Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, güvenlik açıklarını işaretlemek ve yanlış yapılandırmalar ve aşırı izinler gibi en iyi uygulamalardan sapmaları vurgulamak için kullanılan yerleşik kurallar kümesi listelenir. Kurallar, Microsoft'un en iyi uygulamalarını temel alır ve veritabanınız ve değerli verileri için en büyük riskleri sunan güvenlik sorunlarına odaklanır. Bunlar hem veritabanı düzeyindeki sorunları hem de sunucu güvenlik duvarı ayarları ve sunucu düzeyinde izinler gibi sunucu düzeyindeki güvenlik sorunlarını kapsar. Bu kurallar, uyumluluk standartlarını karşılamak için çeşitli düzenleyici kurumlardan gelen gereksinimlerin birçoğunu da temsil eder.
Şunlar için geçerlidir: 
Azure Synapse Analytics SQL Server Azure SQL Yönetilen Örneği Azure SQL Veritabanı (desteklenen tüm sürümler)
Veritabanı taramalarınızda gösterilen kurallar, taranan SQL sürümüne ve platformuna bağlıdır.
Azure'da güvenlik açığı değerlendirmesi uygulama hakkında bilgi edinmek için bkz . Güvenlik açığı değerlendirmesi uygulama.
Bu kurallarda yapılan değişikliklerin listesi için bkz . SQL güvenlik açığı değerlendirme kuralları değişiklik günlüğü.
Kural kategorileri
SQL güvenlik açığı değerlendirme kuralları, aşağıdaki bölümlerde yer alan beş kategoriye sahiptir:
- Kimlik Doğrulama ve Yetkilendirme
- Denetim ve Günlüğe Kaydetme
- Veri Koruma
- Yükleme Güncelleştirmeleri ve Düzeltme Ekleri
- Yüzey Alanı Azaltma
1 SQL Server 2012+ tüm SQL Server 2012 ve üzeri sürümlerini ifade eder.
2 SQL Server 2017+ tüm SQL Server 2017 ve üzeri sürümlerini ifade eder.
3 SQL Server 2016+ tüm SQL Server 2016 ve üzeri sürümlerini ifade eder.
Kimlik Doğrulama ve Yetkilendirme
| Kural Kimliği | Kural Başlığı | Kural Önem Derecesi | Kural Tanımı | Platform |
|---|---|---|---|---|
| VA1017 | Tüm kullanıcılardan (dbo hariç) xp_cmdshell yürütme izinleri iptal edilmelidir | Yüksek | xp_cmdshell genişletilmiş saklı yordam, yürütme için bir dize geçirerek bir Windows komut kabuğu oluşturur. Bu kural, hiçbir kullanıcının (sysadmin sunucu rolünün üyeleri gibi CONTROL SERVER iznine sahip kullanıcılar dışında) xp_cmdshell genişletilmiş saklı yordamı yürütme iznine sahip olmadığını denetler. | |
| VA1020 | Veritabanı kullanıcısı GUEST hiçbir rolün üyesi olmamalıdır | Yüksek | Konuk kullanıcı, belirli bir veritabanı kullanıcısına eşlenmeyen oturum açma işlemleri için veritabanına erişim izni verir. Bu kural, Konuk kullanıcıya hiçbir veritabanı rolünün atanmadığını denetler. | SQL Veritabanı |
| VA1042 | Veritabanı sahipliği zincirleme, , msdbve dışındaki tüm veritabanları için masterdevre dışı bırakılmalıdırtempdb |
Yüksek | Veritabanları arası sahiplik zinciri, veritabanı sınırını aşması dışında sahiplik zincirinin bir uzantısıdır. Bu kural, bu seçeneğin , msdbve tempdb dışındaki tüm veritabanları için masterdevre dışı bırakıldığını denetler. , mastermsdbve tempdbiçin veritabanları arası sahiplik zinciri varsayılan olarak etkindir. |
SQL Yönetilen Örnek |
| VA1043 | Sorumlu GUEST'ın herhangi bir kullanıcı veritabanına erişimi olmamalıdır | Orta | Konuk kullanıcı, belirli bir veritabanı kullanıcısına eşlenmeyen oturum açma işlemleri için veritabanına erişim izni verir. Bu kural, konuk kullanıcının herhangi bir veritabanına bağlanamadığını denetler. | SQL Yönetilen Örnek |
| VA1046 | CHECK_POLICY tüm SQL oturum açma işlemleri için etkinleştirilmelidir | Düşük | CHECK_POLICY seçeneği, etki alanı ilkesinde SQL oturum açma bilgilerinin doğrulanması sağlar. Bu kural, tüm SQL oturum açma işlemleri için CHECK_POLICY seçeneğinin etkinleştirilip etkinleştirilmediğini denetler. | SQL Yönetilen Örnek |
| VA1047 | Tüm SQL oturum açma işlemleri için parola süre sonu denetimi etkinleştirilmelidir | Düşük | Parola süre sonu ilkeleri, parolanın kullanım süresini yönetmek için kullanılır. SQL Server parola süre sonu ilkesini zorunlu kıldığında, kullanıcılara eski parolaları değiştirmeleri anımsatılır ve süresi dolmuş parolaları olan hesaplar devre dışı bırakılır. Bu kural, parola süre sonu ilkesinin tüm SQL oturum açma işlemleri için etkinleştirilip etkinleştirilmediğini denetler. | SQL Yönetilen Örnek |
| VA1048 | Veritabanı sorumluları hesaba eşlenmemelidir sa |
Yüksek | Hesaba eşlenen sa bir veritabanı sorumlusu, izinleri yükseltmek için bir saldırgan tarafından kötüye kullanılabilir sysadmin |
SQL Yönetilen Örnek |
| VA1052 | BUILTIN\Administrators'ı sunucu oturumu olarak kaldırma | Düşük | BUILTIN\Administrators grubu, Windows Yerel Yöneticiler grubunu içerir. Microsoft SQL Server'ın eski sürümlerinde, bu grup varsayılan olarak yönetici haklarına sahiptir. Bu kural, bu grubun SQL Server'dan kaldırılıp kaldırılmadığını denetler. | |
| VA1053 | Varsayılan ada sa sahip hesap yeniden adlandırılmalıdır veya devre dışı bırakılmalıdır |
Düşük | sa asıl kimliği 1 olan iyi bilinen bir hesaptır. Bu kural hesabın sa yeniden adlandırıldığını veya devre dışı bırakıldığını doğrular. |
SQL Yönetilen Örnek |
| VA1054 | Nesneler veya sütunlar üzerinde GENEL rol için aşırı izinler verilmemelidir | Düşük | Her SQL Server oturum açma bilgileri genel sunucu rolüne aittir. Bir sunucu sorumlusuna güvenli hale getirilebilir bir nesne üzerinde belirli izinler verilmediğinde veya reddedilmediğinde, kullanıcı bu nesne üzerinde public'a verilen izinleri devralır. Bu kural, GENEL rolü aracılığıyla tüm kullanıcılar tarafından erişilebilen tüm güvenli hale getirilebilir nesnelerin veya sütunların listesini görüntüler. | SQL Veritabanı |
| VA1058 | sa oturum açma devre dışı bırakılmalıdır |
Yüksek | sa asıl kimliği 1 olan iyi bilinen bir hesaptır. Bu kural hesabın sa devre dışı bırakıldığını doğrular. |
