Avaliação de vulnerabilidades para SQL Server

Aplica-se a: SQL Server

A avaliação de vulnerabilidades do SQL é uma ferramenta fácil de usar que pode ajudar você a descobrir, controlar e corrigir possíveis vulnerabilidades do banco de dados. Use-a para melhorar de forma proativa a segurança do seu banco de dados.

Observação

A ferramenta de avaliação de vulnerabilidades está disponível no SQL Server Management Studio (SSMS) anterior à versão 19.1, para SQL Server 2012 (11.x) ou posterior.

Remoção da Avaliação de Vulnerabilidade do SQL no SQL Server Management Studio 19.1

A Avaliação de Vulnerabilidade do SQL no SSMS forneceu uma maneira de verificar e relatar possíveis configurações incorretas de segurança em seus bancos de dados do SQL Server de maneira desconectada, no SQL Server 2012 (11.x) e em versões posteriores. Esse recurso é consolidado em um pacote abrangente de segurança de banco de dados, chamado Microsoft Defender para SQL, que permite executar varreduras de avaliação de vulnerabilidade e identificar ataques em tempo real em seu banco de dados em escala em recursos locais e na nuvem. O Defender para SQL fornece aos clientes as atualizações mais recentes para verificar regras e algoritmos atualizados de proteção contra ameaças.

Por outro lado, a Avaliação de Vulnerabilidade do SQL no SSMS não consome descobertas do Defender para Nuvem, nem as descobertas de verificações locais podem ser carregadas. Além disso, a Avaliação de vulnerabilidade do SQL no SSMS não recebe atualizações em tempo real, o que pode causar inconsistências em comparação com as descobertas atualizadas do Defender para Nuvem. Para evitar mais confusão e inconsistências nas experiências de segurança do banco de dados dos clientes, removemos a Avaliação de Vulnerabilidade do SQL do SSMS a partir da versão 19.1. Embora a Avaliação de Vulnerabilidade do SQL permaneça disponível em versões mais antigas do SSMS, é recomendável usar o Microsoft Defender para SQL para avaliar a configuração de segurança do seu ambiente, independentemente da versão do SSMS ou do SQL.

Para obter mais informações, veja Habilitar o Microsoft Defender para Servidores SQL em computadores e Verificar se há vulnerabilidades nos Servidores SQL.

Para o Banco de Dados SQL do Azure, o Azure Synapse Analytics e a Instância Gerenciada de SQL, use o Microsoft Defender para Banco de Dados SQL.

Recursos da Avaliação de vulnerabilidades

A avaliação de vulnerabilidades (VA) do SQL é um serviço que fornece visibilidade para o seu estado de segurança, inclui etapas práticas para resolver problemas de segurança e aperfeiçoar a segurança do seu banco de dados. Ela pode ajudar você a:

  • Atender aos requisitos de conformidade, que exigem relatórios de verificação de banco de dados
  • Atender aos padrões de privacidade de dados
  • Monitorar um ambiente de banco de dados dinâmico, onde as alterações são difíceis de rastrear

O serviço de AV executa uma verificação diretamente no seu banco de dados. O serviço emprega uma base de conhecimento de regras que sinalizam vulnerabilidades de segurança e realçam desvios das práticas recomendadas, como configurações incorretas, excesso de permissões e dados confidenciais sem proteção. As regras se baseiam em práticas recomendadas da Microsoft e focam em problemas de segurança que apresentam os maiores riscos para seu banco de dados e seus dados valiosos. Essas regras também representam muitos dos requisitos de várias agências regulatórias para atender aos seus padrões de conformidade.

Os resultados da verificação incluem etapas práticas para resolver cada problema e fornecer scripts de correções personalizadas quando aplicável. Um relatório de avaliação pode ser personalizado para seu ambiente com a definição de uma linha de base aceitável para configurações de permissão, configurações de recurso e configurações de banco de dados.

Pré-requisitos

Este recurso só está disponível no SSMS (SQL Server Management Studio) v17.4 ou posterior. A última versão encontra-se aqui.

Introdução

Para executar uma verificação de vulnerabilidade em seu banco de dados, siga estas etapas:

  1. Abra o SQL Server Management Studio.

  2. Estabeleça uma conexão com uma instância do Mecanismo de Banco de Dados do SQL Server ou com o localhost.

  3. Expanda os Bancos de Dados, clique com o botão direito do mouse em um banco de dados, aponte para Tarefas, selecione Avaliação de vulnerabilidade e depois Verificar Vulnerabilidades...

