CIS مرکز امنیت اینترنت Center for Internet Security

Center for Internet Security (CIS)

مرکز امنیت اینترنت (CIS= Center for Internet Security) یک سازمان غیر انتفاعی است که در اکتبر 2000 تشکیل شد. مأموریت آن «شناسایی، توسعه، اعتبارسنجی، ارتقاء و پشتیبانی از بهترین راهکارهای عملی برای حفاظت از سایبر و هدایت جوامع برای ایجاد محیط اطمینان بخش در فضای مجازی» است. این سازمان شامل اعضایی از شرکت های بزرگ، سازمان های دولتی و موسسات دانشگاهی است. (همانند موسسه OWASP)

در کشورهای مستقل مشترک المنافع، یک مدل جمع آوری منابع برای شناسایی و اصلاح اقدامات امنیتی مناسب، با افرادی که در حال تهیه نظریه هایی هستند که از طریق یک فرایند تصمیم گیری با جامعه، به منظور ارزیابی به اشتراک گذاشته می شود، استفاده می کند. در سطح ملی و بین المللی، کشورهای مستقل مشترک المنافع نقش مهمی در تشکیل سیاست ها و تصمیم گیری های امنیتی با حفظ کنترل CIS و معیارهای CIS و میزبانی مرکز به اشتراک گذاری و تجزیه و تحلیل اطلاعات چند کشور (MS-ISAC) دارد.

محدوده برنامه:

کشورهای مستقل مشترک المنافع، دارای چندین محدوده برنامه، از جمله MS-ISAC، کنترل CIS، معیار های CIS، جوامع CIS، و بازار سایبری CIS  می باشد. از طریق این محدوده های برنامه، کشورهای مستقل مشترک المنافع با گستره وسیعی از نهادها، ازجمله آکادمی ها، دولت و هر دو بخش خصوصی و عمومی به منظور افزایش امنیت آنلاین خود با ارائه محصولات و خدماتی که موجب بهبود کارایی و کارآیی امنیتی می شوند، کار می کنند.

مرکز اطلاعات به اشتراک گذاری و تجزیه و تحلیل چندین کشور (MS-ISAC):

مرکز اطلاع رسانی و تجزیه و تحلیل اطلاعات چند ملیتی (MS-ISAC)، یک مرکز نظارت و کاهش تهدیدات سایبری برای دولت های محلی است که توسط کشورهای مستقل مشترک المنافع، به عنوان مشارکت با دفتر سایبری امنیت و ارتباطات سازمان امنیت ملی ایالات متحده اداره می شود.

مرکز عملیات امنیتی سایبری  MS-ISAC، نظارت بر شبکه را انجام می دهد، هشدارها و توصیه های ابتدایی تهدیدات اینترنتی، شناسایی و کاهش آسیب پذیری و همچنین پاسخ حادثه را اجرا می کند.

اهداف اصلی MS-ISAC به شرح زیر است:

• به اشتراک گذاری اطلاعات دو طرفه و هشدارهای اولیه در مورد تهدیدات امنیتی سایبری را فراهم می کند.
• فرآیند جمع آوری و انتشار اطلاعات مربوط به حوادث امنیتی سایبری را فراهم می کند.
• آگاهی از وابستگی‌های متقابل بین زیرساختارهای سایبری و فیزیکی و همچنین بین بخش‌های مختلف را ارتقا می دهد.
• هماهنگی آموزش و آگاهی
• اطمینان حاصل کنید که تمام احزاب لازم در این تلاش شریک هستند.

