CIS مرکز امنیت اینترنت Center for Internet Security
Center for Internet Security (CIS)
مرکز امنیت اینترنت (CIS= Center for Internet Security) یک سازمان غیر انتفاعی است که در اکتبر 2000 تشکیل شد. مأموریت آن «شناسایی، توسعه، اعتبارسنجی، ارتقاء و پشتیبانی از بهترین راهکارهای عملی برای حفاظت از سایبر و هدایت جوامع برای ایجاد محیط اطمینان بخش در فضای مجازی» است. این سازمان شامل اعضایی از شرکت های بزرگ، سازمان های دولتی و موسسات دانشگاهی است. (همانند موسسه OWASP)
در کشورهای مستقل مشترک المنافع، یک مدل جمع آوری منابع برای شناسایی و اصلاح اقدامات امنیتی مناسب، با افرادی که در حال تهیه نظریه هایی هستند که از طریق یک فرایند تصمیم گیری با جامعه، به منظور ارزیابی به اشتراک گذاشته می شود، استفاده می کند. در سطح ملی و بین المللی، کشورهای مستقل مشترک المنافع نقش مهمی در تشکیل سیاست ها و تصمیم گیری های امنیتی با حفظ کنترل CIS و معیارهای CIS و میزبانی مرکز به اشتراک گذاری و تجزیه و تحلیل اطلاعات چند کشور (MS-ISAC) دارد.
محدوده برنامه:
کشورهای مستقل مشترک المنافع، دارای چندین محدوده برنامه، از جمله MS-ISAC، کنترل CIS، معیار های CIS، جوامع CIS، و بازار سایبری CIS می باشد. از طریق این محدوده های برنامه، کشورهای مستقل مشترک المنافع با گستره وسیعی از نهادها، ازجمله آکادمی ها، دولت و هر دو بخش خصوصی و عمومی به منظور افزایش امنیت آنلاین خود با ارائه محصولات و خدماتی که موجب بهبود کارایی و کارآیی امنیتی می شوند، کار می کنند.
مرکز اطلاعات به اشتراک گذاری و تجزیه و تحلیل چندین کشور (MS-ISAC):
مرکز اطلاع رسانی و تجزیه و تحلیل اطلاعات چند ملیتی (MS-ISAC)، یک مرکز نظارت و کاهش تهدیدات سایبری برای دولت های محلی است که توسط کشورهای مستقل مشترک المنافع، به عنوان مشارکت با دفتر سایبری امنیت و ارتباطات سازمان امنیت ملی ایالات متحده اداره می شود.
مرکز عملیات امنیتی سایبری MS-ISAC، نظارت بر شبکه را انجام می دهد، هشدارها و توصیه های ابتدایی تهدیدات اینترنتی، شناسایی و کاهش آسیب پذیری و همچنین پاسخ حادثه را اجرا می کند.
اهداف اصلی MS-ISAC به شرح زیر است:
- به اشتراک گذاری اطلاعات دو طرفه و هشدارهای اولیه در مورد تهدیدات امنیتی سایبری را فراهم می کند.
- فرآیند جمع آوری و انتشار اطلاعات مربوط به حوادث امنیتی سایبری را فراهم می کند.
- آگاهی از وابستگیهای متقابل بین زیرساختارهای سایبری و فیزیکی و همچنین بین بخشهای مختلف را ارتقا می دهد.
- هماهنگی آموزش و آگاهی
- اطمینان حاصل کنید که تمام احزاب لازم در این تلاش شریک هستند.
