos procedimentos armazenados estendidos que permitem a interação com as DLLs do sistema. Esta regra verifica se as permissões de execução desnecessárias em procedimentos armazenados estendidos foram revogadas. | Instância Gerida do SQL |
| VA2107 | O conjunto mínimo de entidades deve ser membro de funções fixas do banco de dados mestre do Banco de Dados SQL do Azure | Alto | O Banco de dados SQL fornece duas funções administrativas restritas no banco de dados mestre às quais podem ser adicionadas contas de usuário que concedem permissões para criar bancos de dados ou gerenciar logons. Esta regra verifica se um conjunto mínimo de entidades são membros dessas funções administrativas. | Azure Synapse |
| VA2108 | O conjunto mínimo de entidades deve ser membro de funções fixas de banco de dados de alto impacto | Alto | O SQL Server fornece funções para ajudar a gerenciar as permissões. As funções são entidades de segurança que agrupam outras entidades. As funções no nível de banco de dados abrangem todo o banco de dados em seu escopo de permissão. Esta regra verifica se um conjunto mínimo de entidades são membros das funções de banco de dados fixas. | Instância Gerida do SQL Base de Dados SQL Azure Synapse |
| VA2109 | O conjunto mínimo de entidades deve ser membro de funções fixas de banco de dados de baixo impacto | Baixo | O SQL Server fornece funções para ajudar a gerenciar as permissões. As funções são entidades de segurança que agrupam outras entidades. As funções no nível de banco de dados abrangem todo o banco de dados em seu escopo de permissão. Esta regra verifica se um conjunto mínimo de entidades são membros das funções de banco de dados fixas. | Instância Gerida do SQL Base de Dados SQL Azure Synapse |
| VA2110 | As permissões de execução para acessar o registro devem ser revogadas | Alto | Os procedimentos armazenados estendidos do Registro permitem que o Microsoft SQL Server leia, grave e enumere valores e chaves no Registro. Eles são usados pelo Enterprise Manager para configurar o servidor. Esta regra verifica se as permissões para executar procedimentos armazenados estendidos do Registro foram revogadas de todos os usuários (exceto dbo). | Instância Gerida do SQL |
| VA2113 | As permissões DTS (Data Transformation Services) só devem ser concedidas a funções SSIS | Médio | DTS (Data Transformation Services) é um conjunto de objetos e utilitários que permitem a automação de operações de extração, transformação e carregamento de ou para um banco de dados. Os objetos são pacotes DTS e seus componentes, e os utilitários são chamados de ferramentas DTS. Esta regra verifica se apenas as funções SSIS receberam permissões para usar os procedimentos armazenados do sistema DTS e se as permissões para a função PUBLIC usar os procedimentos armazenados do sistema DTS foram revogadas. | Instância Gerida do SQL |
| VA2114 | O conjunto mínimo de entidades deve ser membro de funções de servidor fixas de alto impacto | Alto | O SQL Server fornece funções para ajudar a gerenciar permissões. As funções são entidades de segurança que agrupam outras entidades. As funções de nível de servidor são em todo o servidor em seu escopo de permissão. Esta regra verifica se um conjunto mínimo de entidades são membros das funções de servidor fixas. | Instância Gerida do SQL |
| VA2129 | Alterações nos módulos assinados devem ser autorizadas | Alto | Você pode assinar um procedimento armazenado, função ou gatilho com um certificado ou uma chave assimétrica. Isso foi projetado para cenários em que as permissões não podem ser herdadas por meio do encadeamento de propriedade ou quando a cadeia de propriedade é quebrada, como SQL dinâmico. Esta regra verifica se há alterações feitas em módulos assinados, o que pode ser uma indicação de uso mal-intencionado. | Base de Dados SQL Instância Gerida do SQL |
| VA2130 | Rastreie todos os usuários com acesso ao banco de dados | Baixo | Essa verificação rastreia todos os usuários com acesso a um banco de dados. Certifique-se de que esses usuários estejam autorizados de acordo com sua função atual na organização. | Azure Synapse |
