SQL Server Management Studio 17.4或更高版本的SSMS中提供了SQL Server漏洞偵測(cè)(VA)功能，此功能允許SQL Server掃描您的數(shù)據(jù)庫(kù)以查找潛在的安全漏洞，并且可以針對(duì)SQL Server 2012或更高版本運(yùn)行。如果您還沒(méi)有使用SSMS上的較新版本，請(qǐng)不要擔(dān)心，您可以在此處 進(jìn)行下載。

寫(xiě)在前面

當(dāng)我們對(duì)數(shù)據(jù)進(jìn)行任何類(lèi)型的掃描時(shí)總是讓我很擔(dān)心，因?yàn)檫M(jìn)行數(shù)據(jù)庫(kù)掃描時(shí)的性能影響可能真的會(huì)毀了你的一天。幸運(yùn)的是，VA是輕量級(jí)的，并且可以在不影響性能的情況下運(yùn)行，同時(shí)可以深入了解并指出我們可以在哪里改進(jìn)SQL Server的安全性。該過(guò)程被設(shè)計(jì)成使用知識(shí)庫(kù)規(guī)則來(lái)滿(mǎn)足數(shù)據(jù)隱私標(biāo)準(zhǔn)和遵從性，這些規(guī)則尋找與Microsoft最佳實(shí)踐的偏差從而給出。

實(shí)戰(zhàn)演練

要運(yùn)行漏洞偵測(cè)，只需選擇我們需要掃描的數(shù)據(jù)庫(kù)，然后右鍵單擊并選擇“任務(wù)”。在這里，您將看到漏洞評(píng)估選項(xiàng)接著選擇掃描漏洞。如果您之前運(yùn)行過(guò)一個(gè)VA，則可以通過(guò)選擇“打開(kāi)現(xiàn)有掃描”來(lái)訪(fǎng)問(wèn)它。

它會(huì)彈出一個(gè)窗口，然后我們按下圖所示選擇好結(jié)果保存的位置。單擊“確定”后，該過(guò)程將運(yùn)行。

在這里，點(diǎn)擊上面的確定按鈕后就會(huì)立即執(zhí)行，執(zhí)行完成后將彈出結(jié)果窗口。這里你可以看到我們的CzarCms的檢查結(jié)果中有6個(gè)失敗的檢查結(jié)果，52個(gè)已通過(guò)的檢查結(jié)果。它列出了每個(gè)檢查的明細(xì)并給出了對(duì)應(yīng)的評(píng)定的風(fēng)險(xiǎn)等級(jí)。

在錯(cuò)誤列表中隨便單擊一個(gè)的失敗檢查結(jié)果，我們將看到更多詳細(xì)信息以及對(duì)應(yīng)的修復(fù)步驟，并提供進(jìn)行修復(fù)的腳本(想想是不是有點(diǎn)小激動(dòng)呢)。趕緊打開(kāi)看看吧。

這里我們簡(jiǎn)單選擇第二個(gè)吧，VA1143 - 'dbo' user should not be used for normal service operation什么你看不懂？我擦，不會(huì)百度翻譯啊？““dbo”用戶(hù)不應(yīng)該用于正常的服務(wù)操作”，啥意思呢？“dbo”或數(shù)據(jù)庫(kù)所有者是一個(gè)用戶(hù)帳戶(hù)，它隱含了執(zhí)行數(shù)據(jù)庫(kù)中所有活動(dòng)的權(quán)限。sysadmin固定服務(wù)器角色的成員自動(dòng)映射到dbo。此規(guī)則檢查dbo不是唯一允許訪(fǎng)問(wèn)此數(shù)據(jù)庫(kù)的帳戶(hù)。請(qǐng)注意，在新創(chuàng)建的干凈數(shù)據(jù)庫(kù)中，在創(chuàng)建其他角色之前，此規(guī)則將失敗?？偨Y(jié)一句話(huà)就是你得為你的數(shù)據(jù)庫(kù)創(chuàng)建一個(gè)單獨(dú)的用戶(hù)來(lái)提高安全性。如圖所示：

您可以在下面看到，它向我們描述了沒(méi)有遵循的最佳實(shí)踐規(guī)則，并提供了一個(gè)查詢(xún)，我們可以運(yùn)行該查詢(xún)來(lái)查看結(jié)果。我真的很喜歡這個(gè)特性，并且它是一個(gè)方便的腳本，用于以后評(píng)估其他服務(wù)器的健康狀況時(shí)使用。它甚至給了我們一個(gè)小的復(fù)制按鈕，以復(fù)制出腳本和選項(xiàng)打開(kāi)它在查詢(xún)窗口。

只指出錯(cuò)誤而不給出解決方法的行為是可恥的，所以偉大的微軟給出了我們來(lái)補(bǔ)救的步驟以及腳本。這里我們進(jìn)一步向下滾動(dòng)，您將看到建議的補(bǔ)救步驟和腳本。如果沒(méi)有提供腳本，它將為您提供一個(gè)鏈接，通過(guò)這個(gè)鏈接可以找到有關(guān)如何解決問(wèn)題的正確文檔。在我看來(lái)，VA做了很好的解釋解決問(wèn)題所需的東西。請(qǐng)記住，雖然這是由Microsoft創(chuàng)建的，但我還是建議你在生產(chǎn)環(huán)境部署之前來(lái)運(yùn)行這個(gè)漏洞檢查并進(jìn)行相關(guān)的補(bǔ)救。

這里需要注意一下，如下圖所示你可以設(shè)置結(jié)果基線(xiàn) 。基線(xiàn)允許您對(duì)結(jié)果報(bào)告中的錯(cuò)誤結(jié)果進(jìn)行接收，這樣在下次漏洞掃描的時(shí)候這個(gè)錯(cuò)誤的結(jié)果就不會(huì)出現(xiàn)在錯(cuò)誤列表里面了。

通過(guò)將結(jié)果標(biāo)記為BASELINE，您告訴VA，這個(gè)錯(cuò)誤在您的環(huán)境中是可接受的，盡管它可能不符合最佳實(shí)踐或監(jiān)管標(biāo)準(zhǔn)。將來(lái)與基線(xiàn)匹配的任何內(nèi)容都標(biāo)記為在后續(xù)掃描中傳遞，并將記錄按自定義基線(xiàn)傳遞的原因。這個(gè)基線(xiàn)匹配的結(jié)果會(huì)在后期的漏洞掃描進(jìn)行傳遞，如下所示：我講兩個(gè)結(jié)果設(shè)置為了基線(xiàn)

當(dāng)我再次掃描時(shí)，我們將會(huì)看到這一點(diǎn)。如下所示，掃描報(bào)告現(xiàn)在顯示我只有1個(gè)失敗(我沒(méi)有修復(fù)的問(wèn)題)，附加信息列顯示原因的基線(xiàn)。

總結(jié)

SQL Server漏洞評(píng)估是評(píng)估數(shù)據(jù)隱私、安全性和遵從性標(biāo)準(zhǔn)的一個(gè)非常好的第三方工具，并且非常容易使用。紙上得來(lái)終覺(jué)淺，還不趕緊嘗試一下，看看數(shù)據(jù)庫(kù)存在哪些可以提升的地方吧。有興趣的朋友可以加入我們的DotNetCore實(shí)戰(zhàn)項(xiàng)目交流群637326624進(jìn)行交流。

總結(jié)

以上是生活随笔為你收集整理的ssms没有弹出服务器验证_使用SSMS扫描和查找SQL Server数据库的潜在安全漏洞的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。