Denetim listesi: Veri erişimi sınırlandırma

Bu denetim listesi, kuruluşunuzda verilere erişimi sınırlamak nasıl gözden geçirme yardımcı olur.Nasıl kullanıcıların saklanan bilgilere düzenli olarak denetlemek için bu denetim listesini kullanın SQL Server Veritabanı Altyapısı.

sql Server örneği için erişim

Tüm bu öğeler arasında ilişki örnek , Veritabanı Altyapısı.

...	Açıklama
	Çoğu oturumları için Windows grupları aracılığıyla erişim verdiniz? TIPerişimi için yapılandırma Veritabanı Altyapısı Windows grupları oluşturur erişimi yönetmek ve korumak daha kolay.Oturumlar hakkında daha fazla bilgi için bkz: Sorumluları (veritabanı altyapısı).
	Kaldırdığınız gereksiz ya da kullanılmayan oturumu açma Veritabanı Altyapısı? TIP bu dönemsel el ile İnceleme gerektirebilir.Öncelikle Windows grupları aracılığıyla erişimi etkinleştirme, bu görevi daha kolay hale getirebilirsiniz.
	En az ayrıcalık İlkesi uyguladıysanız? TIP (oturumları, kullanıcıları ve rolleri) sorumluları yalnızca verilen çalışmalarını gerçekleştirmek için erişim gerekir bu veritabanı nesneleri için izinleri.Bir yönetici hesabı kullanarak rutin kullanıcıların bağlanmasına izin vermek değil sa.İzin verme web sayfa, özel uygulama veya SSIS paket bağlama kullanarak bir yönetici hesabı.
	Conferring ek izinler olmadan sistem meta veriler görüntülemek için verilen sahip VIEW DEFINITION Bu yetkiyi seçmeli olarak nesne, şema, veritabanı veya sunucu düzey? TIP daha fazla bilgi için bkz: grant (Transact-sql).
	Uzak sunucuları ile bağlantılı sunucuları almıştır? TIP daha fazla bilgi için Uzak sunucuları yapılandırma ve Bağlama sunucuları.
	bağlantılı sunucu için kimlik doğrulaması gerekiyorsa, temsilci kısıtlı? TIP daha fazla bilgi için bkz: KullanımıEXEC sp_addlinkedsrvlogin (Transact-sql).
	Gerekli (sürece) sunucularını ad hoc sorguları devre dışı bırakmış? İpucu daha fazla bilgi için bkz: ad hoc dağıtılmış sorgular seçeneği.

Kullanıcı Kimliği'ni yönetme

Bu öğelerin her veritabanı ayarlarını girilebilir.

...	Açıklama
	İse Konuk kullanıcı hesabı, anonim kullanıcılar için gerekli olmadıkça her veritabanında devre dışı? TIP devre dışı bırak hesaplarını kullanma SQL Server Management Studio veya Transact-SQL.
	Kullanıcıların yalnızca gerekli veritabanlarına erişim var mı? TIP bu dönemsel el ile İnceleme gerektirebilir.Öncelikle aracılığıyla erişimi'ni etkinleştirme SQL Server rolleri yapabilirsiniz bu görevi daha kolay.Daha fazla bilgi için bkz: Sunucu düzey roller.
	Çoğu kullanıcı erişim yoluyla verilmiş SQL Server Rol? TIP sunucu ve veritabanı rolleri kullanarak erişimi yapılandırma yapar erişim daha kolay.Rolleri hakkında daha fazla bilgi için bkz: Veritabanı düzey roller.
	Mu SQL Server Aracısı için kimlik bilgileri bilgilerini kullanmak yürütmek ayarlayarak ayrıcalıkların yerine belirli ayrıcalıklar gerektiren adımlar iş SQL Server Agent hizmet hesabı? TIP daha fazla bilgi için bkz: Kimlik bilgileri (veritabanı altyapısı).
	Yoksa bir SQL Server Aracısı kullanıcı gerekiyor yürütmek farklı Windows kimlik bilgileri gerektiren bir iş, onları görevi gerçekleştirmek için yeterli izinlere sahip bir yetkili hesap atamış olduğunuz? TIP daha fazla bilgi için bkz: Nasıl yapılır: Bir Proxy (SQL Server Management Studio'yu) oluştur.
	Saklı yordamları, işlevleri, Tetikleyiciler veya derlemeler gibi modüller içinde veritabanı nesnelerine erişimi kapsülleyen? İpucu: Önceden tanımlanmış modüllerine erişimi sınırlandırma rasgele kod çalıştırmak, kötü niyetli bir kullanıcı için daha zor yapar.Daha fazla bilgi için bkz: Saklı yordamlar anlama.
	Modüllerde açıkça sahip olduğunuz küme yürütme içeriği yerine varsayılan içeriği? TIP daha fazla bilgi için bkz: execute as modüller içinde kullanma.
	Modüller, izinsiz engelle için imzalanmıştır? TIP daha fazla bilgi için bkz: (Veritabanı altyapısı) imzalama Modülü.
	Kullanıyor musunuz USER WITHOUT LOGIN Uygulama rolleri yerine? TIP daha fazla bilgi için bkz: sql Server 2005 güvenlik en iyi uygulamalar - işletme ve yönetim görevleri.
	Kullanıyor musunuz EXECUTE AS yerine SETUSER? TIP daha fazla bilgi için bkz: execute as vs. SETUSER.
	Uygulama rolleri ile almıştır EXECUTE AS? Tip Use EXECUTE AS … WITH NO REVERT zaman mümkün.Use the EXECUTE AS … WITH COOKIE seçeneği, iç içe geçmiş kimlik değişiklikleri.Daha fazla bilgi için bkz: execute (Transact-sql).