کنترل های CIS و معیار های CIS :

CIS Controls and CIS Benchmarks استانداردهای جهانی برای امنیت اینترنت را ارائه می دهند و به عنوان یکی از  بهترین شیوه ها برای تأمین امنیت سیستم های اطلاعاتی و داده ها در برابر حملات هستند. CIS شامل، “کنترل های CIS” مجموعه‌ای مشهور از ۲۰ کنترل امنیتی ” که به بسیاری از استاندارد های مورد قبول نگاشت می شوند” را اداره می‌کند و برای اینترنت اشیا نیز قابل‌استفاده هستند. کشورهای مستقل مشترک المنافع انواع مختلفی از منابع را شامل می شود که عبارتند از: معیارهای پیکربندی ایمن، ابزار ارزیابی پیکربندی خودکار و محتوا، معیارهای امنیتی و گواهی نامه های امنیتی نرم افزار امنیتی.

کنترل‌های مربوط به دفاع کشورهای مستقل مشترک‌المنافع ” یک مدل دفاع در عمق ” برای کمک به پیش‌گیری و ردیابی بدافزار هستند. یک مطالعه در ماه مه 2017 نشان داد که “به طور متوسط سازمانها در 55 درصد از چک های مربوط به امنیت اینترنت شکست می خورند و بیش از نیمی از این موارد نقض جدی هستند. “

بازار سایبری CIS:

کشورهای مستقل مشترک‌المنافع یک برنامه خرید مشترک دارند که در خدمت سازمان‌های دولتی، محلی، قبیله‌ای و منطقه‌ای، سازمان‌های دولتی، نهادهای غیرانتفاعی، و موسسات آموزش و پرورش عمومی و موسسات آموزش و پرورش است تا امنیت سایبری را از طریق تدارکات گروهی مقرون ‌به ‌صرفه بهبود بخشند. هدف سازمان کشورهای مستقل مشترک ‌المنافع ترکیب قدرت خرید بخش‌های دولتی و غیرانتفاعی برای کمک به شرکت کنندگان در بهبود شرایط امنیت سایبری با هزینه کم‌تر است که آن‌ها قادر به رسیدن به اهداف خود باشند.

سه هدف اصلی در CIS CyberMarket وجود دارد:

• محیط اطمینان را برای بهبود وضعیت امنیت سایبر از اشخاص ذکر شده به اشتراک بگذارید.
• هزینه های امنیت سایبری را کاهش می دهد.
• کار کردن با شرکت‌ها برای آوردن خدمات و خدمات امنیتی به شرکای خود.

CIS CyberMarket، مانند MS-ISAC، در خدمت نهادهای دولتی و غیرانتفاعی در دستیابی به امنیت بیشتر سایبری است.

جوامع CIS:

کمیته‌های کشورهای مستقل مشترک‌المنافع ” یک جامعه داوطلب و جهانی از متخصصان فن‌آوری اطلاعات هستند که، به طور مرتب، بهترین تجارب کشورهای مشترک‌المنافع و ابزار cybersecurity را اصلاح و بازبینی می‌کنند. ” کشورهای مستقل مشترک‌المنافع برای توسعه و ساختار معیارهای خود از یک استراتژی استفاده می‌کنند که در آن اعضای سازمان ابتدا به صورت دو تیم تشکیل می‌شوند. سپس هر کدام پیشنهادها، توصیه، کار رسمی و توصیه‌های چند سازمان شرکت‌کننده را جمع‌آوری می‌کنند. سپس تیم‌ها داده‌ها و اطلاعات خود را تجزیه و تحلیل می‌کنند تا مشخص کنند که مناسب‌ترین تنظیمات پیکربندی چه هستند که امنیت سیستم اینترنت را به بیش‌ترین حد ممکن ارتقا می‌دهند. هر عضو تیم دائما با هم‌تیمی‌هایش کار می‌کند و به شدت به تحلیل انتقادی می‌پردازد و یک پیش‌نویس را تا زمانی که اجماع نظر در میان تیم ایجاد می‌شود، نقد می‌کند. قبل از اینکه معیار برای عموم آزاد شود، برای دانلود و آزمایش در میان جامعه قابل دسترسی است. پس از بررسی تمام بازخورد ها از آزمایشات و انجام تنظیمات لازم یا تغییرات، معیار نهایی و سایر ابزارهای امنیتی مربوطه برای دانلود از طریق وب سایت CIS در دسترس عموم قرار می گیرد. این روند بسیار گسترده است و بسیار دقیق انجام شده است، که هزاران متخصص امنیت در سراسر جهان در آن شرکت می کنند.