| VA2201 | Logons SQL com nomes comumente usados devem ser desabilitados | Alto | Esta regra verifica as contas com permissão de proprietário do banco de dados para nomes comumente usados. A atribuição de nomes comumente usados a contas com permissão de proprietário do banco de dados aumenta a probabilidade de ataques de força bruta bem-sucedidos. |
Auditoria e registro em log
| ID da Regra | Título da Regra | Severidade da regra | Descrição da regra | Plataforma |
|---|---|---|---|---|
| VA1045 | O rastreamento padrão deve ser habilitado | Médio | O rastreamento padrão fornece assistência de solução de problemas aos administradores de banco de dados, garantindo que eles tenham os dados de log necessários para diagnosticar problemas na primeira vez que eles ocorrerem. Esta regra verifica se o rastreamento padrão está habilitado. | Instância Gerida do SQL |
| VA1091 | A auditoria de tentativas de login bem-sucedidas e fracassadas (rastreamento padrão) deve ser ativada quando a 'Auditoria de login' estiver configurada para rastrear logins | Baixo | A configuração de auditoria de Logon do SQL Server permite que os administradores rastreiem os usuários que fazem logon em instâncias do SQL Server. Se o usuário optar por contar com 'Auditoria de logon' para rastrear usuários que efetuam login em instâncias do SQL Server, é importante habilitá-lo para tentativas de logon bem-sucedidas e fracassadas. | |
| VA1093 | O número máximo de logs de erro deve ser 12 ou mais | Baixo | Cada log de erros do SQL Server terá todas as informações relacionadas a falhas/erros que ocorreram desde que o SQL Server foi reiniciado pela última vez ou desde a última vez que você reciclou os logs de erro. Esta regra verifica se o número máximo de logs de erro é 12 ou mais. | |
| VA1258 | Os proprietários de bancos de dados estão conforme o esperado | Alto | Os proprietários de bancos de dados podem executar todas as atividades de configuração e manutenção no banco de dados e também podem descartar bancos de dados no SQL Server. O rastreamento de proprietários de bancos de dados é importante para evitar ter permissão excessiva para algumas entidades. Crie uma linha de base que defina os proprietários de banco de dados esperados para o banco de dados. Esta regra verifica se os proprietários do banco de dados estão conforme definido na linha de base. | Base de Dados SQL Azure Synapse |
| VA1264 | A auditoria de tentativas de login bem-sucedidas e fracassadas deve ser habilitada | Baixo | A configuração de auditoria do SQL Server permite que os administradores rastreiem os usuários que fazem logon em instâncias do SQL Server pelas quais são responsáveis. Esta regra verifica se a auditoria está habilitada para tentativas de login bem-sucedidas e com falha. | Instância Gerida do SQL |
| VA1265 | A auditoria de tentativas de login bem-sucedidas e falhadas para autenticação de banco de dados contido deve ser habilitada | Médio | A configuração de auditoria do SQL Server permite que os administradores rastreiem o registro em log dos usuários nas instâncias do SQL Server pelas quais são responsáveis. Esta regra verifica se a auditoria está habilitada para tentativas de login bem-sucedidas e com falha para autenticação de banco de dados contida. | Instância Gerida do SQL |
| VA1281 | Todas as associações para funções definidas pelo usuário devem ser destinadas | Médio | As funções definidas pelo usuário são entidades de segurança definidas pelo usuário para agrupar entidades para gerenciar facilmente as permissões. Monitorar essas funções é importante para evitar ter permissões excessivas. Crie uma linha de base que defina a associação esperada para cada função definida pelo usuário. Esta regra verifica se todas as associações para funções definidas pelo usuário são as definidas na linha de base. | Instância Gerida do SQL Base de Dados SQL Azure Synapse |
| VA1283 | Deve haver pelo menos 1 auditoria ativa no sistema | Baixo | A auditoria de uma instância do Mecanismo de Banco de Dados do SQL Server ou de um banco de dados individual envolve o controle e o registro em log de eventos que ocorrem no Mecanismo de Banco de Dados. O objeto Audit do SQL Server coleta uma única instância de ações no nível do servidor ou do banco de dados e grupos de ações a serem monitoradas. Esta regra verifica se há pelo menos uma auditoria ativa no sistema. | Instância Gerida do SQL |
