116480
Apr 04, 2016
7719
3
0
SQL Server Hardening Guide - Sicherheits Guide
Server Hardening:
SQL Server Installation
M01 Nur die benötigten Komponenten installieren
Sind nur die minimalsten benötigten Komponenten installiert, können weniger
Sicherheitsprobleme auftreten.
M02 Servicepacks und Kritische Fixes
Installiere alle Servicepacks und kritischen Fixes für SQL Server
M03 Entfernen von ungenützten SQL Server Protokollen
SQL Server supportet 4 Typen von Protokollen. Shared Memory, Named Pipes, TCP / IP und VIA , Es sollten diese auf ein Miminum reduziert werden .
Notiz: Setting über SQL Server Configurations Manager
M04 Disable Features und Services
Unnötige Features und Services disablen
Notiz: Setting über SQL Server Configurations Manager
M05 SQL Default Server Ports
Aendern der SQL Default Server Ports. Default Port 1433 is bei Admins und Hackern be-kannt.
Notiz: Setting über SQL Server Configurations Manager
M06 SQL Server Instanz verstecken und SQL Server Browser Dienst ein oder ab-schalten
Ändern der SQL Default Server Ports. Default Port 1433 ist bei Admins und Hackern be-kannt.
Notiz: Setting über SQL Server Configurations Manager
M07 Beschränken Sie den Zugriff auf die SQL Server-Konfiguration und Datenbankdateien
neben der Datenbank-Ebene Zugang, sollten Sie auch das Dateisystem schützen, um nicht autorisiertes Löschen von Dateien, Kopieren oder Verändern von Daten zu verhindern
M08 Beschränken Sie den Zugriff auf die SQL Server-Backup-Ordner.
Backup Folder beschränken
M09 Verwenden von Daten Verschlüsselung
Verwende Daten Verschlüsselung wenn es als Option zur Verfügung steht.
Es können Daten, Logs und Backup mit TDE in SQL 2008, 2008 R2 und 2012 übertragen werden.
M10 Nur benötigte Datenbanken erstellen
Erstelle keine Test oder Demo Datenbanken auf Produktiven Servern
M11 Benutze den SQL Server Best Practice Analyzer um deine Installation zu
prüfen.
Der Microsoft SQL Server 2012 Best Practice Analyzer kann deinen Server schnell auf „best Practice“ analysieren
M12 Disable die XP_Cmdshell
Es ist “hoch” empfohlen die XP_Cmdshell zu deaktivieren
Notiz:
M13 SSL Verschlüsselung
Ab SQL Server 2012 kann SSL Verschlüsselung verwendet werden
M14 Rename oder disable den SA Account
Mit sp_SetAutoSAPasswordAndDisable den SA Account wir hier beschrieben https://www.mssqltips.com/sqlservertip/2006/secure-and-disable-the-sql-s ...
disablen. Das verhindert Attacken um mit dem default Admin einzuloggen. Auch ein Rename ist gut , und ein gutes Passwort zu setzen
M15 Entferne Buitlin/Administratoren Gruppen von den SQL Server Logins
Es kann mehr über Sicherheitslücken mit SQL Server BUILTIN\Administratoren in diesem TIP gelesen werden https://www.mssqltips.com/sqlservertip/1017/security-issues-with-the-sql ...
M16 Benutze den Windows Authentication Mode
Du kannst den Authentication Mode auf 3 Arten prüfen und ändern.
Benutze SQL Server Management Studio, mit T-SQL oder in der Windows Registry
M17 Jeder Administrator hat einen eigenen „Named“ Account. Shared Accounts sind nicht erlaubt
Dies wird benötigt um Personen hinter jedem Datenbank Wechsel zu identifizieren.
M18 Alle „Named“ Accounts sind über das Active Directory gesteuert
Benutze Active Directory und erstelle keine SQL Server Logins.
M19 Service Accounts für Applikationen
Es ist beste Praxis verschiedene Service Accounts mit einem beschreibenden Name für jeden Service zu erstellen. Es kann ein SQL Server Login verwendet werden, aber ein
komplexes Passwort ist ein Muss. Beschränke den Zugriff nur auf Daten die es benötigt.
Wenn eine Applikation nur 1 -2 Tabellen benötigt, so ist es nicht nötig volle Zugriffsrechte auf die gesamte Datenbank zu vergeben.
M20 Konfiguriere Service Accounts mit den geringsten Privilegien
Konfiguriere nicht mehr Rechte als es benötigt. Tipps hierzu findest Du unter
M21 User Privilegien sollen auf ein Minimum reduziert werden
Versuche jedem Benutzer das Minimum an Rechten zu vergeben.