کنترل های CIS و معیار های CIS :
CIS Controls and CIS Benchmarks استانداردهای جهانی برای امنیت اینترنت را ارائه می دهند و به عنوان یکی از بهترین شیوه ها برای تأمین امنیت سیستم های اطلاعاتی و داده ها در برابر حملات هستند. CIS شامل، “کنترل های CIS” مجموعهای مشهور از ۲۰ کنترل امنیتی ” که به بسیاری از استاندارد های مورد قبول نگاشت می شوند” را اداره میکند و برای اینترنت اشیا نیز قابلاستفاده هستند. کشورهای مستقل مشترک المنافع انواع مختلفی از منابع را شامل می شود که عبارتند از: معیارهای پیکربندی ایمن، ابزار ارزیابی پیکربندی خودکار و محتوا، معیارهای امنیتی و گواهی نامه های امنیتی نرم افزار امنیتی.
کنترلهای مربوط به دفاع کشورهای مستقل مشترکالمنافع ” یک مدل دفاع در عمق ” برای کمک به پیشگیری و ردیابی بدافزار هستند. یک مطالعه در ماه مه 2017 نشان داد که “به طور متوسط سازمانها در 55 درصد از چک های مربوط به امنیت اینترنت شکست می خورند و بیش از نیمی از این موارد نقض جدی هستند. “
بازار سایبری CIS:
کشورهای مستقل مشترکالمنافع یک برنامه خرید مشترک دارند که در خدمت سازمانهای دولتی، محلی، قبیلهای و منطقهای، سازمانهای دولتی، نهادهای غیرانتفاعی، و موسسات آموزش و پرورش عمومی و موسسات آموزش و پرورش است تا امنیت سایبری را از طریق تدارکات گروهی مقرون به صرفه بهبود بخشند. هدف سازمان کشورهای مستقل مشترک المنافع ترکیب قدرت خرید بخشهای دولتی و غیرانتفاعی برای کمک به شرکت کنندگان در بهبود شرایط امنیت سایبری با هزینه کمتر است که آنها قادر به رسیدن به اهداف خود باشند.
سه هدف اصلی در CIS CyberMarket وجود دارد:
- محیط اطمینان را برای بهبود وضعیت امنیت سایبر از اشخاص ذکر شده به اشتراک بگذارید.
- هزینه های امنیت سایبری را کاهش می دهد.
- کار کردن با شرکتها برای آوردن خدمات و خدمات امنیتی به شرکای خود.
CIS CyberMarket، مانند MS-ISAC، در خدمت نهادهای دولتی و غیرانتفاعی در دستیابی به امنیت بیشتر سایبری است.
جوامع CIS:
کمیتههای کشورهای مستقل مشترکالمنافع ” یک جامعه داوطلب و جهانی از متخصصان فنآوری اطلاعات هستند که، به طور مرتب، بهترین تجارب کشورهای مشترکالمنافع و ابزار cybersecurity را اصلاح و بازبینی میکنند. ” کشورهای مستقل مشترکالمنافع برای توسعه و ساختار معیارهای خود از یک استراتژی استفاده میکنند که در آن اعضای سازمان ابتدا به صورت دو تیم تشکیل میشوند. سپس هر کدام پیشنهادها، توصیه، کار رسمی و توصیههای چند سازمان شرکتکننده را جمعآوری میکنند. سپس تیمها دادهها و اطلاعات خود را تجزیه و تحلیل میکنند تا مشخص کنند که مناسبترین تنظیمات پیکربندی چه هستند که امنیت سیستم اینترنت را به بیشترین حد ممکن ارتقا میدهند. هر عضو تیم دائما با همتیمیهایش کار میکند و به شدت به تحلیل انتقادی میپردازد و یک پیشنویس را تا زمانی که اجماع نظر در میان تیم ایجاد میشود، نقد میکند. قبل از اینکه معیار برای عموم آزاد شود، برای دانلود و آزمایش در میان جامعه قابل دسترسی است. پس از بررسی تمام بازخورد ها از آزمایشات و انجام تنظیمات لازم یا تغییرات، معیار نهایی و سایر ابزارهای امنیتی مربوطه برای دانلود از طریق وب سایت CIS در دسترس عموم قرار می گیرد. این روند بسیار گسترده است و بسیار دقیق انجام شده است، که هزاران متخصص امنیت در سراسر جهان در آن شرکت می کنند.