| VA2061 | A auditoria deve ser habilitada no nível do servidor | Alto | A Auditoria da Base de Dados SQL do Azure controla eventos da base de dados e grava-os num registo de auditoria na sua conta de armazenamento do Azure. A auditoria ajuda você a entender a atividade do banco de dados e obter informações sobre discrepâncias e anomalias que podem indicar preocupações comerciais ou suspeitas de violações de segurança, além de ajudá-lo a cumprir a conformidade regulamentar. Para obter mais informações, consulte Auditoria SQL do Azure. Esta regra verifica se a auditoria está ativada. | Azure Synapse |
Proteção de Dados
| ID da Regra | Título da Regra | Severidade da regra | Descrição da regra | Plataforma |
|---|---|---|---|---|
| VA1098 | Qualquer ponto de extremidade SSB ou espelhamento existente deve exigir conexão AES | Alto | Os endpoints do Service Broker e do Mirroring suportam diferentes algoritmos de encriptação, incluindo a ausência de encriptação. Esta regra verifica se qualquer ponto de extremidade existente requer criptografia AES. | |
| VA1219 | A encriptação de dados transparente deve ser ativada | Médio | A criptografia de dados transparente (TDE) ajuda a proteger os arquivos do banco de dados contra a divulgação de informações, executando criptografia e descriptografia em tempo real do banco de dados, backups associados e arquivos de log de transações 'em repouso', sem exigir alterações no aplicativo. Esta regra verifica se a TDE está habilitada no banco de dados. | Instância Gerida do SQL Base de Dados SQL Azure Synapse |
| VA1220 | A comunicação de banco de dados usando TDS deve ser protegida por TLS | Alto | O Microsoft SQL Server pode usar SSL (Secure Sockets Layer) ou TLS (Transport Layer Security) para criptografar dados transmitidos por uma rede entre uma instância do SQL Server e um aplicativo cliente. Esta regra verifica se todas as conexões com o SQL Server são criptografadas por meio de TLS. | Instância Gerida do SQL |
| VA1221 | As chaves simétricas de criptografia de banco de dados devem usar o algoritmo AES | Alto | O SQL Server usa chaves de criptografia para ajudar a proteger credenciais de dados e informações de conexão armazenadas em um banco de dados do servidor. O SQL Server tem dois tipos de chaves: simétrica e assimétrica. Esta regra verifica se as Chaves Simétricas de Criptografia de Banco de Dados usam o algoritmo AES. | Instância Gerida do SQL Base de Dados SQL Azure Synapse |
| VA1222 | As chaves de criptografia no nível da célula devem usar o algoritmo AES | Alto | A criptografia em nível de célula (CLE) permite criptografar seus dados usando chaves simétricas e assimétricas. Esta regra verifica se as chaves simétricas da Encriptação ao Nível da Célula utilizam o algoritmo AES. | Instância Gerida do SQL |
| VA1223 | As chaves de certificado devem usar pelo menos 2048 bits | Alto | As chaves de certificado são usadas no RSA e em outros algoritmos de criptografia para proteger os dados. Essas chaves precisam ter comprimento suficiente para proteger os dados do usuário. Esta regra verifica se o comprimento da chave é de pelo menos 2048 bits para todos os certificados. | Instância Gerida do SQL Base de Dados SQL Azure Synapse |
| VA1224 | O comprimento das chaves assimétricas deve ser de pelo menos 2048 bits | Alto | Chaves assimétricas de banco de dados são usadas em muitos algoritmos de criptografia essas chaves precisam ser de comprimento suficiente para proteger os dados criptografados esta regra verifica se todas as chaves assimétricas armazenadas no banco de dados têm comprimento de pelo menos 2048 bits | Base de Dados SQL |
| VA1279 | A criptografia de força deve ser habilitada para TDS | Alto | Quando a opção Forçar Criptografia para o Mecanismo de Banco de Dados está habilitada, todas as comunicações entre cliente e servidor são criptografadas, independentemente de a opção 'Criptografar conexão' (como do SSMS) estar marcada ou não. Esta regra verifica se a opção Forçar Encriptação está ativada. | |