سازمان های شرکت کننده:

سازمان هایی که در اکتبر 2000 در تاسیس CIS شرکت داشتند شامل ISACA، موسسه حسابداران رسمی خبره (AICPA)، موسسه حسابرسی داخلی (IIA)، کنسرسیوم صدور گواهینامه بین المللی سیستم های اطلاعاتی (ISC2) و موسسه SANS (سیستم مدیریت، شبکه و امنیت) می باشند. از آن زمان، کشورهای مستقل مشترک المنافع دارای صدها عضو با درجه های مختلف عضویت و همکاری و کار با سازمان های مختلف و اعضای هر دو در سطح ملی و بین المللی است. برخی از این سازمان ها شامل کسانی هستند که در بخش های عمومی و خصوصی، دولت، ISAC و اجرای قانون هستند.

CIS Microsoft SQL Server 2016 Benchmark

بررسی اجمالی:

این سند راهنمای پیشگیرانه ای برای ایجاد یک موقعیت پیکربندی امن برای Microsoft SQL Server 2016 فراهم می کند. این راهنما در رابطه با Microsoft SQL Server 2016 مورد آزمایش قرار گرفت.

مخاطبان در نظر گرفته شده:

این معیار برای مدیران و مجریان برنامه‌های کاربردی ، متخصصان امنیتی، حسابرسان، و پرسنل استقرار پلت فرم که قصد توسعه، استقرار، ارزیابی و یا راه‌حل‌های ایمن را دارند و در سیستم‌عامل ویندوز سرور ۲۰۱۶ در پلت فرم ویندوز مایکروسافت کار می‌کنند، طراحی شده‌است.

ارزیابی توافقی:

این معیار با استفاده از یک فرایند بررسی کلی متشکل از متخصصان موضوع ایجاد شد. شرکت کنندگان در اجماع، چشم اندازی از مجموعه های متنوعی از زمینه ها شامل مشاوره، توسعه نرم افزار، ممیزی و انطباق، تحقیقات امنیتی، عملیات، دولت و قانونی را ارائه می دهند.

هر معیار کشورهای مستقل مشترک‌المنافع، در دو مرحله از بررسی اجماع قرار می‌گیرد. فاز اول در طی توسعه اولیه بنچ‌مارک رخ می‌دهد. در این فاز، کارشناسان موضوع، برای بحث، ایجاد و تست پیش نویس های کارگروه تشکیل می شوند. این بحث تا زمانی رخ می‌دهد که موافقت عمومی بر روی توصیه‌های معیار حاصل شود. مرحله دوم پس از انتشار این معیار آغاز می‌شود. در طول این مرحله، تمام بازخورد ارائه‌شده توسط جامعه اینترنت، توسط گروه برای تلفیق در بنچ‌مارک‌ها مورد بررسی قرار می گیرد.

اطلاعات امتیاز دهی:

وضعیت امتیاز دهی نشان می‌دهد که آیا انطباق با توصیه ارایه‌شده در معیار ارزیابی هدف ها ارزیابی و اعمال می‌شود یا خیر. در این معیار وضعیت scoring زیر مورد استفاده قرار می‌گیرد:

امتیاز داده شده (Scored)

عدم پیروی از توصیه های “امتیاز داده شده” نمره پایانی نهایی را کاهش می دهد. رعایت توصیه های “امتیازدهی” نمره پایانی نهایی را افزایش می دهد.

امتیاز دهی نشده (Not Scored)

عدم تطابق با توصیه های “امتیازدهی نشده” نمره پایانی نهایی را کاهش نخواهد داد. پیروی از توصیه های «امتیازدهی نشده» نمره پایانی نهایی را افزایش نخواهد داد.