SQL Yönetilen Örnek |
| VA1059 | xp_cmdshell devre dışı bırakılmalıdır | Yüksek | xp_cmdshell bir Windows komut kabuğu oluşturur ve yürütme için bir dize geçirir. Bu kural xp_cmdshell devre dışı bırakıldığını denetler. | SQL Yönetilen Örnek |
| VA1067 | Veritabanı Postası XP'ler kullanımda olmadığında devre dışı bırakılmalıdır | Orta | Bu kural, veritabanı posta profili yapılandırılmadığında Veritabanı Postası devre dışı bırakıldığını denetler. Veritabanı Postası SQL Server Veritabanı Altyapısı'ndan e-posta iletileri göndermek için kullanılabilir ve varsayılan olarak devre dışı bırakılır. Bu özelliği kullanmıyorsanız, yüzey alanını azaltmak için devre dışı bırakmanız önerilir. | |
| VA1068 | Sunucu izinleri doğrudan sorumlulara verilmemelidir | Düşük | Sunucu düzeyi izinleri, nesneye hangi kullanıcıların erişim kazanabileceğini düzenlemek için bir sunucu düzeyi nesnesiyle ilişkilendirilir. Bu kural, oturum açma işlemlerine doğrudan sunucu düzeyinde izin verilmediğini denetler. | SQL Yönetilen Örnek |
| VA1070 | Veritabanı kullanıcıları sunucu oturum açma bilgileriyle aynı adı paylaşmamalıdır | Düşük | Veritabanı kullanıcıları sunucu oturum açma bilgileriyle aynı adı paylaşabilir. Bu kural, böyle bir kullanıcı olmadığını doğrular. | SQL Yönetilen Örnek |
| VA1072 | Kimlik doğrulama modu Windows Kimlik Doğrulaması olmalıdır | Orta | İki olası kimlik doğrulama modu vardır: Windows Kimlik Doğrulama modu ve karma mod. Karma mod, SQL Server'ın hem Windows kimlik doğrulamasını hem de SQL Server kimlik doğrulamasını etkinleştirdiğini gösterir. Bu kural, kimlik doğrulama modunun Windows Kimlik Doğrulaması olarak ayarlandığını denetler. | |
| VA1094 | Veritabanı izinleri doğrudan sorumlulara verilmemelidir | Düşük | İzinler, hangi kullanıcıların nesneye erişim kazanabileceğini düzenlemek için güvenli hale getirilebilir bir nesneyle ilişkili kurallardır. Bu kural, doğrudan kullanıcılara veritabanı izni verilmediğini denetler. | SQL Yönetilen Örnek |
| VA1095 | PUBLIC rolüne aşırı izin verilmemelidir | Orta | Her SQL Server oturum açma bilgileri genel sunucu rolüne aittir. Bir sunucu sorumlusuna güvenli hale getirilebilir bir nesne üzerinde belirli izinler verilmediğinde veya reddedilmediğinde, kullanıcı bu nesne üzerinde public'a verilen izinleri devralır. Bu, PUBLIC rolüne verilen tüm izinlerin listesini görüntüler. | SQL Yönetilen Örnek SQL Veritabanı |
| VA1096 | Asıl GUEST'a veritabanında izin verilmemelidir | Düşük | Her veritabanı GUEST adlı bir kullanıcı içerir. GUEST'a verilen izinler, veritabanına erişimi olan ancak veritabanında kullanıcı hesabı olmayan kullanıcılar tarafından devralınır. Bu kural, GUEST kullanıcısından tüm izinlerin iptal edildiğini denetler. | SQL Yönetilen Örnek SQL Veritabanı |
| VA1097 | Asıl GUEST'a nesneler veya sütunlar üzerinde izin verilmemelidir | Düşük | Her veritabanı GUEST adlı bir kullanıcı içerir. GUEST'a verilen izinler, veritabanına erişimi olan ancak veritabanında kullanıcı hesabı olmayan kullanıcılar tarafından devralınır. Bu kural, GUEST kullanıcısından tüm izinlerin iptal edildiğini denetler. | SQL Yönetilen Örnek SQL Veritabanı |
| VA1099 | GUEST kullanıcı için veritabanı güvenliği sağlanabilir izinleri verilmemelidir | Düşük | Her veritabanı GUEST adlı bir kullanıcı içerir. GUEST'a verilen izinler, veritabanına erişimi olan ancak veritabanında kullanıcı hesabı olmayan kullanıcılar tarafından devralınır. Bu kural, GUEST kullanıcısından tüm izinlerin iptal edildiğini denetler. | SQL Yönetilen Örnek SQL Veritabanı |
| VA1246 | Uygulama rolleri kullanılmamalıdır | Düşük | Uygulama rolü, bir uygulamanın kendi kullanıcı benzeri izinleriyle çalışmasını sağlayan bir veritabanı sorumlusudur. Uygulama rolleri yalnızca belirli bir uygulama üzerinden bağlanan kullanıcıların belirli verilere erişmesini sağlar. Uygulama rolleri, parola tabanlıdır (genellikle sabit kodlu uygulamalardır) ve veritabanını parola tahmin ederek uygulama rolü kimliğe bürünmeye açıklayan izin tabanlı değildir. Bu kural, veritabanında hiçbir uygulama rolünün tanımlanmadığını denetler. | SQL Yönetilen Örnek SQL Veritabanı |
| VA1248 | Kullanıcı tanımlı veritabanı rolleri sabit rollerin üyesi olmamalıdır | Orta | Veritabanlarınızdaki izinleri kolayca yönetmek için SQL Server, diğer sorumluları gruplandıran güvenlik sorumluları olan çeşitli roller sağlar. Microsoft Windows işletim sistemindeki gruplara benzerler. Veritabanı hesapları ve diğer SQL Server rolleri veritabanı düzeyindeki rollere eklenebilir. Sabit veritabanı rolünün her üyesi aynı role başka kullanıcılar ekleyebilir. Bu kural, kullanıcı tanımlı hiçbir rolün sabit rollerin üyesi olmadığını denetler. | SQL Yönetilen Örnek SQL Veritabanı Azure Synapse |
| VA1267 | Kapsanan kullanıcılar Windows Kimlik Doğrulaması kullanmalıdır | Orta | İçerilen kullanıcılar, veritabanında bulunan ve oturum açma eşlemesi gerektirmeyen kullanıcılardır. Bu kural, kullanıcıların Windows Kimlik Doğrulaması kullandığını denetler. | SQL Yönetilen Örnek |
| VA1280 | Genele verilen Sunucu İzinleri simge durumuna küçültülmelidir | Orta | Her SQL Server oturum açma bilgileri genel sunucu rolüne aittir. Bir sunucu sorumlusuna güvenli hale getirilebilir bir nesne üzerinde belirli izinler verilmediğinde veya reddedilmediğinde, kullanıcı bu nesne üzerinde public'a verilen izinleri devralır. Bu kural, genele verilen sunucu izinlerinin simge durumuna küçültüldüğünü denetler. | SQL Yönetilen Örnek |