| VA2060 | A Deteção de Ameaças SQL deve ser habilitada no nível do servidor | Médio | A Deteção de Ameaças SQL fornece uma camada de segurança que deteta vulnerabilidades potenciais e atividades anômalas em bancos de dados, como ataques de injeção de SQL e padrões de comportamento incomuns. Quando uma ameaça potencial é detetada, a Deteção de Ameaças envia um alerta acionável em tempo real por e-mail e no Microsoft Defender for Cloud, que inclui etapas claras de investigação e correção para a ameaça específica. Para obter mais informações, consulte Configurar deteção de ameaças. Esta verificação verifica se a Deteção de Ameaças SQL está ativada | Instância Gerida do SQL Base de Dados SQL Azure Synapse |
Atualizações e patches de instalação
| ID da Regra | Título da Regra | Severidade da regra | Descrição da regra | Plataforma |
|---|---|---|---|---|
| VA1018 | As atualizações mais recentes devem ser instaladas | Alto | A Microsoft lança periodicamente atualizações cumulativas (CUs) para cada versão do SQL Server. Esta regra verifica se a mais recente foi instalada para a versão específica do SQL Server que está sendo usada, passando uma cadeia de caracteres para execução. Esta regra verifica se todos os usuários (exceto dbo) não têm permissão para executar o xp_cmdshell procedimento armazenado estendido. | SQL Server 2017 SQL Server 2019 SQL Server 2022 |
| VA2128 | Não há suporte para avaliação de vulnerabilidade para versões do SQL Server inferiores ao SQL Server 2012 | Alto | Para executar uma verificação de avaliação de vulnerabilidade no SQL Server, o servidor precisa ser atualizado para o SQL Server 2012 ou superior, o SQL Server 2008 R2 e versões inferiores não são mais suportados pela Microsoft. Para obter mais informações, veja | Instância Gerida do SQL Base de Dados SQL Azure Synapse |
Redução da área de superfície
| ID da Regra | Título da Regra | Severidade da regra | Descrição da regra | Plataforma |
|---|---|---|---|---|
| VA1022 | As consultas distribuídas ad hoc devem ser desativadas | Médio | As consultas distribuídas ad hoc usam as OPENROWSET funções e OPENDATASOURCE para se conectar a fontes de dados remotas que usam OLE DB. Esta regra verifica se as consultas distribuídas ad hoc estão desativadas. |
|
| VA1023 | CLR deve ser desativado | Alto | O CLR permite que o código gerenciado seja hospedado e executado no ambiente Microsoft SQL Server. Esta regra verifica se o CLR está desativado. | |
| VA1026 | CLR deve ser desativado | Médio | O CLR permite que o código gerenciado seja hospedado e executado no ambiente Microsoft SQL Server. A segurança estrita do CLR trata os assemblies SAFE e EXTERNAL_ACCESS como se estivessem marcados como UNSAFE e exige que todos os assemblies sejam assinados por um certificado ou chave assimétrica com um login correspondente que tenha recebido permissão UNSAFE ASSEMBLY no banco de dados mestre. Esta regra verifica se o CLR está desativado. | Instância Gerida do SQL |
| VA1027 | Assemblies confiáveis não rastreados devem ser removidos | Alto | Os assemblies marcados como UNSAFE devem ser assinados por um certificado ou chave assimétrica com um login correspondente que tenha recebido permissão UNSAFE ASSEMBLY no banco de dados mestre. Os assemblies confiáveis podem ignorar esse requisito. | Instância Gerida do SQL |
| VA1044 | As Conexões de Administração Remota devem ser desativadas, a menos que seja especificamente necessário | Médio | Esta regra verifica se as ligações de administração dedicadas remotas estão desativadas se não estiverem a ser utilizadas para clustering para reduzir a área da superfície de ataque. O SQL Server fornece uma conexão de administrador (DAC) dedicada. O DAC permite que um administrador acesse um servidor em execução para executar funções de diagnóstico ou instruções Transact-SQL, ou para solucionar problemas no servidor, e se torna um alvo atraente para ataques quando é habilitado remotamente. | Instância Gerida do SQL |
| VA1051 | AUTO_CLOSE deve ser desativado em todos os bancos de dados | Médio | A opção AUTO_CLOSE especifica se o banco de dados é desligado normalmente e libera recursos depois que o último usuário se desconecta. Independentemente de seus benefícios, ele pode causar negação de serviço ao abrir e fechar agressivamente o banco de dados, portanto, é importante manter esse recurso desativado. Esta regra verifica se essa opção está desabilitada no banco de dados atual. | |