تعاریف پروفایل:

پروفایل های پیکربندی زیر توسط این معیار تعیین می شود:

سطح 1 – موتور پایگاه داده

اقلام در این مشخصات قصد دارند:

• عملی و محتاط باشد.
• ارائه یک مزیت امنیتی شفاف
• از ابزارهای غیر قابل قبول استفاده نکنید.

توصیه ها:

1. نصب، به روز رسانی ها و پچ ها

این بخش حاوی توصیه های مربوط به نصب و پچ SQL Server است.

1.1 اطمینان از آخرین بسته های سرویس SQL Server و اصلاحیه های نصب شده (Not Scored)

توضیحات:

وصله های (پچ های) SQL Server شامل بروز رسانی های برنامه است که امنیت و مسائل مربوط به عملکرد محصول را در نرم افزار تعمیر می کند. استفاده از جدیدترین نرم‌افزار SQL Server به همراه همه وصله‌های قابل‌استفاده می‌تواند به محدود کردن امکان آسیب‌پذیری در نرم‌افزار کمک کند، نسخه نصب و / یا وصله‌های اعمال‌شده در طول راه‌اندازی باید مطابق با نیازهای سازمان ایجاد شود.

1.2 اطمینان از اینکه سرور های عضو تک وظیفه ای استفاده می شوند.       (Not Scored)

توضیحات:

توصیه می شود که نرم افزار SQL Server روی سرور اختصاصی نصب شود. این حساسیت در معماری، انعطاف پذیری امنیتی را در اختیار می گذارد که سرور پایگاه داده را می توان در یک زیر شبکه جداگانه قرار داد که اجازه دسترسی فقط از میزبان های خاص و پروتکل های خاص را می دهد.

2. Surface Area Reduction

SQL Server گزینه های پیکربندی های مختلفی را ارائه می دهد، برخی از آنها می توانند توسط روش sp_configure ذخیره شده و کنترل شوند. این بخش حاوی لیست توصیه های مربوطه است.

2.1 اطمینان از اینکه پیکربندی سرور گزینه «Ad Hoc Distributed Queries» را به مقدار «0» تنظیم کرده باشد. (scored)

توضیحات:

فعال کردن Ad Hoc Distributed Queries به کاربران اجازه می دهد تا به پرس و جو از داده ها و اظهارات مربوط به منابع داده‌های خارجی را اجرا کنند. این قابلیت باید غیرفعال شود. این ویژگی را می توان برای دسترسی از راه دور و بهره برداری از آسیب پذیری ها در نمونه های SQL سرور راه دور استفاده کرد.

2.2 اطمینان از اینکه گزینه ‘CLR Enabled’ بر روی صفر تنظیم شده باشد. (scored)

توضیحات:

گزینه فعال clr  مشخص می‌کند که آیا مجموعه‌های کاربر را می توان توسط SQL Server  اجرا کرد.

2.3 اطمینان از اینکه گزینه ‘Cross DB Ownership Chaining’ بر روی صفر باشد. (scored)

توضیحات:

گزینه ‘Cross DB Ownership Chaining’ مالکیت متقابل را در تمام پایگاه‌های سرور کنترل می‌کند.

2.4 اطمینان از اینکه گزینه  ‘Database Mail XPs’بر روی صفر باشد. (Scored)

توضیحات:

گزینه Database Mail XPs گزینه ای است که برای تولید و انتقال پیام های ایمیل از SQL Server مورد استفاده قرار می گیرد.

2.5 اطمینان از اینکه گزینه ‘Ole Automation Procedures’ بر روی صفر باشد. (Scored)

توضیحات:

گزینه Ole Automation Procedures گزینه ای را برای کنترل اشیاء OLE Automation در مقادیر Transact-SQL می تواند مورد بررسی قرار دهد. این فرایندهای ذخیره شده به کاربران SQL Server  اجازه می دهد تا توابع خارج از SQL Server را اجرا نمایند.