| VA1282 | Yalnız bırakılmış roller kaldırılmalıdır | Düşük | Yalnız bırakılmış roller, üyesi olmayan kullanıcı tanımlı rollerdir. Sistemde gerekli olmadığından yalnız bırakılmış rolleri ortadan kaldırın. Bu kural, yalnız bırakılmış rol olup olmadığını denetler. | SQL Yönetilen Örnek SQL Veritabanı Azure Synapse |
| VA2020 | En az sayıda sorumluya ALTER veya ALTER ANY USER veritabanı kapsamlı izinler verilmelidir | Yüksek | Güvenliği sağlanabilir her SQL Server' ın sorumlulara verilebilen kendisiyle ilişkilendirilmiş izinleri vardır. İzinlerin kapsamı sunucu düzeyinde (oturum açma bilgilerine ve sunucu rollerine atanabilir) veya veritabanı düzeyinde (veritabanı kullanıcılarına ve veritabanı rollerine atanabilir). Bu kurallar yalnızca en az sayıda sorumlu kümesine ALTER veya ALTER ANY USER veritabanı kapsamlı izinler verilip verilmediğini denetler. | SQL Yönetilen Örnek SQL Veritabanı Azure Synapse |
| VA2033 | En az sayıda sorumluya nesneler veya sütunlar üzerinde veritabanı kapsamlı EXECUTE izni verilmelidir | Düşük | Bu kural, bu iznin en az sayıda sorumluya verildiğinden emin olmak için nesneler veya sütunlar üzerinde hangi sorumlulara EXECUTE izni verildiğini denetler. Güvenliği sağlanabilir her SQL Server' ın sorumlulara verilebilen kendisiyle ilişkilendirilmiş izinleri vardır. İzinlerin kapsamı sunucu düzeyinde (oturum açma bilgilerine ve sunucu rollerine atanabilir) veya veritabanı düzeyinde (veritabanı kullanıcılarına, veritabanı rollerine veya uygulama rollerine atanabilir). EXECUTE izni hem saklı yordamlar hem de hesaplanan sütunlarda kullanılabilen skaler işlevler için geçerlidir. | SQL Yönetilen Örnek SQL Veritabanı Azure Synapse |
| VA2103 | Genişletilmiş saklı yordamlarda gereksiz yürütme izinleri iptal edilmelidir | Orta | Genişletilmiş saklı yordamlar, SQL Server örneğinin dinamik olarak yükleyip çalıştırabildiği DLL'lerdir. SQL Server, sistem DLL'leriyle etkileşime izin veren birçok genişletilmiş saklı yordamla paketlenmiştir. Bu kural, genişletilmiş saklı yordamlardaki gereksiz yürütme izinlerinin iptal edildiğini denetler. | SQL Yönetilen Örnek |
| VA2107 | En az sayıda sorumlu, sabit Azure SQL DB ana veritabanı rollerinin üyesi olmalıdır | Yüksek | SQL Veritabanı, ana veritabanında veritabanı oluşturma veya oturum açma bilgilerini yönetme izinleri veren kullanıcı hesaplarının eklenebileceği iki kısıtlanmış yönetim rolü sağlar. Bu kural, en az sayıda sorumlunun bu yönetim rollerinin üyesi olup olmadığını denetler. | Azure Synapse |
| VA2108 | En az sayıda sorumlu sabit yüksek etkili veritabanı rollerinin üyesi olmalıdır | Yüksek | SQL Server, izinleri yönetmeye yardımcı olacak roller sağlar. Roller, diğer sorumluları gruplandıran güvenlik sorumlularıdır. Veritabanı düzeyindeki roller, izin kapsamında veritabanı genelindedir. Bu kural, en az sayıda sorumlunun sabit veritabanı rollerinin üyesi olduğunu denetler. | SQL Yönetilen Örnek SQL Veritabanı Azure Synapse |
| VA2109 | En az sayıda sorumlu, sabit düşük etkili veritabanı rollerinin üyesi olmalıdır | Düşük | SQL Server, izinleri yönetmeye yardımcı olacak roller sağlar. Roller, diğer sorumluları gruplandıran güvenlik sorumlularıdır. Veritabanı düzeyindeki roller, izin kapsamında veritabanı genelindedir. Bu kural, en az sayıda sorumlunun sabit veritabanı rollerinin üyesi olduğunu denetler. | SQL Yönetilen Örnek SQL Veritabanı Azure Synapse |
| VA2110 | Kayıt defterine erişim için yürütme izinleri iptal edilmelidir | Yüksek | Kayıt defteri genişletilmiş saklı yordamları, Microsoft SQL Server'ın kayıt defterindeki değerleri ve anahtarları okumasına ve listelemesine olanak sağlar. Enterprise Manager tarafından sunucuyu yapılandırmak için kullanılır. Bu kural, kayıt defteri genişletilmiş saklı yordamlarını yürütme izinlerinin tüm kullanıcılardan (dbo dışında) iptal edildiğini denetler. | SQL Yönetilen Örnek |
| VA2113 | Veri Dönüştürme Hizmetleri (DTS) izinleri yalnızca SSIS rollerine verilmelidir | Orta | Veri Dönüştürme Hizmetleri (DTS), bir veritabanına veya veritabanından ayıklama, dönüştürme ve yükleme işlemlerinin otomasyonunu sağlayan bir dizi nesne ve yardımcı programdır. Nesneler DTS paketleri ve bileşenleridir ve yardımcı programlar DTS araçları olarak adlandırılır. Bu kural yalnızca SSIS rollerine DTS sistem saklı yordamlarını kullanma izinleri verildiğini ve GENEL rolün DTS sistem saklı yordamlarını kullanma izinlerinin iptal edildiğini denetler. | SQL Yönetilen Örnek |
| VA2114 | En az sayıda sorumlu, yüksek etkili sabit sunucu rollerinin üyesi olmalıdır | Yüksek | SQL Server, izinleri yönetmeye yardımcı olacak roller sağlar. Roller, diğer sorumluları gruplandıran güvenlik sorumlularıdır. Sunucu düzeyindeki roller, izin kapsamında sunucu genelindedir. Bu kural, en az sayıda sorumlunun sabit sunucu rollerinin üyesi olduğunu denetler. | SQL Yönetilen Örnek |
| VA2129 | İmzalı modüllerdeki değişiklikler yetkilendirilmelidir | Yüksek | Bir saklı yordamı, işlevi veya tetikleyiciyi bir sertifika veya asimetrik anahtarla imzalayabilirsiniz. Bu, izinlerin sahiplik zinciri aracılığıyla devralınamadığı veya dinamik SQL gibi sahiplik zincirinin bozulduğu senaryolar için tasarlanmıştır. Bu kural, imzalı modüllerde yapılan değişiklikleri denetler ve bu da kötü amaçlı kullanımın göstergesi olabilir. | SQL Veritabanı SQL Yönetilen Örnek |
| VA2130 | Veritabanına erişimi olan tüm kullanıcıları izleme | Düşük | Bu denetim, veritabanına erişimi olan tüm kullanıcıları izler. Bu kullanıcıların kuruluştaki geçerli rollerine göre yetkilendirildiğinden emin olun. | Azure Synapse |
| VA2201 | Yaygın olarak kullanılan adlara sahip SQL oturum açma işlemleri devre dışı bırakılmalıdır | Yüksek | Bu kural, yaygın olarak kullanılan adlar için veritabanı sahibi iznine sahip hesapları denetler. Veritabanı sahibi izni olan hesaplara yaygın olarak kullanılan adlar atamak, deneme yanılma saldırılarının başarılı olma olasılığını artırır. |