  4. Você pode executar uma verificação que analisa se há problemas a nível de servidor digitalizando um dos bancos de dados do sistema. Expanda os Bancos de dados do sistema, clique com o botão direito do mouse em um banco de dados master, aponte para Tarefas, selecione Avaliação de vulnerabilidade e clique em Verificar vulnerabilidades...

Captura de tela mostrando como começar.

Tutorial

Use as etapas a seguir para executar e gerenciar as avaliações de vulnerabilidade em seus bancos de dados.

1. Executar uma verificação

A caixa de diálogo Verificar Vulnerabilidades permite especificar a localização onde as verificações são salvas. Você pode deixar a localização padrão ou selecione Procurar... para salvar os resultados da varredura em uma localização diferente.

Quando estiver pronto para verificar, selecione OK para verificar seu banco de dados em busca de vulnerabilidades.

Observação

A verificação é leve e segura. Ela leva alguns segundos para ser executada e é completamente de somente leitura. Ela não faz nenhuma alteração no banco de dados.

Captura de tela mostrando como salvar um arquivo de digitalização.

2. Exibir o relatório

Quando sua verificação for concluída, seu relatório de verificação é exibido automaticamente no painel SSMS principal. O relatório apresenta uma visão geral do seu estado de segurança; quantos problemas foram encontrados e suas respectivas gravidades. Os resultados incluem avisos sobre desvios das práticas recomendadas, bem como um instantâneo de suas configurações relacionadas à segurança Essas configurações incluem entidades de segurança e funções de banco de dados e suas permissões associadas. O relatório de verificação também fornece um mapa de dados confidenciais descobertos no banco de dados e inclui recomendações dos métodos internos disponíveis para protegê-lo.

Captura de tela mostrando os resultados da verificação.

3. Analisar os resultados e resolver problemas

Examine seus resultados e determine quais resultados no relatório são problemas de segurança verdadeiros no seu ambiente. Faça drill down até cada resultado com falha para entender o impacto da descoberta e por que cada verificação de segurança falhou. Use as informações de correção acionáveis fornecidas pelo relatório para resolver o problema.

Captura de tela mostrando detalhes dos resultados.

4. Definir a linha de base

Ao examinar os resultados da avaliação, marque resultados específicos como sendo uma Linha de base aceitável em seu ambiente. A linha de base é essencialmente uma personalização de como os resultados são registrados. Os resultados que correspondem à linha de base são considerados ao passar nas verificações posteriores.

Depois que você tiver estabelecido seu estado de segurança de linha de base, a VA só registra os desvios da linha de base e você pode concentrar sua atenção em problemas relevantes.

Captura de tela mostrando como definir uma linha de base.

5. Executar uma nova verificação para ver o relatório de acompanhamento personalizado

Depois de concluir a configuração das Linhas de Base da Regra, execute uma nova verificação para exibir o relatório personalizado. A AV agora registra apenas problemas de falha apenas os problemas de segurança diferentes do estado de linha de base aprovado.

Captura de tela mostrando a aprovação por linha de base.

6. Abrir uma verificação executada anteriormente

Você pode visualizar os resultados de avaliações de vulnerabilidade executadas anteriormente a qualquer hora abrindo uma verificação existente. Faça isso clicando com o botão direito do mouse em um banco de dados, apontando para Tarefas, selecionando Avaliação de Vulnerabilidades e Abrir uma Verificação Existente…. Selecione o arquivo de resultados da verificação que você gostaria de visualizar e selecione Abrir.

Você também pode abrir um resultado de verificação existente por meio do menu Arquivo > Abrir. Selecione Avaliação de Vulnerabilidade... e abra o diretório exames para localizar o resultado de verificação que você deseja exibir.

Captura de tela mostrando como abrir uma varredura existente.

A AV agora pode ser usada para monitorar se seu banco de dados mantém um nível elevado de segurança constantemente, e se suas políticas organizacionais foram atendidas. Se os relatórios de conformidade forem necessários, os relatórios da AV podem ser úteis para facilitar o processo de conformidade.

Gerenciar avaliações de vulnerabilidade usando o PowerShell

Você pode usar os cmdlets do PowerShell para gerenciar programaticamente as avaliações de vulnerabilidade para suas instâncias de Servidores SQL. Os cmdlets podem ser usados para executar avaliações de maneira programática, exportar os resultados e gerenciar linhas de base. Para começar, baixe a versão mais recente do módulo do SqlServer PowerShell do site da Galeria do PowerShell. Você pode saber mais aqui.

Próximas etapas