Es ist eine bewährte Methode.
M22 Alle Administratoren Accounts sollen ein Komplexes Password haben und Passwort Wechsel soll eingeschaltet sein.
Identifiziere schwache Passwörter https://www.mssqltips.com/sqlservertip/2775/identify-blank-and-weak-pass ... und konfiguriere Passwort Regeln
M23 Konfigure SQL Server um fehlgeschlage und erfolgreiche Login Versuche zu monitoren
Login Audit Configuration TIPs können hier nachgelesen werden
M24 Entferne Gast User Zugang
Aus Sicherheitsgründen ist der Gastbenutzer Zugriff zu deaktivieren
SQL Server Installation
M01 Nur die benötigten Komponenten installieren
Sind nur die minimalsten benötigten Komponenten installiert, können weniger
Sicherheitsprobleme auftreten.
M02 Servicepacks und Kritische Fixes
Installiere alle Servicepacks und kritischen Fixes für SQL Server
M03 Entfernen von ungenützten SQL Server Protokollen
SQL Server supportet 4 Typen von Protokollen. Shared Memory, Named Pipes, TCP / IP und VIA , Es sollten diese auf ein Miminum reduziert werden .
Notiz: Setting über SQL Server Configurations Manager
M04 Disable Features und Services
Unnötige Features und Services disablen
Notiz: Setting über SQL Server Configurations Manager
M05 SQL Default Server Ports
Aendern der SQL Default Server Ports. Default Port 1433 is bei Admins und Hackern be-kannt.
Notiz: Setting über SQL Server Configurations Manager
M06 SQL Server Instanz verstecken und SQL Server Browser Dienst ein oder ab-schalten
Ändern der SQL Default Server Ports. Default Port 1433 ist bei Admins und Hackern be-kannt.
Notiz: Setting über SQL Server Configurations Manager
M07 Beschränken Sie den Zugriff auf die SQL Server-Konfiguration und Datenbankdateien
neben der Datenbank-Ebene Zugang, sollten Sie auch das Dateisystem schützen, um nicht autorisiertes Löschen von Dateien, Kopieren oder Verändern von Daten zu verhindern
M08 Beschränken Sie den Zugriff auf die SQL Server-Backup-Ordner.
Backup Folder beschränken
M09 Verwenden von Daten Verschlüsselung
Verwende Daten Verschlüsselung wenn es als Option zur Verfügung steht.
Es können Daten, Logs und Backup mit TDE in SQL 2008, 2008 R2 und 2012 übertragen werden.
M10 Nur benötigte Datenbanken erstellen
Erstelle keine Test oder Demo Datenbanken auf Produktiven Servern
M11 Benutze den SQL Server Best Practice Analyzer um deine Installation zu
prüfen.
Der Microsoft SQL Server 2012 Best Practice Analyzer kann deinen Server schnell auf „best Practice“ analysieren
M12 Disable die XP_Cmdshell
Es ist “hoch” empfohlen die XP_Cmdshell zu deaktivieren
Notiz:
M13 SSL Verschlüsselung
Ab SQL Server 2012 kann SSL Verschlüsselung verwendet werden
M14 Rename oder disable den SA Account
Mit sp_SetAutoSAPasswordAndDisable den SA Account wir hier beschrieben https://www.mssqltips.com/sqlservertip/2006/secure-and-disable-the-sql-s ...
disablen. Das verhindert Attacken um mit dem default Admin einzuloggen. Auch ein Rename ist gut , und ein gutes Passwort zu setzen
M15 Entferne Buitlin/Administratoren Gruppen von den SQL Server Logins
Es kann mehr über Sicherheitslücken mit SQL Server BUILTIN\Administratoren in diesem TIP gelesen werden https://www.mssqltips.com/sqlservertip/1017/security-issues-with-the-sql ...
M16 Benutze den Windows Authentication Mode
Du kannst den Authentication Mode auf 3 Arten prüfen und ändern.
Benutze SQL Server Management Studio, mit T-SQL oder in der Windows Registry
M17 Jeder Administrator hat einen eigenen „Named“ Account. Shared Accounts sind nicht erlaubt
Dies wird benötigt um Personen hinter jedem Datenbank Wechsel zu identifizieren.
M18 Alle „Named“ Accounts sind über das Active Directory gesteuert
Benutze Active Directory und erstelle keine SQL Server Logins.