Denetim ve Günlüğe Kaydetme
| Kural Kimliği | Kural Başlığı | Kural Önem Derecesi | Kural Tanımı | Platform |
|---|---|---|---|---|
| VA1045 | Varsayılan izleme etkinleştirilmelidir | Orta | Varsayılan izleme, ilk kez ortaya çıkan sorunları tanılamak için gerekli günlük verilerine sahip olduklarından emin olarak veritabanı yöneticilerine sorun giderme yardımı sağlar. Bu kural, varsayılan izlemenin etkinleştirilip etkinleştirilmediğini denetler. | SQL Yönetilen Örnek |
| VA1091 | Oturum açmaları izlemek için 'Oturum açma denetimi' ayarlandığında hem başarılı hem de başarısız oturum açma girişimlerinin denetimi (varsayılan izleme) etkinleştirilmelidir | Düşük | SQL Server Oturum açma denetimi yapılandırması, yöneticilerin SQL Server örneklerinde oturum açan kullanıcıları izlemesine olanak tanır. Kullanıcı SQL Server örneklerinde oturum açan kullanıcıları izlemek için 'Oturum açma denetimi'ne güveniyorsa, hem başarılı hem de başarısız oturum açma girişimleri için etkinleştirmeniz önemlidir. | |
| VA1093 | En fazla hata günlüğü sayısı 12 veya daha fazla olmalıdır | Düşük | Her SQL Server Hata günlüğü, SQL Server'ın en son yeniden başlatılmasından veya hata günlüklerini en son geri dönüştürdüğünüz zamandan bu yana oluşan hatalarla/ hatalarla ilgili tüm bilgilere sahip olur. Bu kural, en fazla hata günlüğü sayısının 12 veya daha fazla olduğunu denetler. | |
| VA1258 | Veritabanı sahipleri beklendiği gibi | Yüksek | Veritabanı sahipleri veritabanındaki tüm yapılandırma ve bakım etkinliklerini gerçekleştirebilir ve ayrıca SQL Server'daki veritabanlarını bırakabilir. Veritabanı sahiplerinin izlenmesi, bazı sorumlular için aşırı izne sahip olmaktan kaçınmak için önemlidir. Veritabanı için beklenen veritabanı sahiplerini tanımlayan bir temel oluşturun. Bu kural, veritabanı sahiplerinin temelde tanımlandığı gibi olup olmadığını denetler. | SQL Veritabanı Azure Synapse |
| VA1264 | Hem başarılı hem de başarısız oturum açma girişimlerinin denetimi etkinleştirilmelidir | Düşük | SQL Server denetim yapılandırması, yöneticilerin sorumlu oldukları SQL Server örneklerinde oturum açan kullanıcıları izlemesine olanak tanır. Bu kural, hem başarılı hem de başarısız oturum açma girişimleri için denetimin etkinleştirilip etkinleştirilmediğini denetler. | SQL Yönetilen Örnek |
| VA1265 | Kapsanan VERITABANı kimlik doğrulaması için hem başarılı hem de başarısız oturum açma girişimlerinin denetimi etkinleştirilmelidir | Orta | SQL Server denetim yapılandırması, yöneticilerin sorumlu oldukları SQL Server örneklerinde oturum açan kullanıcıları izlemesine olanak tanır. Bu kural, bağımsız veritabanı kimlik doğrulaması için hem başarılı hem de başarısız oturum açma girişimleri için denetimin etkinleştirilip etkinleştirilmediğini denetler. | SQL Yönetilen Örnek |
| VA1281 | Kullanıcı tanımlı roller için tüm üyelikler hedeflenmelidir | Orta | Kullanıcı tanımlı roller, izinleri kolayca yönetmek için sorumluları gruplandırmak için kullanıcı tarafından tanımlanan güvenlik sorumlularıdır. Bu rollerin izlenmesi, aşırı izinlere sahip olmaktan kaçınmak için önemlidir. Kullanıcı tanımlı her rol için beklenen üyeliği tanımlayan bir temel oluşturun. Bu kural, kullanıcı tanımlı roller için tüm üyeliklerin temelde tanımlandığı gibi olup olmadığını denetler. | SQL Yönetilen Örnek SQL Veritabanı Azure Synapse |
| VA1283 | Sistemde en az 1 etkin denetim olmalıdır | Düşük | SQL Server Veritabanı Altyapısı'nın veya tek bir veritabanının örneğini denetlemek, Veritabanı Altyapısı'nda gerçekleşen olayları izlemeyi ve günlüğe kaydetmeyi içerir. SQL Server Audit nesnesi, sunucu veya veritabanı düzeyinde eylemlerin ve izlenecek eylem gruplarının tek bir örneğini toplar. Bu kural sistemde en az bir etkin denetim olup olmadığını denetler. | SQL Yönetilen Örnek |
| VA2061 | Denetim sunucu düzeyinde etkinleştirilmelidir | Yüksek | Azure SQL Veritabanı Denetimi veritabanı olaylarını izler ve bunları Azure depolama hesabınızdaki bir denetim günlüğüne yazar. Denetim, veritabanı etkinliğini anlamanıza ve iş endişelerini veya şüpheli güvenlik ihlallerini gösterebilecek tutarsızlıklar ve anomaliler hakkında içgörü edinmenize ve mevzuat uyumluluğunu karşılamanıza yardımcı olur. Daha fazla bilgi için bkz . Azure SQL Denetimi. Bu kural denetimin etkinleştirilip etkinleştirilmediğini denetler. | Azure Synapse |
Veri Koruma
| Kural Kimliği | Kural Başlığı | Kural Önem Derecesi | Kural Tanımı | Platform |
|---|---|---|---|---|
| VA1098 | Mevcut SSB veya Yansıtma uç noktaları AES bağlantısı gerektirmelidir | Yüksek | Hizmet Aracısı ve Yansıtma uç noktaları şifreleme olmadan da dahil olmak üzere farklı şifreleme algoritmalarını destekler. Bu kural, mevcut uç noktaların AES şifrelemesi gerektirdiğini denetler. | |
| VA1219 | Saydam veri şifreleme etkinleştirilmelidir | Orta | Saydam veri şifrelemesi (TDE), uygulamada değişiklik gerektirmeden veritabanının, ilişkili yedeklemelerin ve işlem günlüğü dosyalarının gerçek zamanlı şifreleme ve şifre çözme işlemlerini gerçekleştirerek bilgilerin açığa çıkmasına karşı korunmasına yardımcı olur. Bu kural, veritabanında TDE'nin etkinleştirilip etkinleştirilmediğini denetler. | SQL Yönetilen Örnek SQL Veritabanı Azure Synapse |
| VA1220 | TDS kullanan veritabanı iletişimi TLS aracılığıyla korunmalıdır | Yüksek | Microsoft SQL Server, SQL Server örneği ile istemci uygulaması arasında bir ağ üzerinden iletilen verileri şifrelemek için Güvenli Yuva Katmanı (SSL) veya Aktarım Katmanı Güvenliği (TLS) kullanabilir. Bu kural, SQL Server'a yönelik tüm bağlantıların TLS aracılığıyla şifrelendiğini denetler. | SQL Yönetilen Örnek |