2.6  اطمینان از اینکه گزینه ‘Remote Access’ بر روی صفر باشد. (Scored)

توضیحات:

گزینه دسترسی از راه دور، اجرای رویه‌های ذخیره‌شده در سرورهای کنترل از راه دور یا روندهای ذخیره‌شده در کارگزار محلی را کنترل می‌کند.

2.7  اطمینان از اینکه گزینه ‘Remote Admin Connections’ بر روی صفر باشد. (Scored)

توضیحات:

گزینه remote admin connections به این منظور است که آیا یک برنامه کاربردی مشتری، در یک کامپیوتر از راه دور می تواند از اتصال اختصاصی مدیر (DAC) استفاده کند.

2.8  اطمینان از اینکه گزینه ‘Scan For Startup Procs’ بر روی صفر باشد. (Scored)

توضیحات:

گزینه scan for startup procs در صورتی که به کار انداخته شود ، باعث می‌شود که SQL Server به طور خودکار تمام دستورالعمل‌های ذخیره‌شده را که برای راه‌اندازی سرویس تنظیم شده‌اند، اجرا کند.

2.9  8  اطمینان از اینکه گزینه ‘Trustworthy’ بر روی off باشد. (Scored)

توضیحات:

گزینه TRUSTWORTHY در پایگاه داده، امکان دسترسی به اشیا، تحت شرایط خاص در پایگاه‌های اطلاعاتی دیگر را می‌دهد.

2.10  اطمینان از اینکه پروتکل های غیرضروری بر روی “disabled” باشد. (Scored)

توضیحات:

SQL Server از حافظه های مشترک، به نام pipe ها و پروتکل های TCP / IP پشتیبانی می کند. با این حال، SQL Server باید برای استفاده از حداقل مقدار مورد نیاز مبتنی بر نیازهای سازمان پیکربندی شود.

2.11  اطمینان از اینکه SQL Server برای استفاده از پورت های غیر استاندارد پیکر بندی شود. (Scored)

توضیحات:

در صورت نصب، به طور پیش فرض SQL Server یک پورت پیش فرض TCP: 1433 را برای ارتباط TCP / IP اختصاص می دهد. مدیران همچنین می‌توانند به طور دستی مواردی را پیکربندی کنند تا از TCP:1433 برای ارتباط استفاده کنند. TCP:1433یک پورت معروف SQL Server است و این تخصیص این پورت باید تغییر یابد.

2.12  اطمینان از اینکه گزینه ‘Hide Instance’ بر روی “yes” تنظیم شده باشد. (Scored)

توضیحات:

موارد غیر خوشه ای SQL Server در محیط های تولید باید برای جلوگیری از تبلیغ توسط سرویس مرورگرSQL Server  شناسایی شوند.

2.13  اطمینان از اینکه قسمت ورودی اکانت “sa” بر روی “disable” تنظیم شده باشد. (Scored)

توضیحات:

حساب sa یک حساب کاربری با نام SQL Server است که به طور گسترده شناخته شده و اغلب مورد استفاده قرار می گیرد و دارای امتیازات sysadmin می باشد.

2.14  اطمینان از اینکه حساب ورودی ‘sa’ تغییر نام داده شده باشد. (Scored)

توضیحات:

حساب sa یک حساب کاربری با نام SQL Server است که به طور گسترده شناخته شده و اغلب مورد استفاده قرار می گیرد و دارای امتیازات sysadmin می باشد.

2.15  اطمینان از اینکه گزینه ‘xp_cmdshell’ بر روی صفر تنظیم شده باشد. (Scored)

توضیحات:

گزینه xp_cmdshell  کنترل می‌کند که آیاxp _ cmdshell  ذخیره شده ی بسط یافته را می توان توسط یک کاربر مجاز SQL Server برای اجرای فرمان‌های پوسته اجرایی مجاز اجرا کرد و نتایج را به عنوان جدول در کلاینت SQL به کار برد.

