© best_vector/Shutterstock.com
Windows Developer
Ein bisschen was zur Sicherheit (nicht nur) des SQL Servers 2014

In Redmond nichts Neues

Aus Sicherheitssicht gibt es beim SQL Server 2014 nur wenig Neues. Aber ein Thema ist ja leider immer aktuell: SQL Injection und wie man sie verhindert. Vor allem um Letzteres geht es in diesem Artikel, die Neuerungen bei der Sicherheit gibt es quasi als Zugabe.

Carsten Eilers


Fangen wir mit den sicherheitsrelevanten Änderungen im SQL Server 2014 an. Möchten Sie die Kurzform? Es gibt drei neue Berechtigungen als „Security Enhancements“ für die Database Engine und das war es auch schon [1]. Wenn man mal davon absieht, dass hoffentlich wieder viele Programmierfehler und damit potenzielle Schwachstellen aus den Vorversionen nicht in den neuen SQL Server übernommen wurden und Schutzmaßnahmen wie ASLR und DEP weitgehender genutzt werden. Aber das ist seit der Einführung des Security Development Lifecycles eine Selbstverständlichkeit und eigentlich keiner besonderen Erwähnung wert.

Backups mit Verschlüsselung und in die Cloud

Es gibt natürlich auch Verbesserungen, die Microsoft zwar nicht direkt als „Security Enhancements“ aufführt, die die Sicherheit aber trotzdem erhöhen. Die wichtigste: Backups werden verschlüsselt [2]. Zur Verfügung stehen AES mit 128, 192 und 256 Byte Schlüssellänge und Triple DES. Angesichts der NSA-Enthüllungen sollten Sie hier AES-256 wählen. Die Verschlüsselung ist natürlich besonders wichtig, wenn Sie eine weitere neue Funktion des SQL Servers 2014 nutzen: die Backupspeicherung in Windows Azure. Denn Sie wissen ja: In der Cloud wird geklaut. Und vorher schnüffeln NSA und Co. gerne noch ein bisschen in den Daten rum, wenn es ihnen nicht durch eine gute Verschlüsselung verwehrt wird.

Drei neue Berechtigungen

Kommen wir noch kurz zu den offiziellen „Security Enhancements“, den drei neuen Berechtigungen auf Serverlevel [1]. „Die CONNECT ANY DATABASE Permission“ dient dazu, einem Benutzerkonto die Verbindung zu allen bereits existierenden Datenbanken sowie allen in der Zukunft neu angelegten Datenbanken zu erlauben. Außer dem Recht zur Verbindung werden keine weiteren Rechte zugewiesen. Um einem Auditing-Prozess das Betrachten aller Daten oder Datenbank-States einer SQL-Server-Instanz zu erlauben, kann diese Berechtigung mit den Berechtigungen „SELECT ALL USER SECURABLES“ (siehe unten) oder „VIEW SERVER STATE“ kombiniert werden. Die „IMPERSONATE ANY LOGIN Permission“ erlaubt Middle-Tier-Prozessen, sich bei der Verbindung mit einer Datenbank als der Benutzeraccount auszugeben (impersonate), der sich mit ihm verbunden hat. Wird die Berechtigung verweigert, kann ein hoch privilegiertes Benutzerkonto wie zum Beispiel eines mit der Berechtigung „CONTROL SERVER“ daran gehindert werden, sich als anderes Benutzerkonto auszugeben. Die „SELECT ALL USER SECURABLES Permission“ erlaubt es einem Benutzerkonto wie etwa einem Aud...

Windows Developer
Ein bisschen was zur Sicherheit (nicht nur) des SQL Servers 2014

In Redmond nichts Neues

Aus Sicherheitssicht gibt es beim SQL Server 2014 nur wenig Neues. Aber ein Thema ist ja leider immer aktuell: SQL Injection und wie man sie verhindert. Vor allem um Letzteres geht es in diesem Artikel, die Neuerungen bei der Sicherheit gibt es quasi als Zugabe.

Carsten Eilers


Fangen wir mit den sicherheitsrelevanten Änderungen im SQL Server 2014 an. Möchten Sie die Kurzform? Es gibt drei neue Berechtigungen als „Security Enhancements“ für die Database Engine und das war es auch schon [1]. Wenn man mal davon absieht, dass hoffentlich wieder viele Programmierfehler und damit potenzielle Schwachstellen aus den Vorversionen nicht in den neuen SQL Server übernommen wurden und Schutzmaßnahmen wie ASLR und DEP weitgehender genutzt werden. Aber das ist seit der Einführung des Security Development Lifecycles eine Selbstverständlichkeit und eigentlich keiner besonderen Erwähnung wert.

Backups mit Verschlüsselung und in die Cloud

Es gibt natürlich auch Verbesserungen, die Microsoft zwar nicht direkt als „Security Enhancements“ aufführt, die die Sicherheit aber trotzdem erhöhen. Die wichtigste: Backups werden verschlüsselt [2]. Zur Verfügung stehen AES mit 128, 192 und 256 Byte Schlüssellänge und Triple DES. Angesichts der NSA-Enthüllungen sollten Sie hier AES-256 wählen. Die Verschlüsselung ist natürlich besonders wichtig, wenn Sie eine weitere neue Funktion des SQL Servers 2014 nutzen: die Backupspeicherung in Windows Azure. Denn Sie wissen ja: In der Cloud wird geklaut. Und vorher schnüffeln NSA und Co. gerne noch ein bisschen in den Daten rum, wenn es ihnen nicht durch eine gute Verschlüsselung verwehrt wird.

Drei neue Berechtigungen

Kommen wir noch kurz zu den offiziellen „Security Enhancements“, den drei neuen Berechtigungen auf Serverlevel [1]. „Die CONNECT ANY DATABASE Permission“ dient dazu, einem Benutzerkonto die Verbindung zu allen bereits existierenden Datenbanken sowie allen in der Zukunft neu angelegten Datenbanken zu erlauben. Außer dem Recht zur Verbindung werden keine weiteren Rechte zugewiesen. Um einem Auditing-Prozess das Betrachten aller Daten oder Datenbank-States einer SQL-Server-Instanz zu erlauben, kann diese Berechtigung mit den Berechtigungen „SELECT ALL USER SECURABLES“ (siehe unten) oder „VIEW SERVER STATE“ kombiniert werden. Die „IMPERSONATE ANY LOGIN Permission“ erlaubt Middle-Tier-Prozessen, sich bei der Verbindung mit einer Datenbank als der Benutzeraccount auszugeben (impersonate), der sich mit ihm verbunden hat. Wird die Berechtigung verweigert, kann ein hoch privilegiertes Benutzerkonto wie zum Beispiel eines mit der Berechtigung „CONTROL SERVER“ daran gehindert werden, sich als anderes Benutzerkonto auszugeben. Die „SELECT ALL USER SECURABLES Permission“ erlaubt es einem Benutzerkonto wie etwa einem Aud...

Neugierig geworden?


    
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang