SQL Server 的弱點評定

  • 發行項

適用於:SQL Server

SQL 弱點評定是一種易於使用的工具,可協助您探索、追蹤及修復潛在的資料庫弱點。 使用此工具可主動改進您的資料庫安全性。

注意

SQL Server Management Studio (SSMS) 19.1 之前的版本中提供弱點評定工具,該工具適用於 SQL Server 2012 版 (11.x) 及更新版本。

SQL Server Management Studio 19.1 中已移除 SQL 弱點評定

在 SQL Server 2012 (11.x) 和更新版本上,SSMS 中的 SQL 弱點評定支援以中斷連線的方式掃描及報告 SQL Server 資料庫上可能的安全性設定錯誤。 這項功能已合併至稱為「適用於 SQL 的 Microsoft Defender」的完整資料庫安全性套件中,可讓您跨雲端和內部部署資源大規模執行弱點評定掃描,並識別對資料庫的即時攻擊。 適用於 SQL 的 Defender 為客戶提供最新的掃描規則和威脅防護演算法更新。

相反地,SSMS 中的 SQL 弱點評定不會取用來自「適用於雲端的 Defender」的結果,也無法上傳來自本機掃描的結果。 此外,SSMS 上的 SQL 弱點評定不會即時接收更新,這可能會導致與「適用於雲端 的 Defender」的更新結果不一致。 為了防止進一步混淆和客戶資料庫安全性體驗的不一致,從 19.1 版開始的 SSMS 中已移除 SQL 弱點評定。 雖然舊版 SSMS 中仍提供 SQL 弱點評估,但不論 SSMS 或 SQL 版本為何,建議使用「適用於 SQL 的 Microsoft Defender」來評估環境的安全性設定。

如需詳細資訊,請參閱在電腦上啟用適用於 SQL Server 的 Microsoft Defender掃描 SQL Server 有無弱點

對於 Azure SQL Database、Azure Synapse Analytics 和 SQL 受控執行個體,請使用適用於 SQL Database 的 Microsoft Defender

弱點評定功能

SQL 弱點評定 (VA) 是一種可以顯示安全狀態的服務,其中包含可操作的步驟,以解決安全性問題並強化您的資料庫安全性。 它可協助您:

  • 符合「要求資料庫掃描報告」的合規性需求
  • 符合資料隱私權標準
  • 監視難以追蹤變更的動態資料庫環境

VA 服務會直接在您的資料庫上執行掃描。 該服務採用規則知識庫,可以標記安全性弱點,以及提醒偏離最佳做法的項目,例如錯誤的設定、過多的權限,以及未受保護的敏感性資料。 規則是以 Microsoft 建議的最佳做法為基礎,並且著重於對資料庫和其重要資料造成最大風險的安全性問題。 這些規則也代表各種不同管理機構要符合其合規性標準的要求。

掃描結果包含可以解決個別問題的可操作步驟,並於合適的情況下提供自訂的補救指令碼。 您可以為權限設定、功能設定和資料庫設定來設定可接受的基準,以自訂環境的評定報告。

必要條件

只有 SQL Server Management Studio (SSMS) v17.4 或更新版本才提供此功能。 您可以於此處找到最新版本。

開始使用

若要在您的資料庫上執行弱點掃描,請進行下列步驟:

  1. 開啟 [SQL Server Management Studio] 。

  2. 連線至 SQL Server 資料庫引擎或 localhost 的執行個體。

  3. 展開 [資料庫],以滑鼠右鍵按一下資料庫,指向 [工作],選取 [弱點評定],然後選取 [掃描弱點...]

  4. 您可以掃描其中一個系統資料庫,以執行檢查伺服器層級問題的掃描。 展開 [系統資料庫],以滑鼠右鍵按一下 master 資料庫,指向 [工作],選取 [弱點評定],然後選取 [掃描弱點...]

Screenshot showing how to get started.

教學課程

按照下列步驟,在您的資料庫上執行及管理弱點評定。

1.執行掃描

[掃描弱點] 對話方塊可讓您指定要儲存已掃描檔案的位置。 您可以保留預設位置,或選取 [瀏覽] 以將掃描結果儲存到其他位置。

當您準備好要掃描時,請選取 [確定] 來掃描資料庫的弱點。

注意

掃描是輕量且安全的。 它只需要幾秒的時間來執行,而且是完全唯讀的。 它不會對您的資料庫進行任何變更。

Screenshot showing how to save a scan file.

2.檢視報告

當掃描完成時,掃描報告會自動顯示在主要 SSMS 窗格中。 報告會顯示安全性狀態的概觀、找到的問題數量,及其對應的嚴重性。 結果中包含偏離最佳做法的警告,以及安全性相關設定的快照。 這些設定包括資料庫主體和角色,以及其相關聯的權限。 掃描報告也會提供在您資料庫中所發現敏感性資料的地圖,並建議可用來保護敏感性資料的內建方法。

Screenshot showing scan results.

3.分析結果並解決問題

檢閱結果並決定報告中所發現的項目何者確實是環境中的安全性問題。 向下鑽研每個失敗的結果,以了解所發現項目的影響,以及每個安全性檢查失敗的原因。 使用報告提供的可操作補救資訊來解決問題。

Screenshot showing results details.

4.設定您的基準

當您檢閱評量結果時,可以將特定結果標示為環境中可接受的「基準」。 基準本質上就是自訂報告結果的方式。 在後續的掃描中,會將符合基準的結果視為通過。

一旦您建立了基準安全性狀態,VA 就只會報告偏離基準的項目,讓您能專注於真正相關的問題。

Screenshot showing how to set a baseline.

5.執行新的掃瞄來查看您的自訂追蹤報告

完成設定規則基準之後,執行新掃描,以檢視自訂的報告。 VA 現在只會報告偏離您所核准基準狀態的失敗安全性問題。

Screenshot showing pass per baseline.

6.開啟先前執行的掃描

您可以開啟現有的掃描檔案,隨時檢視先前所執行的弱點評定結果。 若要執行這項作業,請以滑鼠右鍵按一下資料庫,指向 [工作],選取 [弱點評定],然後選取 [開啟現有的掃描...],選取您想檢視的掃描結果檔案,接著再選取 [開啟]。

您也可以從 [檔案->開啟] 功能表來開啟現有的掃描結果。 選取 [弱點評定],然後開啟 [掃描] 目錄以尋找您想要檢視的掃描結果。

Screenshot showing how to open an existing scan.

VA 現在可用來監視您的資料庫是否隨時維持高層級安全性,以及使否符合您的組織原則。 如果需要合規性報告,VA 報告將有助於進行合規性流程。

使用 PowerShell 管理弱點評定

您可以使用 PowerShell Cmdlet,以程式設計方式來管理 SQL Server 執行個體的弱點評定。 您可以使用 Cmdlet,以程式設計方式來執行評定、匯出結果及管理基準。 若要開始使用,請從 PowerShell 資源庫網站下載最新版的 SqlServer PowerShell 模組。 您可以在這裡深入了解。

下一步