2.16  اطمینان از اینکه گزینه ‘AUTO_CLOSE’ بر روی “off” تنظیم شده باشد. (Scored)

توضیحات:

AUTO_CLOSE تعیین می‌کند که یک پایگاه‌داده مشخص بسته شده‌ است یا پس از اتصال متصل نباشد.

2.17 مطمئن از اینکه هیچ ورودی با نام “sa” وجود ندارد. (Scored)

توضیحات:

حساب sa یک حساب کاربری با نام SQL Server است که به طور گسترده شناخته شده و اغلب مورد استفاده قرار می گیرد و دارای امتیازات sysadmin می باشد. بنابراین، نباید یک ورودی به سیستم به نام sa وجود داشته باشد.

3. تایید اعتبار و مجوز ها

این بخش حاوی توصیه های مربوط به تأیید هویت و مکانیزم مجوز SQL Server است.

3.1  اطمینان حاصل کنید که ‘Server Authentication’  به ‘Windows

Authentication Mode’ تنظیم شده باشد. (Scored)

توضیحات:

از “تایید هویت ویندوز” برای اعتبار سنجی اتصالات استفاده می‌کند.

3.2  اطمینان حاصل کنید که مجوزهای CONNECT در کاربر مهمان در تمام پایگاه‌های داده SQL Server به استثنای master، msdb و tempdb لغو می‌شوند. ( Scored )

توضیحات:

حق استفاده مهمان برای اتصال به پایگاه داده های SQL Server، به جز برای master، msdb و tempdb را حذف کنید.

3.3  اطمینان حاصل کنید که ‘Orphaned Users’ از پایگاه داده های sql server  حذف می شوند. (Scored)

توضیحات:

یک کاربر پایگاه داده که برای آن ورودی SQL سرور مربوطه نامشخص است یا به عنوان مثال در سرور اشتباه تعریف شده است، نمی تواند وارد شود و به عنوان ‘Orphaned Users’ نامیده می شود و باید حذف شود.

3.4  اطمینان از اینکه تایید هویت SQL در پایگاه داده های موجود استفاده نمی شود. (Scored)

توضیحات:

پایگاه داده های حاوی قوانین پیچیدگی رمز عبور، برای کاربران، SQL Authenticated را اجرا نمی کنند.

3.5  اطمینان حاصل کنید که حساب سرویسِ MSSQL یک مدیر نیست. (Scored)

توضیحات:

حساب سرویس یا sid سرویس، توسط یک سرویس MSSQLSERVER برای یک نمونه پیش فرض نباید به صورت مستقیم یا غیرمستقیم(از طریق گروه)عضو گروه مدیریت ویندوز باشد. این بدان معنی است که حساب کاربری شناخته شده به عنوان LocalSystem نباید برای سرویس MSSQL استفاده شود؛ زیرا این حساب دارای امتیازات بالاتری نسبت به سرویس SQL Server است.

3.6  اطمینان حاصل کنید که حساب سرویس SQLAgent یک مدیر نیست. (Scored)

توضیحات:

این به این معنی است که حسابی که به نام LocalSystem شناخته می‌شود، نباید برای خدماتSQLAGENT  مورد استفاده قرار گیرد، زیرا این حساب دارای امتیازات بالاتری نسبت به سرویس سرویسSQL Server می‌باشد.

3.7  اطمینان حاصل کنید که حساب سرویس کامل متن SQL سرور یک مدیر نیست. (Scored)

توضیحات:

این بدان معنی است که حساب کاربری که LocalSystem نامیده می شود، نباید برای سرویس Full Text استفاده شود، زیرا این حساب دارای امتیازات بالاتری نسبت به سرویس SQL Server است.

3.8  اطمینان حاصل کنید که تنها اجازه‌های پیش‌فرض مشخص‌شده توسط مایکروسافت به نقش سرور عمومی داده می‌شود. (Scored)

توضیحات:

public یک نقش ویژه سرور ثابت است که شامل همه login ها می باشد. برخلاف سایر نقش‌های سرورهای ثابت، مجوزها را می توان برای نقش public تغییر داد. در حفظ اصول حداقل امتیازات، نقش سرور public نباید برای اعطای مجوز در حوزه سرور به کار رود، زیرا این برنامه‌ها توسط تمام کاربران به کار گرفته می شوند.