سازمان های شرکت کننده:
سازمان هایی که در اکتبر 2000 در تاسیس CIS شرکت داشتند شامل ISACA، موسسه حسابداران رسمی خبره (AICPA)، موسسه حسابرسی داخلی (IIA)، کنسرسیوم صدور گواهینامه بین المللی سیستم های اطلاعاتی (ISC2) و موسسه SANS (سیستم مدیریت، شبکه و امنیت) می باشند. از آن زمان، کشورهای مستقل مشترک المنافع دارای صدها عضو با درجه های مختلف عضویت و همکاری و کار با سازمان های مختلف و اعضای هر دو در سطح ملی و بین المللی است. برخی از این سازمان ها شامل کسانی هستند که در بخش های عمومی و خصوصی، دولت، ISAC و اجرای قانون هستند.
CIS Microsoft SQL Server 2016 Benchmark
بررسی اجمالی:
این سند راهنمای پیشگیرانه ای برای ایجاد یک موقعیت پیکربندی امن برای Microsoft SQL Server 2016 فراهم می کند. این راهنما در رابطه با Microsoft SQL Server 2016 مورد آزمایش قرار گرفت.
مخاطبان در نظر گرفته شده:
این معیار برای مدیران و مجریان برنامههای کاربردی ، متخصصان امنیتی، حسابرسان، و پرسنل استقرار پلت فرم که قصد توسعه، استقرار، ارزیابی و یا راهحلهای ایمن را دارند و در سیستمعامل ویندوز سرور ۲۰۱۶ در پلت فرم ویندوز مایکروسافت کار میکنند، طراحی شدهاست.
ارزیابی توافقی:
این معیار با استفاده از یک فرایند بررسی کلی متشکل از متخصصان موضوع ایجاد شد. شرکت کنندگان در اجماع، چشم اندازی از مجموعه های متنوعی از زمینه ها شامل مشاوره، توسعه نرم افزار، ممیزی و انطباق، تحقیقات امنیتی، عملیات، دولت و قانونی را ارائه می دهند.
هر معیار کشورهای مستقل مشترکالمنافع، در دو مرحله از بررسی اجماع قرار میگیرد. فاز اول در طی توسعه اولیه بنچمارک رخ میدهد. در این فاز، کارشناسان موضوع، برای بحث، ایجاد و تست پیش نویس های کارگروه تشکیل می شوند. این بحث تا زمانی رخ میدهد که موافقت عمومی بر روی توصیههای معیار حاصل شود. مرحله دوم پس از انتشار این معیار آغاز میشود. در طول این مرحله، تمام بازخورد ارائهشده توسط جامعه اینترنت، توسط گروه برای تلفیق در بنچمارکها مورد بررسی قرار می گیرد.
اطلاعات امتیاز دهی:
وضعیت امتیاز دهی نشان میدهد که آیا انطباق با توصیه ارایهشده در معیار ارزیابی هدف ها ارزیابی و اعمال میشود یا خیر. در این معیار وضعیت scoring زیر مورد استفاده قرار میگیرد:
امتیاز داده شده (Scored)
عدم پیروی از توصیه های “امتیاز داده شده” نمره پایانی نهایی را کاهش می دهد. رعایت توصیه های “امتیازدهی” نمره پایانی نهایی را افزایش می دهد.
امتیاز دهی نشده (Not Scored)
عدم تطابق با توصیه های “امتیازدهی نشده” نمره پایانی نهایی را کاهش نخواهد داد. پیروی از توصیه های «امتیازدهی نشده» نمره پایانی نهایی را افزایش نخواهد داد.
تعاریف پروفایل:
پروفایل های پیکربندی زیر توسط این معیار تعیین می شود:
سطح 1 – موتور پایگاه داده
اقلام در این مشخصات قصد دارند:
- عملی و محتاط باشد.
