SQL Server Hardening Guide - Sicherheits Guide

Mitglied: 116480

116480

04.04.2016 um 11:30 Uhr, 4067 Aufrufe, 3 Kommentare

Server Hardening:

SQL Server Installation

M01 Nur die benötigten Komponenten installieren
Sind nur die minimalsten benötigten Komponenten installiert, können weniger
Sicherheitsprobleme auftreten.


M02 Servicepacks und Kritische Fixes
Installiere alle Servicepacks und kritischen Fixes für SQL Server

M03 Entfernen von ungenützten SQL Server Protokollen
SQL Server supportet 4 Typen von Protokollen. Shared Memory, Named Pipes, TCP / IP und VIA , Es sollten diese auf ein Miminum reduziert werden .
Notiz: Setting über SQL Server Configurations Manager

M04 Disable Features und Services
Unnötige Features und Services disablen
Notiz: Setting über SQL Server Configurations Manager

M05 SQL Default Server Ports
Aendern der SQL Default Server Ports. Default Port 1433 is bei Admins und Hackern be-kannt.
Notiz: Setting über SQL Server Configurations Manager

M06 SQL Server Instanz verstecken und SQL Server Browser Dienst ein oder ab-schalten
Ändern der SQL Default Server Ports. Default Port 1433 ist bei Admins und Hackern be-kannt.
Notiz: Setting über SQL Server Configurations Manager

M07 Beschränken Sie den Zugriff auf die SQL Server-Konfiguration und Datenbankdateien
neben der Datenbank-Ebene Zugang, sollten Sie auch das Dateisystem schützen, um nicht autorisiertes Löschen von Dateien, Kopieren oder Verändern von Daten zu verhindern

M08 Beschränken Sie den Zugriff auf die SQL Server-Backup-Ordner.
Backup Folder beschränken

M09 Verwenden von Daten Verschlüsselung
Verwende Daten Verschlüsselung wenn es als Option zur Verfügung steht.
Es können Daten, Logs und Backup mit TDE in SQL 2008, 2008 R2 und 2012 übertragen werden.

M10 Nur benötigte Datenbanken erstellen
Erstelle keine Test oder Demo Datenbanken auf Produktiven Servern

M11 Benutze den SQL Server Best Practice Analyzer um deine Installation zu
prüfen.
Der Microsoft SQL Server 2012 Best Practice Analyzer kann deinen Server schnell auf „best Practice“ analysieren

M12 Disable die XP_Cmdshell
Es ist “hoch” empfohlen die XP_Cmdshell zu deaktivieren
Notiz:

M13 SSL Verschlüsselung
Ab SQL Server 2012 kann SSL Verschlüsselung verwendet werden

M14 Rename oder disable den SA Account
Mit sp_SetAutoSAPasswordAndDisable den SA Account wir hier beschrieben https://www.mssqltips.com/sqlservertip/2006/secure-and-disable-the-sql-s ...
disablen. Das verhindert Attacken um mit dem default Admin einzuloggen. Auch ein Rename ist gut , und ein gutes Passwort zu setzen

M15 Entferne Buitlin/Administratoren Gruppen von den SQL Server Logins
Es kann mehr über Sicherheitslücken mit SQL Server BUILTIN\Administratoren in diesem TIP gelesen werden https://www.mssqltips.com/sqlservertip/1017/security-issues-with-the-sql ...

M16 Benutze den Windows Authentication Mode
Du kannst den Authentication Mode auf 3 Arten prüfen und ändern.
Benutze SQL Server Management Studio, mit T-SQL oder in der Windows Registry

M17 Jeder Administrator hat einen eigenen „Named“ Account. Shared Accounts sind nicht erlaubt
Dies wird benötigt um Personen hinter jedem Datenbank Wechsel zu identifizieren.

M18 Alle „Named“ Accounts sind über das Active Directory gesteuert
Benutze Active Directory und erstelle keine SQL Server Logins.

M19 Service Accounts für Applikationen
Es ist beste Praxis verschiedene Service Accounts mit einem beschreibenden Name für jeden Service zu erstellen. Es kann ein SQL Server Login verwendet werden, aber ein
komplexes Passwort ist ein Muss. Beschränke den Zugriff nur auf Daten die es benötigt.
Wenn eine Applikation nur 1 -2 Tabellen benötigt, so ist es nicht nötig volle Zugriffsrechte auf die gesamte Datenbank zu vergeben.

M20 Konfiguriere Service Accounts mit den geringsten Privilegien
Konfiguriere nicht mehr Rechte als es benötigt. Tipps hierzu findest Du unter

M21 User Privilegien sollen auf ein Minimum reduziert werden
Versuche jedem Benutzer das Minimum an Rechten zu vergeben.
Es ist eine bewährte Methode.