3.9  اطمینان حاصل کنید از اینکه گروه های داخلی ویندوز برای قسمت لاگین SQL استفاده نمی شوند. (Scored)

توضیحات:

بهترین شیوه ها ایجاد یک سطح دسترسی در Active Directory شامل حساب های کارکنان DBA تایید شده و استفاده از این گروه AD کنترل شده به عنوان ورود به سیستم با امتیازات sysadmin می باشد. گروه AD باید در هنگام نصب SQL Server مشخص شود.

3.10  اطمینان از اینکه گروه های محلی ویندوز نمی توانند ورودیSQL  باشند. (Scored)

توضیحات:

گروه های محلی ویندوز نباید به عنوان ورودی برای موارد SQL Server استفاده شوند.

3.11  اطمینان از اینکه نقش public در پایگاه داده msdb به پروکسی های SQL Agent اجازه نمی دهد. (Scored)

توضیحات:

نقش پایگاه داده public شامل هر کاربر در پایگاه داده msdb است. پروکسی های SQL Agent یک محیط امنیتی را تعریف می کنند که در آن یک مرحله کاری می تواند اجرا شود.

4. سیاست های کلمه عبور

این بخش حاوی توصیه های مربوط به سیاست های رمز عبور SQL Server است.

4.1  مطمئن شوید گزینه MUST_CHANGE برای تمام ورودی های تصدیق شده بر روی گزینه «ON» تنظیم شده باشد. (Not Scored)

توضیحات:

هر زمان که این گزینه بر روی ON تنظیم می شود، SQL Server در مرتبه اول، رمز ورود جدید یا تغییر یافته را درخواست می کند.

4.2  اطمینان حاصل کنید که گزینه ‘CHECK_EXPIRATION’ برای تمام ورودی هایSQL Server  در نقش sysadmin تنظیم شده‌ است. (Scored)

توضیحات:

از همان سیاست انقضای گذرواژه که در ویندوز استفاده‌شده در SQL Server استفاده کنید.

4.3  مطمئن شوید گزینه ‘CHECK_POLICY’ برای همه ورودی های تأیید شده SQL بر روی «ON» تنظیم شده است. (Scored)

توضیحات:

از همان سیاست پیچیدگی رمز عبور در SQL Server استفاده می‌شود، که در ویندوز برای password استفاده ‌شده است.

5. حسابرسی و ثبت نام

این بخش حاوی توصیه های مربوط به مکانیزم های حسابرسی و ثبت اطلاعات SQL Server است.

5.1  اطمینان حاصل کنید که “حداکثر تعداد فایل های ورودی خطا” بیشتر از 12 یا برابر با  12 است. (Scored)

توضیحات:

فایل های ورودی SQL Server باید قبل از، ازدست دادن، محافظت شوند. فایل های Log قبل از رونویسی، بایستی پشتیبان گیری شوند. حفظ Log های خطا، بیشتر به جلوگیری از اتلاف مکرر قبل از این که پشتیبان گیری رخ دهد کمک می‌کند.

5.2  اطمینان از اینکه گزینه تنظیمات سرور “پیش فرض ردیابی فعال” بر روی ‘1’ تنظیم شده باشد. (Scored)

توضیحات:

این اثر پیش‌فرض، ورود به حسابرسی فعالیت‌های پایگاه‌داده از جمله ایجاد حساب، ترفیع امتیاز و اجرای دستورهای DBCC را فراهم می‌کند.

5.3  اطمینان حاصل کنید که ‘Login Auditing’ به ‘logins failed’ تنظیم شده باشد. (Scored)

توضیحات:

این تنظیمات ، تلاش‌های احراز هویت برای ورود به سیستم SQL Server را به SQL Server Errorlog ثبت خواهد کرد. این تنظیمات پیش‌فرض برای SQL Server است.

