Valutazione della vulnerabilità per SQL Server

Si applica a: SQL Server

La valutazione delle vulnerabilità di SQL è uno strumento di facile utilizzo che consente di individuare, tracciare e risolvere potenziali vulnerabilità dei database. Usarlo in modo proattivo per migliorare la sicurezza dei database.

Nota

Lo strumento di valutazione della vulnerabilità è disponibile nelle versioni di SQL Server Management Studio (SSMS) precedenti alla versione 19.1, per SQL Server 2012 (11.x) e versioni successive.

Rimozione della valutazione della vulnerabilità SQL in SQL Server Management Studio 19.1

La valutazione della vulnerabilità di SQL in SSMS consente di analizzare e segnalare possibili errori di configurazione della sicurezza nei database di SQL Server in modo disconnesso, in SQL Server 2012 (11.x) e versioni successive. Questa funzionalità è consolidata in un pacchetto di sicurezza completo del database, denominato Microsoft Defender per SQL, che consente di eseguire analisi di valutazione delle vulnerabilità e identificare attacchi in tempo reale sul database su larga scala tra risorse cloud e locali. Defender per SQL offre ai clienti gli aggiornamenti più recenti per analizzare le regole e aggiornare gli algoritmi di protezione dalle minacce.

La valutazione della vulnerabilità SQL in SSMS, però, non usa i risultati di Defender per il cloud e i risultati delle analisi locali non vengono caricati. La valutazione della vulnerabilità SQL in SSMS, inoltre, non riceve aggiornamenti in tempo reale, causando incongruenze rispetto ai risultati aggiornati di Defender per il cloud. Per evitare ulteriori confusioni e incongruenze nelle esperienze di sicurezza dei database dei clienti, la valutazione della vulnerabilità SQL da SSMS è stata rimossa a partire dalla versione 19.1. Anche se la valutazione della vulnerabilità SQL rimane disponibile nelle versioni precedenti di SSMS, è consigliabile usare Microsoft Defender per SQL per valutare la configurazione di sicurezza dell'ambiente, indipendentemente dalla versione di SSMS o SQL usata.

Per altre informazioni, vedere Abilitare Microsoft Defender per SQL Server nei computer e Analizzare le vulnerabilità di SQL Server.

Per il Database SQL di Azure, Azure Synapse Analytics e Istanza gestita di SQL, usare Microsoft Defender per il Database SQL.

Funzionalità di valutazione della vulnerabilità

La valutazione della vulnerabilità (VA) SQL è un servizio che consente di visualizzare lo stato di sicurezza e include azioni applicabili per risolvere i problemi di sicurezza e migliorare la sicurezza dei database. Può essere utile per:

  • Soddisfare i requisiti di conformità che richiedono report di analisi dei database
  • Soddisfare gli standard per la privacy dei dati
  • Monitorare un ambiente di database dinamico in cui è difficile tenere traccia delle modifiche

Il servizio VA esegue un'analisi direttamente sul database. Il servizio usa una Knowledge Base di regole che contrassegnano le vulnerabilità di sicurezza ed evidenziano le deviazioni rispetto alle procedure consigliate, ad esempio errori di configurazione, autorizzazioni eccessive e dati sensibili non protetti. Le regole si basano sulle procedure consigliate da Microsoft e si focalizzano sui problemi di sicurezza che presentano i maggiori rischi per il database e i dati importanti che contiene. Queste regole rappresentano anche molti requisiti specificati da vari organismi normativi per soddisfare i loro standard di conformità.

I risultati dell'analisi includono azioni applicabili per risolvere ogni problema, oltre a script di correzione personalizzati, ove applicabile. È possibile personalizzare un report di valutazione per l'ambiente, impostando una linea di base accettabile per le configurazioni delle autorizzazioni e delle funzioni e le impostazioni del database.

Prerequisiti

Questa funzionalità è disponibile solo in SQL Server Management Studio (SSMS) v17.4 o versioni successive. La versione più recente è disponibile qui.

Introduzione

Per eseguire un'analisi della vulnerabilità nel database, attenersi alla procedura seguente:

  1. Aprire SQL Server Management Studio.

  2. Connettersi a un'istanza del motore di database di SQL Server o a localhost.

  3. Espandere Database, fare clic con il pulsante destro del mouse su un database, scegliere Attività, selezionare Valutazione della vulnerabilità, quindi scegliere Cerca vulnerabilità....