Nesne erişimi

Veritabanı nesnelerine erişmek için bu öğeleri ilgilidir.

...	Açıklama
	Ortak sunucu ve veritabanı rolleri (varsa) birkaç izni? TIP tüm oturumları ve kullanıcıları ortak rollerinin bir üyesi olan ve bu nedenle kaldırılamaz.Bu rolleri çok olmalıdır sınırlı izinleri.
	Benzer veritabanı nesneleri aynı şemaya gruplanmış? TIP iş gereksinimleri temel alarak şemaları oluşturmak.Bu özel şemalar dbo şema yerine kullanın.Daha fazla bilgi için bkz: Şemaları (veritabanı altyapısı).
	Şema sahipliğini ve izinleri ayarlayarak veritabanı nesne güvenliğini yönetmek yapmak düzey? TIP daha fazla bilgi için bkz: Şeması izinleri (Transact-sql).
	Dbo tarafından sahip olunan tüm şemalar yerine şemaları için ayrı sahipleri var mı? TIP sahiplik zincirleme tüm şemalar aynı sahip olduğunda, gerekli izni denetimlerini atlamak.Daha fazla bilgi için bkz: Sahiplik Chains.
	Ek ayrıcalıklar yordamı için gerekiyorsa, yordam kodunu kod imzalama kullanıyor musunuz? TIP daha fazla bilgi için bkz: (Veritabanı altyapısı) imzalama Modülü.
	İş TRUSTWORTHY veritabanı seçeneği küme off için? TIP , küme , on bir kimliğe bürünme içerik kullanan veritabanı modülleri (örneğin, kullanıcı tanımlı işlevler veya saklı yordamlar) veritabanı dışındaki kaynaklara erişebilir.Use ALTER DATABASE deyim değiştirmek için TRUSTWORTHY ayarı.Daha fazla bilgi için bkz: GÜVENİLİR veritabanı özelliği.
	Modülleri sql Injection önlemek için ilgili adımları? İpucu:Daha fazla bilgi için bkz: SQL Injection.
	(Yerine encapsulating erişim modülleri içinde) veri Bankası anlık erişim izin veriyorsa, uygulamalar sql Injection engellemek için önlemler alıyorlar? TIP daha fazla bilgi için aşağıdaki bağlantılara bakın. Nasıl yapılır: asp sql Eklemesinden Koruma.NET Microsoft Source Code Analyzer for sql Injection asp koduna sql ekleme güvenlik açıklarını bulmak Microsoft Source Code Analyzer for sql Injection araç kullanılabilir Yeni sql kesme saldırıları ve bunlardan kaçınma yolları Bunlar durdurmadan önce sql Injection saldırıları Durdur

Erişimi denetleme

...	Açıklama
	Senaryoya özel denetimi? TIP ek veri oluşturma yükünü denetleme gereksinimini dengelemek.SQL Server Denetim tek bir veritabanında ve dml için belirli nesnelere denetimi etkinleştirebilirsiniz.Daha fazla bilgi için bkz: SQL Server denetim anlama.
	Oturum açma denetimi başarısız oturum açma kaydını tutmak için yapılandırılmış mı? TIP kullanarak oturum açma denetimini yapılandırmak Sunucu özellikleri (Güvenlik sayfası) , Management Studio.
	Yüksek oranda depolarsanız, hem başarılı oturum açma başarısız oturum açma denetim ve yapmak gizli veri? TIP daha fazla bilgi için Denetim Oturumu olay sınıfı ve Olay sınıfı denetleme oturum açma başarısız oldu.
	ddl ve dml belirli sunucu olayları kullanarak denetleme yapmak SQL Server Denetim veya izleme olay? TIP daha fazla bilgi için bkz: SQL Server denetim anlama, Olay bildirimlerini anlama, ddl olayları, ve Olay bildirimleri ile kullanılmak üzere olayları izleme.
	Acil Durum olaylarının uyarılmak için WMI kullanıyor musunuz? TIP daha fazla bilgi için bkz: Sunucu olayları kavramları için WMI sağlayıcısı.
	Yalnızca gerektiğinde C2 Denetim veya Ortak Ölçütler Uyumluluğu'nu etkinleştirme? TIP hedef, yapılandırma için İşletmenizin gerek duyduğu.Yalnızca Ortak Ölçütler Uyumluluğu'nu C2 Denetim veya uygun işletmeniz için etkinleştirin.See Ortak Ölçütler sertifikasını.

Ayrıca bkz.

Kavramlar

Denetim listesi: Veritabanı Altyapısı bağlantıların güvenliğini artırma

Denetim listesi: Önemli verileri şifreleme

Denetim listesi: Veritabanı Altyapısı Güvenlik Yapılandırması

execute as özel izin kümeleri oluşturmak için kullanma

execute as kullanarak veritabanı kimliğe bürünme genişletme

Güvenlik denetim olay kategori (SQL Server Profiler)

Diğer Kaynaklar

Bağlam geçişi (veritabanı altyapısı)

Olayları izleme