از لحاظ تاریخی، این تنظیم در تمام نسخه ها و نسخه های SQL Server موجود است. قبل از در دسترس بودن SQL Server Audit، این تنها مکانیزم ارائه شده برای ثبت کردن لاگین ها بود (موفق یا شکست خورده).

5.4  مطمئن شوید که «SQL Server Audit» برای ضبط هر دو یعنی «ورودی های ناموفق» و «ورودی های موفق» تنظیم شده است. (Scored)

توضیحات:

SQL Server Audit  قادر به ضبط هر دو لاگین موفق و ناموفق و نوشتن آنها در يكي از سه مکان است: ثبت وقايع برنامه، ثبت وقايع امنيت يا سيستم فايل.
ما از آن برای گرفتن هر گونه تلاش ورود به SQL Server و همچنین تلاش برای تغییر سیاست حسابرسی استفاده خواهیم کرد. این همچنین به عنوان دومین منبع برای ثبت تلاش های ورود به سیستم ثبت می شود.

6. توسعه نرم افزار

این بخش شامل توصیه‌های مربوط به توسعه برنامه‌های کاربردی با SQL Server است.

6.1  اطمینان حاصل کنید که پایگاه‌داده sanitize و ورودی برنامه کاربردی sanitized است. (Not Scored)

توضیحات:

همیشه قبل از ارسال آن به سرور پایگاه داده، ورودی کاربر دریافت شده از یک کلاینت یا نرم افزار پایگاه داده را با تست نوع، طول، فرمت و محدوده تایید کنید.

6.2  اطمینان حاصل کنید که ‘CLR Assembly Permission Set’ برای تمام CLR Assemblie ها بر روی ‘SAFE_ACCESS’ تنظیم شده باشد. (Scored)

توضیحات:

تنظیم مجوز CLR به SAFE_ACCESS مانع دسترسی مجدد به مجموعه های خارجی از قبیل فایل ها، شبکه، متغیرهای محیطی یا رجیستری می شود.

7. رمزگذاری

این توصیه ها مربوط به جنبه های مرتبط با رمزگذاری SQL Server می باشد.

7.1  اطمینان حاصل کنید که الگوریتم رمزنگاری با کلید متقارن، بر روی “AES_128” یا بالاتر در پایگاه داده های غیر سیستمی تنظیم شده باشد. (Scored)

توضیحات:

در مورد مایکروسافت بهترین روش ها، تنها الگوریتم های SQL Server AES، AES_128، AES_192 و AES_256 باید برای الگوریتم رمزنگاری کلید متقارن استفاده شود.

7.2  اطمینان حاصل شود که اندازه کلید متقارن در پایگاه های داده غیرسیستمی بزرگتر مساوی با 2048 باشد. (Scored)

توضیحات:

بهترین روشهای مایکروسافت توصیه می کنند، حداقل یک الگوریتم رمزنگاری 2048 بیتی برای کلید های نامتقارن استفاده کنند.

8  ضمیمه: ملاحظات اضافی

این پیوست در مورد گزینه های پیکربندی احتمالی که توصیه نمی شود ارائه می شود.

8.1  مطمئن شوید که سرویس SQL Server Browser Service به درستی پیکربندی شده است. (Not Score)

توضیحات:

توصیه نمی شود که سرویس SQL Server Browser غیرفعال شود.

منابع:

1. https://www.cisecurity.org/
2. https://en.wikipedia.org/wiki/Center_for_Internet_Security
3. https://www.newnettechnologies.com/cis-benchmark.html

آدرس کانال تلگرام سایت بیگ دیتا:

t.me/bigdata_channel

آدرس کانال سروش ما:
https://sapp.ir/bigdata_channel

جهت دیدن سرفصل های دوره های آموزشی بر روی اینجا کلیک کنید.

Visits: 3047