| VA1221 | Veritabanı Şifreleme Simetrik Anahtarları AES algoritması kullanmalıdır | Yüksek | SQL Server, bir sunucu veritabanında depolanan veri kimlik bilgilerinin ve bağlantı bilgilerinin güvenliğini sağlamaya yardımcı olmak için şifreleme anahtarlarını kullanır. SQL Server'ın iki tür anahtarı vardır: simetrik ve asimetrik. Bu kural, Veritabanı Şifreleme Simetrik Anahtarlarının AES algoritması kullandığını denetler. | SQL Yönetilen Örnek SQL Veritabanı Azure Synapse |
| VA1222 | Hücre Düzeyinde Şifreleme anahtarları AES algoritması kullanmalıdır | Yüksek | Hücre Düzeyinde Şifreleme (CLE), simetrik ve asimetrik anahtarlar kullanarak verilerinizi şifrelemenize olanak tanır. Bu kural, Hücre Düzeyinde Şifreleme simetrik anahtarlarının AES algoritması kullandığını denetler. | SQL Yönetilen Örnek |
| VA1223 | Sertifika anahtarları en az 2048 bit kullanmalıdır | Yüksek | Sertifika anahtarları, verileri korumak için RSA ve diğer şifreleme algoritmalarında kullanılır. Bu anahtarların, kullanıcının verilerinin güvenliğini sağlamak için yeterli uzunlukta olması gerekir. Bu kural, anahtarın uzunluğunun tüm sertifikalar için en az 2048 bit olduğunu denetler. | SQL Yönetilen Örnek SQL Veritabanı Azure Synapse |
| VA1224 | Asimetrik anahtarların uzunluğu en az 2048 bit olmalıdır | Yüksek | Veritabanı asimetrik anahtarları birçok şifreleme algoritmasında kullanılır bu anahtarların şifrelenmiş verilerin güvenliğini sağlamak için yeterli uzunlukta olması gerekir. Bu kural, veritabanında depolanan tüm asimetrik anahtarların en az 2048 bit uzunluğunda olup olmadığını denetler | SQL Veritabanı |
| VA1279 | TDS için zorlamalı şifreleme etkinleştirilmelidir | Yüksek | Veritabanı Altyapısı için Şifrelemeye Zorla seçeneği etkinleştirildiğinde, 'Bağlantıyı şifrele' seçeneğinin (SSMS'den gibi) işaretli olup olmamasına bakılmaksızın istemci ile sunucu arasındaki tüm iletişimler şifrelenir. Bu kural, Şifrelemeyi Zorla seçeneğinin etkinleştirilip etkinleştirilmediğini denetler. | |
| VA2060 | SQL Tehdit Algılaması sunucu düzeyinde etkinleştirilmelidir | Orta | SQL Tehdit Algılama, SQL ekleme saldırıları ve olağan dışı davranış desenleri gibi veritabanlarındaki olası güvenlik açıklarını ve anormal etkinlikleri algılayan bir güvenlik katmanı sağlar. Olası bir tehdit algılandığında Tehdit Algılama, belirli bir tehdit için net araştırma ve düzeltme adımlarını içeren, e-postayla ve Bulut için Microsoft Defender eyleme dönüştürülebilir bir gerçek zamanlı uyarı gönderir. Daha fazla bilgi için bkz . Tehdit algılamayı yapılandırma. Bu denetim SQL Tehdit Algılama'nın etkinleştirildiğini doğrular | SQL Yönetilen Örnek SQL Veritabanı Azure Synapse |
Yükleme Güncelleştirmeleri ve Düzeltme Ekleri
| Kural Kimliği | Kural Başlığı | Kural Önem Derecesi | Kural Tanımı | Platform |
|---|---|---|---|---|
| VA1018 | En son güncelleştirmeler yüklenmelidir | Yüksek | Microsoft, SQL Server'ın her sürümü için düzenli aralıklarla Toplu Güncelleştirmeler (CU) yayınlar. Bu kural, yürütme için bir dize geçirerek, kullanılmakta olan SQL Server'ın belirli bir sürümü için en son CU'nun yüklenip yüklenmediğini denetler. Bu kural, tüm kullanıcıların (dbo hariç) xp_cmdshell genişletilmiş saklı yordamı yürütme iznine sahip olmadığını denetler. | SQL Server 2017 SQL Server 2019 SQL Server 2022 |
| VA2128 | SQL Server 2012'den düşük SQL Server sürümleri için güvenlik açığı değerlendirmesi desteklenmiyor | Yüksek | SQL Server'ınız üzerinde güvenlik açığı değerlendirmesi taraması çalıştırmak için sunucunun SQL Server 2012 veya sonraki bir sürüme yükseltilmesi gerekir; SQL Server 2008 R2 ve altı artık Microsoft tarafından desteklenmez. Daha fazla bilgi için bu sayfayı inceleyin | SQL Yönetilen Örnek SQL Veritabanı Azure Synapse |
Yüzey Alanı Azaltma
| Kural Kimliği | Kural Başlığı | Kural Önem Derecesi | Kural Tanımı | Platform |
|---|---|---|---|---|
| VA1022 | Geçici dağıtılmış sorgular devre dışı bırakılmalıdır | Orta | Geçici dağıtılmış sorgular, OLE DB kullanan uzak veri kaynaklarına bağlanmak için ve OPENDATASOURCE işlevlerini kullanırOPENROWSET. Bu kural geçici dağıtılmış sorguların devre dışı bırakıldığını denetler. |
|
| VA1023 | CLR devre dışı bırakılmalıdır | Yüksek | CLR, yönetilen kodun tarafından barındırılmasına ve Microsoft SQL Server ortamında çalıştırılmasına izin verir. Bu kural CLR'nin devre dışı bırakıldığını denetler. | |
| VA1026 | CLR devre dışı bırakılmalıdır | Orta | CLR, yönetilen kodun tarafından barındırılmasına ve Microsoft SQL Server ortamında çalıştırılmasına izin verir. CLR katı güvenlik, SAFE ve EXTERNAL_ACCESS derlemelerini GÜVENSİz olarak işaretlenmiş gibi kabul eder ve tüm derlemelerin ana veritabanında GÜVENSİz DERLEME izni verilmiş ilgili bir oturum açma bilgileriyle bir sertifika veya asimetrik anahtarla imzalanması gerekir. Bu kural CLR'nin devre dışı bırakıldığını denetler. | SQL Yönetilen Örnek |
| VA1027 | İzlenmeyen güvenilen derlemeler kaldırılmalıdır | Yüksek | GÜVENSİz olarak işaretlenen derlemelerin, ana veritabanında GÜVENSİz DERLEME izni verilmiş ilgili oturum açma bilgilerine sahip bir sertifika veya asimetrik anahtar tarafından imzalanması gerekir. Güvenilen derlemeler bu gereksinimi atlayabilir. | SQL Yönetilen Örnek |
