SQL Server Management Studio 17.4或更高版本的SSMS中提供了SQL Server漏洞偵測(VA)功能,此功能允許SQL Server掃描您的資料庫以查找潛在的安全漏洞,并且可以針對SQL Server 2012或更高版本運作。如果您還沒有使用SSMS上的較新版本,請不要擔心,您可以 在此處 進行下載下傳。
作者:依樂祝
原文位址:
https://www.cnblogs.com/yilezhu/p/10157012.html
寫在前面
當我們對資料進行任何類型的掃描時總是讓我很擔心,因為進行資料庫掃描時的性能影響可能真的會毀了你的一天。幸運的是,VA是輕量級的,并且可以在不影響性能的情況下運作,同時可以深入了解并指出我們可以在哪裡改進SQL Server的安全性。該過程被設計成使用知識庫規則來滿足資料隐私标準和遵從性,這些規則尋找與Microsoft最佳實踐的偏差進而給出。
實戰演練
- 要運作漏洞偵測,隻需選擇我們需要掃描的資料庫,然後右鍵單擊并選擇“任務”。在這裡,您将看到漏洞評估選項接着選擇掃描漏洞。如果您之前運作過一個VA,則可以通過選擇“打開現有掃描”來通路它。
- 它會彈出一個視窗,然後我們按下圖所示選擇好結果儲存的位置。單擊“确定”後,該過程将運作。
- 在這裡,點選上面的确定按鈕後就會立即執行,執行完成後将彈出結果視窗。這裡你可以看到我們的CzarCms的檢查結果中有6個失敗的檢查結果,52個已認證的檢查結果。它列出了每個檢查的明細并給出了對應的評定的風險等級。
- 在錯誤清單中随便單擊一個的失敗檢查結果,我們将看到更多詳細資訊以及對應的修複步驟,并提供進行修複的腳本(想想是不是有點小激動呢)。趕緊打開看看吧。
- 這裡我們簡單選擇第二個吧,
VA1143 - 'dbo' user should not be used for normal service operation
- 您可以在下面看到,它向我們描述了沒有遵循的最佳實踐規則,并提供了一個查詢,我們可以運作該查詢來檢視結果。我真的很喜歡這個特性,并且它是一個友善的腳本,用于以後評估其他伺服器的健康狀況時使用。它甚至給了我們一個小的複制按鈕,以複制出腳本和選項打開它在查詢視窗。
- 隻指出錯誤而不給出解決方法的行為是可恥的,是以偉大的微軟給出了我們來補救的步驟以及腳本。這裡我們進一步向下滾動,您将看到建議的補救步驟和腳本。如果沒有提供腳本,它将為您提供一個連結,通過這個連結可以找到有關如何解決問題的正确文檔。在我看來,VA做了很好的解釋解決問題所需的東西。請記住,雖然這是由Microsoft建立的,但我還是建議你在生産環境部署之前來運作這個漏洞檢查并進行相關的補救。
- 這裡需要注意一下,如下圖所示你可以設定結果基線 。基線允許您對結果報告中的錯誤結果進行接收,這樣在下次漏洞掃描的時候這個錯誤的結果就不會出現在錯誤清單裡面了。
- 通過将結果标記為BASELINE,您告訴VA,這個錯誤在您的環境中是可接受的,盡管它可能不符合最佳實踐或監管标準。将來與基線比對的任何内容都标記為在後續掃描中傳遞,并将記錄按自定義基線傳遞的原因。這個基線比對的結果會在後期的漏洞掃描進行傳遞,如下所示:我講兩個結果設定為了基線
- 當我再次掃描時,我們将會看到這一點。如下所示,掃描報告現在顯示我隻有1個失敗(我沒有修複的問題),附加資訊列顯示原因的基線。
總結
SQL Server漏洞評估是評估資料隐私、安全性和遵從性标準的一個非常好的第三方工具,并且非常容易使用。紙上得來終覺淺,還不趕緊嘗試一下,看看資料庫存在哪些可以提升的地方吧。