Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SQL Server Hardening Guide - Sicherheits Guide

Mitglied: 116480

116480 (Level 2)

04.04.2016 um 11:30 Uhr, 3304 Aufrufe, 3 Kommentare

Server Hardening:

SQL Server Installation

M01 Nur die benötigten Komponenten installieren
Sind nur die minimalsten benötigten Komponenten installiert, können weniger
Sicherheitsprobleme auftreten.


M02 Servicepacks und Kritische Fixes
Installiere alle Servicepacks und kritischen Fixes für SQL Server

M03 Entfernen von ungenützten SQL Server Protokollen
SQL Server supportet 4 Typen von Protokollen. Shared Memory, Named Pipes, TCP / IP und VIA , Es sollten diese auf ein Miminum reduziert werden .
Notiz: Setting über SQL Server Configurations Manager

M04 Disable Features und Services
Unnötige Features und Services disablen
Notiz: Setting über SQL Server Configurations Manager

M05 SQL Default Server Ports
Aendern der SQL Default Server Ports. Default Port 1433 is bei Admins und Hackern be-kannt.
Notiz: Setting über SQL Server Configurations Manager

M06 SQL Server Instanz verstecken und SQL Server Browser Dienst ein oder ab-schalten
Ändern der SQL Default Server Ports. Default Port 1433 ist bei Admins und Hackern be-kannt.
Notiz: Setting über SQL Server Configurations Manager

M07 Beschränken Sie den Zugriff auf die SQL Server-Konfiguration und Datenbankdateien
neben der Datenbank-Ebene Zugang, sollten Sie auch das Dateisystem schützen, um nicht autorisiertes Löschen von Dateien, Kopieren oder Verändern von Daten zu verhindern

M08 Beschränken Sie den Zugriff auf die SQL Server-Backup-Ordner.
Backup Folder beschränken

M09 Verwenden von Daten Verschlüsselung
Verwende Daten Verschlüsselung wenn es als Option zur Verfügung steht.
Es können Daten, Logs und Backup mit TDE in SQL 2008, 2008 R2 und 2012 übertragen werden.

M10 Nur benötigte Datenbanken erstellen
Erstelle keine Test oder Demo Datenbanken auf Produktiven Servern

M11 Benutze den SQL Server Best Practice Analyzer um deine Installation zu
prüfen.
Der Microsoft SQL Server 2012 Best Practice Analyzer kann deinen Server schnell auf „best Practice“ analysieren

M12 Disable die XP_Cmdshell
Es ist “hoch” empfohlen die XP_Cmdshell zu deaktivieren
Notiz:

M13 SSL Verschlüsselung
Ab SQL Server 2012 kann SSL Verschlüsselung verwendet werden

M14 Rename oder disable den SA Account
Mit sp_SetAutoSAPasswordAndDisable den SA Account wir hier beschrieben https://www.mssqltips.com/sqlservertip/2006/secure-and-disable-the-sql-s ...
disablen. Das verhindert Attacken um mit dem default Admin einzuloggen. Auch ein Rename ist gut , und ein gutes Passwort zu setzen

M15 Entferne Buitlin/Administratoren Gruppen von den SQL Server Logins
Es kann mehr über Sicherheitslücken mit SQL Server BUILTIN\Administratoren in diesem TIP gelesen werden https://www.mssqltips.com/sqlservertip/1017/security-issues-with-the-sql ...

M16 Benutze den Windows Authentication Mode
Du kannst den Authentication Mode auf 3 Arten prüfen und ändern.
Benutze SQL Server Management Studio, mit T-SQL oder in der Windows Registry

M17 Jeder Administrator hat einen eigenen „Named“ Account. Shared Accounts sind nicht erlaubt
Dies wird benötigt um Personen hinter jedem Datenbank Wechsel zu identifizieren.

M18 Alle „Named“ Accounts sind über das Active Directory gesteuert
Benutze Active Directory und erstelle keine SQL Server Logins.

M19 Service Accounts für Applikationen
Es ist beste Praxis verschiedene Service Accounts mit einem beschreibenden Name für jeden Service zu erstellen. Es kann ein SQL Server Login verwendet werden, aber ein
komplexes Passwort ist ein Muss. Beschränke den Zugriff nur auf Daten die es benötigt.
Wenn eine Applikation nur 1 -2 Tabellen benötigt, so ist es nicht nötig volle Zugriffsrechte auf die gesamte Datenbank zu vergeben.

M20 Konfiguriere Service Accounts mit den geringsten Privilegien
Konfiguriere nicht mehr Rechte als es benötigt. Tipps hierzu findest Du unter

M21 User Privilegien sollen auf ein Minimum reduziert werden
Versuche jedem Benutzer das Minimum an Rechten zu vergeben.
Es ist eine bewährte Methode.

M22 Alle Administratoren Accounts sollen ein Komplexes Password haben und Passwort Wechsel soll eingeschaltet sein.
Identifiziere schwache Passwörter https://www.mssqltips.com/sqlservertip/2775/identify-blank-and-weak-pass ... und konfiguriere Passwort Regeln

M23 Konfigure SQL Server um fehlgeschlage und erfolgreiche Login Versuche zu monitoren
Login Audit Configuration TIPs können hier nachgelesen werden

M24 Entferne Gast User Zugang
Aus Sicherheitsgründen ist der Gastbenutzer Zugriff zu deaktivieren

Mitglied: Biber
04.04.2016 um 16:37 Uhr
Moin itworld,

ich lese deinen Tipp mit etwas gemischten Gefühlen.