| VA1044 | Özel olarak gerekli olmadığı sürece Uzak Yönetici Bağlantıları devre dışı bırakılmalıdır | Orta | Bu kural, saldırı yüzeyi alanını azaltmak için kümeleme için kullanılmayan uzak ayrılmış yönetici bağlantılarının devre dışı bırakıldığını denetler. SQL Server ayrılmış bir yönetici bağlantısı (DAC) sağlar. DAC, yöneticinin çalışan bir sunucuya erişerek tanılama işlevlerini veya Transact-SQL deyimlerini yürütmesine veya sunucudaki sorunları gidermesine olanak tanır ve uzaktan etkinleştirildiğinde saldırmak için cazip bir hedef haline gelir. | SQL Yönetilen Örnek |
| VA1051 | AUTO_CLOSE tüm veritabanlarında devre dışı bırakılmalıdır | Orta | AUTO_CLOSE seçeneği, veritabanının düzgün bir şekilde kapatılıp kapatılmayacağını ve son kullanıcı bağlantısı kesildikten sonra kaynakları serbest bırakacağını belirtir. Avantajları ne olursa olsun, veritabanını agresif bir şekilde açıp kapatarak hizmet reddine neden olabilir, bu nedenle bu özelliği devre dışı tutmak önemlidir. Bu kural, geçerli veritabanında bu seçeneğin devre dışı bırakıldığını denetler. | |
| VA1066 | Kullanılmayan hizmet aracısı uç noktaları kaldırılmalıdır | Düşük | Hizmet Aracısı, SQL Server için kuyruğa alma ve güvenilir mesajlaşma sağlar. Hizmet Aracısı hem tek bir SQL Server örneği kullanan uygulamalar hem de birden çok örneğe iş dağıtan uygulamalar için kullanılır. Hizmet Aracısı uç noktaları, aktarım güvenliği ve ileti iletme seçenekleri sağlar. Bu kural tüm hizmet aracısı uç noktalarını numaralandırır. Kullanılmayanları kaldırın. | |
| VA1071 | 'Başlangıç saklı yordamlarını tara' seçeneği devre dışı bırakılmalıdır | Orta | 'Başlangıç procs tarama' etkinleştirildiğinde SQL Server, sunucuda tanımlanan saklı yordamları otomatik olarak tarar ve çalıştırır. Bu seçenek etkinse, SQL Server için taramalar ve çalıştırma işlemlerinin tümünü sunucuda tanımlanan saklı yordamları otomatik olarak çalıştırın. Bu kural, bu seçeneğin devre dışı bırakıldığını denetler. | |
| VA1092 | SQL Server örneği SQL Server Browser hizmeti tarafından tanıtılmamalıdır | Düşük | SQL Server, bilgisayarda yüklü Veritabanı Altyapısı örneklerini listelemek için SQL Server Browser hizmetini kullanır. Bu, istemci uygulamalarının bir sunucuya göz atmalarına olanak tanır ve istemcilerin aynı bilgisayardaki Veritabanı Altyapısı'nın birden çok örneğini ayırt etmesine yardımcı olur. Bu kural SQL örneğinin gizlendiğini denetler. | |
| VA1102 | MsDB dışındaki tüm veritabanlarında Güvenilir bit devre dışı bırakılmalıdır | Yüksek | TRUSTWORTHY veritabanı özelliği, SQL Server örneğinin veritabanına ve içindeki içeriğe güvenip güvenmediğini göstermek için kullanılır. Bu seçenek etkinse, kimliğe bürünme bağlamı kullanan veritabanı modüllerine (örneğin kullanıcı tanımlı işlevler veya saklı yordamlar) veritabanı dışındaki kaynaklara erişebilir. Bu kural, MSDB dışındaki tüm veritabanlarında TRUSTWORTHY bitinin devre dışı bırakıldığını doğrular. | SQL Yönetilen Örnek |
| VA1143 | 'dbo' kullanıcısı normal hizmet işlemi için kullanılmamalıdır | Orta | 'dbo' veya veritabanı sahibi, veritabanındaki tüm etkinlikleri gerçekleştirmek için zımni izinlere sahip bir kullanıcı hesabıdır. Sysadmin sabit sunucu rolünün üyeleri otomatik olarak dbo ile eşlenir. Bu kural, bu veritabanına erişmesine izin verilen tek hesabın dbo olmadığını denetler. Yeni oluşturulan temiz veritabanında bu kuralın ek roller oluşturulana kadar başarısız olacağını unutmayın. | SQL Yönetilen Örnek SQL Veritabanı Azure Synapse |
| VA1144 | Model veritabanına yalnızca 'dbo' tarafından erişilebilir olmalıdır | Orta | Model veritabanı, SQL Server örneğinde oluşturulan tüm veritabanları için şablon olarak kullanılır. Model veritabanında veritabanı boyutu kurtarma modeli ve diğer veritabanı seçenekleri gibi değişiklikler daha sonra oluşturulan tüm veritabanlarına uygulanır. Bu kural, model veritabanına erişmesine izin verilen tek hesabın dbo olup olmadığını denetler. | SQL Yönetilen Örnek |
| VA1230 | Dosya akışı devre dışı bırakılmalıdır | Yüksek | FILESTREAM, varbinary (max) ikili büyük nesne (BLOB) verilerini dosya sisteminde dosya olarak depolayarak SQL Server Veritabanı Altyapısı'nı bir NTFS dosya sistemiyle tümleştirir. Transact-SQL deyimleri FILESTREAM verilerini ekleyebilir, güncelleştirebilir, sorgulayabilir, arayabilir ve yedekleyebilir. SQL server'da Dosya Akışı'nın etkinleştirilmesi, saldırı yüzeyini artıran ve kötü amaçlı saldırılara açık hale getiren ek NTFS akış API'sini kullanıma sunar. Bu kural, Dosya Akışı'nın devre dışı bırakıldığını denetler. | |
| VA1235 | 'Çoğaltma XP'leri' sunucu yapılandırması devre dışı bırakılmalıdır | Orta | Saldırı yüzeyi alanını sınırlamak için kullanım dışı bırakılan 'Çoğaltma XP'leri' sunucu yapılandırmasını devre dışı bırakın. Bu yalnızca iç yapılandırma ayarıdır. | SQL Yönetilen Örnek |
| VA1244 | Yalnız bırakılmış kullanıcılar SQL server veritabanlarından kaldırılmalıdır | Orta | Veritabanında var olan ancak ana veritabanında veya dış kaynakta (örneğin, windows kullanıcısı) karşılık gelen oturum açma bilgileri olmayan bir veritabanı kullanıcısı yalnız bırakılmış kullanıcı olarak adlandırılır ve bu kullanıcı kaldırılmalıdır veya geçerli bir oturum açma bilgileriyle yeniden eşlenmelidir. Bu kural yalnız bırakılmış kullanıcı olup olmadığını denetler. | SQL Yönetilen Örnek |
| VA1245 | Dbo bilgileri hedef veritabanı ve ana veritabanı arasında tutarlı olmalıdır | Yüksek | Herhangi bir veritabanı için dbo kimliği hakkında yedekli bilgiler vardır: veritabanında depolanan meta veriler ve ana veritabanında depolanan meta veriler. Bu kural, bu bilgilerin hedef veritabanı ile ana veritabanı arasında tutarlı olup olmadığını denetler. | SQL Yönetilen Örnek |
| VA1247 | Otomatik başlangıç olarak işaretlenmiş SP'ler olmamalıdır | Yüksek | SQL Server 'başlangıç procs'lerini tarayacak şekilde yapılandırıldığında, sunucu otomatik başlatma olarak işaretlenmiş saklı yordamlar için ana DB'yi tarar. Bu kural, otomatik başlangıç olarak işaretlenmiş SP olup olmadığını denetler. | |