| VA1066 | Os pontos de extremidade do service broker não utilizados devem ser removidos | Baixo | O Service Broker fornece enfileiramento e mensagens confiáveis para o SQL Server. O Service Broker é usado para aplicativos que usam uma única instância do SQL Server e aplicativos que distribuem o trabalho entre várias instâncias. Os pontos de extremidade do Service Broker fornecem opções para segurança de transporte e encaminhamento de mensagens. Esta regra enumera todos os pontos de extremidade do service broker. Remova os que não são usados. | |
| VA1071 | A opção 'Procurar procedimentos armazenados de inicialização' deve ser desativada | Médio | Quando 'Scan for startup procs' está habilitado, o SQL Server verifica e executa todos os procedimentos armazenados de execução automática definidos no servidor. Se essa opção estiver habilitada, o SQL Server verificará e executará automaticamente todos os procedimentos armazenados definidos no servidor. Esta regra verifica se esta opção está desativada. | |
| VA1092 | A instância do SQL Server não deve ser anunciada pelo serviço Navegador do SQL Server | Baixo | O SQL Server usa o serviço Navegador do SQL Server para enumerar instâncias do Mecanismo de Banco de Dados instaladas no computador. Isso permite que os aplicativos cliente procurem um servidor e ajuda os clientes a distinguir entre várias instâncias do Mecanismo de Banco de Dados no mesmo computador. Esta regra verifica se a instância SQL está oculta. | |
| VA1102 | O bit confiável deve ser desabilitado em todos os bancos de dados, exceto MSDB | Alto | A propriedade de banco de dados TRUSTWORTHY é usada para indicar se a instância do SQL Server confia no banco de dados e no conteúdo dele. Se essa opção estiver habilitada, os módulos de banco de dados (por exemplo, funções definidas pelo usuário ou procedimentos armazenados) que usam um contexto de representação poderão acessar recursos fora do banco de dados. Esta regra verifica se o bit TRUSTWORTHY está desabilitado em todos os bancos de dados, exceto MSDB. | Instância Gerida do SQL |
| VA1143 | O utilizador «dbo» não deve ser utilizado para o funcionamento normal do serviço | Médio | O 'dbo' ou proprietário do banco de dados é uma conta de usuário que tem permissões implícitas para executar todas as atividades no banco de dados. Os membros da função de servidor fixa sysadmin são automaticamente mapeados para dbo. Esta regra verifica se dbo não é a única conta autorizada a acessar esse banco de dados. Observe que, em um banco de dados limpo recém-criado, essa regra falhará até que funções adicionais sejam criadas. | Instância Gerida do SQL Base de Dados SQL Azure Synapse |
| VA1144 | O banco de dados modelo só deve ser acessível por 'dbo' | Médio | O banco de dados Modelo é usado como modelo para todos os bancos de dados criados na instância do SQL Server. As modificações feitas no banco de dados modelo, como tamanho do banco de dados, modelo de recuperação e outras opções de banco de dados, são aplicadas a todos os bancos de dados criados posteriormente. Esta regra verifica se dbo é a única conta com permissão para acessar o banco de dados modelo. | Instância Gerida do SQL |
| VA1230 | Filestream deve ser desativado | Alto | O FILESTREAM integra o Mecanismo de Banco de Dados do SQL Server a um sistema de arquivos NTFS armazenando dados BLOB (objeto binário grande) varbinary (max) como arquivos no sistema de arquivos. As instruções Transact-SQL podem inserir, atualizar, consultar, pesquisar e fazer backup de dados FILESTREAM. Habilitar o Filestream no SQL Server expõe API de streaming NTFS adicional, o que aumenta sua superfície de ataque e a torna propensa a ataques mal-intencionados. Esta regra verifica se Filestream está desativado. | |
| VA1235 | Configuração do servidor 'Replication XPs' deve ser desabilitada | Médio | Desative a configuração de servidor preterida 'Replication XPs' para limitar a área da superfície de ataque. Esta é uma definição de configuração apenas interna. | Instância Gerida do SQL |
| VA1244 | Os usuários órfãos devem ser removidos dos bancos de dados do SQL Server | Médio | Um usuário de banco de dados que existe em um banco de dados, mas não tem logon correspondente no banco de dados mestre ou como um recurso externo (por exemplo, um usuário do Windows) é referido como um usuário órfão e deve ser removido ou remapeado para um logon válido. Esta regra verifica se não existem utilizadores órfãos. | Instância Gerida do SQL |
