Anforderungen und Umsetzung
Für die Härtung von MS SQL Server Systemen werden drei Härtungsstufen vorgeschlagen:
• Minimum (für bestehende Systeme)
• Medium (für Neusysteme)
• Very High (für kritische Systeme)
Für die Härtung von Datenbankservern gelten folgende aus Best Practices abgeleitetete Forderungen:
Sicherheits-Updates
Für aktuelle Installationen sollten die aktuellen Service Release Stände, Cummulative Rollups und Security Patche eingespielt werden. Dabei ist vorher zu testen, ob in der konkreten Umgebung der unterstützten Applikationen die ordnungsgemäße Funktion nach Anwendung der Service Packs oder Patche gewahrt bleibt.
Gültig für alle Härtungsstufen.
Authentifizierungsmodi
Für die Authentifizierung an MS SQL Server System steht sowohl die Windows Authentication als auch die Mixed Authentication zur Verfügung.
Windows Authentication: Sicherheitsprinzipale werden ausschließlich mit Ihren Windows Accounts authentifiziert
Mixed Authentication: es ist wahlweise Autentifizierung mit Windows Accounts oder nativen SQL Benutzerkonten und in SQL Server hinterlegten Passwörtern möglich.
Windows Authentication stellt die sicherere Autentifizierungsmethode gegenüber Mixed Authentication dar. Wenn Mixed Authentication erforderlich ist, sollten die Möglichkeiten der Übernahme von Kennwortrichtlinien aus der lokalen Sicherheitsrichtlinie des Betriebssystems oder aus den Active Directory Group Policies genutzt werden.
Minimum: Mixed Authentication
Medium: Windows Authentication
Very High: Windows Authentication
Administrationskonten
Für die täglich Administration sollten personalisierte Administratorkonten verwendet werden.
Das sa-Konto sollte nicht verwendet werden. Das sa-Konto sollte deaktiviert und umbenannt werden.
Minimum: sa-account deaktivieren und umbennen
Medium: sa-account deaktivieren und umbennen
Very High: sa-account deaktivieren und umbennen
Rollenbasierte Sicherheitsrichtlinien
Je nach beabsichtigter Zugriffsart (lokal/remote, lesend/schreibend, Administrator/Dienstkonto/Applikationskonto/Benutzerkonto) sind rollenbasierte Sicherheitsrichtlinien mit dem Security Configuration Wizard zu implementieren.
Minimum: Standardrollen
Medium: eingeschränkte Standardrollen
Very High: eingeschränkte benutzerdefinierte Rollen mit restricted privileges
Installation benötigter Komponenten
Bei der Installation von MS SQL Server sind nur die tatsächlich benötigten Komponenten zu installieren. Das betrifft:
• SQL Server Replication
• Full-Text Search
• Analysis Services
• Reporting Services
• Client Tools SDK
• SQL Client Connectivity SDK
• Microsoft Sync Framework
Eine Ausnahme bildet Reporting Services insoweit, da eine Nachinstallation aus technischen Gründen schwierig ist (besonders bei SQL Server 2005). Hier sollte beim SQL Setup für Reporting Services stets „Installieren, aber nicht Konfigurieren“ ausgewählt werden.
Deaktivieren von nicht benötigten Diensten
Nach der Installation von MS SQL Server ist der SQL Server Configuration Manager auszuführen, um nicht benötigte Dienste abzuschalten .
Minimum: alle Dienste gestartet
Medium: deaktiviert (wenn installiert) sind MS DTC, FullText MS Search , Notification Services, Service Broker, Integration Services , Analysis Services , Reporting Services
Very High: deaktiviert (wenn installiert) sind MS DTC, FullText MS Search , Notification Services, Service Broker, Integration Services , Analysis Services , Reporting Services
Deaktivieren von nicht benötigten Features
Deaktivieren von nicht benötigten Features mit dem SQL Server Surface Area Configuration Wizard (bei SQL Server 2005) bzw.mit dem Policy Based Management (bei SQL Server 2008).