| VA1256 | Kullanıcı CLR derlemeleri veritabanında tanımlanmamalıdır | Yüksek | CLR derlemeleri, SQL Server işleminde rastgele kod yürütmek için kullanılabilir. Bu kural, veritabanında kullanıcı tanımlı CLR derlemesi olup olmadığını denetler. | SQL Yönetilen Örnek |
| VA1277 | Polybase ağ şifrelemesi etkinleştirilmelidir | Yüksek | PolyBase, SQL Server'ın içinden hem ilişkisel olmayan hem de ilişkisel olmayan verilere erişen ve bunları birleştiren bir teknolojidir. Polybase ağ şifreleme seçeneği, Polybase kullanırken denetim ve veri kanallarını şifrelemek için SQL Server'ı yapılandırıyor. Bu kural, bu seçeneğin etkinleştirildiğini doğrular. | |
| VA1278 | Dış Anahtar Yönetimi Sağlayıcılarının temelini oluşturma | Orta | SQL Server Genişletilebilir Anahtar Yönetimi (EKM), üçüncü taraf EKM / Donanım Güvenlik Modülleri (HSM) satıcılarının modüllerini SQL Server'a kaydetmesini sağlar. Kayıtlı SQL Server kullanıcıları EKM modüllerinde depolanan şifreleme anahtarlarını kullanabilirse, bu kural sistemde kullanılan EKM sağlayıcılarının listesini görüntüler. | SQL Yönetilen Örnek |
| VA2062 | Veritabanı düzeyinde güvenlik duvarı kuralları aşırı erişim vermemelidir | Yüksek | Azure SQL Veritabanı düzeyinde güvenlik duvarı, hangi IP adreslerinin izni olduğunu belirtene kadar veritabanınıza tüm erişimi engelleyerek verilerinizin korunmasına yardımcı olur. Veritabanı düzeyinde güvenlik duvarı kuralları, her isteğin kaynak IP adresine göre belirli bir veritabanına erişim verir. Ana ve kullanıcı veritabanları için veritabanı düzeyinde güvenlik duvarı kuralları yalnızca Transact-SQL aracılığıyla oluşturulabilir ve yönetilebilir (Azure portalı veya PowerShell kullanılarak da oluşturulabilen ve yönetilebilen sunucu düzeyinde güvenlik duvarı kurallarından farklı olarak). Daha fazla bilgi için bkz. Azure SQL Veritabanı ve Azure Synapse Analytics IP güvenlik duvarı kuralları. Bu denetim, veritabanı düzeyinde güvenlik duvarı kurallarının 255'ten fazla IP adresine erişim vermediğini doğrular. | Azure Synapse |
| VA2063 | Sunucu düzeyinde güvenlik duvarı kuralları aşırı erişim vermemelidir | Yüksek | Azure SQL sunucu düzeyinde güvenlik duvarı, hangi IP adreslerinin izni olduğunu belirtene kadar veritabanlarınıza tüm erişimi engelleyerek sunucunuzun korunmasına yardımcı olur. Sunucu düzeyinde güvenlik duvarı kuralları, her isteğin kaynak IP adresine göre sunucuya ait tüm veritabanlarına erişim verir. Sunucu düzeyinde güvenlik duvarı kuralları yalnızca Transact-SQL ve Azure portalı veya PowerShell aracılığıyla oluşturulabilir ve yönetilebilir. Daha fazla bilgi için bkz. Azure SQL Veritabanı ve Azure Synapse Analytics IP güvenlik duvarı kuralları. Bu denetim, sunucu düzeyinde güvenlik duvarı kurallarının 255'ten fazla IP adresine erişim vermediğini doğrular. | Azure Synapse |
| VA2064 | Veritabanı düzeyinde güvenlik duvarı kuralları en düşük düzeyde izlenmeli ve korunmalıdır | Yüksek | Azure SQL Veritabanı düzeyinde güvenlik duvarı, hangi IP adreslerinin izni olduğunu belirtene kadar veritabanınıza tüm erişimi engelleyerek verilerinizin korunmasına yardımcı olur. Veritabanı düzeyinde güvenlik duvarı kuralları, her isteğin kaynak IP adresine göre belirli bir veritabanına erişim verir. Ana ve kullanıcı veritabanları için veritabanı düzeyinde güvenlik duvarı kuralları yalnızca Transact-SQL aracılığıyla oluşturulabilir ve yönetilebilir (Azure portalı veya PowerShell kullanılarak da oluşturulabilen ve yönetilebilen sunucu düzeyinde güvenlik duvarı kurallarından farklı olarak). Daha fazla bilgi için bkz. Azure SQL Veritabanı ve Azure Synapse Analytics IP güvenlik duvarı kuralları. Bu denetim, veritabanı düzeyindeki tüm güvenlik duvarı kurallarını numaralandırır, böylece bu kurallarda yapılan tüm değişiklikler tanımlanabilir ve giderilebilir. | Azure Synapse |
| VA2065 | Sunucu düzeyi güvenlik kuralları izlenmeli ve sıkı bir şekilde en düşük düzeyde tutulmalıdır | Yüksek | Azure SQL sunucu düzeyinde güvenlik duvarı, hangi IP adreslerinin izni olduğunu belirtene kadar veritabanlarınıza tüm erişimi engelleyerek verilerinizin korunmasına yardımcı olur. Sunucu düzeyinde güvenlik duvarı kuralları, her isteğin kaynak IP adresine göre sunucuya ait tüm veritabanlarına erişim verir. Sunucu düzeyinde güvenlik duvarı kuralları Transact-SQL ve Azure portalı veya PowerShell aracılığıyla oluşturulabilir ve yönetilebilir. Daha fazla bilgi için bkz. Azure SQL Veritabanı ve Azure Synapse Analytics IP güvenlik duvarı kuralları. Bu denetim, sunucu düzeyindeki tüm güvenlik duvarı kurallarını numaralandırır, böylece bu kurallarda yapılan tüm değişiklikler tanımlanabilir ve giderilebilir. | Azure Synapse |
| VA2111 | Örnek veritabanları kaldırılmalıdır | Düşük | Microsoft SQL Server birkaç örnek veritabanıyla birlikte gelir. Bu kural, örnek veritabanlarının kaldırılıp kaldırılmadığını denetler. | SQL Yönetilen Örnek |
| VA2120 | Güvenliği etkileyebilecek özellikler devre dışı bırakılmalıdır | Yüksek | SQL Server, çok çeşitli özellikler ve hizmetler sağlayabilme özelliğine sahiptir. Varsayılan olarak sağlanan bazı özellikler ve hizmetler gerekli olmayabilir ve bunların etkinleştirilmesi sistemin güvenliğini olumsuz etkileyebilir. Bu kural, bu özelliklerin devre dışı bırakıldığını denetler. | SQL Yönetilen Örnek |
