birmaga.ru
добавить свой файл

1 2 ... 17 18

logo-sql08.gif

Руководство по обеспечению соответствия требованиям в SQL Server 2008

Техническая статья по SQL Server



Авторы: Джей-Си Кэннон (JC Cannon), Денни Ли (Denny Lee)

Соавторы: Энди Робертс (Andy Roberts), Айяд Шаммут (Ayad Shammout)

Технические редакторы: Дэн Джонс (Dan Jones), Крэйг Гик (Craig Gick), Джек Ричинс (Jack Richins), Рауль Гарсия (Raul Garcia), Девендра Тивари (Devendra Tiwari), Стивен Готт (Steven Gott), Эл Комо (Al Comeau), Лара Руббелке (Lara Rubbelke)

Публикация: ноябрь 2008 г.

Область применения: SQL Server 2008

Сводка. В этом документе представлены общие сведения о подходах к обеспечению соответствия требованиям при управлении базами данных SQL Server. В нем описаны компоненты SQL Server 2008, имеющие отношение к обеспечению соответствия требованиям и их применению к средствам управления ИТ. В документ включены советы и сценарии, помогающие быстро начать разработку решений для обеспечения соответствия требованиям.

Примечание. Можно загрузить файлы с примерами для этого документа.

Авторские права

Сведения, содержащиеся в данном документе, отражают текущую позицию корпорации Майкрософт по рассматриваемым вопросам на момент публикации документа. Поскольку корпорации Майкрософт приходится реагировать на изменение рыночных условий, текст документа не может рассматриваться как обязательство со стороны корпорации Майкрософт. Корпорация Майкрософт не гарантирует достоверности предоставленной информации после даты публикации.

Данный технический документ предоставляется исключительно в ознакомительных целях. КОРПОРАЦИЯ МАЙКРОСОФТ НЕ ДАЕТ В НЕМ НИКАКИХ ЯВНЫХ ИЛИ ПОДРАЗУМЕВАЕМЫХ ГАРАНТИЙ.

Ответственность за соблюдение всех авторских прав целиком и полностью несет пользователь. Без ограничения авторских прав ни одна из частей этого документа не может быть воспроизведена, сохранена или использована в системах поиска либо передана в любой форме, любыми способами (электронными, механическими, в виде фотокопии, в виде записи или любыми другими) и в любых целях без письменного разрешения корпорации Майкрософт.

Корпорация Майкрософт может иметь патенты, патентные заявки, охраняемые товарные знаки, авторские или другие права на интеллектуальную собственность применительно к содержимому этого документа. Без письменного разрешения корпорации Майкрософт данный документ не дает лицензии на эти патенты, товарные знаки, авторские права и другую интеллектуальную собственность.

За исключением специально отмеченных случаев описанные здесь компании, организации, товары, имена доменов, адреса электронной почты, эмблемы, люди, места и события являются вымышленными; любые ассоциации с какими-либо реальными компаниями, организациями, товарами, именами доменов, адресами электронной почты, эмблемами, лицами, местами и событиями непреднамеренны и случайны.

© Корпорация Майкрософт (Microsoft Corporation), 2008. Все права защищены.

Microsoft, Active Directory, ActiveX, BitLocker, Excel, Internet Explorer, PivotTable, PowerShell, SQL Server, Vista, Visual Basic, Visual Studio, Windows, Windows Server и Windows Vista являются товарными знаками группы компаний Майкрософт.

Все прочие товарные знаки являются собственностью их владельцев.

Содержание


1

Введение 4

Как пользоваться этим документом 4

Основные вопросы 4

Предварительные требования 4

Основные сведения о соответствии требованиям 5

Сущность программы GRC 5

Управление рисками 6

Руководство 7

Соответствие требованиям 7

Пример GRC 9

Средства сокращения рисков 10

Ключевые индикаторы производительности и ключевые индикаторы рисков 10

Сопоставление нормативов базовым наборам средств управления ИТ 11

Реализация средств управления ИТ с помощью SQL Server 2008 14

Защита платформы 14

Обеспечение безопасности SQL Server 2008 15

Настройка контактной зоны SQL Server 2008 15

Управление удостоверениями и разделение обязанностей 17

Использование проверки подлинности Windows 19

Создание имен входа 21

Назначение пользователей для ролей сервера 22

Предоставление доступа к базе данных 24

Назначение пользователям ролей базы данных 25

Управление разрешениями 26

Разрешения ролей сервера 26

Разрешения базы данных 27

Разрешения уровня столбца 29

Разграничение обязанностей 32

Ограничение использования роли sysadmin 32

Отключение учетной записи sa 32

Использование подписанных процедур для работы в качестве sysadmin (отключение всех учетных записей sysadmin) 33