  4. È possibile eseguire un'analisi per il controllo della presenza di problemi a livello di server analizzando uno dei database di sistema. Espandere Database di sistema, fare clic con il pulsante destro del mouse sul database master, scegliere Attività, selezionare Valutazione della vulnerabilità, quindi scegliere Cerca vulnerabilità....

Screenshot che mostra come iniziare.

Esercitazione

Usare questa procedura per eseguire e gestire valutazioni delle vulnerabilità nei database.

1. Eseguire un'analisi

La finestra di dialogo Cerca vulnerabilità consente di specificare la posizione in cui salvare le analisi. È possibile lasciare la posizione predefinita o fare clic su Sfoglia... per salvare i risultati dell'analisi in una posizione differente.

Una volta pronti a eseguire l'analisi, fare clic su OK per eseguire una ricerca delle vulnerabilità nel database.

Nota

L'analisi è leggera e sicura. Richiede pochi secondi ed è interamente di sola lettura. Non apporta modifiche al database.

Screenshot che mostra come salvare un file di scansione.

2. Visualizzare il report

Al termine dell'analisi, il report di analisi viene visualizzato automaticamente nel riquadro SMSS principale. Il report offre una panoramica dello stato di sicurezza, il numero di problemi trovati e i rispettivi livelli di gravità. I risultati includono avvisi sulle deviazioni dalle procedure consigliate e una snapshot delle impostazioni correlate alla sicurezza,. Queste impostazioni includono entità di database e ruoli, con le relative autorizzazioni associate. Il report di analisi include anche una mappa dei dati sensibili individuati nel database e consigli per i metodi predefiniti disponibili per la protezione del database.

Screenshot che mostra i risultati di scansione.

3. Analizzare i risultati e risolvere i problemi

Esaminare i risultati e stabilire quali risultati nel report costituiscono reali problemi di sicurezza nell'ambiente usato. Eseguire il drill-down per ogni risultato con errore per comprendere l'impatto della ricerca e il motivo per cui i controlli di sicurezza non sono riusciti. Usare le informazioni sulle azioni di correzione applicabili incluse nel report per risolvere il problema.

Screenshot che mostra i dettagli dei risultati.

4. Impostare la baseline

Quando si esaminano i risultati della valutazione, è possibile contrassegnare risultati specifici come baseline accettabile nel proprio ambiente. La baseline è essenzialmente una personalizzazione della modalità di visualizzazione dei risultati. I risultati corrispondenti alla baseline non vengono considerati problemi nelle analisi successive.

Dopo aver stabilito lo stato di sicurezza di base, la valutazione della vulnerabilità segnala solo le deviazioni dalla baseline ed è possibile concentrare l'attenzione sui problemi rilevanti.

Screenshot che illustra come impostare una baseline.

5. Eseguire una nuova analisi per visualizzare il report di tracciamento personalizzato

Dopo aver completato l'impostazione delle baseline della regola, eseguire una nuova analisi per visualizzare il report personalizzato. Vengono ora segnalati solo i problemi di sicurezza che rappresentano una deviazione dallo stato di base approvato.

Screenshot che mostra il passaggio per baseline.

6. Aprire un'analisi eseguita in precedenza

È possibile visualizzare i risultati di valutazioni delle vulnerabilità precedenti in qualunque momento aprendo un'analisi esistente. A tale scopo, fare clic con il pulsante destro del mouse su un database, scegliere Attività, selezionare Valutazione della vulnerabilità, quindi selezionare Apri analisi esistente.... Selezionare il file dei risultati dell'analisi da visualizzare, quindi selezionare Apri.

È possibile aprire un file dei risultati di analisi esistente anche tramite il menu File->Apri. Selezionare Valutazione della vulnerabilità... e aprire la directory scans per trovare il risultato di analisi che si vuole visualizzare.

Screenshot che mostra come aprire una scansione esistente.

Il servizio di valutazione della vulnerabilità può ora essere usato per il monitoraggio del livello di sicurezza dei database e assicurarsi che rimanga sempre elevato e che siano soddisfatti i criteri dell'organizzazione. Se sono richiesti report di conformità, i report di valutazione della vulnerabilità possono essere utili a supporto del processo di conformità.

Gestire le valutazioni della vulnerabilità tramite PowerShell

È possibile usare cmdlet di PowerShell per gestire programmaticamente le valutazioni della vulnerabilità per le istanze di SQL Server. È possibile usare cmdlet per eseguire valutazioni a livello di codice, esportare i risultati e gestire i valori di base. Per iniziare, scaricare la versione più recente del modulo SqlServer di PowerShell dal sito PowerShell Gallery. Altre informazioni sono disponibili qui.

Passaggi successivi