Grundlagen der Sicherheit von SQL Server 2016 – Das sollten Sie wissen

Grundlagen der Sicherheit von SQL Server 2016 – Das sollten Sie wissen

by -
0 243
Grundlagen der Sicherheit von SQL Server 2016 – Das sollten Sie wissen

Wenn Sie die Fachsprache nicht kennen, haben Sie möglicherweise Probleme sich um Ihre SQL-Datenbanken zu kümmern

Falls SQL Server neu für Sie ist, ist es wichtig, dass Sie die Sicherheitsgrundlagen kennen, mit deren Hilfe die Datenbank vor Hackern geschützt wird. Dies gehört zu den wesentlichen Verantwortungsbereichen eines Datenbankadministrators.

Die SQL Server-Sicherheit ist ein sehr weitläufiges Thema, daher konzentrieren wir uns in diesem Blog auf einige bewährte Praktiken, mit denen Sie die Sicherheit aller von Ihnen verwalteten SQL Server-Instanzen gewährleisten.

Erstellen Sie eine Datensicherung und verschlüsseln Sie diese

Sicherungen einer Datenbank sind für alle Organisationen unverzichtbar. Wenn diese Sicherungen nicht verschlüsselt sind, können sie problemlos kopiert werden, was zu Datenschutzverletzungen führen kann. Ein Datenbankadministrator kann diese Situation ausschließen, indem er Sicherungen mit der integrierten Funktion MEDIAPASSWORD erstellt.

Beispiel: BACKUP DATABASE SampleDatabase TO DISK=’C:\ SampleDatabase.BAK’ WITH MEDIAPASSWORD=’DifficultPa55W0rd’ GO

Entfernen Sie für unnötige Benutzer den Zugriff auf den Datenbanksicherungsordner

Der Zugriff auf den Datenbanksicherungsordner muss beschränkt sein und Berechtigungen dürfen nur wenigen ausgewählten Benutzern erteilt werden, die diesen Zugriff benötigen. Unerlaubter Zugriff kann dazu führen, dass Sicherungsdateien kopiert oder versehentlich gelöscht werden. Systemadministratoren müssen sicherstellen, dass möglichst wenig Benutzer auf diesen Ordner zugreifen dürfen.

Vertrauenswürdige Authentifizierung und SQL Server-Sicherheit

In der vertrauenswürdigen SQL Server-Authentifizierung (auch als Windows-Authentifizierung bekannt) und der SQL Server-Sicherheit gibt es zwei Typen von Sicherheitsschemas.

Letztere ist eine Standardanmeldung mit Benutzername und Kennwort, während erstere davon ausgeht, dass der Computer, der versucht, eine Verbindung zur SQL-Datenbank herzustellen, über die Domänenauthentifizierung überprüft und verifiziert wurde und dass die Authentifizierung dann an SQL Server übergeben wird.

Benutzer und Anwendungen, die versuchen, sich über die SQL Server-Sicherheit mit SQL Server zu verbinden, benötigen eine Kombination aus Benutzername und Kennwort, die auf dem SQL Server erstellt wurde.

Manche meinen, dass die Verwendung der vertrauenswürdigen Authentifizierung vom Sicherheitsstandpunkt gesehen besser ist, da hierbei unternehmensweite Active Directory-, Konto-, Gruppen- und Kennwortrichtlinien verwendet werden.

Benennen Sie das Systemadministratorkonto um

Im Systemadministratorkonto befinden sich alle wichtigen Schlüssel. Hacker wissen dies. Um daher zu verhindern, dass dieses Konto über seinen Namen angegriffen wird, ist es umsichtig, ihm einen anderen Namen zu geben. Erweitern Sie hierzu im Objekt-Explorer die „Anmeldungen“, klicken Sie mit der rechten Maustaste auf das Konto „Systemadministrator“ und wählen Sie im Menü „Umbenennen“ aus.

Legen Sie ein schwer zu erratendes Systemadministratorkennwort fest

Wenn Sie in SQL Server die Authentifizierung im gemischten Modus nutzen, verwenden Sie für das Systemadministratorkonto immer ein schwer zu erratendes Kennwort. Es hat sich außerdem bewährt, möglichst kein Systemadministratorkonto zu verwenden, um eine Verbindung von Webanwendungen mit SQL Server herzustellen.

Vermeiden Sie es außerdem, dieses Konto zu verwenden, wenn Sie tägliche Wartungsaktivitäten durchführen. Besser verwenden Sie ein Windows-Konto mit entsprechenden Berechtigungen.

Denken Sie außerdem daran, die Systemadministratorkennwörter regelmäßig zu ändern.

Schalten Sie nicht verwendete Funktionen in SQL Server aus

Wenn es Funktionen von SQL Server gibt, die Ihre Benutzer nicht verwenden, können Sie diese ausschalten, um die Oberfläche für mögliche Angriffe zu verringern. Funktionen können mit der richtlinienbasierten Verwaltungsfunktion deaktiviert werden.

Überwachen Sie Anmeldungen

Alle fehlgeschlagenen Anmeldeversuche bei einer SQL Server-Datenbank müssen jederzeit protokolliert werden. Wenn die Anmeldungsüberwachung aktiviert ist, werden sowohl fehlgeschlagene als auch erfolgreiche Versuche in den Fehlerprotokollen von SQL Server aufgezeichnet. Damit besitzen Sie eine Aufzeichnung, die Sie im Fall einer verdächtigen oder unerwünschten Aktivität zurate ziehen können.

Entfernen Sie den Gastbenutzerzugriff

In einer SQL Server-Datenbank ist standardmäßig ein Gastbenutzerkonto vorhanden, das ein potenzielles Sicherheitsrisiko darstellt, da es den Datenbankzugriff mit Benutzerdaten ermöglicht, denen in der Datenbank keine Benutzer zugeordnet sind.

Aus diesem Grund sollten Sie den Gastbenutzerzugriff in allen Benutzer- und Systemdatenbanken deaktivieren. Dies hat zur Folge, dass Mitglieder der Serverrolle „Public“ erst dann eine Verbindung zu Benutzerdatenbanken in einer SQL Server-Instanz herstellen können, wenn Ihnen der Zugriff auf diese Datenbanken zugewiesen wurde.

Deaktivieren Sie den SQL Server-Browser-Dienst

Systemadministratoren sollten sicherstellen, dass der SQL Server-Browser-Dienst nur auf Servern mit SQL Server ausgeführt wird, wenn dort auf einem einzigen Server mehrere Instanzen von SQL Server ausgeführt werden.

Der SQL Server-Browser-Dienst erfasst SQL Server-Informationen im Netzwerk, was bei einem Lockdown der Infrastruktur ein mögliches Sicherheitsrisiko darstellt.

I am the Group Chief Marketing Officer at Crayon. My team are focused on driving enhanced lead generation campaigns and nurturing for our sales organisations across multiple geographies though the utilisation and coordination of all online and offline communication channels. We are driving increased brand awareness in the business's core competency areas of Software Asset Management (SAM), cloud and volume licensing solutions and associated consultancy services. I have over 20 years of senior business leadership experience within direct marketing/direct sales and mass distribution businesses, in both the B2B and B2C markets serving on the boards of both private and public multinational corporations.