- ارائه یک مزیت امنیتی شفاف
- از ابزارهای غیر قابل قبول استفاده نکنید.
توصیه ها:
- نصب، به روز رسانی ها و پچ ها
این بخش حاوی توصیه های مربوط به نصب و پچ SQL Server است.
1.1 اطمینان از آخرین بسته های سرویس SQL Server و اصلاحیه های نصب شده (Not Scored)
توضیحات:
وصله های (پچ های) SQL Server شامل بروز رسانی های برنامه است که امنیت و مسائل مربوط به عملکرد محصول را در نرم افزار تعمیر می کند. استفاده از جدیدترین نرمافزار SQL Server به همراه همه وصلههای قابلاستفاده میتواند به محدود کردن امکان آسیبپذیری در نرمافزار کمک کند، نسخه نصب و / یا وصلههای اعمالشده در طول راهاندازی باید مطابق با نیازهای سازمان ایجاد شود.
1.2 اطمینان از اینکه سرور های عضو تک وظیفه ای استفاده می شوند. (Not Scored)
توضیحات:
توصیه می شود که نرم افزار SQL Server روی سرور اختصاصی نصب شود. این حساسیت در معماری، انعطاف پذیری امنیتی را در اختیار می گذارد که سرور پایگاه داده را می توان در یک زیر شبکه جداگانه قرار داد که اجازه دسترسی فقط از میزبان های خاص و پروتکل های خاص را می دهد.
- Surface Area Reduction
SQL Server گزینه های پیکربندی های مختلفی را ارائه می دهد، برخی از آنها می توانند توسط روش sp_configure ذخیره شده و کنترل شوند. این بخش حاوی لیست توصیه های مربوطه است.
2.1 اطمینان از اینکه پیکربندی سرور گزینه «Ad Hoc Distributed Queries» را به مقدار «0» تنظیم کرده باشد. (scored)
توضیحات:
فعال کردن Ad Hoc Distributed Queries به کاربران اجازه می دهد تا به پرس و جو از داده ها و اظهارات مربوط به منابع دادههای خارجی را اجرا کنند. این قابلیت باید غیرفعال شود. این ویژگی را می توان برای دسترسی از راه دور و بهره برداری از آسیب پذیری ها در نمونه های SQL سرور راه دور استفاده کرد.
2.2 اطمینان از اینکه گزینه ‘CLR Enabled’ بر روی صفر تنظیم شده باشد. (scored)
توضیحات:
گزینه فعال clr مشخص میکند که آیا مجموعههای کاربر را می توان توسط SQL Server اجرا کرد.
2.3 اطمینان از اینکه گزینه ‘Cross DB Ownership Chaining’ بر روی صفر باشد. (scored)
توضیحات:
گزینه ‘Cross DB Ownership Chaining’ مالکیت متقابل را در تمام پایگاههای سرور کنترل میکند.
2.4 اطمینان از اینکه گزینه ‘Database Mail XPs’بر روی صفر باشد. (Scored)
توضیحات:
گزینه Database Mail XPs گزینه ای است که برای تولید و انتقال پیام های ایمیل از SQL Server مورد استفاده قرار می گیرد.
2.5 اطمینان از اینکه گزینه ‘Ole Automation Procedures’ بر روی صفر باشد. (Scored)
توضیحات:
گزینه Ole Automation Procedures گزینه ای را برای کنترل اشیاء OLE Automation در مقادیر Transact-SQL می تواند مورد بررسی قرار دهد. این فرایندهای ذخیره شده به کاربران SQL Server اجازه می دهد تا توابع خارج از SQL Server را اجرا نمایند.
2.6 اطمینان از اینکه گزینه ‘Remote Access’ بر روی صفر باشد. (Scored)
توضیحات:
گزینه دسترسی از راه دور، اجرای رویههای ذخیرهشده در سرورهای کنترل از راه دور یا روندهای ذخیرهشده در کارگزار محلی را کنترل میکند.