| VA1245 | As informações dbo devem ser consistentes entre o banco de dados de destino e o mestre | Alto | Há informações redundantes sobre a identidade dbo para qualquer banco de dados: metadados armazenados no próprio banco de dados e metadados armazenados no banco de dados mestre. Esta regra verifica se essas informações são consistentes entre o banco de dados de destino e o mestre. | Instância Gerida do SQL |
| VA1247 | Não deve haver SPs marcados como início automático | Alto | Quando o SQL Server tiver sido configurado para 'procurar procs de inicialização', o servidor verificará o banco de dados mestre em busca de procedimentos armazenados marcados como início automático. Esta regra verifica se não há SPs marcados como início automático. | |
| VA1256 | Os assemblies CLR do usuário não devem ser definidos no banco de dados | Alto | Os assemblies CLR podem ser usados para executar código arbitrário no processo do SQL Server. Esta regra verifica se não há assemblies CLR definidos pelo usuário no banco de dados. | Instância Gerida do SQL |
| VA1277 | A criptografia de rede Polybase deve ser habilitada | Alto | O PolyBase é uma tecnologia que acessa e combina dados não relacionais e relacionais, tudo a partir do SQL Server. A opção de criptografia de rede Polybase configura o SQL Server para criptografar canais de controle e dados ao usar o Polybase. Esta regra verifica se esta opção está ativada. | |
| VA1278 | Criar uma linha de base de Provedores Externos de Gerenciamento de Chaves | Médio | O SQL Server Extensible Key Management (EKM) permite que fornecedores de EKM / Hardware Security Modules (HSM) de terceiros registrem seus módulos no SQL Server. Quando os usuários registrados do SQL Server podem usar as chaves de criptografia armazenadas em módulos EKM, essa regra exibe uma lista de provedores de EKM que estão sendo usados no sistema. | Instância Gerida do SQL |
| VA2062 | As regras de firewall no nível de banco de dados não devem conceder acesso excessivo | Alto | O firewall no nível do Banco de Dados SQL do Azure ajuda a proteger seus dados, impedindo todo o acesso ao seu banco de dados até que você especifique quais endereços IP têm permissão. As regras de firewall no nível de banco de dados concedem acesso ao banco de dados específico com base no endereço IP de origem de cada solicitação. As regras de firewall no nível de banco de dados para bancos de dados mestre e de usuário só podem ser criadas e gerenciadas por meio do Transact-SQL (ao contrário das regras de firewall no nível de servidor, que também podem ser criadas e gerenciadas usando o portal do Azure ou o PowerShell). Para obter mais informações, consulte Banco de Dados SQL do Azure e Regras de firewall IP do Azure Synapse Analytics. Essa verificação verifica se as regras de firewall no nível de banco de dados não concedem acesso a mais de 255 endereços IP. | Azure Synapse |
| VA2063 | As regras de firewall no nível do servidor não devem conceder acesso excessivo | Alto | O firewall no nível de servidor SQL do Azure ajuda a proteger seu servidor, impedindo todo o acesso aos seus bancos de dados até que você especifique quais endereços IP têm permissão. As regras de firewall no nível do servidor concedem acesso a todos os bancos de dados que pertencem ao servidor com base no endereço IP de origem de cada solicitação. As regras de firewall no nível de servidor só podem ser criadas e gerenciadas por meio do Transact-SQL, bem como do portal do Azure ou do PowerShell. Para obter mais informações, consulte Banco de Dados SQL do Azure e Regras de firewall IP do Azure Synapse Analytics. Esta verificação verifica se as regras de firewall no nível do servidor não concedem acesso a mais de 255 endereços IP. | Azure Synapse |
| VA2064 | As regras de firewall no nível de banco de dados devem ser rastreadas e mantidas em um mínimo estrito | Alto | O firewall no nível do Banco de Dados SQL do Azure ajuda a proteger seus dados, impedindo todo o acesso ao seu banco de dados até que você especifique quais endereços IP têm permissão. As regras de firewall no nível de banco de dados concedem acesso ao banco de dados específico com base no endereço IP de origem de cada solicitação. As regras de firewall no nível de banco de dados para bancos de dados mestre e de usuário só podem ser criadas e gerenciadas por meio do Transact-SQL (ao contrário das regras de firewall no nível de servidor, que também podem ser criadas e gerenciadas usando o portal do Azure ou o PowerShell). Para obter mais informações, consulte Banco de Dados SQL do Azure e Regras de firewall IP do Azure Synapse Analytics. Essa verificação enumera todas as regras de firewall no nível de banco de dados para que quaisquer alterações feitas nelas possam ser identificadas e resolvidas. | Azure Synapse |