Betroffen sind folgende Features:
• Ad Hoc Remote Queries: Enable OPENROWSET and OPENDATASOURCE support
• CLR Integration: Enable CLR Integration
• DAC: Enable remote DAC
• Database Mail: Enable Database Mail stored procedures
• Native XML Web Services
• OLE Automation: Enable OLE Automation
• Service Broker
• SQL Mail: Enable SQL Mail stored procedures
• Web Assistant: Enable Web Assistant
• xp_cmdshell: Enable xp_cmdshell
Minimum: alle Features erlaubt
Medium: alle Features disabled, Ausnahmen wenn von Applikation benötigt, SQL 2008: Policy Based Management Richtlinien evaluieren
Very High: alle Features disabled, keine Ausnahmen, SQL 2008: Policy Based Management Richtlinien erzwingen
Regelmäßige Überprüfung nach Härtung
Nach erfolgter Härtung sollte regelmäßig evaluiert werden, ob die realisierten Härtungsmaßnahmen nach wie vor Bestand haben.
Umsetzung:
Auf MS SQL Server 2005 sollte der Microsoft Baseline Security Analyzer (MBSA) sowie der SQL Server 2005 Best Practice Analyzer eingesetzt warden, um den aktuellen Status zu evaluieren.
Auf SQL Server 2008 können zusätzlich Evaluierungsrichtlinien des Policy Based Managements eingesetzt werden, um Konfigurationsänderungen zu ermitteln.
SQL Server Browser für geschäftskritische Datenbankserver
Zur Vermeidung der Bekanntgabe von vertraulichen oder geschäftskritischen Datenbankinstanzen sollte die jeweilige Instanz verborgen. Um alle Instanzen zu verbergen, sollte der SQL Server Browser Dienst deaktiviert werden.
Minimum: alle Instanzen sichtbar, SQL Server Browser Dienst aktiviert
Medium: geschäftskritische Instanzen verborgen, SQL Server Browser Dienst aktiviert
Very High: geschäftskritische Instanzen verborgen, SQL Server Browser Dienst deaktiviert
Veränderung der TCP/IP-Standardports für SQL Server Instanzen
Die Standardports für MS SQL Server sind Port 1433 TCP und 1434 UDP. Um Portscanning-Atacken zu bekämpfen, sollten für kritische Systeme die Standardports geändert werden.
Minimum: Standardports beibehalten
Medium: Standardports beibehalten
Very High: Standardports ändern
Firewall Filter
Um unnötigen oder unbekannten Netzwerkverkehr zu filtern, ist Firewall-Funktionalität einzusetzen.
Minimum: keine Firewall Filterung
Medium: Basis-Filterung, alles erlaubt, expliziete Sperrung von Ports, Adressen, Domänen usw.
Very High: strenge Filterung, alle ein- und ausgehenden traffics verboten, Ausnahmen erlaubt
Überwachung von Anmeldeversuchen
Minimum: keine Überwachung von Anmeldeversuchen
Medium: Überwachung von fehlgeschlagenen Anmeldeversuchen
Very High: Überwachung von erfolgreichen und fehlgeschlagenen Anmeldeversuchen
BUILTIN/Administrators Gruppe aus den SQL Server Logins entfernen
Minimum: BUILTIN/Administrators Gruppe aus den SQL Server Logins nicht entfernen
Medium: BUILTIN/Administrators Gruppe aus den SQL Server Logins nicht entfernen
Very High: BUILTIN/Administrators Gruppe aus den SQL Server Logins entfernen
Verweis:
Dieser Richtlinie basiert auf den Empfehlungen aus „Best Practices for Hardening a SQL Server 2005 Implementation” von Ross Mistry.
Abonnieren
Kommentare zum Post (Atom)
Keine Kommentare:
Kommentar veröffentlichen