2.7 اطمینان از اینکه گزینه ‘Remote Admin Connections’ بر روی صفر باشد. (Scored)
توضیحات:
گزینه remote admin connections به این منظور است که آیا یک برنامه کاربردی مشتری، در یک کامپیوتر از راه دور می تواند از اتصال اختصاصی مدیر (DAC) استفاده کند.
2.8 اطمینان از اینکه گزینه ‘Scan For Startup Procs’ بر روی صفر باشد. (Scored)
توضیحات:
گزینه scan for startup procs در صورتی که به کار انداخته شود ، باعث میشود که SQL Server به طور خودکار تمام دستورالعملهای ذخیرهشده را که برای راهاندازی سرویس تنظیم شدهاند، اجرا کند.
2.9 8 اطمینان از اینکه گزینه ‘Trustworthy’ بر روی off باشد. (Scored)
توضیحات:
گزینه TRUSTWORTHY در پایگاه داده، امکان دسترسی به اشیا، تحت شرایط خاص در پایگاههای اطلاعاتی دیگر را میدهد.
2.10 اطمینان از اینکه پروتکل های غیرضروری بر روی “disabled” باشد. (Scored)
توضیحات:
SQL Server از حافظه های مشترک، به نام pipe ها و پروتکل های TCP / IP پشتیبانی می کند. با این حال، SQL Server باید برای استفاده از حداقل مقدار مورد نیاز مبتنی بر نیازهای سازمان پیکربندی شود.
2.11 اطمینان از اینکه SQL Server برای استفاده از پورت های غیر استاندارد پیکر بندی شود. (Scored)
توضیحات:
در صورت نصب، به طور پیش فرض SQL Server یک پورت پیش فرض TCP: 1433 را برای ارتباط TCP / IP اختصاص می دهد. مدیران همچنین میتوانند به طور دستی مواردی را پیکربندی کنند تا از TCP:1433 برای ارتباط استفاده کنند. TCP:1433یک پورت معروف SQL Server است و این تخصیص این پورت باید تغییر یابد.
2.12 اطمینان از اینکه گزینه ‘Hide Instance’ بر روی “yes” تنظیم شده باشد. (Scored)
توضیحات:
موارد غیر خوشه ای SQL Server در محیط های تولید باید برای جلوگیری از تبلیغ توسط سرویس مرورگرSQL Server شناسایی شوند.
2.13 اطمینان از اینکه قسمت ورودی اکانت “sa” بر روی “disable” تنظیم شده باشد. (Scored)
توضیحات:
حساب sa یک حساب کاربری با نام SQL Server است که به طور گسترده شناخته شده و اغلب مورد استفاده قرار می گیرد و دارای امتیازات sysadmin می باشد.
2.14 اطمینان از اینکه حساب ورودی ‘sa’ تغییر نام داده شده باشد. (Scored)
توضیحات:
حساب sa یک حساب کاربری با نام SQL Server است که به طور گسترده شناخته شده و اغلب مورد استفاده قرار می گیرد و دارای امتیازات sysadmin می باشد.
2.15 اطمینان از اینکه گزینه ‘xp_cmdshell’ بر روی صفر تنظیم شده باشد. (Scored)
توضیحات:
گزینه xp_cmdshell کنترل میکند که آیاxp _ cmdshell ذخیره شده ی بسط یافته را می توان توسط یک کاربر مجاز SQL Server برای اجرای فرمانهای پوسته اجرایی مجاز اجرا کرد و نتایج را به عنوان جدول در کلاینت SQL به کار برد.
2.16 اطمینان از اینکه گزینه ‘AUTO_CLOSE’ بر روی “off” تنظیم شده باشد. (Scored)
توضیحات:
AUTO_CLOSE تعیین میکند که یک پایگاهداده مشخص بسته شده است یا پس از اتصال متصل نباشد.