M19 Service Accounts für Applikationen
Es ist beste Praxis verschiedene Service Accounts mit einem beschreibenden Name für jeden Service zu erstellen. Es kann ein SQL Server Login verwendet werden, aber ein
komplexes Passwort ist ein Muss. Beschränke den Zugriff nur auf Daten die es benötigt.
Wenn eine Applikation nur 1 -2 Tabellen benötigt, so ist es nicht nötig volle Zugriffsrechte auf die gesamte Datenbank zu vergeben.
M20 Konfiguriere Service Accounts mit den geringsten Privilegien
Konfiguriere nicht mehr Rechte als es benötigt. Tipps hierzu findest Du unter
M21 User Privilegien sollen auf ein Minimum reduziert werden
Versuche jedem Benutzer das Minimum an Rechten zu vergeben.
Es ist eine bewährte Methode.
M22 Alle Administratoren Accounts sollen ein Komplexes Password haben und Passwort Wechsel soll eingeschaltet sein.
Identifiziere schwache Passwörter https://www.mssqltips.com/sqlservertip/2775/identify-blank-and-weak-pass ... und konfiguriere Passwort Regeln
M23 Konfigure SQL Server um fehlgeschlage und erfolgreiche Login Versuche zu monitoren
Login Audit Configuration TIPs können hier nachgelesen werden
M24 Entferne Gast User Zugang
Aus Sicherheitsgründen ist der Gastbenutzer Zugriff zu deaktivieren
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 300861
Url: https://administrator.de/contentid/300861
Printed on: April 24, 2024 at 05:04 o'clock
3 Comments
Latest comment
Moin itworld,
ich lese deinen Tipp mit etwas gemischten Gefühlen.
Einerseits sind ja schon ein paar berechtigte und nützliche Hinweise dabei.
Allerdings auch paar Sachen, bei denen die einleuchtende Begründung fehlt.
Andererseits fehlen mir etwas die ganz elementaren Dinge wie physischer Zugriffsschutz, Firewalleinrichtung, Trennung von Daten- und Backup-Speicherorten oder Hinweise auf Policy Based Management.
Ist ja aber auch vieles eine Glaubensfrage bei den Best Practices - von daher ist das nur Anmerkung und keine Kritik.
Anyhow - eigentlich ein nützlicher Tipp oder zumindest ein guter Anfang zum Thema SQL-Server Hardening.
Aber meine Bitte:
Wenn das deine komprimierte und übersetzte Zusammenfassung eines Artikels eines anderen Autors sein sollte, bitte verweise dann auch auf den/die Ursprungsartikel.
Beispielsweise so: Beispiel für eine meiner Quellen.
Sonst müsste ich den Tipp entsprechend unserer Forumsregeln wegbratzen, und das wäre schade um deine Mühe und für das Forum.
Grüße
Biber
ich lese deinen Tipp mit etwas gemischten Gefühlen.
Einerseits sind ja schon ein paar berechtigte und nützliche Hinweise dabei.
Allerdings auch paar Sachen, bei denen die einleuchtende Begründung fehlt.
Andererseits fehlen mir etwas die ganz elementaren Dinge wie physischer Zugriffsschutz, Firewalleinrichtung, Trennung von Daten- und Backup-Speicherorten oder Hinweise auf Policy Based Management.
Ist ja aber auch vieles eine Glaubensfrage bei den Best Practices - von daher ist das nur Anmerkung und keine Kritik.
Anyhow - eigentlich ein nützlicher Tipp oder zumindest ein guter Anfang zum Thema SQL-Server Hardening.
Aber meine Bitte:
Wenn das deine komprimierte und übersetzte Zusammenfassung eines Artikels eines anderen Autors sein sollte, bitte verweise dann auch auf den/die Ursprungsartikel.
Beispielsweise so: Beispiel für eine meiner Quellen.
Sonst müsste ich den Tipp entsprechend unserer Forumsregeln wegbratzen, und das wäre schade um deine Mühe und für das Forum.
Grüße
Biber
Hallo,
man kann das mit Punkten erweitern. Dafür bin ich sehr dankbar.
Physischer Zusatzschutz etc, habe ich nicht aufgeführt. Dazu erstelle ich ein Windows Hardening. Das gehört mehr dort hinein.
Gruss
Ralf
man kann das mit Punkten erweitern. Dafür bin ich sehr dankbar.
Physischer Zusatzschutz etc, habe ich nicht aufgeführt. Dazu erstelle ich ein Windows Hardening. Das gehört mehr dort hinein.
Gruss
Ralf
Es erfolgt demnächst ein Update. Bin nun noch viele Punkte am überarbeiten und ergänzen.
Gruss
Ralf
Gruss
Ralf
