EN

SQL Server säkerhet – Revision av Login del 1

I en viktig del av del av vår säkerhetsrevision består av återkommande revidera alla login. Även om instansen ifråga inte har är föremål för SOx revision eller någon säkerhetsrevision är det ändå viktigt att hålla reda på vilka som har tillgång till instansen. Det vi vanligen, och minst, kontrollerar är:

  • Medlemmar i server roller – Kontrollera att alla medlemmar i alla server roller verkligen behöver och ska vara medlemmar.
  • Validera alla Windowslogin – Kontrollera så att alla Windowslogin fortfarande är aktiva på servern eller i Active Directory.
  • Lista Windowsgrupper och medlemmar i dessa – Kontrollera så att alla medlemmar i grupperna verkligen ska vara medlemmar. Kontrollen görs oftast av ägaren till respektive grupp.
  • Kontrollera om Builtin\Administrators har rättigheter på instansen – I tidigare versioner av SQL Server var det standard att den var medlem i sysadmin rollen. Om den har rättigheter är rekommenderat att ta bort eller inaktivera gruppen på instansen pga. att den oftast inte kontrolleras eller hanteras på instansnivå.
  • Lista och kontrollera användarna i local administrator gruppen – Även om denna grupp inte ska ha rättigheter på instansnivå kan den ändå påverka instansen på servernivå, starta om servicen, hantera diskar etc, och ska därför dokumenteras och valideras.
  • Kontrollera status för sa – Kontrollera om sa finns och är aktiv. I så fall bör det kontrolleras om det går att avaktivera eller döpa om det. Om någon äldre applikation av någon anledning måste använda sa kontrollera om det är möjligt att sänka rättigheterna på det, att det har ett säkert lösenord och dokumentera vilka som har tillgång till lösenordet. Eftersom de flesta SQL Server installationer har sa aktivt är det det första som en eventuell attack försöker använda.
  • Kontrollera lösenordskrav för alla SQL login – Lista vilka SQL login som inte har lösenordspolicy kontrollen aktiverat. För de SQL login som inte har kontrollen aktiverad finns det risk att de har svaga lösenord.
  • Lista SQL login som har svaga lösenord – Leta, mot en lista, efter SQL login som har svaga lösenord. I de fall det går att byta till ett bättre är det starkt rekommenderat.

För att gå igenom kontrollerna ovan krävs det en hel del manuellt arbete men den mesta av grundinformationen går att få fram från SQL Server med hjälp av skript. Mer om det i del 2.

/Björn

Lämna ett svar