2.17 مطمئن از اینکه هیچ ورودی با نام “sa” وجود ندارد. (Scored)
توضیحات:
حساب sa یک حساب کاربری با نام SQL Server است که به طور گسترده شناخته شده و اغلب مورد استفاده قرار می گیرد و دارای امتیازات sysadmin می باشد. بنابراین، نباید یک ورودی به سیستم به نام sa وجود داشته باشد.
- تایید اعتبار و مجوز ها
این بخش حاوی توصیه های مربوط به تأیید هویت و مکانیزم مجوز SQL Server است.
3.1 اطمینان حاصل کنید که ‘Server Authentication’ به ‘Windows
Authentication Mode’ تنظیم شده باشد. (Scored)
توضیحات:
از “تایید هویت ویندوز” برای اعتبار سنجی اتصالات استفاده میکند.
3.2 اطمینان حاصل کنید که مجوزهای CONNECT در کاربر مهمان در تمام پایگاههای داده SQL Server به استثنای master، msdb و tempdb لغو میشوند. ( Scored )
توضیحات:
حق استفاده مهمان برای اتصال به پایگاه داده های SQL Server، به جز برای master، msdb و tempdb را حذف کنید.
3.3 اطمینان حاصل کنید که ‘Orphaned Users’ از پایگاه داده های sql server حذف می شوند. (Scored)
توضیحات:
یک کاربر پایگاه داده که برای آن ورودی SQL سرور مربوطه نامشخص است یا به عنوان مثال در سرور اشتباه تعریف شده است، نمی تواند وارد شود و به عنوان ‘Orphaned Users’ نامیده می شود و باید حذف شود.
3.4 اطمینان از اینکه تایید هویت SQL در پایگاه داده های موجود استفاده نمی شود. (Scored)
توضیحات:
پایگاه داده های حاوی قوانین پیچیدگی رمز عبور، برای کاربران، SQL Authenticated را اجرا نمی کنند.
3.5 اطمینان حاصل کنید که حساب سرویسِ MSSQL یک مدیر نیست. (Scored)
توضیحات:
حساب سرویس یا sid سرویس، توسط یک سرویس MSSQLSERVER برای یک نمونه پیش فرض نباید به صورت مستقیم یا غیرمستقیم(از طریق گروه)عضو گروه مدیریت ویندوز باشد. این بدان معنی است که حساب کاربری شناخته شده به عنوان LocalSystem نباید برای سرویس MSSQL استفاده شود؛ زیرا این حساب دارای امتیازات بالاتری نسبت به سرویس SQL Server است.
3.6 اطمینان حاصل کنید که حساب سرویس SQLAgent یک مدیر نیست. (Scored)
توضیحات:
این به این معنی است که حسابی که به نام LocalSystem شناخته میشود، نباید برای خدماتSQLAGENT مورد استفاده قرار گیرد، زیرا این حساب دارای امتیازات بالاتری نسبت به سرویس سرویسSQL Server میباشد.
3.7 اطمینان حاصل کنید که حساب سرویس کامل متن SQL سرور یک مدیر نیست. (Scored)
توضیحات:
این بدان معنی است که حساب کاربری که LocalSystem نامیده می شود، نباید برای سرویس Full Text استفاده شود، زیرا این حساب دارای امتیازات بالاتری نسبت به سرویس SQL Server است.
3.8 اطمینان حاصل کنید که تنها اجازههای پیشفرض مشخصشده توسط مایکروسافت به نقش سرور عمومی داده میشود. (Scored)
توضیحات:
public یک نقش ویژه سرور ثابت است که شامل همه login ها می باشد. برخلاف سایر نقشهای سرورهای ثابت، مجوزها را می توان برای نقش public تغییر داد. در حفظ اصول حداقل امتیازات، نقش سرور public نباید برای اعطای مجوز در حوزه سرور به کار رود، زیرا این برنامهها توسط تمام کاربران به کار گرفته می شوند.