| VA2121 | 'OLE Otomasyon Yordamları' özelliği devre dışı bırakılmalıdır | Yüksek | SQL Server, çok çeşitli özellikler ve hizmetler sağlayabilme özelliğine sahiptir. Varsayılan olarak sağlanan bazı özellikler ve hizmetler gerekli olmayabilir ve bunların etkinleştirilmesi sistemin güvenliğini olumsuz etkileyebilir. OLE Otomasyonu Yordamları seçeneği, OLE Otomasyonu nesnelerinin Transact-SQL toplu işlerinde oluşturulup oluşturulamayacağını denetler. Bunlar, SQL Server kullanıcılarının SQL Server dışındaki işlevleri yürütmesine olanak sağlayan genişletilmiş saklı yordamlardır. Yararlarından bağımsız olarak, açıklardan yararlanmalar için de kullanılabilir ve hedef makinelere dosya dikmek için popüler bir mekanizma olarak bilinir. Bu aracın yerine PowerShell kullanılması tavsiye edilir. Bu kural, 'OLE Otomasyonu Yordamları' özelliğinin devre dışı bırakıldığını denetler. | SQL Yönetilen Örnek |
| VA2122 | 'Kullanıcı Seçenekleri' özelliği devre dışı bırakılmalıdır | Orta | SQL Server, çok çeşitli özellikler ve hizmetler sağlayabilme özelliğine sahiptir. Varsayılan olarak sağlanan bazı özellikler ve hizmetler gerekli olmayabilir ve bunların etkinleştirilmesi sistemin güvenliğini olumsuz etkileyebilir. Kullanıcı seçenekleri tüm kullanıcılar için genel varsayılanları belirtir. Kullanıcının çalışma oturumu süresi boyunca varsayılan sorgu işleme seçeneklerinin listesi oluşturulur. Kullanıcı seçenekleri, SET seçeneklerinin varsayılan değerlerini değiştirmenize olanak tanır (sunucunun varsayılan ayarları uygun değilse). Bu kural , 'kullanıcı seçenekleri' özelliğinin devre dışı bırakıldığını denetler. | SQL Yönetilen Örnek |
| VA2126 | Güvenliği etkileyebilecek genişletilebilirlik özellikleri gerekli değilse devre dışı bırakılmalıdır | Orta | SQL Server çok çeşitli özellikler ve hizmetler sağlar. Varsayılan olarak sağlanan bazı özellikler ve hizmetler gerekli olmayabilir ve bunların etkinleştirilmesi sistemin güvenliğini olumsuz etkileyebilir. Bu kural, bir dış veri kaynağına veri ayıklamaya ve belirli uzak dil uzantılarına sahip betiklerin yürütülmesine izin veren yapılandırmaların devre dışı bırakıldığını denetler. |
Kurallar kaldırıldı
| Kural Kimliği | Kural Başlığı |
|---|---|
| VA1021 | Genel geçici saklı yordamlar kaldırılmalıdır |
| VA1024 | C2 Denetim Modu etkinleştirilmelidir |
| VA1069 | Sistem tablolarından ve görünümlerinden seçim izinleri sysadmin olmayanlardan iptal edilmelidir |
| VA1090 | Tüm Kamu Kapalı (GOTS) ve Özel Saklı Yordamların şifrelenmesini sağlama |
| VA1103 | Yalnızca SAFE_ACCESS iznine sahip CLR kullanma |
| VA1229 | Kayıt defterindeki ve SQL Server yapılandırmasındaki dosya akışı ayarı eşleşmelidir |
| VA1231 | Dosya akışı devre dışı bırakılmalıdır (SQL) |
| VA1234 | Ortak Ölçütler ayarı etkinleştirilmelidir |
| VA1252 | Denetlenen ve sunucu denetim belirtimleri aracılığıyla merkezi olarak yönetilen olayların listesi. |
| VA1253 | Sunucu denetim belirtimleri aracılığıyla denetlenen ve merkezi olarak yönetilen DB kapsamlı olayların listesi |
| VA1263 | Sistemdeki tüm etkin denetimleri listeleme |
| VA1266 | Tüm SQL oturum açma işlemlerinde 'MUST_CHANGE' seçeneği ayarlanmalıdır |
| VA1276 | Aracı XP'leri özelliği devre dışı bırakılmalıdır |
| VA1286 | Veritabanı izinleri doğrudan sorumlulara (OBJECT veya COLUMN) verilmemelidir |
| VA2000 | En az sayıda sorumluya yüksek etkili veritabanı kapsamlı izinler verilmelidir |
| VA2001 | En az sayıda sorumluya nesneler veya sütunlar üzerinde yüksek etkili veritabanı kapsamlı izinler verilmelidir |
| VA2002 | Çok az sayıda sorumluya çeşitli güvenli hale getirilebilir öğeler üzerinde yüksek etkili veritabanı kapsamlı izinler verilmelidir |
| VA2010 | En az sayıda sorumluya orta düzeyde etkili veritabanı kapsamlı izinler verilmelidir |
| VA2021 | En az sayıda sorumluya nesneler veya sütunlar üzerinde veritabanı kapsamlı ALTER izinleri verilmelidir |
| VA2022 | Çeşitli güvenli hale getirilebilir öğelerde en az sayıda sorumluya veritabanı kapsamlı ALTER izni verilmelidir |
| VA2030 | En az sayıda sorumluya veritabanı kapsamlı SELECT veya EXECUTE izinleri verilmelidir |
| VA2031 | En az sayıda sorumluya veritabanı kapsamlı SELECT verilmelidir |
| VA2032 | En az sayıda sorumluya şema üzerinde veritabanı kapsamlı SELECT veya EXECUTE izinleri verilmelidir |
| VA2034 | EN az sayıda sorumluya XML Şema Koleksiyonu üzerinde veritabanı kapsamlı EXECUTE izni verilmelidir |
| VA2040 | En az sayıda sorumluya düşük etkili veritabanı kapsamlı izinler verilmelidir |
| VA2041 | En az sayıda sorumluya nesneler veya sütunlar üzerinde düşük etkili veritabanı kapsamlı izinler verilmelidir |
| VA2042 | En az sayıda sorumluya şema üzerinde düşük etkili veritabanı kapsamlı izinler verilmelidir |
| VA2050 | En az sayıda sorumluya veritabanı kapsamlı VIEW DEFINITION izinleri verilmelidir |
| VA2051 | En az sayıda sorumluya nesneler veya sütunlar üzerinde veritabanı kapsamlı VIEW DEFINITION izinleri verilmelidir |
| VA2052 | Çeşitli güvenli hale getirilebilir öğelerde en az sayıda sorumluya veritabanı kapsamlı VIEW DEFINITION izni verilmelidir |
| VA2100 | En az sayıda sorumluya yüksek etkili sunucu kapsamına sahip izinler verilmelidir |
| VA2101 | En az sayıda sorumluya orta düzeyde etki sunucusu kapsamlı izinler verilmelidir |
| VA2102 | En az sayıda sorumluya düşük etkili sunucu kapsamına sahip izinler verilmelidir |
| VA2104 | Genişletilmiş saklı yordamlarda yürütme izinleri PUBLIC'dan iptal edilmelidir |
| VA2105 | Oturum açma parolası kolayca tahmin edilmemelidir |
| VA2112 | Veri Dönüştürme Hizmetleri (DTS) için PUBLIC izinleri iptal edilmelidir |
| VA2115 | En az sayıda sorumlu, orta düzeyde etkilenmiş sabit sunucu rollerinin üyesi olmalıdır |
| VA2123 | 'Uzaktan Erişim' özelliği devre dışı bırakılmalıdır |
| VA2127 | 'Dış Betikler' özelliği devre dışı bırakılmalıdır |