M22 Alle Administratoren Accounts sollen ein Komplexes Password haben und Passwort Wechsel soll eingeschaltet sein.
Identifiziere schwache Passwörter https://www.mssqltips.com/sqlservertip/2775/identify-blank-and-weak-pass ... und konfiguriere Passwort Regeln

M23 Konfigure SQL Server um fehlgeschlage und erfolgreiche Login Versuche zu monitoren
Login Audit Configuration TIPs können hier nachgelesen werden

M24 Entferne Gast User Zugang
Aus Sicherheitsgründen ist der Gastbenutzer Zugriff zu deaktivieren
Mitglied: Biber
04.04.2016 um 16:37 Uhr
Moin itworld,

ich lese deinen Tipp mit etwas gemischten Gefühlen.

Einerseits sind ja schon ein paar berechtigte und nützliche Hinweise dabei.
Allerdings auch paar Sachen, bei denen die einleuchtende Begründung fehlt.

Andererseits fehlen mir etwas die ganz elementaren Dinge wie physischer Zugriffsschutz, Firewalleinrichtung, Trennung von Daten- und Backup-Speicherorten oder Hinweise auf Policy Based Management.

Ist ja aber auch vieles eine Glaubensfrage bei den Best Practices - von daher ist das nur Anmerkung und keine Kritik.

Anyhow - eigentlich ein nützlicher Tipp oder zumindest ein guter Anfang zum Thema SQL-Server Hardening.

Aber meine Bitte:
Wenn das deine komprimierte und übersetzte Zusammenfassung eines Artikels eines anderen Autors sein sollte, bitte verweise dann auch auf den/die Ursprungsartikel.

Beispielsweise so: Beispiel für eine meiner Quellen.

Sonst müsste ich den Tipp entsprechend unserer Forumsregeln wegbratzen, und das wäre schade um deine Mühe und für das Forum.

Grüße
Biber
Bitte warten ..
Mitglied: 116480
116480 (Level 2)
04.04.2016 um 16:43 Uhr
Hallo,

man kann das mit Punkten erweitern. Dafür bin ich sehr dankbar.
Physischer Zusatzschutz etc, habe ich nicht aufgeführt. Dazu erstelle ich ein Windows Hardening. Das gehört mehr dort hinein.

Gruss
Ralf
Bitte warten ..
Mitglied: 116480
116480 (Level 2)
21.04.2016 um 14:09 Uhr
Es erfolgt demnächst ein Update. Bin nun noch viele Punkte am überarbeiten und ergänzen.

Gruss
Ralf
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Infrastruktur für Firma
brainwashVor 19 StundenFrageWindows Server8 Kommentare

Hallo zusammen, kurze Erklärung zu meinem Problem Wir sind eine kleine Firma mit zwei Standorten im Bereich Brandschutz. Zur Zeit nutzen wir für unsere ...

Netzwerkprotokolle
Proxy Zugang von Extern
gelöst Jannik2018Vor 1 TagFrageNetzwerkprotokolle17 Kommentare

Hallo zusammen, ich habe mir einen Squid Proxy auf einer Linux VM aufgesetzt und möchte das man aus allen netzen drauf zugreifen kann allerdings ...

Windows Server
Windows 10 VM auf Server 2019 Essentials
jhuedderVor 1 TagFrageWindows Server10 Kommentare

Hallo, einer meiner Kunden möchte aus Kostengründen einen Windows Server 2019 (direkt auf einer physikalischen Maschine installiert) erwerben und dort für einen Außendienstler mit ...

Server-Hardware
Verkaufe RX300 S7 Server von Fuijutsu
HolzBrettVor 20 StundenAllgemeinServer-Hardware9 Kommentare

Hi, Ich wohne in Aachen und habe die Server von der Firma umsonst erhalten. Ich habe sie bereits überprüft (es geht alles). Ich möchte ...

Windows Server
Veeam Endpoint Backup FREE zur Sicherung eines DCs
gelöst takvorianVor 1 TagFrageWindows Server7 Kommentare

Hallo zusammen, ich habe hier bei mir 1 Hypervisor mit 4 VMs (darunter 1 DC) welche ich mittels backupAssist alle wegsichere. Klappt soweit auch ...

LAN, WAN, Wireless
WLan-unterstütztes Telefonieren iOS, Unifi
VisuciusVor 1 TagFrageLAN, WAN, Wireless8 Kommentare

Hallo. Ich bins (wieder) ;-) Guten Morgen, ich beobachte seit einer Umstellung ein "komisches Verhalten" und kann mir das gerade nicht erklären. Und vielleicht ...

LAN, WAN, Wireless
Heimnetzwerk mit VLAN - getrennter Internetzugang
gelöst anyibkVor 1 TagFrageLAN, WAN, Wireless5 Kommentare

Hallo liebe Community! Ich bastle seit einiger Zeit an einem recht besonderen Heimnetzwerkproblem. Wir haben einen neuen Glasfaseranschluss ins Haus (3 Parteien) bekommen und ...

LAN, WAN, Wireless
Verständnisfrage VPN Performance pfSense
flabsVor 1 TagFrageLAN, WAN, Wireless7 Kommentare

Moin Kollegen, ich betreibe 3 pfSense Firewalls an 3 Standorten. Zwischen Standort A und B gibt es einen IPSec Tunnel. Der läuft seit Jahren ...