3.9 اطمینان حاصل کنید از اینکه گروه های داخلی ویندوز برای قسمت لاگین SQL استفاده نمی شوند. (Scored)
توضیحات:
بهترین شیوه ها ایجاد یک سطح دسترسی در Active Directory شامل حساب های کارکنان DBA تایید شده و استفاده از این گروه AD کنترل شده به عنوان ورود به سیستم با امتیازات sysadmin می باشد. گروه AD باید در هنگام نصب SQL Server مشخص شود.
3.10 اطمینان از اینکه گروه های محلی ویندوز نمی توانند ورودیSQL باشند. (Scored)
توضیحات:
گروه های محلی ویندوز نباید به عنوان ورودی برای موارد SQL Server استفاده شوند.
3.11 اطمینان از اینکه نقش public در پایگاه داده msdb به پروکسی های SQL Agent اجازه نمی دهد. (Scored)
توضیحات:
نقش پایگاه داده public شامل هر کاربر در پایگاه داده msdb است. پروکسی های SQL Agent یک محیط امنیتی را تعریف می کنند که در آن یک مرحله کاری می تواند اجرا شود.
- سیاست های کلمه عبور
این بخش حاوی توصیه های مربوط به سیاست های رمز عبور SQL Server است.
4.1 مطمئن شوید گزینه MUST_CHANGE برای تمام ورودی های تصدیق شده بر روی گزینه «ON» تنظیم شده باشد. (Not Scored)
توضیحات:
هر زمان که این گزینه بر روی ON تنظیم می شود، SQL Server در مرتبه اول، رمز ورود جدید یا تغییر یافته را درخواست می کند.
4.2 اطمینان حاصل کنید که گزینه ‘CHECK_EXPIRATION’ برای تمام ورودی هایSQL Server در نقش sysadmin تنظیم شده است. (Scored)
توضیحات:
از همان سیاست انقضای گذرواژه که در ویندوز استفادهشده در SQL Server استفاده کنید.
4.3 مطمئن شوید گزینه ‘CHECK_POLICY’ برای همه ورودی های تأیید شده SQL بر روی «ON» تنظیم شده است. (Scored)
توضیحات:
از همان سیاست پیچیدگی رمز عبور در SQL Server استفاده میشود، که در ویندوز برای password استفاده شده است.
- حسابرسی و ثبت نام
این بخش حاوی توصیه های مربوط به مکانیزم های حسابرسی و ثبت اطلاعات SQL Server است.
5.1 اطمینان حاصل کنید که “حداکثر تعداد فایل های ورودی خطا” بیشتر از 12 یا برابر با 12 است. (Scored)
توضیحات:
فایل های ورودی SQL Server باید قبل از، ازدست دادن، محافظت شوند. فایل های Log قبل از رونویسی، بایستی پشتیبان گیری شوند. حفظ Log های خطا، بیشتر به جلوگیری از اتلاف مکرر قبل از این که پشتیبان گیری رخ دهد کمک میکند.
5.2 اطمینان از اینکه گزینه تنظیمات سرور “پیش فرض ردیابی فعال” بر روی ‘1’ تنظیم شده باشد. (Scored)
توضیحات:
این اثر پیشفرض، ورود به حسابرسی فعالیتهای پایگاهداده از جمله ایجاد حساب، ترفیع امتیاز و اجرای دستورهای DBCC را فراهم میکند.
5.3 اطمینان حاصل کنید که ‘Login Auditing’ به ‘logins failed’ تنظیم شده باشد. (Scored)
توضیحات:
این تنظیمات ، تلاشهای احراز هویت برای ورود به سیستم SQL Server را به SQL Server Errorlog ثبت خواهد کرد. این تنظیمات پیشفرض برای SQL Server است.