| VA2065 | As regras de firewall ao nível do servidor devem ser monitorizadas e mantidas no mínimo | Alto | O firewall no nível de servidor SQL do Azure ajuda a proteger seus dados, impedindo todo o acesso aos seus bancos de dados até que você especifique quais endereços IP têm permissão. As regras de firewall no nível do servidor concedem acesso a todos os bancos de dados que pertencem ao servidor com base no endereço IP de origem de cada solicitação. As regras de firewall no nível de servidor podem ser criadas e gerenciadas por meio do Transact-SQL, bem como do portal do Azure ou do PowerShell. Para obter mais informações, consulte Banco de Dados SQL do Azure e Regras de firewall IP do Azure Synapse Analytics. Essa verificação enumera todas as regras de firewall no nível de servidor para que quaisquer alterações feitas nelas possam ser identificadas e resolvidas. | Azure Synapse |
| VA2111 | Os bancos de dados de exemplo devem ser removidos | Baixo | O Microsoft SQL Server vem com vários bancos de dados de exemplo. Esta regra verifica se os bancos de dados de exemplo foram removidos. | Instância Gerida do SQL |
| VA2120 | Os recursos que podem afetar a segurança devem ser desativados | Alto | O SQL Server é capaz de fornecer uma ampla gama de recursos e serviços. Alguns dos recursos e serviços fornecidos por padrão podem não ser necessários e habilitá-los pode afetar negativamente a segurança do sistema. Esta regra verifica se esses recursos estão desativados. | Instância Gerida do SQL |
| VA2121 | O recurso 'Procedimentos de automação OLE' deve ser desativado | Alto | O SQL Server é capaz de fornecer uma ampla gama de recursos e serviços. Alguns dos recursos e serviços, fornecidos por padrão, podem não ser necessários, e habilitá-los pode afetar negativamente a segurança do sistema. A opção Procedimentos de automação OLE controla se os objetos de automação OLE podem ser instanciados em lotes Transact-SQL. Esses são procedimentos armazenados estendidos que permitem que os usuários do SQL Server executem funções externas ao SQL Server. Independentemente de seus benefícios, ele também pode ser usado para exploits, e é conhecido como um mecanismo popular para plantar arquivos nas máquinas alvo. É aconselhável usar o PowerShell como um substituto para essa ferramenta. Esta regra verifica se o recurso 'Procedimentos de automação OLE' está desativado. | Instância Gerida do SQL |
| VA2122 | A funcionalidade 'Opções do Utilizador' deve ser desativada | Médio | O SQL Server é capaz de fornecer uma ampla gama de recursos e serviços. Alguns dos recursos e serviços fornecidos por padrão podem não ser necessários e habilitá-los pode afetar negativamente a segurança do sistema. As opções do usuário especificam padrões globais para todos os usuários. Uma lista de opções de processamento de consulta padrão é estabelecida para a duração da sessão de trabalho de um usuário. As opções do usuário permitem que você altere os valores padrão das opções SET (se as configurações padrão do servidor não forem apropriadas). Esta regra verifica se a funcionalidade 'opções do utilizador' está desativada. | Instância Gerida do SQL |
| VA2126 | Os recursos de extensibilidade que podem afetar a segurança devem ser desativados se não forem necessários | Médio | O SQL Server fornece uma ampla gama de recursos e serviços. Alguns dos recursos e serviços, fornecidos por padrão, podem não ser necessários, e habilitá-los pode afetar negativamente a segurança do sistema. Esta regra verifica se as configurações que permitem a extração de dados para uma fonte de dados externa e a execução de scripts com determinadas extensões de linguagem remota estão desabilitadas. |
Regras removidas
| ID da Regra | Título da Regra |
|---|---|
| VA1021 | Os procedimentos armazenados temporários globais devem ser removidos |