Учетные записи sysadmin, определяемые во время установки 33

Назначение роли sysadmin во время установки SQL Server 2008 33

Назначение SID служб в операционных системах Windows Vista и Windows Server 2008 36

Использование группы BUILTIN\Administrators 36

Управление идентификаторами в многоуровневых приложениях 37

Шифрование данных в базе данных 38

Шифрование в базе данных SQL Server 38

Выбор алгоритма шифрования 38

Использование прозрачного шифрования данных 38

39

Создание резервной копии закрытого ключа сертификата 39

Смена сертификатов в сравнении со сменой ключей 40

Наблюдение за доступом к ключу 40

Наблюдение за флажком шифрования в базе данных 41

Работа в конкретных сценариях 41

Защита от хищения компьютера 41

Предотвращение доступа sysadmin и dbo 42

Защита столбца в таблице базы данных 42

Аудит конфиденциальных операций 43

Сбор журналов 44

Передача журналов 44

Использование сценариев и средств для управления аудитом 44

Аудит определенных пользователей и таблиц 45

Аудит отдельных пользователей 46

Аудит отдельных таблиц 46

Отслеживание доступа sysadmin и db_owner 47

Централизация журналов 47

Создание отчетов из файлов журналов 48

Общие сведения — действия сервера 48

Анализ трендов — действия сервера 48

Детализация действий сервера 49

Общие сведения — действия базы данных 49

Детализация действий базы данных 50

Общие сведения — действия DDL 51

Детализация действий DDL 51

Общие сведения — действия DML 52

Детализация действий DML 52

Использование управления на основе политик для определения, развертывания и проверки политик 53

Структура управления на основе политик 53

Пример управления на основе политик 54

Наблюдение за управлением на основе политик 54

Использование управления на основе политик для обеспечения соответствия требованиям 54

Создание плана 55

Исходя из плана, какие политики нужно создать? 56

Определение режима выполнения для политик 56

Использование управления на основе политик для реализации KPI и KRI 59

Использование управления на основе политик для проверки конфигурации аудита 60

Использование управления на основе политик для проверки конфигурации шифрования 60

Развертывание политик 62

Создание отчетов управления на основе политик 63

Полезные советы и сценарии 67

Программные интерфейсы SQL Server 67

SMO 67

Transact-SQL 67


Windows PowerShell 67

VBScript 69

Компоненты доступа к данным Windows DAC 69

Проверка параметров безопасности (Server Security Policy.xml) 70

Управление разграничением обязанностей (SOD Policy.xml) 72

Использование сценариев в условиях 73

Отключение всех учетных записей sysadmin (ManageSA.sql) 75

Проверка учетной записи sa (ValidateSA.sql) 76

Проверка членства в роли sysadmin (ValidateSysadmins.sql) 76

Применение разграничения ролей (SOD Policy.xml) 77

Наблюдение за ролями сервера (ValidateServerRoles.sql) 77

Получение списка пользователей, входящих в несколько ролей (ValidateServerRoles.sql) 78

Наблюдение за ролями базы данных (ValidateDatabaseRoles.sql) 80

Управление ключами шифрования 81

Наблюдение за доступом к ключам шифрования (AuditCryptoActions.sql) 81

Просмотр сертификатов и ключей (ViewKeys.sql) 82

Смена сертификатов (RotateCerts.sql) 84

Создание резервной копии закрытого ключа сертификата (BackupCerts.sql) 85

Обеспечение смены и резервного копирования пароля (CertRotationPolicy.xml) 86

Управление аудитом 86

Передача журналов подсистемы аудита SQL Server в таблицу (StoreAuditLogs.sql) 87

Использование служб SSIS для переноса журналов в таблицу базы данных (LoadLogsPackage.dtsx) 90

Доступ к событиям подсистемы аудита SQL Server с помощью Excel (AuditReport.xlsx) 93

Получение IP-адреса из журнала аудита 95

Проект аудита 96

Управление политиками PBM 102

Создание политики с помощью PowerShell 102

Развертывание политик PBM с помощью PowerShell (DeployPBMPolicies.ps1) 102

Перенос политик проверки работоспособности в таблицу базы данных 103

Заключение 107





следующая страница >>