Einerseits sind ja schon ein paar berechtigte und nützliche Hinweise dabei.
Allerdings auch paar Sachen, bei denen die einleuchtende Begründung fehlt.

Andererseits fehlen mir etwas die ganz elementaren Dinge wie physischer Zugriffsschutz, Firewalleinrichtung, Trennung von Daten- und Backup-Speicherorten oder Hinweise auf Policy Based Management.

Ist ja aber auch vieles eine Glaubensfrage bei den Best Practices - von daher ist das nur Anmerkung und keine Kritik.

Anyhow - eigentlich ein nützlicher Tipp oder zumindest ein guter Anfang zum Thema SQL-Server Hardening.

Aber meine Bitte:
Wenn das deine komprimierte und übersetzte Zusammenfassung eines Artikels eines anderen Autors sein sollte, bitte verweise dann auch auf den/die Ursprungsartikel.

Beispielsweise so: Beispiel für eine meiner Quellen.

Sonst müsste ich den Tipp entsprechend unserer Forumsregeln wegbratzen, und das wäre schade um deine Mühe und für das Forum.

Grüße
Biber
Bitte warten ..
Mitglied: 116480
04.04.2016 um 16:43 Uhr
Hallo,

man kann das mit Punkten erweitern. Dafür bin ich sehr dankbar.
Physischer Zusatzschutz etc, habe ich nicht aufgeführt. Dazu erstelle ich ein Windows Hardening. Das gehört mehr dort hinein.

Gruss
Ralf
Bitte warten ..
Mitglied: 116480
21.04.2016 um 14:09 Uhr
Es erfolgt demnächst ein Update. Bin nun noch viele Punkte am überarbeiten und ergänzen.

Gruss
Ralf
Bitte warten ..
Ähnliche Inhalte
Exchange Server

Exchange Server 2013 - Hardening Guide - Security Guide

Tipp von 116480Exchange Server1 Kommentar

Hallo, anbei wie man einen Exchange Server 2013 "härtet" . Für weitere Tips einfach posten. M01 Deaktivieren offener Relays auf ...

Sicherheit

Microsoft und Skype: Sicherheit

Information von kgbornSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Microsoft Office

Office365 Schwachstellen bei Sicherheit und Datenschutz

Information von Penny.CilinMicrosoft Office15 Kommentare

Auf Heise+ gibt es einen Artikel bzgl. Office365 Schwachstellen. Das ist noch ein Grund mehr seine Daten nicht in ...

Sicherheitsgrundlagen

Warum kümmern wir uns eigentlich noch um Sicherheit?

Tipp von StefanKittelSicherheitsgrundlagen40 Kommentare

Hallo, warum kümmern wir uns eigentlich noch um Sicherheit? Bei einem neuem Kunden habe ich nach dem Ausscheiden eines ...

Neue Wissensbeiträge
Virtualisierung

VEEAM Instant VM Recovery Datenverlust möglich

Information von sabines vor 23 StundenVirtualisierung

Wer instant VM Recovery unter Veeam nutzt, sollte seine Installation überprüfen. In manchen Fällen könnte es zu Datenverlust kommen, ...

Administrator.de Feedback
Hinweise auf Dienstleister oder auf Suchmaschinen
Information von Frank vor 4 TagenAdministrator.de Feedback71 Kommentare

Lieber User, Admins und Moderatoren, aus gegebenen Anlass möchte ich zwei Dinge endgültig klarstellen und für die Nachwelt festhalten: ...

Router & Routing

PfSense 2.4 IPSec VPN mobile Clients Phase 2 wird plötzlich nicht mehr aufgebaut - So einfach war die Lösung

Tipp von the-buccaneer vor 5 TagenRouter & Routing9 Kommentare

Moinsen! Nachdem ich mir hierbei nen Wolf gesucht habe, möchte ich doch die Welt an dieser simplen Lösung teilhaben ...

Humor (lol)
Wählscheiben Telefon
Information von brammer vor 5 TagenHumor (lol)4 Kommentare

Hallo, Mal wirkliche eine nette Spielerei brammer

Heiß diskutierte Inhalte
Netzwerkmanagement
Softwareverteilung für kleines Unternehmen mit sehr gemixter Hardware
gelöst Frage von BavarianSysadNetzwerkmanagement21 Kommentare

Hallo zusammen^^, ich stehe vor dem Problem das wir im Unternehmen eine Softwareverteilung einführen soll, leider ist dies wie ...

Windows 10
Dell Optiplex 790 Installation Windows 10
gelöst Frage von Ghost108Windows 1016 Kommentare

Guten morgen zusammen, möchte gerne auf meinem Optiplex 790 Windows 10 installieren (Clean Install). Habe das BIOS von Legacy ...

Netzwerkprotokolle
Verständnissfrage IPv6
Frage von killtecNetzwerkprotokolle16 Kommentare

Hi, ich habe mir einen Online-Kurs zu IPv6 angeschaut. Dabei stellt sich mir die Frage der nutzbaren IPv6-Adressen. Bei ...

Exchange Server
Exchange 2019 Wildcard geht nicht
Frage von opc123Exchange Server16 Kommentare

Hallo, ich kann mein Wildcard auf dem Exchange keine Dienste zuweisen??