| VA1024 | O Modo de Auditoria C2 deve ser ativado |
| VA1069 | As permissões para selecionar a partir de tabelas e exibições do sistema devem ser revogadas de não-administradores de sistemas |
| VA1090 | Certifique-se de que todos os procedimentos governamentais prontos para uso (GOTS) e personalizados armazenados sejam criptografados |
| VA1103 | Usar somente CLR com permissão SAFE_ACCESS |
| VA1229 | A configuração de fluxo de arquivos no Registro e na configuração do SQL Server deve corresponder |
| VA1231 | Filestream deve ser desabilitado (SQL) |
| VA1234 | A definição de critérios comuns deve ser ativada |
| VA1252 | Lista de eventos que estão sendo auditados e gerenciados centralmente por meio de especificações de auditoria do servidor. |
| VA1253 | Lista de eventos com escopo de banco de dados sendo auditados e gerenciados centralmente por meio de especificações de auditoria de servidor |
| VA1263 | Listar todas as auditorias ativas no sistema |
| VA1266 | A opção 'MUST_CHANGE' deve ser definida em todos os logins SQL |
| VA1276 | O recurso Agent XPs deve ser desativado |
| VA1286 | As permissões de banco de dados não devem ser concedidas diretamente aos principais (OBJECT ou COLUMN) |
| VA2000 | Um conjunto mínimo de entidades de segurança deve receber permissões de alto impacto com escopo de banco de dados |
| VA2001 | Um conjunto mínimo de entidades de segurança deve receber permissões de alto impacto com escopo de banco de dados em objetos ou colunas |
| VA2002 | Um conjunto mínimo de entidades de segurança deve receber permissões de alto impacto com escopo de banco de dados em vários protegíveis |
| VA2010 | Um conjunto mínimo de entidades de segurança deve receber permissões de escopo de banco de dados de impacto médio |
| VA2021 | Um conjunto mínimo de entidades de segurança deve receber permissões ALTER com escopo de banco de dados em objetos ou colunas |
| VA2022 | Um conjunto mínimo de entidades de segurança deve receber permissão ALTER com escopo de banco de dados em vários protegíveis |
| VA2030 | Um conjunto mínimo de entidades deve receber permissões SELECT ou EXECUTE com escopo de banco de dados |
| VA2031 | Um conjunto mínimo de entidades de segurança deve receber SELECT com escopo de banco de dados |
| VA2032 | Um conjunto mínimo de entidades de segurança deve receber permissões SELECT ou EXECUTE com escopo de banco de dados no esquema |
| VA2034 | Um conjunto mínimo de entidades deve receber permissão EXECUTE com escopo de banco de dados na Coleção de Esquema XML |
| VA2040 | Um conjunto mínimo de entidades de segurança deve receber permissões de escopo de banco de dados de baixo impacto |
| VA2041 | Um conjunto mínimo de entidades de segurança deve receber permissões com escopo de banco de dados de baixo impacto em objetos ou colunas |
| VA2042 | Um conjunto mínimo de entidades de segurança deve receber permissões de escopo de banco de dados de baixo impacto no esquema |
| VA2050 | Um conjunto mínimo de entidades de segurança deve receber permissões VIEW DEFINITION com escopo de banco de dados |
| VA2051 | Um conjunto mínimo de entidades de segurança deve receber permissões VIEW DEFINITION com escopo de banco de dados em objetos ou colunas |
| VA2052 | Um conjunto mínimo de entidades de segurança deve receber a permissão VIEW DEFINITION com escopo de banco de dados em vários protegíveis |
| VA2100 | Um conjunto mínimo de entidades de segurança deve receber permissões de alto impacto com escopo de servidor |
| VA2101 | Um conjunto mínimo de entidades de segurança deve receber permissões de escopo de servidor de impacto médio |
| VA2102 | Um conjunto mínimo de entidades de segurança deve receber permissões de baixo impacto com escopo de servidor |
| VA2104 | As permissões de execução em procedimentos armazenados estendidos devem ser revogadas de PUBLIC |
| VA2105 | A palavra-passe de início de sessão não deve ser facilmente adivinhada |
| VA2112 | As permissões do PUBLIC para DTS (Data Transformation Services) devem ser revogadas |
| VA2115 | O conjunto mínimo de entidades deve ser membro de funções de servidor fixas de impacto médio |
| VA2123 | O recurso 'Acesso Remoto' deve ser desativado |
| VA2127 | O recurso 'Scripts externos' deve ser desativado |