از لحاظ تاریخی، این تنظیم در تمام نسخه ها و نسخه های SQL Server موجود است. قبل از در دسترس بودن SQL Server Audit، این تنها مکانیزم ارائه شده برای ثبت کردن لاگین ها بود (موفق یا شکست خورده).
5.4 مطمئن شوید که «SQL Server Audit» برای ضبط هر دو یعنی «ورودی های ناموفق» و «ورودی های موفق» تنظیم شده است. (Scored)
توضیحات:
SQL Server Audit قادر به ضبط هر دو لاگین موفق و ناموفق و نوشتن آنها در يكي از سه مکان است: ثبت وقايع برنامه، ثبت وقايع امنيت يا سيستم فايل.
ما از آن برای گرفتن هر گونه تلاش ورود به SQL Server و همچنین تلاش برای تغییر سیاست حسابرسی استفاده خواهیم کرد. این همچنین به عنوان دومین منبع برای ثبت تلاش های ورود به سیستم ثبت می شود.
- توسعه نرم افزار
این بخش شامل توصیههای مربوط به توسعه برنامههای کاربردی با SQL Server است.
6.1 اطمینان حاصل کنید که پایگاهداده sanitize و ورودی برنامه کاربردی sanitized است. (Not Scored)
توضیحات:
همیشه قبل از ارسال آن به سرور پایگاه داده، ورودی کاربر دریافت شده از یک کلاینت یا نرم افزار پایگاه داده را با تست نوع، طول، فرمت و محدوده تایید کنید.
6.2 اطمینان حاصل کنید که ‘CLR Assembly Permission Set’ برای تمام CLR Assemblie ها بر روی ‘SAFE_ACCESS’ تنظیم شده باشد. (Scored)
توضیحات:
تنظیم مجوز CLR به SAFE_ACCESS مانع دسترسی مجدد به مجموعه های خارجی از قبیل فایل ها، شبکه، متغیرهای محیطی یا رجیستری می شود.
- رمزگذاری
این توصیه ها مربوط به جنبه های مرتبط با رمزگذاری SQL Server می باشد.
7.1 اطمینان حاصل کنید که الگوریتم رمزنگاری با کلید متقارن، بر روی “AES_128” یا بالاتر در پایگاه داده های غیر سیستمی تنظیم شده باشد. (Scored)
توضیحات:
در مورد مایکروسافت بهترین روش ها، تنها الگوریتم های SQL Server AES، AES_128، AES_192 و AES_256 باید برای الگوریتم رمزنگاری کلید متقارن استفاده شود.
7.2 اطمینان حاصل شود که اندازه کلید متقارن در پایگاه های داده غیرسیستمی بزرگتر مساوی با 2048 باشد. (Scored)
توضیحات:
بهترین روشهای مایکروسافت توصیه می کنند، حداقل یک الگوریتم رمزنگاری 2048 بیتی برای کلید های نامتقارن استفاده کنند.
8 ضمیمه: ملاحظات اضافی
این پیوست در مورد گزینه های پیکربندی احتمالی که توصیه نمی شود ارائه می شود.
8.1 مطمئن شوید که سرویس SQL Server Browser Service به درستی پیکربندی شده است. (Not Score)
توضیحات:
توصیه نمی شود که سرویس SQL Server Browser غیرفعال شود.
منابع:
- https://www.cisecurity.org/
- https://en.wikipedia.org/wiki/Center_for_Internet_Security
- https://www.newnettechnologies.com/cis-benchmark.html
آدرس کانال تلگرام سایت بیگ دیتا:
آدرس کانال سروش ما:
https://sapp.ir/bigdata_channel
جهت دیدن سرفصل های دوره های آموزشی بر روی اینجا کلیک کنید.
بازدیدها: 3285
برچسبCenter for Internet Security CIS CIS Center for Internet Security CIS مرکز امنیت اینترنت Center for Internet Security مرکز امنیت اینترنت